Kontenut ħabi
1 CISCO SD-WAN Ikkonfigura Parametri tas-Sigurtà
2 Ikkonfigura l-Parametri tas-Sigurtà
3 Ikkonfigura l-Parametri tas-Sigurtà tal-Pjan ta' Kontroll
4 Ikkonfigura DTLS f'Cisco SD-WAN Manager
5 Ikkonfigura l-Parametri tas-Sigurtà tal-Pjan tad-Data
6 Ikkonfigura Tipi ta' Awtentikazzjoni Permessi
7 Ibdel it-Timer ta' Rekeying
8 Ibdel id-Daqs tat-Tieqa Anti-Replay
9 Ikkonfigura Rotta Statika IPsec
10 Ikkonfigura l-Parametri tal-Mina IPsec
11 Immodifika IKE Dead-Peer Detection
12 Ikkonfigura Proprjetajiet Oħra tal-Interface
13 Iddiżattiva Algoritmi Dgħajfin ta' Encryption SSH fuq Cisco SD-WAN Manager
14 Dokumenti / Riżorsi
14.1 Referenzi

CISCO-LOGO

CISCO SD-WAN Ikkonfigura Parametri tas-Sigurtà

CISCO-SD-WAN-Kkonfigura-Parametri-Sigurtà-PRODOTT

Ikkonfigura l-Parametri tas-Sigurtà

Nota

Biex tinkiseb simplifikazzjoni u konsistenza, is-soluzzjoni Cisco SD-WAN ġiet immarkata mill-ġdid bħala Cisco Catalyst SD-WAN. Barra minn hekk, minn Cisco IOS XE SD-WAN Release 17.12.1a u Cisco Catalyst SD-WAN Release 20.12.1, il-bidliet fil-komponenti li ġejjin huma applikabbli: Cisco vManage għal Cisco Catalyst SD-WAN Manager, Cisco vAnalytics għal Cisco Catalyst SD-WAN Analytics, Cisco vBond għal Cisco Catalyst SD-WAN Validator, u Cisco vSmart għal Cisco Catalyst SD-WAN Controller. Ara l-aħħar Noti ta' Rilaxx għal lista komprensiva tal-bidliet kollha fl-isem tad-ditta tal-komponenti. Filwaqt li aħna tranżizzjoni għall-ismijiet ġodda, xi inkonsistenzi jistgħu jkunu preżenti fis-sett tad-dokumentazzjoni minħabba approċċ gradwali għall-aġġornamenti tal-interface tal-utent tal-prodott tas-softwer.

Din it-taqsima tiddeskrivi kif tibdel il-parametri tas-sigurtà għall-pjan ta 'kontroll u l-pjan tad-dejta fin-netwerk ta' overlay Cisco Catalyst SD-WAN.

  • Ikkonfigura l-Parametri tas-Sigurtà tal-Pjan ta' Kontroll, fuq
  • Ikkonfigura l-Parametri tas-Sigurtà tal-Pjan tad-Data, fuq
  • Ikkonfigura l-Mini IPsec Ippermettiet IKE, fuq
  • Iddiżattiva Algoritmi Dgħajfin ta' Encryption SSH fuq Cisco SD-WAN Manager, fuq

Ikkonfigura l-Parametri tas-Sigurtà tal-Pjan ta' Kontroll

B'mod awtomatiku, il-pjan ta 'kontroll juża DTLS bħala l-protokoll li jipprovdi privatezza fuq il-mini kollha tiegħu. DTLS jimxi fuq UDP. Tista 'tbiddel il-protokoll tas-sigurtà tal-pjan ta' kontroll għal TLS, li jmur fuq TCP. Ir-raġuni primarja biex tuża TLS hija li, jekk tqis li l-Kontrollur Cisco SD-WAN huwa server, il-firewalls jipproteġu s-servers TCP aħjar mis-servers UDP. Int tikkonfigura l-protokoll tal-mina tal-pjan ta' kontroll fuq Kontrollur Cisco SD-WAN: vSmart(config)# protokoll ta' kontroll tas-sigurtà tls B'din il-bidla, il-mini kollha tal-pjan ta' kontroll bejn il-Kontrollur Cisco SD-WAN u r-routers u bejn il-Kontrollur Cisco SD-WAN u Cisco SD-WAN Manager jużaw TLS. Mini pjan ta 'kontroll għal Cisco Catalyst SD-WAN Validator dejjem jużaw DTLS, minħabba li dawn il-konnessjonijiet għandhom jiġu mmaniġġjati minn UDP. F'dominju b'Cisco SD-WAN Controllers multipli, meta tikkonfigura TLS fuq wieħed mill-Cisco SD-WAN Controllers, il-mini kollha tal-pjan ta' kontroll minn dak il-kontrollur għall-kontrolluri l-oħra jużaw TLS. Qal mod ieħor, TLS dejjem jieħu preċedenza fuq DTLS. Madankollu, mill-perspettiva tal-Kontrolluri Cisco SD-WAN l-oħra, jekk ma kkonfigurajtx TLS fuqhom, jużaw TLS fuq il-mina tal-pjan ta 'kontroll biss għal dak il-Kontrollur Cisco SD-WAN wieħed, u jużaw mini DTLS għall-oħra kollha. Cisco SD-WAN Controllers u għar-routers kollha konnessi tagħhom. Biex il-Kontrolluri kollha Cisco SD-WAN jużaw TLS, ikkonfiguraha fuqhom kollha. B'mod awtomatiku, il-Kontrollur Cisco SD-WAN jisma' fuq il-port 23456 għal talbiet TLS. Biex tbiddel dan: vSmart(config)# kontroll tas-sigurtà tls-port number Il-port jista 'jkun numru minn 1025 sa 65535. Biex turi l-informazzjoni dwar is-sigurtà tal-pjan ta' kontroll, uża l-kmand tal-wiri tal-konnessjonijiet tal-kontroll fuq il-Kontrollur Cisco SD-WAN. Per example: vSmart-2# juru konnessjonijiet ta 'kontroll

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Ikkonfigura DTLS f'Cisco SD-WAN Manager

Jekk tikkonfigura ċ-Cisco SD-WAN Manager biex tuża TLS bħala l-protokoll tas-sigurtà tal-pjan ta 'kontroll, trid tippermetti port forwarding fuq in-NAT tiegħek. Jekk qed tuża DTLS bħala l-protokoll tas-sigurtà tal-pjan ta 'kontroll, m'għandekx bżonn tagħmel xejn. In-numru ta' portijiet mibgħuta jiddependi fuq in-numru ta' proċessi vdaemon li qed jaħdmu fuq il-Maniġer Cisco SD-WAN. Biex turi informazzjoni dwar dawn il-proċessi u dwar u n-numru ta’ portijiet li qed jiġu mibgħuta, uża l-kmand tal-wirja fil-qosor tal-kontroll juri li erba’ proċessi daemon qed jaħdmu:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Biex tara l-portijiet tas-smigħ, uża l-kmand show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Dan l-output juri li l-port TCP li jisma huwa 23456. Jekk qed tmexxi Cisco SD-WAN Manager wara NAT, għandek tiftaħ il-portijiet li ġejjin fuq l-apparat NAT:

  • 23456 (bażi – istanza 0 port)
  • 23456 + 100 (bażi + 100)
  • 23456 + 200 (bażi + 200)
  • 23456 + 300 (bażi + 300)

Innota li n-numru ta' każijiet huwa l-istess bħan-numru ta' cores li inti assenjat għall-Cisco SD-WAN Manager, sa massimu ta' 8.

