Inhoud verbergen
1 CISCO SD-WAN Beveiligingsparameters configureren
2 Configureer beveiligingsparameters
3 Configureer de beveiligingsparameters van het besturingsvlak
4 Configureer DTLS in Cisco SD-WAN Manager
5 Configureer de gegevensvlakbeveiligingsparameters
6 Configureer toegestane authenticatietypen
7 Wijzig de timer voor opnieuw instellen
8 Wijzig de grootte van het anti-herhalingsvenster
9 Configureer een IPsec statische route
10 Configureer IPsec-tunnelparameters
11 Wijzig IKE Dead-Peer-detectie
12 Configureer andere interface-eigenschappen
13 Schakel zwakke SSH-coderingsalgoritmen uit op Cisco SD-WAN Manager
14 Documenten / Bronnen
14.1 Referenties

CISCO-LOGO

CISCO SD-WAN Beveiligingsparameters configureren

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Configureer beveiligingsparameters

Opmerking

Om vereenvoudiging en consistentie te bereiken, is de Cisco SD-WAN-oplossing omgedoopt tot Cisco Catalyst SD-WAN. Bovendien zijn vanaf Cisco IOS XE SD-WAN Release 17.12.1a en Cisco Catalyst SD-WAN Release 20.12.1 de volgende componentwijzigingen van toepassing: Cisco vManage naar Cisco Catalyst SD-WAN Manager, Cisco vAnalytics naar Cisco Catalyst SD-WAN Analytics, Cisco vBond naar Cisco Catalyst SD-WAN Validator en Cisco vSmart naar Cisco Catalyst SD-WAN Controller. Zie de nieuwste releaseopmerkingen voor een uitgebreide lijst met alle merknaamwijzigingen van de componenten. Terwijl we overstappen op de nieuwe namen, kunnen er enkele inconsistenties aanwezig zijn in de documentatieset vanwege een gefaseerde aanpak van de updates van de gebruikersinterface van het softwareproduct.

In deze sectie wordt beschreven hoe u beveiligingsparameters kunt wijzigen voor het besturingsvlak en het gegevensvlak in het Cisco Catalyst SD-WAN-overlaynetwerk.

  • Configureer de beveiligingsparameters van het besturingsvlak, aan
  • Configureer gegevensvlakbeveiligingsparameters, aan
  • Configureer voor IKE geschikte IPsec-tunnels, aan
  • Schakel zwakke SSH-versleutelingsalgoritmen uit op Cisco SD-WAN Manager, aan

Configureer de beveiligingsparameters van het besturingsvlak

Standaard gebruikt het besturingsvlak DTLS als het protocol dat privacy biedt op al zijn tunnels. DTLS loopt via UDP. U kunt het beveiligingsprotocol voor het besturingsvlak wijzigen in TLS, dat via TCP loopt. De voornaamste reden om TLS te gebruiken is dat, als je de Cisco SD-WAN Controller als een server beschouwt, firewalls TCP-servers beter beschermen dan UDP-servers. U configureert het control plane-tunnelprotocol op een Cisco SD-WAN-controller: vSmart(config)# security control protocol tls Met deze wijziging worden alle control plane-tunnels tussen de Cisco SD-WAN-controller en de routers en tussen de Cisco SD-WAN-controller en Cisco SD-WAN Manager gebruiken TLS. Controlevlaktunnels naar Cisco Catalyst SD-WAN Validator gebruiken altijd DTLS, omdat deze verbindingen via UDP moeten worden afgehandeld. Wanneer u in een domein met meerdere Cisco SD-WAN-controllers TLS configureert op een van de Cisco SD-WAN-controllers, gebruiken alle controlevlaktunnels van die controller naar de andere controllers TLS. Met andere woorden: TLS heeft altijd voorrang op DTLS. Vanuit het perspectief van de andere Cisco SD-WAN-controllers gebruiken ze TLS echter alleen op de besturingsvlaktunnel naar die ene Cisco SD-WAN-controller, als u er geen TLS op hebt geconfigureerd, en gebruiken ze DTLS-tunnels naar alle andere Cisco SD-WAN-controllers. Cisco SD-WAN-controllers en al hun aangesloten routers. Als u wilt dat alle Cisco SD-WAN-controllers TLS gebruiken, configureert u dit op allemaal. Standaard luistert de Cisco SD-WAN-controller op poort 23456 naar TLS-verzoeken. Om dit te wijzigen: vSmart(config)# security control tls-poortnummer De poort kan een nummer zijn van 1025 tot en met 65535. Om beveiligingsinformatie van het besturingsvlak weer te geven, gebruikt u de opdracht show control Connections op de Cisco SD-WAN-controller. Bijvoorbeeldample: vSmart-2# toont besturingsverbindingen

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Configureer DTLS in Cisco SD-WAN Manager

Als u Cisco SD-WAN Manager configureert om TLS te gebruiken als beveiligingsprotocol op het besturingsvlak, moet u port forwarding inschakelen op uw NAT. Als u DTLS als beveiligingsprotocol voor het besturingsvlak gebruikt, hoeft u niets te doen. Het aantal doorgestuurde poorten is afhankelijk van het aantal vdaemon-processen dat op de Cisco SD-WAN Manager draait. Om informatie weer te geven over deze processen en over het aantal poorten dat wordt doorgestuurd, gebruikt u de opdracht show control summary om aan te geven dat er vier daemon-processen actief zijn:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Om de luisterpoorten te zien, gebruikt u de opdracht show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Uit deze uitvoer blijkt dat de luisterende TCP-poort 23456 is. Als u Cisco SD-WAN Manager achter een NAT gebruikt, moet u de volgende poorten op het NAT-apparaat openen:

  • 23456 (basis – instantie 0-poort)
  • 23456 + 100 (basis + 100)
  • 23456 + 200 (basis + 200)
  • 23456 + 300 (basis + 300)

Houd er rekening mee dat het aantal instances hetzelfde is als het aantal cores dat u hebt toegewezen voor de Cisco SD-WAN Manager, met een maximum van 8.

Configureer beveiligingsparameters met behulp van de sjabloon voor beveiligingsfuncties

Gebruik de beveiligingsfunctiesjabloon voor alle Cisco vEdge-apparaten. Gebruik deze sjabloon op de edge-routers en op de Cisco SD-WAN Validator om IPsec te configureren voor datavlakbeveiliging. Gebruik op Cisco SD-WAN Manager en Cisco SD-WAN Controller de beveiligingsfunctiesjabloon om DTLS of TLS te configureren voor beveiliging op het besturingsvlak.

Configureer beveiligingsparameters

  1. Kies in het Cisco SD-WAN Manager-menu Configuratie > Sjablonen.
  2. Klik op Functiesjablonen en klik vervolgens op Sjabloon toevoegen.
    Opmerking In Cisco vManage Release 20.7.1 en eerdere releases worden Functiesjablonen Functie genoemd.
  3. Kies een apparaat uit de lijst Apparaten in het linkerdeelvenster. De sjablonen die van toepassing zijn op het geselecteerde apparaat verschijnen in het rechterdeelvenster.
  4. Klik op Beveiliging om de sjabloon te openen.
  5. Voer in het veld Sjabloonnaam een ​​naam in voor de sjabloon. De naam kan maximaal 128 tekens lang zijn en mag uitsluitend alfanumerieke tekens bevatten.
  6. Voer in het veld Sjabloonbeschrijving een beschrijving van de sjabloon in. De beschrijving kan maximaal 2048 tekens lang zijn en mag uitsluitend alfanumerieke tekens bevatten.

Wanneer u voor het eerst een featuresjabloon opent, wordt voor elke parameter die een standaardwaarde heeft, het bereik ingesteld op Standaard (aangegeven door een vinkje) en wordt de standaardinstelling of -waarde weergegeven. Om de standaard te wijzigen of een waarde in te voeren, klikt u op het vervolgkeuzemenu voor het bereik links van het parameterveld en kiest u een van de volgende opties:

Tabel 1:

Parameter Domein Omschrijving van het bereik
Apparaatspecifiek (aangegeven door een hostpictogram) Gebruik een apparaatspecifieke waarde voor de parameter. Voor apparaatspecifieke parameters kunt u geen waarde invoeren in de featuresjabloon. U voert de waarde in wanneer u een Viptela-apparaat aan een apparaatsjabloon koppelt.

Wanneer u op Apparaatspecifiek klikt, wordt het vak Enter Key geopend. In dit vak wordt een sleutel weergegeven. Dit is een unieke tekenreeks die de parameter in een CSV identificeert file die jij creëert. Dit file is een Excel-spreadsheet dat voor elke sleutel één kolom bevat. De koprij bevat de sleutelnamen (één sleutel per kolom), en elke rij daarna komt overeen met een apparaat en definieert de waarden van de sleutels voor dat apparaat. U uploadt de CSV file wanneer u een Viptela-apparaat aan een apparaatsjabloon koppelt. Zie Een sjabloonvariabelenspreadsheet maken voor meer informatie.

Om de standaardsleutel te wijzigen, typt u een nieuwe tekenreeks en verplaatst u de cursor uit het vak Enter Key.

ExampBestanden met apparaatspecifieke parameters zijn het IP-adres van het systeem, de hostnaam, de GPS-locatie en de site-ID.
Parameter Domein Omschrijving van het bereik
Globaal (aangegeven door een wereldbolpictogram) Voer een waarde in voor de parameter en pas die waarde toe op alle apparaten.

ExampEnkele parameters die u globaal op een groep apparaten kunt toepassen, zijn DNS-server, syslog-server en interface-MTU's.

Configureer Control Plane-beveiliging

Opmerking
Het gedeelte Control Plane Security configureren is alleen van toepassing op de Cisco SD-WAN Manager en Cisco SD-WAN Controller. Als u het control plane-verbindingsprotocol op een Cisco SD-WAN Manager-instantie of een Cisco SD-WAN-controller wilt configureren, kiest u het gebied Basisconfiguratie en configureer de volgende parameters:

Tabel 2:

Parameter Naam Beschrijving
Protocol Kies het protocol dat u wilt gebruiken voor besturingsvlakverbindingen met een Cisco SD-WAN-controller:

• DTLS (Datagram Transportlaagbeveiliging). Dit is de standaardinstelling.

• TLS (Transportlaagbeveiliging)
Beheer TLS-poort Als u TLS hebt geselecteerd, configureert u het te gebruiken poortnummer:Bereik: 1025 tot 65535Standaard: 23456

Klik op Opslaan

Configureer Data Plane-beveiliging
Om de beveiliging van het datavlak op een Cisco SD-WAN Validator of een Cisco vEdge-router te configureren, kiest u de tabbladen Basisconfiguratie en Verificatietype en configureert u de volgende parameters:

Tabel 3:

Parameter Naam Beschrijving
Rekey-tijd Geef op hoe vaak een Cisco vEdge-router de AES-sleutel wijzigt die wordt gebruikt op zijn beveiligde DTLS-verbinding met de Cisco SD-WAN-controller. Als OMP sierlijk opnieuw opstarten is ingeschakeld, moet de tijd voor het opnieuw sleutelen minimaal tweemaal de waarde zijn van de OMP sierlijk opnieuw opstarten-timer.Bereik: 10 tot 1209600 seconden (14 dagen)Standaard: 86400 seconden (24 uur)
Herhalingsvenster Geef de grootte van het glijdende afspeelvenster op.

Waarden: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pakkettenStandaard: 512 pakketten
IPsec

paarsgewijze sleuteling

 Dit is standaard uitgeschakeld. Klik On om het aan te zetten.
Parameter Naam Beschrijving
Authenticatietype Selecteer de authenticatietypen uit de Authenticatie Lijsten klik op de pijl die naar rechts wijst om de verificatietypen te verplaatsen naar de Geselecteerde lijst kolom.

Authenticatietypen ondersteund vanaf Cisco SD-WAN Release 20.6.1:

•  vooral: Schakelt ESP-versleuteling (Encapsulated Security Payload) en integriteitscontrole op de ESP-header in.