Ikkonfigura l-Parametri tas-Sigurtà billi tuża l-Mudell ta' Karatteristika tas-Sigurtà

Uża l-mudell tal-karatteristika tas-Sigurtà għat-tagħmir kollu Cisco vEdge. Fuq ir-routers tat-tarf u fuq il-Validatur Cisco SD-WAN, uża dan il-mudell biex tikkonfigura IPsec għas-sigurtà tal-pjan tad-dejta. Fuq Cisco SD-WAN Manager u Cisco SD-WAN Controller, uża l-mudell tal-karatteristika tas-Sigurtà biex tikkonfigura DTLS jew TLS għas-sigurtà tal-pjan ta 'kontroll.

Ikkonfigura l-Parametri tas-Sigurtà

  1. Mill-menu Cisco SD-WAN Manager, agħżel Konfigurazzjoni > Mudelli.
  2. Ikklikkja Feature Templates u mbagħad ikklikkja Żid Template.
    Nota F'Cisco vManage Release 20.7.1 u rilaxxi preċedenti, Mudelli tal-Karatteristiċi jissejħu Feature.
  3. Mil-lista Mezzi fil-pannell tax-xellug, agħżel apparat. Il-mudelli applikabbli għall-apparat magħżul jidhru fil-pannell tal-lemin.
  4. Ikklikkja Sigurtà biex tiftaħ il-mudell.
  5. Fil-qasam Isem Template, daħħal isem għall-mudell. L-isem jista' jkun sa 128 karattru u jista' jkun fih biss karattri alfanumeriċi.
  6. Fil-qasam Deskrizzjoni tal-Mudell, daħħal deskrizzjoni tal-mudell. Id-deskrizzjoni tista' tkun sa 2048 karattru u jista' jkun fiha biss karattri alfanumeriċi.

Meta tiftaħ għall-ewwel darba mudell ta' karatteristika, għal kull parametru li għandu valur default, l-ambitu huwa ssettjat għal Default (indikat b'marka ta' kontroll), u jintwera l-issettjar jew il-valur default. Biex tbiddel id-default jew biex tdaħħal valur, ikklikkja l-menu drop-down tal-ambitu fuq ix-xellug tal-qasam tal-parametru u agħżel waħda minn dawn li ġejjin:

Tabella 1:

Parametru Ambitu Deskrizzjoni ta' l-ambitu
Apparat Speċifiku (indikat b'ikona ospitanti) Uża valur speċifiku għall-apparat għall-parametru. Għal parametri speċifiċi għall-apparat, ma tistax iddaħħal valur fil-mudell tal-karatteristika. Int iddaħħal il-valur meta tehmeż apparat Viptela ma 'mudell ta' apparat.

Meta tikklikkja Apparat Speċifiku, tinfetaħ il-kaxxa Ikteb Ċavetta. Din il-kaxxa turi ċavetta, li hija string unika li tidentifika l-parametru f'CSV file li inti toħloq. Dan file hija spreadsheet Excel li fiha kolonna waħda għal kull ċavetta. Ir-ringiela tal-header fiha l-ismijiet taċ-ċwievet (ċavetta waħda għal kull kolonna), u kull ringiela wara dik tikkorrispondi għal apparat u tiddefinixxi l-valuri taċ-ċwievet għal dak l-apparat. Int ittella s-CSV file meta tehmeż apparat Viptela ma 'mudell ta' apparat. Għal aktar informazzjoni, ara Oħloq Spreadsheet ta' Varjabbli ta' Template.

Biex tibdel iċ-ċavetta default, ittajpja string ġdida u ċċaqlaq il-cursor 'il barra mill-kaxxa Ikteb Ċavetta.

Examples tal-parametri speċifiċi għall-apparat huma l-indirizz IP tas-sistema, l-isem tal-host, il-lokazzjoni tal-GPS, u l-ID tas-sit.
Parametru Ambitu Deskrizzjoni ta' l-ambitu
Globali (indikat b'ikona globu) Daħħal valur għall-parametru, u applika dak il-valur għall-apparati kollha.

Exampil-le ta' parametri li tista' tapplika globalment għal grupp ta' apparati huma server DNS, server syslog, u MTUs ta' interface.

Ikkonfigura s-Sigurtà tal-Pjan ta' Kontroll

Nota
Is-sezzjoni Ikkonfigura s-Sigurtà tal-Pjan ta' Kontroll tapplika għall-Cisco SD-WAN Manager u l-Cisco SD-WAN Controller biss. Biex tikkonfigura l-protokoll ta' konnessjoni tal-pjan ta' kontroll fuq istanza ta' Cisco SD-WAN Manager jew Cisco SD-WAN Controller, agħżel iż-żona tal-Konfigurazzjoni Bażika u kkonfigura l-parametri li ġejjin:

Tabella 2:

Parametru Isem Deskrizzjoni
Protokoll Agħżel il-protokoll li tuża fuq il-konnessjonijiet tal-pjan ta' kontroll għal Kontrollur Cisco SD-WAN:

• DTLS (DatagSigurtà tas-Saff tat-Trasport tal-muntun). Din hija l-inadempjenza.

• TLS (Sigurtà ta' Saff ta' Trasport)
Kontroll TLS Port Jekk għażilt TLS, ikkonfigura n-numru tal-port biex tuża:Firxa: 1025 sa 65535Default: 23456

Ikklikkja Save

Ikkonfigura s-Sigurtà tal-Pjan tad-Data
Biex tikkonfigura s-sigurtà tal-pjan tad-dejta fuq Cisco SD-WAN Validator jew router Cisco vEdge, agħżel it-tabs tat-Tip tal-Konfigurazzjoni Bażika u l-Awtentikazzjoni, u kkonfigura l-parametri li ġejjin:

Tabella 3:

Parametru Isem Deskrizzjoni
Rekey Time Speċifika kemm-il darba router Cisco vEdge jibdel iċ-ċavetta AES użata fuq il-konnessjoni DTLS sigura tiegħu mal-Kontrollur Cisco SD-WAN. Jekk l-OMP graceful restart huwa attivat, il-ħin ta' rekeying għandu jkun mill-inqas id-doppju tal-valur tal-OMP graceful restart timer.Firxa: 10 sa 1209600 sekonda (14-il jum)Default: 86400 sekonda (24 siegħa)
Tieqa Replay Speċifika d-daqs tat-tieqa replay li tiżżerżaq.

Valuri: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pakkettDefault: 512 pakkett
IPsec

par-keying

 Dan huwa mitfi awtomatikament. Ikklikkja On biex jixgħelha.
Parametru Isem Deskrizzjoni
Tip ta' Awtentikazzjoni Agħżel it-tipi ta 'awtentikazzjoni mill- Awtentikazzjoni Lista, u kklikkja l-vleġġa li tipponta lejn il-lemin biex tmexxi t-tipi ta' awtentikazzjoni lejn il- Lista Magħżula kolonna.

Tipi ta' awtentikazzjoni appoġġjati minn Cisco SD-WAN Release 20.6.1:

•  esp: Jippermetti Encapsulating Security Payload (ESP) encryption u verifika tal-integrità fuq l-header ESP.

•  ip-udp-esp: Jippermetti l-encryption ESP. Minbarra l-kontrolli tal-integrità fuq l-header ESP u t-tagħbija, il-kontrolli jinkludu wkoll l-intestaturi tal-IP u l-UDP ta 'barra.

•  ip-udp-esp-no-id: Jinjora l-qasam tal-ID fl-header tal-IP sabiex Cisco Catalyst SD-WAN ikun jista 'jaħdem flimkien ma' apparati mhux Cisco.

•  xejn: Itfi l-iċċekkjar tal-integrità fuq pakketti IPSec. Aħna ma nirrakkomandawx li tuża din l-għażla.

 

Tipi ta' awtentikazzjoni appoġġjati f'Cisco SD-WAN Release 20.5.1 u preċedenti:

•  ah-no-id: Ippermetti verżjoni mtejba ta' AH-SHA1 HMAC u ESP HMAC-SHA1 li tinjora l-field ID fil-header IP ta' barra tal-pakkett.

•  ah-sha1-hmac: Ippermetti AH-SHA1 HMAC u ESP HMAC-SHA1.

•  xejn: Agħżel l-ebda awtentikazzjoni.

•  sha1-hmac: Ippermetti ESP HMAC-SHA1.

 

Nota              Għal apparat edge li jaħdem fuq Cisco SD-WAN Release 20.5.1 jew aktar kmieni, jista’ jkollok ikkonfigurat tipi ta’ awtentikazzjoni billi tuża Sigurtà mudell. Meta taġġorna l-apparat għal Cisco SD-WAN Release 20.6.1 jew aktar tard, aġġorna t-tipi ta’ awtentikazzjoni magħżula fil- Sigurtà mudell għat-tipi ta' awtentikazzjoni appoġġjati minn Cisco SD-WAN Release 20.6.1. Biex taġġorna t-tipi ta' awtentikazzjoni, agħmel dan li ġej:

1.      Mill-menu Cisco SD-WAN Manager, agħżel Konfigurazzjoni >

Mudelli.

2.      Ikklikkja Mudelli tal-Karatteristiċi.

3.      Sib il- Sigurtà mudell biex taġġorna u kklikkja... u kklikkja Editja.

4.      Ikklikkja Aġġornament. M'għandekx timmodifika l-ebda konfigurazzjoni.

Cisco SD-WAN Manager jaġġorna l- Sigurtà mudell biex juri t-tipi ta' awtentikazzjoni appoġġjati.

Ikklikkja Save.

Ikkonfigura l-Parametri tas-Sigurtà tal-Pjan tad-Data

Fil-pjan tad-dejta, IPsec huwa attivat awtomatikament fuq ir-routers kollha, u b'mod awtomatiku l-konnessjonijiet tal-mini IPsec jużaw verżjoni mtejba tal-protokoll Encapsulating Security Payload (ESP) għall-awtentikazzjoni fuq mini IPsec. Fuq ir-routers, tista 'tbiddel it-tip ta' awtentikazzjoni, it-tajmer ta 'rekeying IPsec, u d-daqs tat-tieqa kontra l-replay IPsec.

Ikkonfigura Tipi ta' Awtentikazzjoni Permessi

Tipi ta' awtentikazzjoni f'Cisco SD-WAN Rilaxx 20.6.1 u Aktar tard
Minn Cisco SD-WAN Release 20.6.1, it-tipi ta' integrità li ġejjin huma appoġġjati:

  • esp: Din l-għażla tippermetti Encapsulating Security Payload (ESP) encryption u verifika tal-integrità fuq l-header ESP.
  • ip-udp-esp: Din l-għażla tippermetti l-encryption ESP. Minbarra l-kontrolli tal-integrità fuq l-header ESP u l-payload, il-kontrolli jinkludu wkoll l-intestaturi tal-IP u l-UDP ta 'barra.
  • ip-udp-esp-no-id: Din l-għażla hija simili għal ip-udp-esp, madankollu, il-qasam tal-ID tal-header tal-IP ta 'barra jiġi injorat. Ikkonfigura din l-għażla fil-lista ta 'tipi ta' integrità biex is-softwer Cisco Catalyst SD-WAN jinjora l-qasam tal-ID fl-header tal-IP sabiex iċ-Cisco Catalyst SD-WAN ikun jista 'jaħdem flimkien ma' apparati mhux Cisco.
  • xejn: Din l-għażla titfi l-iċċekkjar tal-integrità fuq pakketti IPSec. Aħna ma nirrakkomandawx li tuża din l-għażla.

B'mod awtomatiku, il-konnessjonijiet tal-mini IPsec jużaw verżjoni mtejba tal-protokoll tal-Encapsulating Security Payload (ESP) għall-awtentikazzjoni. Biex timmodifika t-tipi ta' interity negozjati jew biex tiddiżattiva l-kontroll tal-integrità, uża l-kmand li ġej: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | speċjalment

Tipi ta 'Awtentikazzjoni Qabel Cisco SD-WAN Rilaxx 20.6.1
B'mod awtomatiku, il-konnessjonijiet tal-mini IPsec jużaw verżjoni mtejba tal-protokoll tal-Encapsulating Security Payload (ESP) għall-awtentikazzjoni. Biex timmodifika t-tipi ta' awtentikazzjoni nnegozjati jew biex tiddiżattiva l-awtentikazzjoni, uża l-kmand li ġej: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) B'default, IPsec konnessjonijiet tal-mina jużaw AES-GCM-256, li jipprovdi kemm encryption kif ukoll awtentikazzjoni. Ikkonfigura kull tip ta' awtentikazzjoni bi kmand separat tat-tip ta' awtentikazzjoni ipsec tas-sigurtà. L-għażliet tal-kmand jiġu mmappjati għat-tipi ta’ awtentikazzjoni li ġejjin, li huma elenkati f’ordni mill-aktar b’saħħithom għall-inqas b’saħħithom:

Nota
Is-sha1 fl-għażliet tal-konfigurazzjoni jintuża għal raġunijiet storiċi. L-għażliet tal-awtentikazzjoni jindikaw kemm isir il-kontroll tal-integrità tal-pakkett. Ma jispeċifikawx l-algoritmu li jiċċekkja l-integrità. Ħlief għall-encryption tat-traffiku multicast, l-algoritmi ta 'awtentikazzjoni appoġġjati minn Cisco Catalyst SD WAN ma jużawx SHA1. Madankollu f'Cisco SD-WAN Release 20.1.x u 'l quddiem, kemm unicast kif ukoll multicast ma jużawx SHA1.