•  ip-udp-esp: Schakelt ESP-codering in. Naast de integriteitscontroles op de ESP-header en payload omvatten de controles ook de buitenste IP- en UDP-headers.

•  ip-udp-esp-geen-id: Negeert het ID-veld in de IP-header, zodat Cisco Catalyst SD-WAN kan werken in combinatie met niet-Cisco-apparaten.

•  geen: schakelt integriteitscontrole uit op IPSec-pakketten. Wij raden u af deze optie te gebruiken.

 

Verificatietypen die worden ondersteund in Cisco SD-WAN Release 20.5.1 en eerder:

•  ah-geen-id: Schakel een verbeterde versie van AH-SHA1 HMAC en ESP HMAC-SHA1 in die het ID-veld in de buitenste IP-header van het pakket negeert.

•  ah-sha1-hmac: Schakel AH-SHA1 HMAC en ESP HMAC-SHA1 in.

•  geen: Selecteer geen authenticatie.

•  sha1-hmac: Schakel ESP HMAC-SHA1 in.

 

Opmerking              Voor een edge-apparaat dat draait op Cisco SD-WAN versie 20.5.1 of eerder, hebt u mogelijk verificatietypen geconfigureerd met behulp van een Beveiliging sjabloon. Wanneer u het apparaat upgradet naar Cisco SD-WAN versie 20.6.1 of hoger, update dan de geselecteerde verificatietypen in de Beveiliging sjabloon naar de authenticatietypen die worden ondersteund door Cisco SD-WAN Release 20.6.1. Ga als volgt te werk om de verificatietypen bij te werken:

1.      Kies in het Cisco SD-WAN Manager-menu Configuratie >

Sjablonen.

2.      Klik Functiesjablonen.

3.      Vind de Beveiliging sjabloon om bij te werken en klik op … en klik Bewerking.

4.      Klik Update. Wijzig geen enkele configuratie.

Cisco SD-WAN Manager werkt de Beveiliging sjabloon om de ondersteunde authenticatietypen weer te geven.

Klik op Opslaan.

Configureer de gegevensvlakbeveiligingsparameters

Op datavlak is IPsec standaard ingeschakeld op alle routers, en standaard gebruiken IPsec-tunnelverbindingen een verbeterde versie van het Encapsulated Security Payload (ESP)-protocol voor authenticatie op IPsec-tunnels. Op de routers kunt u het type authenticatie, de IPsec-hersleuteltimer en de grootte van het IPsec-anti-replay-venster wijzigen.

Configureer toegestane authenticatietypen

Verificatietypen in Cisco SD-WAN versie 20.6.1 en hoger
Vanaf Cisco SD-WAN versie 20.6.1 worden de volgende integriteitstypen ondersteund:

  • esp: Met deze optie wordt ESP-versleuteling (Encapsulated Security Payload) en integriteitscontrole op de ESP-header ingeschakeld.
  • ip-udp-esp: Deze optie schakelt ESP-codering in. Naast de integriteitscontroles op de ESP-header en de payload omvatten de controles ook de buitenste IP- en UDP-headers.
  • ip-udp-esp-no-id: Deze optie is vergelijkbaar met ip-udp-esp, maar het ID-veld van de buitenste IP-header wordt genegeerd. Configureer deze optie in de lijst met integriteitstypen om ervoor te zorgen dat de Cisco Catalyst SD-WAN-software het ID-veld in de IP-header negeert, zodat de Cisco Catalyst SD-WAN kan werken in combinatie met niet-Cisco-apparaten.
  • geen: Deze optie schakelt de integriteitscontrole uit op IPSec-pakketten. Wij raden u af deze optie te gebruiken.

Standaard gebruiken IPsec-tunnelverbindingen een verbeterde versie van het Encapsulated Security Payload (ESP)-protocol voor authenticatie. Om de onderhandelde interity-typen te wijzigen of om de integriteitscontrole uit te schakelen, gebruikt u de volgende opdracht: integriteitstype { none | ip-udp-esp | ip-udp-esp-geen-id | vooral }

Verificatietypen vóór Cisco SD-WAN-release 20.6.1
Standaard gebruiken IPsec-tunnelverbindingen een verbeterde versie van het Encapsulated Security Payload (ESP)-protocol voor authenticatie. Om de onderhandelde authenticatietypen te wijzigen of om authenticatie uit te schakelen, gebruikt u de volgende opdracht: Device(config)# security ipsec authenticatietype (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Standaard is IPsec tunnelverbindingen maken gebruik van AES-GCM-256, dat zowel codering als authenticatie biedt. Configureer elk verificatietype met een afzonderlijk beveiligings-ipsec-verificatietype-opdracht. De opdrachtopties wijzen op de volgende verificatietypen, die worden weergegeven in volgorde van meest sterk naar minst sterk:

Opmerking
De sha1 in de configuratieopties wordt om historische redenen gebruikt. De authenticatieopties geven aan hoeveel van de pakketintegriteitscontrole wordt uitgevoerd. Ze specificeren niet het algoritme dat de integriteit controleert. Met uitzondering van de versleuteling van multicast-verkeer maken de authenticatie-algoritmen die door Cisco Catalyst SD WAN worden ondersteund geen gebruik van SHA1. In Cisco SD-WAN versie 20.1.x en hoger gebruiken zowel unicast als multicast echter geen SHA1.

  • ah-sha1-hmac maakt codering en inkapseling mogelijk met behulp van ESP. Naast de integriteitscontroles op de ESP-header en payload omvatten de controles echter ook de buitenste IP- en UDP-headers. Daarom ondersteunt deze optie een integriteitscontrole van het pakket, vergelijkbaar met het Authentication Header (AH)-protocol. Alle integriteit en encryptie wordt uitgevoerd met behulp van AES-256-GCM.
  • ah-no-id schakelt een modus in die vergelijkbaar is met ah-sha1-hmac, maar het ID-veld van de buitenste IP-header wordt genegeerd. Deze optie is geschikt voor bepaalde niet-Cisco Catalyst SD-WAN-apparaten, waaronder de Apple AirPort Express NAT, die een bug hebben waardoor het ID-veld in de IP-header, een niet-muteerbaar veld, wordt gewijzigd. Configureer de optie ah-no-id in de lijst met authenticatietypen om ervoor te zorgen dat de Cisco Catalyst SD-WAN AH-software het ID-veld in de IP-header negeert, zodat de Cisco Catalyst SD-WAN-software in combinatie met deze apparaten kan werken.
  • sha1-hmac maakt ESP-codering en integriteitscontrole mogelijk.
  • geen wijst op geen authenticatie. Deze optie mag alleen worden gebruikt als deze nodig is voor tijdelijke foutopsporing. U kunt deze optie ook kiezen in situaties waarin datavlakverificatie en -integriteit geen probleem zijn. Cisco raadt het gebruik van deze optie voor productienetwerken af.

Zie Data Plane Integrity voor informatie over welke datapakketvelden worden beïnvloed door deze verificatietypen. Cisco IOS XE Catalyst SD-WAN-apparaten en Cisco vEdge-apparaten adverteren hun geconfigureerde authenticatietypen in hun TLOC-eigenschappen. De twee routers aan weerszijden van een IPsec-tunnelverbinding onderhandelen over de authenticatie die moet worden gebruikt op de verbinding tussen hen, waarbij gebruik wordt gemaakt van het sterkste authenticatietype dat op beide routers is geconfigureerd. Bijvoorbeeldample: als één router de typen ah-sha1-hmac en ah-no-id adverteert, en een tweede router het type ah-no-id adverteert, onderhandelen de twee routers over het gebruik van ah-no-id op de IPsec-tunnelverbinding tussen hen. Als er geen gemeenschappelijke verificatietypen zijn geconfigureerd op de twee peers, wordt er geen IPsec-tunnel tussen beide tot stand gebracht. Het versleutelingsalgoritme op IPsec-tunnelverbindingen is afhankelijk van het type verkeer:

  • Voor unicast-verkeer is het versleutelingsalgoritme AES-256-GCM.
  • Voor multicastverkeer:
  • Cisco SD-WAN versie 20.1.x en hoger – het coderingsalgoritme is AES-256-GCM
  • Eerdere releases – het coderingsalgoritme is AES-256-CBC met SHA1-HMAC.

Wanneer het IPsec-authenticatietype wordt gewijzigd, wordt de AES-sleutel voor het gegevenspad gewijzigd.

Wijzig de timer voor opnieuw instellen

Voordat Cisco IOS XE Catalyst SD-WAN-apparaten en Cisco vEdge-apparaten dataverkeer kunnen uitwisselen, zetten ze een veilig, geverifieerd communicatiekanaal tussen hen op. De routers gebruiken IPSec-tunnels ertussen als kanaal, en de AES-256-codering om codering uit te voeren. Elke router genereert periodiek een nieuwe AES-sleutel voor zijn datapad. Standaard is een sleutel 86400 seconden (24 uur) geldig en het timerbereik loopt van 10 seconden tot en met 1209600 seconden (14 dagen). Om de waarde van de timer voor opnieuw sleutelen te wijzigen: Device(config)# security ipsec rekey seconden De configuratie ziet er als volgt uit:

  • beveiliging ipsec rekey seconden!

Als u direct nieuwe IPsec-sleutels wilt genereren, kunt u dit doen zonder de configuratie van de router te wijzigen. Om dit te doen, geeft u de opdracht request security ipsecrekey op de aangetaste router. Bijvoorbeeldample laat de volgende uitvoer zien dat de lokale SA een Security Parameter Index (SPI) van 256 heeft:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Aan elke SPI is een unieke sleutel gekoppeld. Als deze sleutel is aangetast, gebruikt u de opdracht request security ipsec-rekey om onmiddellijk een nieuwe sleutel te genereren. Met deze opdracht wordt de SPI verhoogd. Bij onze example, de SPI verandert in 257 en de bijbehorende sleutel wordt nu gebruikt:

  • Apparaat# verzoek om beveiliging ipsecrekey
  • Apparaat# laat ipsec local-sa zien

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Nadat de nieuwe sleutel is gegenereerd, stuurt de router deze onmiddellijk naar de Cisco SD-WAN-controllers met behulp van DTLS of TLS. De Cisco SD-WAN-controllers sturen de sleutel naar de peer-routers. De routers beginnen het te gebruiken zodra ze het ontvangen. Houd er rekening mee dat de sleutel die is gekoppeld aan de oude SPI (256) nog een korte tijd zal worden gebruikt totdat er een time-out optreedt. Om het gebruik van de oude sleutel onmiddellijk te stoppen, geeft u tweemaal snel achter elkaar de opdracht request security ipsec-rekey op. Deze reeks opdrachten verwijdert zowel SPI 256 als 257 en stelt de SPI in op 258. De router gebruikt vervolgens de bijbehorende sleutel van SPI 258. Houd er echter rekening mee dat sommige pakketten gedurende een korte periode worden verwijderd totdat alle externe routers leren de nieuwe sleutel.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Wijzig de grootte van het anti-herhalingsvenster

IPsec-authenticatie biedt bescherming tegen opnieuw afspelen door een uniek volgnummer toe te wijzen aan elk pakket in een datastroom. Deze volgnummering beschermt tegen het dupliceren van datapakketten door een aanvaller. Met anti-replay-beveiliging wijst de afzender monotoon stijgende volgnummers toe, en de bestemming controleert deze volgnummers om duplicaten te detecteren. Omdat pakketten vaak niet in de juiste volgorde aankomen, hanteert de bestemming een glijdend venster met volgnummers die worden geaccepteerd.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Pakketten met volgnummers die links van het schuifvensterbereik vallen, worden als oud of dubbel beschouwd en de bestemming laat ze vallen. De bestemming volgt het hoogste volgnummer dat het heeft ontvangen en past het schuifvenster aan wanneer het een pakket met een hogere waarde ontvangt.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Standaard is het schuifvenster ingesteld op 512 pakketten. Het kan worden ingesteld op elke waarde tussen 64 en 4096 die een macht van 2 is (dat wil zeggen 64, 128, 256, 512, 1024, 2048 of 4096). Om de grootte van het anti-replay-venster te wijzigen, gebruikt u de opdracht replay-window, waarbij u de grootte van het venster specificeert:

Device(config)# beveiliging ipsec herhalingsvensternummer

De configuratie ziet er als volgt uit:
beveiliging ipsec herhalingsvensternummer ! !