  • ah-sha1-hmac jippermetti encryption u inkapsulament bl-użu ta 'ESP. Madankollu, minbarra l-kontrolli tal-integrità fuq l-header ESP u t-tagħbija, il-kontrolli jinkludu wkoll l-intestaturi tal-IP u l-UDP ta 'barra. Għalhekk, din l-għażla tappoġġja kontroll tal-integrità tal-pakkett simili għall-protokoll tal-Header tal-Awtentikazzjoni (AH). L-integrità u l-kriptaġġ kollha jitwettqu bl-użu ta 'AES-256-GCM.
  • ah-no-id jippermetti mod li huwa simili għal ah-sha1-hmac, madankollu, il-qasam tal-ID tal-header tal-IP ta 'barra jiġi injorat. Din l-għażla takkomoda xi apparati SD-WAN mhux Cisco Catalyst, inkluż l-Apple AirPort Express NAT, li għandhom bug li jikkawża li l-field ID fl-header IP, qasam li ma jinbidelx, jiġi modifikat. Ikkonfigura l-għażla ah-no-id fil-lista ta 'tipi ta' awtentikazzjoni biex is-softwer Cisco Catalyst SD-WAN AH jinjora l-qasam tal-ID fil-header tal-IP sabiex is-softwer Cisco Catalyst SD-WAN ikun jista 'jaħdem flimkien ma' dawn l-apparati.
  • sha1-hmac jippermetti l-encryption ESP u l-iċċekkjar tal-integrità.
  • l-ebda mapep għall-ebda awtentikazzjoni. Din l-għażla għandha tintuża biss jekk tkun meħtieġa għal debugging temporanju. Tista 'wkoll tagħżel din l-għażla f'sitwazzjonijiet fejn l-awtentikazzjoni u l-integrità tal-pjan tad-dejta mhumiex ta' tħassib. Cisco ma jirrakkomandax li tuża din l-għażla għan-netwerks tal-produzzjoni.

Għal informazzjoni dwar liema oqsma tal-pakkett tad-dejta huma affettwati minn dawn it-tipi ta’ awtentikazzjoni, ara l-Integrità tal-Pjan tad-Data. L-apparati Cisco IOS XE Catalyst SD-WAN u l-apparati Cisco vEdge jirreklamaw it-tipi ta 'awtentikazzjoni konfigurati tagħhom fil-proprjetajiet TLOC tagħhom. Iż-żewġ routers fuq kull naħa ta 'konnessjoni ta' mina IPsec jinnegozjaw l-awtentikazzjoni biex jużaw fuq il-konnessjoni bejniethom, billi jużaw l-aktar tip ta 'awtentikazzjoni b'saħħitha li hija kkonfigurata fuq iż-żewġ routers. Per example, jekk router wieħed jirreklama t-tipi ah-sha1-hmac u ah-no-id, u t-tieni router jirreklama t-tip ah-no-id, iż-żewġ routers jinnegozjaw biex jużaw ah-no-id fuq il-konnessjoni tal-mina IPsec bejn minnhom. Jekk l-ebda tip ta' awtentikazzjoni komuni ma jkun ikkonfigurat fuq iż-żewġ peers, l-ebda mina IPsec ma tiġi stabbilita bejniethom. L-algoritmu tal-kriptaġġ fuq il-konnessjonijiet tal-mini IPsec jiddependi mit-tip ta’ traffiku:

  • Għat-traffiku unicast, l-algoritmu tal-kriptaġġ huwa AES-256-GCM.
  • Għal traffiku multicast:
  • Cisco SD-WAN Rilaxx 20.1.x u aktar tard– l-algoritmu tal-kriptaġġ huwa AES-256-GCM
  • Stħarriġ preċedenti - l-algoritmu ta 'kodifikazzjoni huwa AES-256-CBC ma SHA1-HMAC.

Meta t-tip ta 'awtentikazzjoni IPsec jinbidel, iċ-ċavetta AES għall-mogħdija tad-dejta tinbidel.

Ibdel it-Timer ta' Rekeying

Qabel ma l-apparati Cisco IOS XE Catalyst SD-WAN u l-apparati Cisco vEdge jistgħu jiskambjaw it-traffiku tad-dejta, huma jistabbilixxu kanal ta 'komunikazzjoni sikur awtentikat bejniethom. Ir-routers jużaw mini IPSec bejniethom bħala l-kanal, u ċ-ċifra AES-256 biex iwettqu encryption. Kull router jiġġenera ċavetta AES ġdida għall-mogħdija tad-dejta tiegħu perjodikament. B'mod awtomatiku, ċavetta hija valida għal 86400 sekondi (24 siegħa), u l-medda tat-tajmer hija 10 sekondi sa 1209600 sekondi (14-il jum). Biex tbiddel il-valur tat-tajmer mill-ġdid: Device(config)# security ipsec rekey seconds Il-konfigurazzjoni tidher bħal din:

  • sigurtà ipsec rekey sekondi!

Jekk trid tiġġenera ċwievet IPsec ġodda immedjatament, tista 'tagħmel dan mingħajr ma timmodifika l-konfigurazzjoni tar-router. Biex tagħmel dan, toħroġ it-talba tal-kmand tas-sigurtà ipsecrekey fuq ir-router kompromess. Per example, l-output li ġej juri li l-SA lokali għandha Indiċi tal-Parametri tas-Sigurtà (SPI) ta' 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Ċavetta unika hija assoċjata ma 'kull SPI. Jekk din iċ-ċavetta tkun kompromessa, uża l-kmand tas-sigurtà ipsec-rekey tat-talba biex tiġġenera ċavetta ġdida immedjatament. Dan il-kmand iżid l-SPI. Fl-ex tagħnaample, l-SPI jinbidel għal 257 u ċ-ċavetta assoċjata magħha issa tintuża:

  • Device# jitlob is-sigurtà ipsecrekey
  • Device# juri ipsec lokali-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Wara li ċ-ċavetta l-ġdida tiġi ġġenerata, ir-router jibgħatha immedjatament lill-Kontrolluri Cisco SD-WAN billi tuża DTLS jew TLS. Il-Kontrolluri Cisco SD-WAN jibagħtu ċ-ċavetta lir-routers tal-pari. Ir-routers jibdew jużawha hekk kif jirċievuha. Innota li ċ-ċavetta assoċjata mal-SPI l-antik (256) se tkompli tintuża għal żmien qasir sakemm tispiċċa. Biex tieqaf tuża ċ-ċavetta l-qadima immedjatament, ħarġet il-kmand tas-sigurtà tat-talba ipsec-rekey darbtejn, f'suċċessjoni rapida. Din is-sekwenza ta' kmandi tneħħi kemm SPI 256 kif ukoll 257 u tissettja l-SPI għal 258. Ir-router imbagħad juża ċ-ċavetta assoċjata ta' SPI 258. Innota, madankollu, li xi pakketti se jintefgħu għal perjodu qasir ta' żmien sakemm ir-routers remoti kollha jitgħallmu iċ-ċavetta l-ġdida.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Ibdel id-Daqs tat-Tieqa Anti-Replay

L-awtentikazzjoni IPsec tipprovdi protezzjoni kontra r-replay billi tassenja numru ta' sekwenza uniku għal kull pakkett fi fluss tad-dejta. Din in-numerazzjoni tas-sekwenza tipproteġi kontra attakkant li jidduplika pakketti tad-dejta. Bi protezzjoni kontra r-replay, il-mittent jassenja numri ta 'sekwenza li qed jiżdiedu b'mod monotoniku, u d-destinazzjoni tiċċekkja dawn in-numri ta' sekwenza biex tiskopri duplikati. Minħabba li l-pakketti ħafna drabi ma jaslux fl-ordni, id-destinazzjoni żżomm tieqa li tiżżerżaq ta 'numri ta' sekwenza li se taċċetta.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Pakketti b'numri ta 'sekwenza li jaqgħu fuq ix-xellug tal-firxa tat-tieqa li jiżżerżqu huma kkunsidrati qodma jew duplikati, u d-destinazzjoni twaqqahom. Id-destinazzjoni ssegwi l-ogħla numru ta 'sekwenza li tkun irċeviet, u taġġusta t-tieqa li tiżżerżaq meta tirċievi pakkett b'valur ogħla.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