Om te helpen met QoS worden afzonderlijke afspeelvensters onderhouden voor elk van de eerste acht verkeerskanalen. De geconfigureerde weergavevenstergrootte wordt voor elk kanaal door acht gedeeld. Als QoS op een router is geconfigureerd, kan die router te maken krijgen met een groter aantal pakketdroppings dan verwacht als gevolg van het IPsec anti-replay-mechanisme, en veel van de pakketten die worden verwijderd, zijn legitieme pakketten. Dit gebeurt omdat QoS pakketten opnieuw ordent, waardoor pakketten met een hogere prioriteit een voorkeursbehandeling krijgen en pakketten met een lagere prioriteit worden vertraagd. Om deze situatie te minimaliseren of te voorkomen, kunt u het volgende doen:

  • Vergroot de grootte van het anti-herhalingsvenster.
  • Leid verkeer naar de eerste acht verkeerskanalen om ervoor te zorgen dat het verkeer binnen een kanaal niet opnieuw wordt geordend.

Configureer voor IKE geschikte IPsec-tunnels
Om verkeer veilig over te dragen van het overlay-netwerk naar een servicenetwerk, kunt u IPsec-tunnels configureren die het Internet Key Exchange (IKE)-protocol uitvoeren. Voor IKE geschikte IPsec-tunnels bieden authenticatie en encryptie om veilig pakkettransport te garanderen. U maakt een voor IKE geschikte IPsec-tunnel door een IPsec-interface te configureren. IPsec-interfaces zijn logische interfaces en u configureert ze net als elke andere fysieke interface. U configureert IKE-protocolparameters op de IPsec-interface, en u kunt andere interface-eigenschappen configureren.

Opmerking Cisco raadt aan om IKE versie 2 te gebruiken. Vanaf de release van Cisco SD-WAN 19.2.x moet de vooraf gedeelde sleutel minimaal 16 bytes lang zijn. Het opzetten van de IPsec-tunnel mislukt als de sleutelgrootte kleiner is dan 16 tekens wanneer de router wordt geüpgraded naar versie 19.2.

Opmerking
De Cisco Catalyst SD-WAN-software ondersteunt IKE versie 2 zoals gedefinieerd in RFC 7296. Eén gebruik voor IPsec-tunnels is om vEdge Cloud-router VM-instanties die op Amazon AWS draaien, verbinding te laten maken met de Amazon Virtual Private Cloud (VPC). U moet IKE versie 1 op deze routers configureren. Cisco vEdge-apparaten ondersteunen alleen routegebaseerde VPN's in een IPSec-configuratie omdat deze apparaten geen verkeerskiezers in het versleutelingsdomein kunnen definiëren.

Configureer een IPsec-tunnel
Om een ​​IPsec-tunnelinterface te configureren voor beveiligd transportverkeer vanaf een servicenetwerk, maakt u een logische IPsec-interface:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

U kunt de IPsec-tunnel maken in de transport-VPN (VPN 0) en in elke service-VPN (VPN 1 tot en met 65530, behalve 512). De IPsec-interface heeft een naam in de notatie ipsecnumber, waarbij het getal kan variëren van 1 tot en met 255. Elke IPsec-interface moet een IPv4-adres hebben. Dit adres moet een voorvoegsel /30 zijn. Al het verkeer in de VPN dat zich binnen dit IPv4-voorvoegsel bevindt, wordt naar een fysieke interface in VPN 0 geleid om veilig via een IPsec-tunnel te worden verzonden. Om de bron van de IPsec-tunnel op het lokale apparaat te configureren, kunt u het IP-adres van de fysieke interface (in de opdracht tunnelbron) of de naam van de fysieke interface (in de opdracht tunnelbroninterface). Zorg ervoor dat de fysieke interface is geconfigureerd in VPN 0. Om de bestemming van de IPsec-tunnel te configureren, geeft u het IP-adres van het externe apparaat op in de tunnelbestemmingsopdracht. De combinatie van een bronadres (of broninterfacenaam) en een bestemmingsadres definieert een enkele IPsec-tunnel. Er kan slechts één IPsec-tunnel bestaan ​​die een specifiek bronadres (of interfacenaam) en bestemmingsadrespaar gebruikt.

Configureer een IPsec statische route

Om verkeer van de service-VPN naar een IPsec-tunnel in de transport-VPN (VPN 0) te leiden, configureert u een IPsec-specifieke statische route in een service-VPN (een andere VPN dan VPN 0 of VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route voorvoegsel/lengte vpn 0-interface
  • ipsecnummer [ipsecnummer2]

De VPN-ID is die van elke service-VPN (VPN 1 tot en met 65530, behalve 512). voorvoegsel/lengte is het IP-adres of voorvoegsel, in decimale vierdelige notatie, en de voorvoegsellengte van de IPsec-specifieke statische route. De interface is de IPsec-tunnelinterface in VPN 0. U kunt een of twee IPsec-tunnelinterfaces configureren. Als u er twee configureert, is de eerste de primaire IPsec-tunnel en de tweede de back-up. Met twee interfaces worden alle pakketten alleen naar de primaire tunnel verzonden. Als die tunnel uitvalt, worden alle pakketten naar de secundaire tunnel gestuurd. Als de primaire tunnel weer actief wordt, wordt al het verkeer teruggeleid naar de primaire IPsec-tunnel.

Schakel IKE-versie 1 in
Wanneer u een IPsec-tunnel op een vEdge-router maakt, is IKE versie 1 standaard ingeschakeld op de tunnelinterface. De volgende eigenschappen zijn ook standaard ingeschakeld voor IKEv1:

  • Authenticatie en encryptie: AES-256 geavanceerde encryptiestandaard CBC-encryptie met het HMAC-SHA1 keyed-hash berichtverificatiecode-algoritme voor integriteit
  • Diffie-Hellman-groepsnummer: 16
  • Tijdsinterval voor opnieuw instellen: 4 uur
  • SA-vestigingsmodus: Hoofd

Standaard gebruikt IKEv1 de IKE-hoofdmodus om IKE SA's tot stand te brengen. In deze modus worden zes onderhandelingspakketten uitgewisseld om de SA tot stand te brengen. Om slechts drie onderhandelingspakketten uit te wisselen, schakelt u de agressieve modus in:

Opmerking
De agressieve IKE-modus met vooraf gedeelde sleutels moet waar mogelijk worden vermeden. Anders moet een sterke, vooraf gedeelde sleutel worden gekozen.

  • vEdge(config)# vpn vpn-id interface ipsec nummer ike
  • vEdge(config-ike)# modus agressief

Standaard gebruikt IKEv1 Diffie-Hellman-groep 16 bij de IKE-sleuteluitwisseling. Deze groep gebruikt de 4096-bit meer modulaire exponentiële (MODP) groep tijdens IKE-sleuteluitwisseling. U kunt het groepsnummer wijzigen in 2 (voor 1024-bit MODP), 14 (2048-bit MODP) of 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id interface ipsec nummer ike
  • vEdge(config-ike)# groepsnummer

Standaard maakt de IKE-sleuteluitwisseling gebruik van AES-256 geavanceerde coderingsstandaard CBC-codering met het HMAC-SHA1 keyed-hash berichtauthenticatiecode-algoritme voor integriteit. U kunt de authenticatie wijzigen:

  • vEdge(config)# vpn vpn-id interface ipsec nummer ike
  • vEdge(config-ike)# cipher-suite suite

De authenticatiesuite kan een van de volgende zijn:

  • aes128-cbc-sha1 – AES-128 geavanceerde encryptiestandaard CBC-encryptie met het HMAC-SHA1 keyed-hash berichtauthenticatiecode-algoritme voor integriteit
  • aes128-cbc-sha2 – AES-128 geavanceerde encryptiestandaard CBC-encryptie met het HMAC-SHA256 keyed-hash berichtauthenticatiecode-algoritme voor integriteit
  • aes256-cbc-sha1—AES-256 geavanceerde encryptiestandaard CBC-encryptie met het HMAC-SHA1 keyed-hash berichtauthenticatiecode-algoritme voor integriteit; dit is de standaardinstelling.
  • aes256-cbc-sha2 – AES-256 geavanceerde encryptiestandaard CBC-encryptie met het HMAC-SHA256 keyed-hash berichtauthenticatiecode-algoritme voor integriteit

Standaard worden IKE-sleutels elke 1 uur (3600 seconden) vernieuwd. U kunt het interval voor het opnieuw sleutelen wijzigen in een waarde van 30 seconden tot en met 14 dagen (1209600 seconden). Het wordt aanbevolen dat het hersleutelinterval minimaal 1 uur bedraagt.

  • vEdge(config)# vpn vpn-id interface ipsec-nummer zoals
  • vEdge(config-ike)# seconden opnieuw intoetsen

Om het genereren van nieuwe sleutels voor een IKE-sessie te forceren, geeft u de opdracht request ipsec ike-rekey op.

  • vEdge(config)# vpn vpn-id interfaceipsec nummer ike

Voor IKE kunt u ook PSK-verificatie (preshared key) configureren:

  • vEdge(config)# vpn vpn-id interface ipsec nummer ike
  • vEdge(config-ike)# authenticatietype vooraf gedeelde sleutel vooraf gedeeld geheim wachtwoord wachtwoord is het wachtwoord dat moet worden gebruikt met de vooraf gedeelde sleutel. Het kan een ASCII- of een hexadecimale tekenreeks zijn met een lengte van 1 tot en met 127 tekens.

Als de externe IKE-peer een lokale of externe ID vereist, kunt u deze ID configureren:

  • vEdge(config)# vpn vpn-id interface ipsec-nummer ike authenticatietype
  • vEdge(config-authenticatietype)# lokale ID-id
  • vEdge(config-authentication-type)# ID van externe ID

De identificatie kan een IP-adres zijn of een willekeurige tekstreeks van 1 tot 63 tekens lang. Standaard is de lokale ID het bron-IP-adres van de tunnel en de externe ID het doel-IP-adres van de tunnel.

Schakel IKE-versie 2 in
Wanneer u een IPsec-tunnel configureert om IKE Versie 2 te gebruiken, zijn de volgende eigenschappen ook standaard ingeschakeld voor IKEv2:

  • Authenticatie en encryptie: AES-256 geavanceerde encryptiestandaard CBC-encryptie met het HMAC-SHA1 keyed-hash berichtverificatiecode-algoritme voor integriteit
  • Diffie-Hellman-groepsnummer: 16
  • Tijdsinterval voor opnieuw instellen: 4 uur

Standaard gebruikt IKEv2 Diffie-Hellman-groep 16 bij de IKE-sleuteluitwisseling. Deze groep gebruikt de 4096-bit meer modulaire exponentiële (MODP) groep tijdens IKE-sleuteluitwisseling. U kunt het groepsnummer wijzigen in 2 (voor 1024-bit MODP), 14 (2048-bit MODP) of 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id interface ipsecnummer ike
  • vEdge(config-ike)# groepsnummer

Standaard maakt de IKE-sleuteluitwisseling gebruik van AES-256 geavanceerde coderingsstandaard CBC-codering met het HMAC-SHA1 keyed-hash berichtauthenticatiecode-algoritme voor integriteit. U kunt de authenticatie wijzigen:

  • vEdge(config)# vpn vpn-id interface ipsecnummer ike
  • vEdge(config-ike)# cipher-suite suite

De authenticatiesuite kan een van de volgende zijn:

  • aes128-cbc-sha1 – AES-128 geavanceerde encryptiestandaard CBC-encryptie met het HMAC-SHA1 keyed-hash berichtauthenticatiecode-algoritme voor integriteit
  • aes128-cbc-sha2 – AES-128 geavanceerde encryptiestandaard CBC-encryptie met het HMAC-SHA256 keyed-hash berichtauthenticatiecode-algoritme voor integriteit
  • aes256-cbc-sha1—AES-256 geavanceerde encryptiestandaard CBC-encryptie met het HMAC-SHA1 keyed-hash berichtauthenticatiecode-algoritme voor integriteit; dit is de standaardinstelling.
  • aes256-cbc-sha2 – AES-256 geavanceerde encryptiestandaard CBC-encryptie met het HMAC-SHA256 keyed-hash berichtauthenticatiecode-algoritme voor integriteit