B'mod awtomatiku, it-tieqa li tiżżerżaq hija ssettjata għal 512-il pakkett. Jista 'jiġi ssettjat għal kwalunkwe valur bejn 64 u 4096 li huwa qawwa ta' 2 (jiġifieri, 64, 128, 256, 512, 1024, 2048, jew 4096). Biex timmodifika d-daqs tat-tieqa kontra r-replay, uża l-kmand tat-tieqa replay, billi tispeċifika d-daqs tat-tieqa:

Device(config)# security ipsec replay-window number

Il-konfigurazzjoni tidher bħal din:
sigurtà ipsec replay-window numru ! !

Biex tgħin fil-QoS, jinżammu twieqi separati ta' replay għal kull wieħed mill-ewwel tmien kanali tat-traffiku. Id-daqs tat-tieqa tal-replay konfigurat huwa diviż bi tmienja għal kull kanal. Jekk QoS huwa kkonfigurat fuq router, dak ir-router jista 'jesperjenza numru akbar milli mistenni ta' qtar ta 'pakketti bħala riżultat tal-mekkaniżmu ta' kontra l-replay IPsec, u ħafna mill-pakketti li jintefgħu huma dawk leġittimi. Dan iseħħ minħabba li l-QoS jordna mill-ġdid il-pakketti, u jagħti trattament preferenzjali lill-pakketti ta' prijorità ogħla u jdewwem pakketti ta' prijorità aktar baxxa. Biex timminimizza jew tevita din is-sitwazzjoni, tista 'tagħmel dan li ġej:

  • Żid id-daqs tat-tieqa kontra l-replay.
  • Inġinerija tat-traffiku fuq l-ewwel tmien kanali tat-traffiku biex tiżgura li t-traffiku fi ħdan kanal ma jiġix ordnat mill-ġdid.

Ikkonfigura l-Mini IPsec Ippermettiet IKE
Biex tittrasferixxi b'mod sigur it-traffiku min-netwerk overlay għal netwerk ta 'servizz, tista' tikkonfigura mini IPsec li jmexxu l-protokoll tal-Internet Key Exchange (IKE). Mini IPsec abilitati bl-IKE jipprovdu awtentikazzjoni u kriptaġġ biex jiżguraw trasport sigur tal-pakketti. Inti toħloq mina IPsec abilitata għall-IKE billi tikkonfigura interface IPsec. L-interfaces IPsec huma interfaces loġiċi, u inti tikkonfigurahom bħal kull interface fiżika oħra. Inti tikkonfigura l-parametri tal-protokoll IKE fuq l-interface IPsec, u tista 'tikkonfigura proprjetajiet oħra tal-interface.

Nota Cisco jirrakkomanda li tuża IKE Verżjoni 2. Mir-rilaxx ta' Cisco SD-WAN 19.2.x 'il quddiem, iċ-ċavetta kondiviża minn qabel trid tkun twila mill-inqas 16-il byte. L-istabbiliment tal-mina IPsec ifalli jekk id-daqs taċ-ċavetta jkun inqas minn 16-il karattru meta r-router jiġi aġġornat għall-verżjoni 19.2.

Nota
Is-softwer Cisco Catalyst SD-WAN jappoġġja IKE Verżjoni 2 kif definita fl-RFC 7296. Użu wieħed għall-mini IPsec huwa li jippermetti lill-istanzi ta 'vEdge Cloud router VM li jaħdmu fuq Amazon AWS biex jgħaqqdu l-Amazon virtual private cloud (VPC). Trid tikkonfigura IKE Verżjoni 1 fuq dawn ir-routers. L-apparati Cisco vEdge jappoġġjaw biss VPNs ibbażati fuq ir-rotot f'konfigurazzjoni IPSec minħabba li dawn l-apparati ma jistgħux jiddefinixxu seletturi tat-traffiku fid-dominju tal-encryption.

Ikkonfigura Tunnel IPsec
Biex tikkonfigura interface tal-mina IPsec għal traffiku tat-trasport sikur minn netwerk tas-servizz, inti toħloq interface IPsec loġiku:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Tista 'toħloq il-mina IPsec fil-VPN tat-trasport (VPN 0) u fi kwalunkwe VPN tas-servizz (VPN 1 sa 65530, ħlief għal 512). L-interface IPsec għandha isem fil-format ipsecnumber, fejn in-numru jista 'jkun minn 1 sa 255. Kull interface IPsec għandu jkollha indirizz IPv4. Dan l-indirizz għandu jkun prefiss /30. It-traffiku kollu fil-VPN li jinsab fi ħdan dan il-prefiss IPv4 huwa dirett lejn interface fiżiku f'VPN 0 biex jintbagħat b'mod sigur fuq mina IPsec. Biex tikkonfigura s-sors tal-mina IPsec fuq l-apparat lokali, tista' tispeċifika jew l-indirizz IP ta' l-interface fiżika (fil-kmand tas-sors tal-mina) jew l-isem tal-interface fiżika (fil-kmand tal-interface tas-sors tal-mina). Kun żgur li l-interface fiżika hija kkonfigurata f'VPN 0. Biex tikkonfigura d-destinazzjoni tal-mina IPsec, speċifika l-indirizz IP tal-apparat remot fil-kmand tad-destinazzjoni tal-mina. Il-kombinazzjoni ta' indirizz tas-sors (jew isem ta' interface tas-sors) u indirizz tad-destinazzjoni tiddefinixxi mina IPsec waħda. Mina IPsec waħda biss tista' teżisti li tuża indirizz tas-sors speċifiku (jew isem ta' l-interface) u par ta' indirizzi tad-destinazzjoni.

Ikkonfigura Rotta Statika IPsec

Biex tidderieġi t-traffiku mis-servizz VPN għal mina IPsec fil-VPN tat-trasport (VPN 0), tikkonfigura rotta statika speċifika għall-IPsec f'servizz VPN (VPN għajr VPN 0 jew VPN 512):

  • vEdge (konfigurazzjoni) # vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefiss/tul vpn 0 interface
  • ipsecnumber [ipsecnumber2]

L-ID tal-VPN huwa dak ta' kwalunkwe VPN tas-servizz (VPN 1 sa 65530, ħlief għal 512). prefiss/tul huwa l-indirizz IP jew il-prefiss, f'notazzjoni deċimali b'erba' partijiet bit-tikek, u t-tul tal-prefiss tar-rotta statika speċifika għall-IPsec. L-interface hija l-interface tal-mina IPsec f'VPN 0. Tista 'tikkonfigura interface waħda jew tnejn tal-mina IPsec. Jekk tikkonfigura tnejn, l-ewwel hija l-mina IPsec primarja, u t-tieni hija l-backup. B'żewġ interfaces, il-pakketti kollha jintbagħtu biss lill-mina primarja. Jekk dik il-mina tfalli, il-pakketti kollha mbagħad jintbagħtu lill-mina sekondarja. Jekk il-mina primarja terġa 'lura, it-traffiku kollu jiġi mċaqlaq lura lejn il-mina primarja IPsec.