Standaard worden IKE-sleutels elke 4 uur (14,400 seconden) vernieuwd. U kunt het hersleutelingsinterval wijzigen in een waarde van 30 seconden tot en met 14 dagen (1209600 seconden):

  • vEdge(config)# vpn vpn-id interface ipsecnummer ike
  • vEdge(config-ike)# seconden opnieuw intoetsen

Om het genereren van nieuwe sleutels voor een IKE-sessie te forceren, geeft u de opdracht request ipsec ike-rekey op. Voor IKE kunt u ook PSK-verificatie (preshared key) configureren:

  • vEdge(config)# vpn vpn-id interface ipsecnummer ike
  • vEdge(config-ike)# authenticatietype vooraf gedeelde sleutel vooraf gedeeld geheim wachtwoord wachtwoord is het wachtwoord dat moet worden gebruikt met de vooraf gedeelde sleutel. Het kan een ASCII- of een hexadecimale tekenreeks zijn, of het kan een AES-gecodeerde sleutel zijn. Als de externe IKE-peer een lokale of externe ID vereist, kunt u deze ID configureren:
  • vEdge(config)# vpn vpn-id interface ipsecnummer ike authenticatietype
  • vEdge(config-authenticatietype)# lokale ID-id
  • vEdge(config-authentication-type)# ID van externe ID

De identificatie kan een IP-adres zijn of een willekeurige tekstreeks van 1 tot 64 tekens lang. Standaard is de lokale ID het bron-IP-adres van de tunnel en de externe ID het doel-IP-adres van de tunnel.

Configureer IPsec-tunnelparameters

Tabel 4: Functiegeschiedenis

Functie Naam Vrijgave-informatie Beschrijving
Extra cryptografie Cisco SD-WAN-versie 20.1.1 Deze functie voegt ondersteuning toe voor
Algoritmische ondersteuning voor IPSec   HMAC_SHA256, HMAC_SHA384 en
Tunnelen   HMAC_SHA512-algoritmen voor
    verbeterde beveiliging.

Standaard worden de volgende parameters gebruikt op de IPsec-tunnel die IKE-verkeer vervoert:

  • Authenticatie en encryptie: AES-256-algoritme in GCM (Galois/counter-modus)
  • Interval voor opnieuw instellen: 4 uur
  • Herhalingsvenster: 32 pakketten

U kunt de codering op de IPsec-tunnel wijzigen in de AES-256-codering in CBC (cipher block chaining-modus, waarbij HMAC SHA-1 of SHA-2 keyed-hash berichtauthenticatie gebruikt, of naar null met HMAC met behulp van SHA-1 of SHA-2 keyed-hash-berichtverificatie, om de IPsec-tunnel die wordt gebruikt voor IKE-sleuteluitwisselingsverkeer niet te coderen:

  • vEdge(config-interface-ipsecnummer)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 | aes256-nul-sha384 |.

Standaard worden IKE-sleutels elke 4 uur (14,400 seconden) vernieuwd. U kunt het hersleutelingsinterval wijzigen in een waarde van 30 seconden tot en met 14 dagen (1209600 seconden):

  • vEdge(config-interface-ipsecnummer)# ipsec
  • vEdge(config-ipsec)# seconden opnieuw intoetsen

Om het genereren van nieuwe sleutels voor een IPsec-tunnel te forceren, geeft u de opdracht request ipsec ipsec-rekey op. Standaard is Perfect Forward Secrecy (PFS) ingeschakeld op IPsec-tunnels, om ervoor te zorgen dat eerdere sessies niet worden beïnvloed als toekomstige sleutels in gevaar komen. PFS dwingt een nieuwe Diffie-Hellman-sleuteluitwisseling af, standaard met behulp van de 4096-bit Diffie-Hellman prime-modulegroep. U kunt de PFS-instelling wijzigen:

  • vEdge(config-interface-ipsecnummer)# ipsec
  • vEdge(config-ipsec)# perfect-forward-geheimhouding pfs-instelling

pfs-instelling kan een van de volgende zijn:

  • groep-2: gebruik de 1024-bit Diffie-Hellman-prime-modulusgroep.
  • groep-14: gebruik de 2048-bit Diffie-Hellman-prime-modulusgroep.
  • groep-15: gebruik de 3072-bit Diffie-Hellman-prime-modulusgroep.
  • groep-16: gebruik de 4096-bit Diffie-Hellman-prime-modulusgroep. Dit is de standaardinstelling.
  • geen: schakel PFS uit.

Standaard is het IPsec-afspeelvenster op de IPsec-tunnel 512 bytes. U kunt de grootte van het afspeelvenster instellen op 64, 128, 256, 512, 1024, 2048 of 4096 pakketten:

  • vEdge(config-interface-ipsecnummer)# ipsec
  • vEdge(config-ipsec)# nummer van het herhalingsvenster

Wijzig IKE Dead-Peer-detectie

IKE maakt gebruik van een dead-peer-detectiemechanisme om te bepalen of de verbinding met een IKE-peer functioneel en bereikbaar is. Om dit mechanisme te implementeren, stuurt IKE een Hello-pakket naar zijn peer, en de peer stuurt als reactie een bevestiging. Standaard verzendt IKE elke 10 seconden Hello-pakketten, en na drie niet-bevestigde pakketten verklaart IKE dat de buurman dood is en breekt de tunnel af naar de peer. Daarna stuurt IKE periodiek een Hello-pakket naar de peer en herstelt de tunnel wanneer de peer weer online komt. U kunt het liveness-detectie-interval wijzigen in een waarde van 0 tot en met 65535, en u kunt het aantal nieuwe pogingen wijzigen in een waarde van 0 tot en met 255.