Ippermetti IKE Verżjoni 1
Meta toħloq mina IPsec fuq router vEdge, IKE Verżjoni 1 hija attivata awtomatikament fuq l-interface tal-mina. Il-proprjetajiet li ġejjin huma wkoll attivati ​​awtomatikament għal IKEv1:

  • Awtentikazzjoni u kriptaġġ — AES-256 encryption avvanzata standard CBC encryption bl-algoritmu tal-kodiċi tal-awtentikazzjoni tal-messaġġ HMAC-SHA1 keyed-hash għall-integrità
  • Numru tal-grupp Diffie-Hellman—16
  • Intervall ta 'ħin ta' rekeying—4 sigħat
  • Mod ta' stabbiliment SA—Main

B'mod awtomatiku, IKEv1 juża l-mod prinċipali IKE biex jistabbilixxi IKE SAs. F'din il-modalità, sitt pakketti ta' negozjati jiġu skambjati biex tiġi stabbilita l-SA. Biex tiskambja biss tliet pakketti ta' negozjar, ippermetti l-mod aggressiv:

Nota
Il-modalità aggressiva IKE b'ċwievet kondiviżi minn qabel għandha tiġi evitata kull fejn ikun possibbli. Inkella għandha tintgħażel ċavetta qawwija pre-kondiviża.

  • vEdge(config)# vpn vpn-id interface ipsec numru ike
  • vEdge(config-ike)# mod aggressiv

B'mod awtomatiku, IKEv1 juża l-grupp Diffie-Hellman 16 fl-iskambju taċ-ċavetta IKE. Dan il-grupp juża l-grupp 4096-bit aktar modulari esponenzjali (MODP) waqt l-iskambju taċ-ċavetta IKE. Tista' tibdel in-numru tal-grupp għal 2 (għall-1024-bit MODP), 14 (2048-bit MODP), jew 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id interface ipsec numru ike
  • vEdge(config-ike)# numru tal-grupp

B'mod awtomatiku, l-iskambju taċ-ċavetta IKE juża kodifikazzjoni CBC standard ta 'encryption avvanzata AES-256 bl-algoritmu tal-kodiċi ta' awtentikazzjoni tal-messaġġ HMAC-SHA1 keyed-hash għall-integrità. Tista' tibdel l-awtentikazzjoni:

  • vEdge(config)# vpn vpn-id interface ipsec numru ike
  • vEdge(config-ike)# cipher-suite suite

Is-suite ta' awtentikazzjoni tista' tkun waħda minn dawn li ġejjin:

  • aes128-cbc-sha1 — AES-128 encryption avvanzata standard CBC encryption bl-algoritmu tal-kodiċi tal-awtentikazzjoni tal-messaġġ HMAC-SHA1 keyed-hash għall-integrità
  • aes128-cbc-sha2 — AES-128 encryption avvanzata standard CBC encryption bl-algoritmu tal-kodiċi tal-awtentikazzjoni tal-messaġġ HMAC-SHA256 keyed-hash għall-integrità
  • aes256-cbc-sha1 — AES-256 encryption avvanzata standard CBC encryption bl-algoritmu tal-kodiċi tal-awtentikazzjoni tal-messaġġ HMAC-SHA1 keyed-hash għall-integrità; dan huwa l-inadempjenza.
  • aes256-cbc-sha2 — AES-256 encryption avvanzata standard CBC encryption bl-algoritmu tal-kodiċi tal-awtentikazzjoni tal-messaġġ HMAC-SHA256 keyed-hash għall-integrità

B'mod awtomatiku, iċ-ċwievet IKE jiġu aggornati kull siegħa (1 sekonda). Tista' tibdel l-intervall ta' rekeying għal valur minn 3600 sekonda sa 30-il jum (14 sekonda). Huwa rakkomandat li l-intervall ta' rekeying ikun mill-inqas siegħa.

  • vEdge (config) # vpn vpn-id interface numru ipsec simili
  • vEdge(config-ike)# rekey sekondi

Biex tisforza l-ġenerazzjoni ta 'ċwievet ġodda għal sessjoni IKE, ħarġet it-talba ipsec kmand ike-rekey.

  • vEdge(config)# vpn vpn-id interfaceipsec numru ike

Għal IKE, tista' wkoll tikkonfigura l-awtentikazzjoni taċ-ċavetta kondiviża minn qabel (PSK):

  • vEdge(config)# vpn vpn-id interface ipsec numru ike
  • vEdge(config-ike)# password tat-tip ta' awtentikazzjoni pre-shared-key pre-shared-secret password password hija l-password biex tuża maċ-ċavetta pre-shared. Jista' jkun ASCII jew string eżadeċimali minn 1 sa 127 karattru twil.

Jekk il-peer IKE remot jeħtieġ ID lokali jew remot, tista’ tikkonfigura dan l-identifikatur:

  • vEdge (konfigurazzjoni) # vpn vpn-id interface numru ipsec ike awtentikazzjoni-tip
  • vEdge(config-authentication-type)# id-id lokali
  • vEdge(config-authentication-type)# id-id mill-bogħod

L-identifikatur jista 'jkun indirizz IP jew kwalunkwe sekwenza ta' test minn 1 sa 63 karattru twil. B'mod awtomatiku, l-ID lokali huwa l-indirizz IP tas-sors tal-mina u l-ID remot huwa l-indirizz IP tad-destinazzjoni tal-mina.

Ippermetti IKE Verżjoni 2
Meta tikkonfigura mina IPsec biex tuża IKE Verżjoni 2, il-proprjetajiet li ġejjin huma wkoll attivati ​​awtomatikament għal IKEv2:

  • Awtentikazzjoni u kriptaġġ — AES-256 encryption avvanzata standard CBC encryption bl-algoritmu tal-kodiċi tal-awtentikazzjoni tal-messaġġ HMAC-SHA1 keyed-hash għall-integrità
  • Numru tal-grupp Diffie-Hellman—16
  • Intervall ta 'ħin ta' rekeying—4 sigħat

B'mod awtomatiku, IKEv2 juża l-grupp Diffie-Hellman 16 fl-iskambju taċ-ċavetta IKE. Dan il-grupp juża l-grupp 4096-bit aktar modulari esponenzjali (MODP) waqt l-iskambju taċ-ċavetta IKE. Tista' tibdel in-numru tal-grupp għal 2 (għall-1024-bit MODP), 14 (2048-bit MODP), jew 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# numru tal-grupp

B'mod awtomatiku, l-iskambju taċ-ċavetta IKE juża kodifikazzjoni CBC standard ta 'encryption avvanzata AES-256 bl-algoritmu tal-kodiċi ta' awtentikazzjoni tal-messaġġ HMAC-SHA1 keyed-hash għall-integrità. Tista' tibdel l-awtentikazzjoni:

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# cipher-suite suite

Is-suite ta' awtentikazzjoni tista' tkun waħda minn dawn li ġejjin:

  • aes128-cbc-sha1 — AES-128 encryption avvanzata standard CBC encryption bl-algoritmu tal-kodiċi tal-awtentikazzjoni tal-messaġġ HMAC-SHA1 keyed-hash għall-integrità
  • aes128-cbc-sha2 — AES-128 encryption avvanzata standard CBC encryption bl-algoritmu tal-kodiċi tal-awtentikazzjoni tal-messaġġ HMAC-SHA256 keyed-hash għall-integrità
  • aes256-cbc-sha1 — AES-256 encryption avvanzata standard CBC encryption bl-algoritmu tal-kodiċi tal-awtentikazzjoni tal-messaġġ HMAC-SHA1 keyed-hash għall-integrità; dan huwa l-inadempjenza.
  • aes256-cbc-sha2 — AES-256 encryption avvanzata standard CBC encryption bl-algoritmu tal-kodiċi tal-awtentikazzjoni tal-messaġġ HMAC-SHA256 keyed-hash għall-integrità

B'mod awtomatiku, iċ-ċwievet IKE jiġu aggornati kull 4 sigħat (14,400 sekonda). Tista' tibdel l-intervall ta' rekeying għal valur minn 30 sekonda sa 14-il jum (1209600 sekonda):

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# rekey sekondi

Biex tisforza l-ġenerazzjoni ta 'ċwievet ġodda għal sessjoni IKE, ħarġet it-talba ipsec kmand ike-rekey. Għal IKE, tista' wkoll tikkonfigura l-awtentikazzjoni taċ-ċavetta kondiviża minn qabel (PSK):

  • vEdge(config)# vpn vpn-id interface ipsecnumber ike
  • vEdge(config-ike)# password tat-tip ta' awtentikazzjoni pre-shared-key pre-shared-secret password password hija l-password biex tuża maċ-ċavetta pre-shared. Jista 'jkun ASCII jew string eżadeċimali, jew tista' tkun ċavetta encrypted AES. Jekk il-peer IKE remot jeħtieġ ID lokali jew remot, tista’ tikkonfigura dan l-identifikatur:
  • vEdge (konfigurazzjoni) # vpn vpn-id interface ipsecnumber ike awtentikazzjoni-tip
  • vEdge(config-authentication-type)# id-id lokali
  • vEdge(config-authentication-type)# id-id mill-bogħod

L-identifikatur jista 'jkun indirizz IP jew kwalunkwe sekwenza ta' test minn 1 sa 64 karattru twil. B'mod awtomatiku, l-ID lokali huwa l-indirizz IP tas-sors tal-mina u l-ID remot huwa l-indirizz IP tad-destinazzjoni tal-mina.

Ikkonfigura l-Parametri tal-Mina IPsec

Tabella 4: Storja tal-Karatteristiċi

Karatteristika Isem Rilaxx Informazzjoni Deskrizzjoni
Kriptografiku Addizzjonali Cisco SD-WAN Rilaxx 20.1.1 Din il-karatteristika żżid appoġġ għal
Appoġġ algoritmiku għall-IPSec   HMAC_SHA256, HMAC_SHA384, u
Mini   HMAC_SHA512 algoritmi għal
    sigurtà mtejba.

B'mod awtomatiku, il-parametri li ġejjin jintużaw fuq il-mina IPsec li ġġorr it-traffiku IKE:

  • Awtentikazzjoni u kriptaġġ — algoritmu AES-256 f'GCM (mod Galois/counter)
  • Intervall ta 'keying mill-ġdid—4 sigħat
  • Tieqa replay—32 pakkett

Tista' tibdel l-encryption fuq il-mina IPsec għall-cipher AES-256 f'CBC (cipher block chaining mode, bl-HMAC juża jew SHA-1 jew SHA-2 awtentikazzjoni ta' messaġġ hash keyed jew għal null b'HMAC billi tuża jew SHA-1 jew Awtentikazzjoni tal-messaġġ SHA-2 keyed-hash, biex ma tikkodifikax il-mina IPsec użata għat-traffiku tal-iskambju taċ-ċavetta IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1-sha256-null-sha256-null | | aes256-null-sha384 | aes256-null-sha512)

B'mod awtomatiku, iċ-ċwievet IKE jiġu aggornati kull 4 sigħat (14,400 sekonda). Tista' tibdel l-intervall ta' rekeying għal valur minn 30 sekonda sa 14-il jum (1209600 sekonda):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# rekey sekondi

Biex tisforza l-ġenerazzjoni ta 'ċwievet ġodda għal mina IPsec, ħarġet it-talba ipsec ipsec-rekey kmand. B'mod awtomatiku, is-segretezza bil-quddiem perfetta (PFS) hija attivata fuq mini IPsec, biex jiġi żgurat li s-sessjonijiet tal-passat ma jiġux affettwati jekk iċ-ċwievet futuri jiġu kompromessi. PFS iġiegħel skambju ġdid ta 'ċavetta Diffie-Hellman, b'mod awtomatiku bl-użu tal-grupp ta' moduli prime Diffie-Hellman 4096-bit. Tista' tibdel l-issettjar tal-PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# issettjar tal-pfs-perfett-forward-secrecy

pfs-setting jista' jkun wieħed minn dawn li ġejjin:

  • grupp-2 — Uża l-grupp Diffie-Hellman prime modulus 1024-bit.
  • grupp-14 — Uża l-grupp Diffie-Hellman prime modulus 2048-bit.
  • grupp-15 — Uża l-grupp Diffie-Hellman prime modulus 3072-bit.
  • grupp-16 — Uża l-grupp Diffie-Hellman prime modulus 4096-bit. Din hija l-inadempjenza.
  • xejn — Itfi PFS.

B'mod awtomatiku, it-tieqa ta' replay IPsec fuq il-mina IPsec hija ta' 512 bytes. Tista' tissettja d-daqs tat-tieqa tal-replay għal 64, 128, 256, 512, 1024, 2048, jew 4096 pakkett:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# numru tat-tieqa tal-replay

Immodifika IKE Dead-Peer Detection

IKE juża mekkaniżmu ta' skoperta ta' peer mejta biex jiddetermina jekk il-konnessjoni ma' peer IKE hijiex funzjonali u aċċessibbli. Biex jimplimenta dan il-mekkaniżmu, IKE jibgħat pakkett Hello lill-pari tiegħu, u l-pari jibgħat rikonoxximent bħala tweġiba. B'mod awtomatiku, IKE jibgħat pakketti Hello kull 10 sekondi, u wara tliet pakketti mhux rikonoxxuti, IKE tiddikjara li l-ġar huwa mejjet u tiċrita l-mina lill-pari. Minn hemm 'il quddiem, IKE perjodikament jibgħat pakkett Hello lill-peer, u jerġa' jistabbilixxi l-mina meta l-peer jerġa' jiġi online. Tista 'tbiddel l-intervall ta' skoperta tal-ħajja għal valur minn 0 sa 65535, u tista 'tbiddel in-numru ta' tentattivi mill-ġdid għal valur minn 0 sa 255.

Nota

Għall-VPNs tat-trasport, l-intervall ta' skoperta tal-ħajja huwa kkonvertit għal sekondi billi tuża l-formula li ġejja: Intervall għal numru ta' tentattiv ta' trażmissjoni mill-ġdid N = intervall * 1.8N-1Għal example, jekk l-intervall huwa ssettjat għal 10 u jerġa 'jipprova għal 5, l-intervall ta' skoperta jiżdied kif ġej:

  • Tentattiv 1: 10 * 1.81-1 = 10 sekondi
  • Tentattiv 2: 10 * 1.82-1 = 18 sekondi
  • Tentattiv 3: 10 * 1.83-1 = 32.4 sekondi
  • Tentattiv 4: 10 * 1.84-1 = 58.32 sekondi
  • Tentattiv 5: 10 * 1.85-1 = 104.976 sekondi

vEdge(config-interface-ipsecnumber)# numru ta' tentattivi mill-ġdid tal-intervall ta' dead-peer-detection

Ikkonfigura Proprjetajiet Oħra tal-Interface

Għall-interfaces tal-mini IPsec, tista' tikkonfigura biss il-proprjetajiet addizzjonali tal-interface li ġejjin:

  • vEdge(config-interface-ipsec)# mtu bytes
  • vEdge(config-interface-ipsec)# tcp-mss-aġġustament bytes

Iddiżattiva Algoritmi Dgħajfin ta' Encryption SSH fuq Cisco SD-WAN Manager

Tabella 5: Tabella tal-Istorja tal-Karatteristiċi

Karatteristika Isem Rilaxx Informazzjoni Karatteristika Deskrizzjoni
Iddiżattiva Algoritmi Dgħajfin ta' Encryption SSH fuq Cisco SD-WAN Manager Cisco vManage Release 20.9.1 Din il-karatteristika tippermettilek li tiddiżattiva algoritmi SSH aktar dgħajfa fuq Cisco SD-WAN Manager li jistgħu ma jikkonformawx ma 'ċerti standards tas-sigurtà tad-dejta.

Informazzjoni dwar id-diżattivazzjoni ta' algoritmi ta' Encryption SSH dgħajfa fuq Cisco SD-WAN Manager
Cisco SD-WAN Manager jipprovdi klijent SSH għall-komunikazzjoni ma 'komponenti fin-netwerk, inklużi kontrolluri u tagħmir tat-tarf. Il-klijent SSH jipprovdi konnessjoni kriptata għal trasferiment ta 'dejta sigur, ibbażata fuq varjetà ta' algoritmi ta 'kodifikazzjoni. Ħafna organizzazzjonijiet jeħtieġu kriptaġġ aktar b'saħħtu minn dak ipprovdut minn SHA-1, AES-128, u AES-192. Minn Cisco vManage Release 20.9.1, tista' tiddiżattiva l-algoritmi ta' kriptaġġ aktar dgħajfa li ġejjin sabiex klijent SSH ma jużax dawn l-algoritmi:

  • SHA-1
  • AES-128
  • AES-192

Qabel ma tiddiżattiva dawn l-algoritmi ta' encryption, kun żgur li l-apparati Cisco vEdge, jekk ikun hemm, fin-netwerk, qed jużaw rilaxx ta' softwer aktar tard minn Cisco SD-WAN Release 18.4.6.

Benefiċċji tad-Diżabilitazzjoni ta' Algoritmi Dgħajfin ta' Encryption SSH fuq Cisco SD-WAN Manager
Id-diżattivazzjoni ta' algoritmi ta' encryption SSH aktar dgħajfa ttejjeb is-sigurtà tal-komunikazzjoni SSH, u tiżgura li l-organizzazzjonijiet li jużaw Cisco Catalyst SD-WAN huma konformi ma' regolamenti ta 'sigurtà stretti.

Iddiżattiva Algoritmi Dgħajfin ta' Encryption SSH fuq Cisco SD-WAN Manager billi tuża CLI

  1. Mill-menu ta' Cisco SD-WAN Manager, agħżel Għodda > SSH Terminal.
  2. Agħżel l-apparat Cisco SD-WAN Manager li fuqu tixtieq tiddiżattiva algoritmi SSH aktar dgħajfa.
  3. Daħħal l-isem tal-utent u l-password biex tidħol fl-apparat.
  4. Daħħal il-mod tas-server SSH.
    • vmanage(config)# sistema
    • vmanage(config-system)# ssh-server
  5. Agħmel waħda minn dawn li ġejjin biex tiddiżattiva algoritmu ta' encryption SSH:
    • Iddiżattiva SHA-1:
  6. immaniġġja(config-ssh-server)# no kex-algo sha1
  7. immaniġġja(config-ssh-server)# kommit
    Jintwera l-messaġġ ta' twissija li ġej: Ġew iġġenerati t-twissijiet li ġejjin: 'sistema ssh-server kex-algo sha1': TWISSIJA: Jekk jogħġbok kun żgur li t-truf kollha tiegħek imexxu l-verżjoni tal-kodiċi > 18.4.6 li tinnegozja aħjar minn SHA1 ma' vManage. Inkella dawk it-truf jistgħu jsiru offline. Ipproċedi? [iva, le] iva
    • Kun żgur li kwalunkwe apparat Cisco vEdge fin-netwerk qed jaħdem Cisco SD-WAN Release 18.4.6 jew aktar tard u daħħal iva.
    • Itfi AES-128 u AES-192:
    • vmanage(config-ssh-server)# ebda cipher aes-128-192
    • vmanage(config-ssh-server)# kommit
      Jintwera l-messaġġ ta' twissija li ġej:
      Ġew iġġenerati t-twissijiet li ġejjin:
      'system ssh-server cipher aes-128-192': TWISSIJA: Jekk jogħġbok kun żgur li t-truf kollha tiegħek imexxu l-verżjoni tal-kodiċi > 18.4.6 li tinnegozja aħjar minn AES-128-192 ma' vManage. Inkella dawk it-truf jistgħu jsiru offline. Ipproċedi? [iva, le] iva
    • Kun żgur li kwalunkwe apparat Cisco vEdge fin-netwerk qed jaħdem Cisco SD-WAN Release 18.4.6 jew aktar tard u daħħal iva.

Ivverifika li l-Algoritmi Dgħajfin ta' Encryption SSH Huma Diżattivati ​​fuq Cisco SD-WAN Manager billi tuża l-CLI

  1. Mill-menu ta' Cisco SD-WAN Manager, agħżel Għodda > SSH Terminal.
  2. Agħżel l-apparat Cisco SD-WAN Manager li tixtieq tivverifika.
  3. Daħħal l-isem tal-utent u l-password biex tidħol fl-apparat.
  4. Mexxi l-kmand li ġej: show running-config system ssh-server
  5. Ikkonferma li l-output juri wieħed jew aktar mill-kmandi li jiddiżattivaw algoritmi ta' encryption aktar dgħajfa:
    • ebda ċifra aes-128-192
    • no kex-algo sha1

Dokumenti / Riżorsi

CISCO SD-WAN Ikkonfigura Parametri tas-Sigurtà [pdfGwida għall-Utent
SD-WAN Ikkonfigura Parametri tas-Sigurtà, SD-WAN, Ikkonfigura Parametri tas-Sigurtà, Parametri tas-Sigurtà

Referenzi

Ħalli kumment

L-indirizz elettroniku tiegħek mhux se jiġi ppubblikat. L-oqsma meħtieġa huma mmarkati *