Opmerking

Voor transport-VPN's wordt het liveness-detectie-interval omgezet in seconden met behulp van de volgende formule: Interval voor nummer van hertransmissiepoging N = interval * 1.8N-1For example: als het interval is ingesteld op 10 en opnieuw wordt geprobeerd op 5, neemt het detectie-interval als volgt toe:

  • Poging 1: 10 * 1.81-1= 10 seconden
  • Poging 2: 10 * 1.82-1= 18 seconden
  • Poging 3: 10 * 1.83-1= 32.4 seconden
  • Poging 4: 10 * 1.84-1= 58.32 seconden
  • Poging 5: 10 * 1.85-1= 104.976 seconden

vEdge(config-interface-ipsecnumber)# aantal nieuwe pogingen voor dode-peer-detectie-interval

Configureer andere interface-eigenschappen

Voor IPsec-tunnelinterfaces kunt u alleen de volgende aanvullende interface-eigenschappen configureren:

  • vEdge(config-interface-ipsec)# mtu-bytes
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Schakel zwakke SSH-coderingsalgoritmen uit op Cisco SD-WAN Manager

Tabel 5: Functiegeschiedenistabel

Functie Naam Vrijgave-informatie Functie Beschrijving
Schakel zwakke SSH-coderingsalgoritmen uit op Cisco SD-WAN Manager Cisco vManage-release 20.9.1 Met deze functie kunt u zwakkere SSH-algoritmen op Cisco SD-WAN Manager uitschakelen die mogelijk niet voldoen aan bepaalde normen voor gegevensbeveiliging.

Informatie over het uitschakelen van zwakke SSH-coderingsalgoritmen op Cisco SD-WAN Manager
Cisco SD-WAN Manager biedt een SSH-client voor communicatie met componenten in het netwerk, inclusief controllers en edge-apparaten. De SSH-client biedt een gecodeerde verbinding voor veilige gegevensoverdracht, gebaseerd op verschillende coderingsalgoritmen. Veel organisaties hebben een sterkere encryptie nodig dan die van SHA-1, AES-128 en AES-192. Vanaf Cisco vManage Release 20.9.1 kunt u de volgende zwakkere versleutelingsalgoritmen uitschakelen, zodat een SSH-client deze algoritmen niet gebruikt:

  • SHA-1
  • AES-128
  • AES-192

Voordat u deze versleutelingsalgoritmen uitschakelt, moet u ervoor zorgen dat eventuele Cisco vEdge-apparaten in het netwerk een softwareversie gebruiken die later is dan Cisco SD-WAN versie 18.4.6.

Voordelen van het uitschakelen van zwakke SSH-coderingsalgoritmen op Cisco SD-WAN Manager
Het uitschakelen van zwakkere SSH-coderingsalgoritmen verbetert de beveiliging van SSH-communicatie en zorgt ervoor dat organisaties die Cisco Catalyst SD-WAN gebruiken, voldoen aan strikte beveiligingsvoorschriften.

Schakel zwakke SSH-coderingsalgoritmen uit op Cisco SD-WAN Manager met behulp van CLI

  1. Kies in het Cisco SD-WAN Manager-menu Extra > SSH-terminal.
  2. Kies het Cisco SD-WAN Manager-apparaat waarop u zwakkere SSH-algoritmen wilt uitschakelen.
  3. Voer de gebruikersnaam en het wachtwoord in om in te loggen op het apparaat.
  4. Ga naar de SSH-servermodus.
    • vmanage(config)# systeem
    • vmanage(config-systeem)# ssh-server
  5. Voer een van de volgende handelingen uit om een ​​SSH-coderingsalgoritme uit te schakelen:
    • SHA-1 uitschakelen:
  6. manage(config-ssh-server)# geen kex-algo sha1
  7. beheren(config-ssh-server)# commit
    Het volgende waarschuwingsbericht wordt weergegeven: De volgende waarschuwingen zijn gegenereerd: 'system ssh-server kex-algo sha1': WAARSCHUWING: Zorg ervoor dat al uw randen codeversie > 18.4.6 uitvoeren, die beter onderhandelt dan SHA1 met vManage. Anders kunnen deze randen offline raken. Doorgaan? [ja, nee] ja
    • Zorg ervoor dat op alle Cisco vEdge-apparaten in het netwerk Cisco SD-WAN versie 18.4.6 of hoger wordt uitgevoerd en voer Ja in.
    • Schakel AES-128 en AES-192 uit:
    • vmanage(config-ssh-server)# geen cijfer aes-128-192
    • vmanage(config-ssh-server)# commit
      Het volgende waarschuwingsbericht wordt weergegeven:
      De volgende waarschuwingen zijn gegenereerd:
      'system ssh-server cipher aes-128-192': WAARSCHUWING: Zorg ervoor dat al uw randen codeversie > 18.4.6 uitvoeren, die beter onderhandelt dan AES-128-192 met vManage. Anders kunnen deze randen offline raken. Doorgaan? [ja, nee] ja
    • Zorg ervoor dat op alle Cisco vEdge-apparaten in het netwerk Cisco SD-WAN versie 18.4.6 of hoger wordt uitgevoerd en voer Ja in.

Controleer of zwakke SSH-coderingsalgoritmen zijn uitgeschakeld op Cisco SD-WAN Manager met behulp van de CLI

  1. Kies in het Cisco SD-WAN Manager-menu Extra > SSH-terminal.
  2. Selecteer het Cisco SD-WAN Manager-apparaat dat u wilt verifiëren.
  3. Voer de gebruikersnaam en het wachtwoord in om in te loggen op het apparaat.
  4. Voer de volgende opdracht uit: show running-config system ssh-server
  5. Bevestig dat de uitvoer een of meer van de opdrachten toont die zwakkere versleutelingsalgoritmen uitschakelen:
    • geen cijfer aes-128-192
    • geen kex-algo sha1

Documenten / Bronnen

CISCO SD-WAN Beveiligingsparameters configureren [pdf] Gebruikershandleiding
SD-WAN Beveiligingsparameters configureren, SD-WAN, Beveiligingsparameters configureren, Beveiligingsparameters

Referenties

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *