Innhold gjemme
1 CISCO SD-WAN Konfigurer sikkerhetsparametere
2 Konfigurer sikkerhetsparametere
3 Konfigurer sikkerhetsparametere for kontrollplan
4 Konfigurer DTLS i Cisco SD-WAN Manager
5 Konfigurer dataplansikkerhetsparametere
6 Konfigurer tillatte autentiseringstyper
7 Endre rekeying-timeren
8 Endre størrelsen på Anti-Replay-vinduet
9 Konfigurer en IPsec statisk rute
10 Konfigurer IPsec-tunnelparametere
11 Endre IKE Dead-Peer Detection
12 Konfigurer andre grensesnittegenskaper
13 Deaktiver svake SSH-krypteringsalgoritmer på Cisco SD-WAN Manager
14 Dokumenter / Ressurser
14.1 Referanser

CISCO-LOGO

CISCO SD-WAN Konfigurer sikkerhetsparametere

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Konfigurer sikkerhetsparametere

Note

For å oppnå forenkling og konsistens har Cisco SD-WAN-løsningen blitt omdøpt til Cisco Catalyst SD-WAN. I tillegg, fra Cisco IOS XE SD-WAN Release 17.12.1a og Cisco Catalyst SD-WAN Release 20.12.1, er følgende komponentendringer gjeldende: Cisco vManage til Cisco Catalyst SD-WAN Manager, Cisco vAnalytics til Cisco Catalyst SD-WAN Analytics, Cisco vBond til Cisco Catalyst SD-WAN Validator og Cisco vSmart til Cisco Catalyst SD-WAN Controller. Se de siste versjonsmerknadene for en omfattende liste over alle merkenavnendringene for komponentene. Mens vi går over til de nye navnene, kan noen inkonsekvenser være tilstede i dokumentasjonssettet på grunn av en faset tilnærming til brukergrensesnittoppdateringene til programvareproduktet.

Denne delen beskriver hvordan du endrer sikkerhetsparametere for kontrollplanet og dataplanet i Cisco Catalyst SD-WAN-overleggsnettverket.

  • Konfigurer kontrollplansikkerhetsparametere, på
  • Konfigurer dataplansikkerhetsparametere, på
  • Konfigurer IKE-aktiverte IPsec-tunneler, på
  • Deaktiver svake SSH-krypteringsalgoritmer på Cisco SD-WAN Manager, på

Konfigurer sikkerhetsparametere for kontrollplan

Som standard bruker kontrollplanet DTLS som protokollen som gir personvern på alle tunnelene. DTLS kjører over UDP. Du kan endre kontrollplanets sikkerhetsprotokoll til TLS, som kjører over TCP. Den primære grunnen til å bruke TLS er at hvis du anser Cisco SD-WAN-kontrolleren for å være en server, beskytter brannmurer TCP-servere bedre enn UDP-servere. Du konfigurerer kontrollplanets tunnelprotokoll på en Cisco SD-WAN-kontroller: vSmart(config)# sikkerhetskontrollprotokoll tls Med denne endringen går alle kontrollplanetunneller mellom Cisco SD-WAN-kontrolleren og ruterne og mellom Cisco SD-WAN-kontrolleren og Cisco SD-WAN Manager bruker TLS. Kontroller flytunneler til Cisco Catalyst SD-WAN Validator bruker alltid DTLS, fordi disse forbindelsene må håndteres av UDP. I et domene med flere Cisco SD-WAN-kontrollere, når du konfigurerer TLS på en av Cisco SD-WAN-kontrollerne, bruker alle kontrollplantunneler fra den kontrolleren til de andre kontrollerene TLS. Sagt på en annen måte, har TLS alltid forrang over DTLS. Men fra perspektivet til de andre Cisco SD-WAN-kontrollerne, hvis du ikke har konfigurert TLS på dem, bruker de TLS på kontrollplantunnelen bare til den ene Cisco SD-WAN-kontrolleren, og de bruker DTLS-tunneler til alle de andre Cisco SD-WAN-kontrollere og til alle deres tilkoblede rutere. For å få alle Cisco SD-WAN-kontrollere til å bruke TLS, konfigurer det på dem alle. Som standard lytter Cisco SD-WAN-kontrolleren på port 23456 for TLS-forespørsler. For å endre dette: vSmart(config)# sikkerhetskontroll tls-portnummer Porten kan være et nummer fra 1025 til 65535. For å vise kontrollplansikkerhetsinformasjon, bruk kommandoen show control connections på Cisco SD-WAN-kontrolleren. For eksample: vSmart-2# viser kontrollforbindelser

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Konfigurer DTLS i Cisco SD-WAN Manager

Hvis du konfigurerer Cisco SD-WAN Manager til å bruke TLS som sikkerhetsprotokollen for kontrollplanet, må du aktivere portvideresending på din NAT. Hvis du bruker DTLS som sikkerhetsprotokoll for kontrollplanet, trenger du ikke gjøre noe. Antallet porter som videresendes avhenger av antall vdaemon-prosesser som kjører på Cisco SD-WAN Manager. For å vise informasjon om disse prosessene og om og antall porter som videresendes, bruk kommandoen show control summary viser at fire daemon-prosesser kjører:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

For å se lytteportene, bruk kommandoen show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Denne utgangen viser at den lyttende TCP-porten er 23456. Hvis du kjører Cisco SD-WAN Manager bak en NAT, bør du åpne følgende porter på NAT-enheten:

  • 23456 (base – forekomst 0 port)
  • 23456 + 100 (base + 100)
  • 23456 + 200 (base + 200)
  • 23456 + 300 (base + 300)

Merk at antall forekomster er det samme som antall kjerner du har tilordnet for Cisco SD-WAN Manager, opptil maksimalt 8.

Konfigurer sikkerhetsparametere ved å bruke malen for sikkerhetsfunksjoner

Bruk sikkerhetsfunksjonsmalen for alle Cisco vEdge-enheter. På kantruterne og på Cisco SD-WAN Validator, bruk denne malen til å konfigurere IPsec for dataplansikkerhet. På Cisco SD-WAN Manager og Cisco SD-WAN Controller bruker du malen for sikkerhetsfunksjoner for å konfigurere DTLS eller TLS for kontrollplansikkerhet.

Konfigurer sikkerhetsparametere

  1. Fra Cisco SD-WAN Manager-menyen velger du Konfigurasjon > Maler.
  2. Klikk Funksjonsmaler og klikk deretter Legg til mal.
    Note I Cisco vManage Release 20.7.1 og tidligere utgivelser kalles Feature Templates Feature.
  3. Velg en enhet fra enhetslisten i venstre rute. Malene som gjelder for den valgte enheten, vises i høyre rute.
  4. Klikk Sikkerhet for å åpne malen.
  5. I feltet Malnavn skriver du inn et navn for malen. Navnet kan være på opptil 128 tegn og kan bare inneholde alfanumeriske tegn.
  6. I feltet Malbeskrivelse skriver du inn en beskrivelse av malen. Beskrivelsen kan inneholde opptil 2048 tegn og kan kun inneholde alfanumeriske tegn.

Når du først åpner en funksjonsmal, for hver parameter som har en standardverdi, settes omfanget til Standard (angitt med en hake), og standardinnstillingen eller -verdien vises. For å endre standarden eller angi en verdi, klikk på rullegardinmenyen for omfang til venstre for parameterfeltet og velg ett av følgende:

Tabell 1:

Parameter Omfang Omfangsbeskrivelse
Enhetsspesifikk (indikert med et vertsikon) Bruk en enhetsspesifikk verdi for parameteren. For enhetsspesifikke parametere kan du ikke angi en verdi i funksjonsmalen. Du angir verdien når du kobler en Viptela-enhet til en enhetsmal.

Når du klikker på Enhetsspesifikk, åpnes Enter Key-boksen. Denne boksen viser en nøkkel, som er en unik streng som identifiserer parameteren i en CSV file som du lager. Dette file er et Excel-regneark som inneholder én kolonne for hver nøkkel. Overskriftsraden inneholder nøkkelnavnene (en nøkkel per kolonne), og hver rad etter det tilsvarer en enhet og definerer verdiene til nøklene for den enheten. Du laster opp CSV-en file når du kobler en Viptela-enhet til en enhetsmal. For mer informasjon, se Opprette et regneark for malvariabler.

For å endre standardtasten, skriv inn en ny streng og flytt markøren ut av Enter Key-boksen.

Examples av enhetsspesifikke parametere er systemets IP-adresse, vertsnavn, GPS-plassering og nettsteds-ID.
Parameter Omfang Omfangsbeskrivelse
Global (indikert med et globusikon) Angi en verdi for parameteren, og bruk den verdien på alle enheter.

ExampLes av parametere som du kan bruke globalt på en gruppe enheter er DNS-server, syslog-server og grensesnitt-MTUer.

Konfigurer Control Plane Security

Note
Seksjonen Konfigurer kontrollplansikkerhet gjelder kun for Cisco SD-WAN Manager og Cisco SD-WAN-kontroller. For å konfigurere kontrollplanets tilkoblingsprotokoll på en Cisco SD-WAN Manager-forekomst eller en Cisco SD-WAN-kontroller, velg området Grunnleggende konfigurasjon og konfigurer følgende parametere:

Tabell 2:

Parameter Navn Beskrivelse
Protokoll Velg protokollen som skal brukes på kontrollplantilkoblinger til en Cisco SD-WAN-kontroller:

• DTLS (Datagram Transport Layer Security). Dette er standard.

• TLS (Transport Layer Security)
Kontroller TLS-port Hvis du valgte TLS, konfigurer portnummeret som skal brukes:Spekter: 1025 til 65535Misligholde: 23456

Klikk Lagre

Konfigurer Data Plane Security
For å konfigurere dataplansikkerhet på en Cisco SD-WAN Validator eller en Cisco vEdge-ruter, velg fanene Basic Configuration og Authentication Type, og konfigurer følgende parametere:

Tabell 3:

Parameter Navn Beskrivelse
Rekey Time Spesifiser hvor ofte en Cisco vEdge-ruter endrer AES-nøkkelen som brukes på den sikre DTLS-tilkoblingen til Cisco SD-WAN-kontrolleren. Hvis OMP grasiøs omstart er aktivert, må omnøkkeltiden være minst to ganger verdien av OMP grasiøs omstartstidtaker.Spekter: 10 til 1209600 sekunder (14 dager)Misligholde: 86400 sekunder (24 timer)
Replay-vinduet Spesifiser størrelsen på det skyve avspillingsvinduet.

Verdier: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pakkerMisligholde: 512 pakker
IPsec

parvis-tasting

 Dette er slått av som standard. Klikk On for å slå den på.
Parameter Navn Beskrivelse
Autentiseringstype Velg autentiseringstypene fra Autentisering Liste, og klikk på pilen som peker til høyre for å flytte autentiseringstypene til Valgt liste søyle.

Autentiseringstyper som støttes fra Cisco SD-WAN versjon 20.6.1:

•  esp: Aktiverer Encapsulating Security Payload (ESP)-kryptering og integritetskontroll på ESP-overskriften.

•  ip-udp-esp: Aktiverer ESP-kryptering. I tillegg til integritetskontrollene på ESP-headeren og nyttelasten, inkluderer sjekkene også de ytre IP- og UDP-hodene.

•  ip-udp-esp-no-id: Ignorerer ID-feltet i IP-overskriften slik at Cisco Catalyst SD-WAN kan fungere sammen med enheter som ikke er fra Cisco.

•  ingen: Slår av integritetsavmerking på IPSec-pakker. Vi anbefaler ikke å bruke dette alternativet.

 

Autentiseringstyper som støttes i Cisco SD-WAN versjon 20.5.1 og tidligere:

•  ah-nei-id: Aktiver en forbedret versjon av AH-SHA1 HMAC og ESP HMAC-SHA1 som ignorerer ID-feltet i pakkens ytre IP-header.

•  ah-sha1-hmac: Aktiver AH-SHA1 HMAC og ESP HMAC-SHA1.

•  ingen: Velg ingen autentisering.

•  sha1-hmac: Aktiver ESP HMAC-SHA1.

 

Note              For en edge-enhet som kjører på Cisco SD-WAN versjon 20.5.1 eller tidligere, kan du ha konfigurert autentiseringstyper ved hjelp av en Sikkerhet mal. Når du oppgraderer enheten til Cisco SD-WAN versjon 20.6.1 eller nyere, oppdaterer du de valgte autentiseringstypene i Sikkerhet mal til autentiseringstypene som støttes fra Cisco SD-WAN versjon 20.6.1. Gjør følgende for å oppdatere autentiseringstypene:

1.      Velg fra Cisco SD-WAN Manager-menyen Konfigurasjon >

Maler.

2.      Klikk Funksjonsmaler.

3.      Finn Sikkerhet mal for å oppdatere og klikk ... og klikk Redigere.

4.      Klikk Oppdater. Ikke endre noen konfigurasjon.

Cisco SD-WAN Manager oppdaterer Sikkerhet mal for å vise de støttede autentiseringstypene.

Klikk Lagre.

Konfigurer dataplansikkerhetsparametere

I dataplanet er IPsec aktivert som standard på alle rutere, og som standard bruker IPsec-tunneltilkoblinger en forbedret versjon av Encapsulating Security Payload-protokollen (ESP) for autentisering på IPsec-tunneler. På ruterne kan du endre type autentisering, IPsec rekeying-timeren og størrelsen på IPsec anti-replay-vinduet.

Konfigurer tillatte autentiseringstyper

Autentiseringstyper i Cisco SD-WAN versjon 20.6.1 og senere
Fra Cisco SD-WAN versjon 20.6.1 støttes følgende integritetstyper:

  • esp: Dette alternativet aktiverer Encapsulating Security Payload (ESP)-kryptering og integritetskontroll på ESP-overskriften.
  • ip-udp-esp: Dette alternativet aktiverer ESP-kryptering. I tillegg til integritetskontrollene på ESP-headeren og nyttelasten, inkluderer sjekkene også de ytre IP- og UDP-hodene.
  • ip-udp-esp-no-id: Dette alternativet ligner på ip-udp-esp, men ID-feltet til den ytre IP-headeren ignoreres. Konfigurer dette alternativet i listen over integritetstyper slik at Cisco Catalyst SD-WAN-programvaren ignorerer ID-feltet i IP-overskriften slik at Cisco Catalyst SD-WAN kan fungere sammen med enheter som ikke er fra Cisco.
  • ingen: Dette alternativet slår av integritetsavmerking på IPSec-pakker. Vi anbefaler ikke å bruke dette alternativet.

Som standard bruker IPsec-tunneltilkoblinger en forbedret versjon av ESP-protokollen (Encapsulating Security Payload) for autentisering. For å endre de forhandlede integritetstypene eller deaktivere integritetskontrollen, bruk følgende kommando: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Autentiseringstyper før Cisco SD-WAN utgivelse 20.6.1
Som standard bruker IPsec-tunneltilkoblinger en forbedret versjon av ESP-protokollen (Encapsulating Security Payload) for autentisering. For å endre de forhandlede autentiseringstypene eller deaktivere autentisering, bruk følgende kommando: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Som standard, IPsec tunnelforbindelser bruker AES-GCM-256, som gir både kryptering og autentisering. Konfigurer hver autentiseringstype med en separat sikkerhets-ipsec-autentiseringstype-kommando. Kommandoalternativene tilordnes følgende autentiseringstyper, som er oppført i rekkefølge fra sterkest til minst sterke:

Note
Sha1 i konfigurasjonsalternativene brukes av historiske årsaker. Autentiseringsalternativene indikerer hvor mye av pakkens integritetskontroll som er utført. De spesifiserer ikke algoritmen som kontrollerer integriteten. Bortsett fra kryptering av multicast-trafikk, bruker ikke autentiseringsalgoritmene som støttes av Cisco Catalyst SD WAN SHA1. I Cisco SD-WAN versjon 20.1.x og nyere bruker imidlertid ikke både unicast og multicast SHA1.

  • ah-sha1-hmac muliggjør kryptering og innkapsling ved hjelp av ESP. Men i tillegg til integritetskontrollene på ESP-headeren og nyttelasten, inkluderer sjekkene også de ytre IP- og UDP-hodene. Derfor støtter dette alternativet en integritetssjekk av pakken som ligner på Authentication Header (AH)-protokollen. All integritet og kryptering utføres ved hjelp av AES-256-GCM.
  • ah-no-id aktiverer en modus som ligner på ah-sha1-hmac, men ID-feltet til den ytre IP-headeren ignoreres. Dette alternativet har plass til noen ikke-Cisco Catalyst SD-WAN-enheter, inkludert Apple AirPort Express NAT, som har en feil som gjør at ID-feltet i IP-overskriften, et felt som ikke kan endres, endres. Konfigurer ah-no-id-alternativet i listen over autentiseringstyper slik at Cisco Catalyst SD-WAN AH-programvaren ignorerer ID-feltet i IP-overskriften slik at Cisco Catalyst SD-WAN-programvaren kan fungere sammen med disse enhetene.
  • sha1-hmac muliggjør ESP-kryptering og integritetskontroll.
  • ingen kart til ingen autentisering. Dette alternativet skal bare brukes hvis det er nødvendig for midlertidig feilsøking. Du kan også velge dette alternativet i situasjoner der dataplanautentisering og integritet ikke er et problem. Cisco anbefaler ikke å bruke dette alternativet for produksjonsnettverk.

For informasjon om hvilke datapakkefelt som påvirkes av disse autentiseringstypene, se Dataplanintegritet. Cisco IOS XE Catalyst SD-WAN-enheter og Cisco vEdge-enheter annonserer sine konfigurerte autentiseringstyper i TLOC-egenskapene. De to ruterne på hver side av en IPsec-tunnelforbindelse forhandler om autentiseringen som skal brukes på forbindelsen mellom dem, ved å bruke den sterkeste autentiseringstypen som er konfigurert på begge ruterne. For eksample, hvis en ruter annonserer ah-sha1-hmac og ah-no-id-typene, og en andre ruter annonserer ah-no-id-typen, forhandler de to ruterne om å bruke ah-no-id på IPsec-tunnelforbindelsen mellom dem. Hvis ingen vanlige autentiseringstyper er konfigurert på de to peerne, etableres det ingen IPsec-tunnel mellom dem. Krypteringsalgoritmen på IPsec-tunnelforbindelser avhenger av typen trafikk:

  • For unicast-trafikk er krypteringsalgoritmen AES-256-GCM.
  • For multicast-trafikk:
  • Cisco SD-WAN versjon 20.1.x og nyere – krypteringsalgoritmen er AES-256-GCM
  • Tidligere utgivelser – krypteringsalgoritmen er AES-256-CBC med SHA1-HMAC.

Når IPsec-autentiseringstypen endres, endres AES-nøkkelen for databanen.

Endre rekeying-timeren

Før Cisco IOS XE Catalyst SD-WAN-enheter og Cisco vEdge-enheter kan utveksle datatrafikk, setter de opp en sikker autentisert kommunikasjonskanal mellom dem. Ruterne bruker IPSec-tunneler mellom seg som kanal, og AES-256-chifferet for å utføre kryptering. Hver ruter genererer en ny AES-nøkkel for sin databane med jevne mellomrom. Som standard er en nøkkel gyldig i 86400 sekunder (24 timer), og tidsintervallet er 10 sekunder til 1209600 sekunder (14 dager). For å endre tidsurverdien for omnøkkelen: Device(config)# security ipsec rekey seconds Konfigurasjonen ser slik ut:

  • sikkerhet ipsec rekey sekunder!

Hvis du vil generere nye IPsec-nøkler umiddelbart, kan du gjøre det uten å endre konfigurasjonen til ruteren. For å gjøre dette, utsted forespørselssikkerhets-ipsecrekey-kommandoen på den kompromitterte ruteren. For eksample, viser følgende utdata at den lokale SA har en sikkerhetsparameterindeks (SPI) på 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

En unik nøkkel er knyttet til hver SPI. Hvis denne nøkkelen er kompromittert, bruk kommandoen request security ipsec-rekey for å generere en ny nøkkel umiddelbart. Denne kommandoen øker SPI. I vår eksample, endres SPI til 257 og nøkkelen knyttet til den brukes nå:

  • Device# request security ipsecrekey
  • Device# show ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Etter at den nye nøkkelen er generert, sender ruteren den umiddelbart til Cisco SD-WAN-kontrollerne ved hjelp av DTLS eller TLS. Cisco SD-WAN-kontrollerne sender nøkkelen til peer-ruterne. Ruterne begynner å bruke den så snart de mottar den. Legg merke til at nøkkelen knyttet til den gamle SPI (256) vil fortsette å brukes i en kort stund til den blir tidsavbrutt. For å slutte å bruke den gamle nøkkelen umiddelbart, utfør kommandoen request security ipsec-rekey to ganger, i rask rekkefølge. Denne sekvensen av kommandoer fjerner både SPI 256 og 257 og setter SPI til 258. Ruteren bruker deretter den tilknyttede nøkkelen til SPI 258. Vær imidlertid oppmerksom på at noen pakker vil bli droppet i en kort periode til alle de eksterne ruterne lærer seg den nye nøkkelen.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Endre størrelsen på Anti-Replay-vinduet

IPsec-autentisering gir anti-replay-beskyttelse ved å tildele et unikt sekvensnummer til hver pakke i en datastrøm. Denne sekvensnummereringen beskytter mot at en angriper dupliserer datapakker. Med anti-replay-beskyttelse tildeler avsenderen monotont økende sekvensnumre, og destinasjonen sjekker disse sekvensnumrene for å oppdage duplikater. Fordi pakker ofte ikke kommer i rekkefølge, opprettholder destinasjonen et skyvevindu med sekvensnumre som den vil akseptere.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Pakker med sekvensnummer som faller til venstre for skyvevindusområdet regnes som gamle eller duplikater, og destinasjonen slipper dem. Destinasjonen sporer det høyeste sekvensnummeret den har mottatt, og justerer skyvevinduet når den mottar en pakke med en høyere verdi.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Som standard er skyvevinduet satt til 512 pakker. Den kan settes til en hvilken som helst verdi mellom 64 og 4096 som er en potens på 2 (det vil si 64, 128, 256, 512, 1024, 2048 eller 4096). For å endre størrelsen på anti-replay-vinduet, bruk replay-window-kommandoen, og spesifiser størrelsen på vinduet:

Device(config)# security ipsec replay-window nummer

Konfigurasjonen ser slik ut:
sikkerhet ipsec replay-vindu nummer! !

For å hjelpe med QoS opprettholdes separate replay-vinduer for hver av de første åtte trafikkkanalene. Den konfigurerte replay-vindusstørrelsen er delt på åtte for hver kanal. Hvis QoS er konfigurert på en ruter, kan den ruteren oppleve et større antall pakkefall enn forventet som et resultat av IPsec anti-replay-mekanismen, og mange av pakkene som blir droppet er legitime. Dette skjer fordi QoS omorganiserer pakker, gir pakker med høyere prioritet fortrinnsbehandling og forsinker pakker med lavere prioritet. For å minimere eller forhindre denne situasjonen, kan du gjøre følgende:

  • Øk størrelsen på anti-replay-vinduet.
  • Konstruer trafikk til de første åtte trafikkkanalene for å sikre at trafikken i en kanal ikke omorganiseres.

Konfigurer IKE-aktiverte IPsec-tunneler
For å overføre trafikk fra overleggsnettverket til et tjenestenettverk på en sikker måte, kan du konfigurere IPsec-tunneler som kjører IKE-protokollen (Internet Key Exchange). IKE-aktiverte IPsec-tunneler gir autentisering og kryptering for å sikre sikker pakketransport. Du oppretter en IKE-aktivert IPsec-tunnel ved å konfigurere et IPsec-grensesnitt. IPsec-grensesnitt er logiske grensesnitt, og du konfigurerer dem akkurat som alle andre fysiske grensesnitt. Du konfigurerer IKE-protokollparametere på IPsec-grensesnittet, og du kan konfigurere andre grensesnittegenskaper.

Note Cisco anbefaler å bruke IKE versjon 2. Fra Cisco SD-WAN 19.2.x utgivelsen og utover, må den forhåndsdelte nøkkelen være minst 16 byte lang. IPsec-tunneletableringen mislykkes hvis nøkkelstørrelsen er mindre enn 16 tegn når ruteren oppgraderes til versjon 19.2.

Note
Cisco Catalyst SD-WAN-programvaren støtter IKE versjon 2 som definert i RFC 7296. En bruk for IPsec-tunneler er å la vEdge Cloud-ruter-VM-instanser som kjører på Amazon AWS koble seg til Amazons virtuelle private sky (VPC). Du må konfigurere IKE versjon 1 på disse ruterne. Cisco vEdge-enheter støtter bare rutebaserte VPN-er i en IPSec-konfigurasjon fordi disse enhetene ikke kan definere trafikkvelgere i krypteringsdomenet.

Konfigurer en IPsec-tunnel
For å konfigurere et IPsec-tunnelgrensesnitt for sikker transporttrafikk fra et tjenestenettverk, oppretter du et logisk IPsec-grensesnitt:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Du kan opprette IPsec-tunnelen i transport-VPN (VPN 0) og i hvilken som helst tjeneste-VPN (VPN 1 til 65530, bortsett fra 512). IPsec-grensesnittet har et navn i formatet ipsecnumber, hvor tallet kan være fra 1 til 255. Hvert IPsec-grensesnitt må ha en IPv4-adresse. Denne adressen må være et /30-prefiks. All trafikk i VPN-en som er innenfor dette IPv4-prefikset ledes til et fysisk grensesnitt i VPN 0 for å sendes sikkert over en IPsec-tunnel. For å konfigurere kilden til IPsec-tunnelen på den lokale enheten, kan du spesifisere enten IP-adressen til det fysiske grensesnittet (i kommandoen tunnel-source) eller navnet på det fysiske grensesnittet (i kommandoen tunnel-source-interface). Sørg for at det fysiske grensesnittet er konfigurert i VPN 0. For å konfigurere destinasjonen til IPsec-tunnelen, spesifiser IP-adressen til den eksterne enheten i tunnel-destinasjonskommandoen. Kombinasjonen av en kildeadresse (eller kildegrensesnittnavn) og en destinasjonsadresse definerer en enkelt IPsec-tunnel. Bare én IPsec-tunnel kan eksistere som bruker en bestemt kildeadresse (eller grensesnittnavn) og destinasjonsadressepar.

Konfigurer en IPsec statisk rute

For å dirigere trafikk fra tjenesten VPN til en IPsec-tunnel i transport-VPN (VPN 0), konfigurerer du en IPsec-spesifikk statisk rute i en tjeneste-VPN (en annen VPN enn VPN 0 eller VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-ruteprefiks/lengde vpn 0-grensesnitt
  • ipsecnumber [ipsecnumber2]

VPN-IDen er den til enhver tjeneste-VPN (VPN 1 til 65530, bortsett fra 512). prefiks/lengde er IP-adressen eller prefikset, i desimalnotasjon med fire deler, og prefikslengden til den IPsec-spesifikke statiske ruten. Grensesnittet er IPsec-tunnelgrensesnittet i VPN 0. Du kan konfigurere ett eller to IPsec-tunnelgrensesnitt. Hvis du konfigurerer to, er den første den primære IPsec-tunnelen, og den andre er sikkerhetskopien. Med to grensesnitt sendes alle pakker kun til primærtunnelen. Hvis den tunnelen mislykkes, sendes alle pakker til den sekundære tunnelen. Hvis den primære tunnelen kommer opp igjen, flyttes all trafikk tilbake til den primære IPsec-tunnelen.

Aktiver IKE versjon 1
Når du oppretter en IPsec-tunnel på en vEdge-ruter, er IKE versjon 1 aktivert som standard på tunnelgrensesnittet. Følgende egenskaper er også aktivert som standard for IKEv1:

  • Autentisering og kryptering – AES-256 avansert krypteringsstandard CBC-kryptering med HMAC-SHA1 nøkkelhash meldingsgodkjenningskodealgoritme for integritet
  • Diffie-Hellman gruppenummer—16
  • Tidsintervall for ny inntasting – 4 timer
  • SA etableringsmodus – Hoved

Som standard bruker IKEv1 IKE-hovedmodus for å etablere IKE SA-er. I denne modusen utveksles seks forhandlingspakker for å etablere SA. For å utveksle bare tre forhandlingspakker, aktiver aggressiv modus:

Note
IKE aggressiv modus med forhåndsdelte nøkler bør unngås der det er mulig. Ellers bør en sterk forhåndsdelt nøkkel velges.

  • vEdge(config)# vpn vpn-id grensesnitt ipsec nummer ike
  • vEdge(config-ike)# modus aggressiv

Som standard bruker IKEv1 Diffie-Hellman gruppe 16 i IKE-nøkkelutvekslingen. Denne gruppen bruker den 4096-biters mer modulære eksponentielle (MODP)-gruppen under IKE-nøkkelutveksling. Du kan endre gruppenummeret til 2 (for 1024-biters MODP), 14 (2048-biters MODP) eller 15 (3072-biters MODP):

  • vEdge(config)# vpn vpn-id grensesnitt ipsec nummer ike
  • vEdge(config-ike)# gruppenummer

Som standard bruker IKE-nøkkelutveksling AES-256 avansert krypteringsstandard CBC-kryptering med HMAC-SHA1-nøkkelhash-meldingsgodkjenningskodealgoritmen for integritet. Du kan endre autentiseringen:

  • vEdge(config)# vpn vpn-id grensesnitt ipsec nummer ike
  • vEdge(config-ike)# chiffer-suite suite

Autentiseringspakken kan være en av følgende:

  • aes128-cbc-sha1—AES-128 avansert kryptering standard CBC-kryptering med HMAC-SHA1 nøkkelhash meldingsautentiseringskodealgoritme for integritet
  • aes128-cbc-sha2—AES-128 avansert kryptering standard CBC-kryptering med HMAC-SHA256 nøkkelhash meldingsautentiseringskodealgoritme for integritet
  • aes256-cbc-sha1—AES-256 avansert kryptering standard CBC-kryptering med HMAC-SHA1 nøkkelhash meldingsautentiseringskodealgoritme for integritet; dette er standard.
  • aes256-cbc-sha2—AES-256 avansert kryptering standard CBC-kryptering med HMAC-SHA256 nøkkelhash meldingsautentiseringskodealgoritme for integritet

Som standard oppdateres IKE-nøkler hver 1. time (3600 sekunder). Du kan endre inntastingsintervallet til en verdi fra 30 sekunder til 14 dager (1209600 sekunder). Det anbefales at omtastingsintervallet er minst 1 time.

  • vEdge(config)# vpn vpn-id grensesnitt ipsec nummer som
  • vEdge(config-ike)# rekey sekunder

For å tvinge generering av nye nøkler for en IKE-økt, utsted kommandoen request ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id interfaceipsec nummer ike

For IKE kan du også konfigurere autentisering med forhåndsdelt nøkkel (PSK):

  • vEdge(config)# vpn vpn-id grensesnitt ipsec nummer ike
  • vEdge(config-ike)# autentiseringstype forhåndsdelt nøkkel forhåndsdelt-hemmelig passord passordet er passordet som skal brukes med den forhåndsdelte nøkkelen. Det kan være en ASCII eller en heksadesimal streng fra 1 til 127 tegn.

Hvis den eksterne IKE-peeren krever en lokal eller ekstern ID, kan du konfigurere denne identifikatoren:

  • vEdge(config)# vpn vpn-id grensesnitt ipsec nummer ike autentiseringstype
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-autentication-type)# remote-id id

Identifikatoren kan være en IP-adresse eller en hvilken som helst tekststreng fra 1 til 63 tegn. Som standard er den lokale ID-en tunnelens kilde-IP-adresse og den eksterne ID-en er tunnelens destinasjons-IP-adresse.

Aktiver IKE versjon 2
Når du konfigurerer en IPsec-tunnel til å bruke IKE versjon 2, er følgende egenskaper også aktivert som standard for IKEv2:

  • Autentisering og kryptering – AES-256 avansert krypteringsstandard CBC-kryptering med HMAC-SHA1 nøkkelhash meldingsgodkjenningskodealgoritme for integritet
  • Diffie-Hellman gruppenummer—16
  • Tidsintervall for ny inntasting – 4 timer

Som standard bruker IKEv2 Diffie-Hellman gruppe 16 i IKE-nøkkelutvekslingen. Denne gruppen bruker den 4096-biters mer modulære eksponentielle (MODP)-gruppen under IKE-nøkkelutveksling. Du kan endre gruppenummeret til 2 (for 1024-biters MODP), 14 (2048-biters MODP) eller 15 (3072-biters MODP):

  • vEdge(config)# vpn vpn-id-grensesnitt ipsecnumber ike
  • vEdge(config-ike)# gruppenummer

Som standard bruker IKE-nøkkelutveksling AES-256 avansert krypteringsstandard CBC-kryptering med HMAC-SHA1-nøkkelhash-meldingsgodkjenningskodealgoritmen for integritet. Du kan endre autentiseringen:

  • vEdge(config)# vpn vpn-id-grensesnitt ipsecnumber ike
  • vEdge(config-ike)# chiffer-suite suite

Autentiseringspakken kan være en av følgende:

  • aes128-cbc-sha1—AES-128 avansert kryptering standard CBC-kryptering med HMAC-SHA1 nøkkelhash meldingsautentiseringskodealgoritme for integritet
  • aes128-cbc-sha2—AES-128 avansert kryptering standard CBC-kryptering med HMAC-SHA256 nøkkelhash meldingsautentiseringskodealgoritme for integritet
  • aes256-cbc-sha1—AES-256 avansert kryptering standard CBC-kryptering med HMAC-SHA1 nøkkelhash meldingsautentiseringskodealgoritme for integritet; dette er standard.
  • aes256-cbc-sha2—AES-256 avansert kryptering standard CBC-kryptering med HMAC-SHA256 nøkkelhash meldingsautentiseringskodealgoritme for integritet

Som standard oppdateres IKE-nøkler hver 4. time (14,400 30 sekunder). Du kan endre omnøkkelintervallet til en verdi fra 14 sekunder til 1209600 dager (XNUMX sekunder):

  • vEdge(config)# vpn vpn-id-grensesnitt ipsecnumber ike
  • vEdge(config-ike)# rekey sekunder

For å tvinge generering av nye nøkler for en IKE-økt, utsted kommandoen request ipsec ike-rekey. For IKE kan du også konfigurere autentisering med forhåndsdelt nøkkel (PSK):

  • vEdge(config)# vpn vpn-id-grensesnitt ipsecnumber ike
  • vEdge(config-ike)# autentiseringstype forhåndsdelt nøkkel forhåndsdelt-hemmelig passord passordet er passordet som skal brukes med den forhåndsdelte nøkkelen. Det kan være en ASCII eller en heksadesimal streng, eller det kan være en AES-kryptert nøkkel. Hvis den eksterne IKE-peeren krever en lokal eller ekstern ID, kan du konfigurere denne identifikatoren:
  • vEdge(config)# vpn vpn-id-grensesnitt ipsecnumber ike autentiseringstype
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-autentication-type)# remote-id id

Identifikatoren kan være en IP-adresse eller en hvilken som helst tekststreng fra 1 til 64 tegn. Som standard er den lokale ID-en tunnelens kilde-IP-adresse og den eksterne ID-en er tunnelens destinasjons-IP-adresse.

Konfigurer IPsec-tunnelparametere

Tabell 4: Funksjonshistorikk

Trekk Navn Utgivelsesinformasjon Beskrivelse
Ekstra kryptografisk Cisco SD-WAN versjon 20.1.1 Denne funksjonen legger til støtte for
Algoritmisk støtte for IPSec   HMAC_SHA256, HMAC_SHA384 og
Tunneler   HMAC_SHA512 algoritmer for
    økt sikkerhet.

Som standard brukes følgende parametere på IPsec-tunnelen som fører IKE-trafikk:

  • Autentisering og kryptering – AES-256-algoritme i GCM (Galois/tellermodus)
  • Omnøkkelintervall – 4 timer
  • Replay-vindu – 32 pakker

Du kan endre krypteringen på IPsec-tunnelen til AES-256-chifferet i CBC (chifferblokkkjedemodus, med HMAC som bruker enten SHA-1 eller SHA-2 nøkkelhash-meldingsautentisering eller til null med HMAC ved bruk av enten SHA-1 eller SHA-2 keyed-hash meldingsautentisering, for ikke å kryptere IPsec-tunnelen som brukes for IKE-nøkkelutvekslingstrafikk:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# chiffer-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1n | | aes256-null-sha256 | aes256-null-sha384)

Som standard oppdateres IKE-nøkler hver 4. time (14,400 30 sekunder). Du kan endre omnøkkelintervallet til en verdi fra 14 sekunder til 1209600 dager (XNUMX sekunder):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# rekey sekunder

For å tvinge generering av nye nøkler for en IPsec-tunnel, utsted kommandoen request ipsec ipsec-rekey. Som standard er perfekt fremadrettet hemmelighold (PFS) aktivert på IPsec-tunneler, for å sikre at tidligere økter ikke påvirkes hvis fremtidige nøkler kompromitteres. PFS fremtvinger en ny Diffie-Hellman-nøkkelutveksling, som standard ved å bruke 4096-bits Diffie-Hellman-primemodulgruppen. Du kan endre PFS-innstillingen:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

pfs-innstilling kan være en av følgende:

  • gruppe-2 – Bruk 1024-bits Diffie-Hellman prime modulus-gruppen.
  • gruppe-14 – Bruk 2048-bits Diffie-Hellman prime modulus-gruppen.
  • gruppe-15 – Bruk 3072-bits Diffie-Hellman prime modulus-gruppen.
  • gruppe-16 – Bruk 4096-bits Diffie-Hellman prime modulus-gruppen. Dette er standard.
  • ingen – deaktiver PFS.

Som standard er IPsec-avspillingsvinduet på IPsec-tunnelen 512 byte. Du kan angi størrelsen på avspillingsvinduet til 64, 128, 256, 512, 1024, 2048 eller 4096 pakker:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# avspillingsvindunummer

Endre IKE Dead-Peer Detection

IKE bruker en dead-peer-deteksjonsmekanisme for å avgjøre om tilkoblingen til en IKE-peer er funksjonell og tilgjengelig. For å implementere denne mekanismen sender IKE en Hello-pakke til sin peer, og peeren sender en bekreftelse som svar. Som standard sender IKE Hello-pakker hvert 10. sekund, og etter tre ikke-bekreftede pakker erklærer IKE naboen for å være død og river ned tunnelen til peeren. Deretter sender IKE med jevne mellomrom en Hello-pakke til peeren, og reetablerer tunnelen når peeren kommer tilbake på nett. Du kan endre intervallet for livlighetsdeteksjon til en verdi fra 0 til 65535, og du kan endre antall gjenforsøk til en verdi fra 0 til 255.

Note

For transport-VPN-er konverteres liveness-deteksjonsintervallet til sekunder ved å bruke følgende formel: Intervall for gjensendingsforsøk nummer N = intervall * 1.8N-1For eks.ample, hvis intervallet er satt til 10 og prøver på nytt til 5, øker deteksjonsintervallet som følger:

  • Forsøk 1: 10 * 1.81-1= 10 sekunder
  • Forsøk 2: 10 * 1.82-1= 18 sekunder
  • Forsøk 3: 10 * 1.83-1= 32.4 sekunder
  • Forsøk 4: 10 * 1.84-1= 58.32 sekunder
  • Forsøk 5: 10 * 1.85-1= 104.976 sekunder

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval repries number

Konfigurer andre grensesnittegenskaper

For IPsec-tunnelgrensesnitt kan du bare konfigurere følgende tilleggsgrensesnittegenskaper:

  • vEdge(config-interface-ipsec)# mtu byte
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Deaktiver svake SSH-krypteringsalgoritmer på Cisco SD-WAN Manager

Tabell 5: Tabell over funksjonshistorikk

Trekk Navn Utgivelsesinformasjon Trekk Beskrivelse
Deaktiver svake SSH-krypteringsalgoritmer på Cisco SD-WAN Manager Cisco vManage versjon 20.9.1 Denne funksjonen lar deg deaktivere svakere SSH-algoritmer på Cisco SD-WAN Manager som kanskje ikke er i samsvar med visse datasikkerhetsstandarder.

Informasjon om deaktivering av svake SSH-krypteringsalgoritmer på Cisco SD-WAN Manager
Cisco SD-WAN Manager gir en SSH-klient for kommunikasjon med komponenter i nettverket, inkludert kontrollere og edge-enheter. SSH-klienten gir en kryptert tilkobling for sikker dataoverføring, basert på en rekke krypteringsalgoritmer. Mange organisasjoner krever sterkere kryptering enn det som tilbys av SHA-1, AES-128 og AES-192. Fra Cisco vManage Release 20.9.1 kan du deaktivere følgende svakere krypteringsalgoritmer slik at en SSH-klient ikke bruker disse algoritmene:

  • SHA-1
  • AES-128
  • AES-192

Før du deaktiverer disse krypteringsalgoritmene, sørg for at Cisco vEdge-enheter, hvis noen, i nettverket bruker en programvareversjon senere enn Cisco SD-WAN-versjon 18.4.6.

Fordeler med å deaktivere svake SSH-krypteringsalgoritmer på Cisco SD-WAN Manager
Deaktivering av svakere SSH-krypteringsalgoritmer forbedrer sikkerheten til SSH-kommunikasjon, og sikrer at organisasjoner som bruker Cisco Catalyst SD-WAN, er kompatible med strenge sikkerhetsbestemmelser.

Deaktiver svake SSH-krypteringsalgoritmer på Cisco SD-WAN Manager ved å bruke CLI

  1. Fra Cisco SD-WAN Manager-menyen velger du Verktøy > SSH-terminal.
  2. Velg Cisco SD-WAN Manager-enheten du ønsker å deaktivere svakere SSH-algoritmer på.
  3. Skriv inn brukernavn og passord for å logge på enheten.
  4. Gå inn i SSH-servermodus.
    • vmanage(config)# system
    • vmanage(config-system)# ssh-server
  5. Gjør ett av følgende for å deaktivere en SSH-krypteringsalgoritme:
    • Deaktiver SHA-1:
  6. administrer(config-ssh-server)# ingen kex-algo sha1
  7. administrere(config-ssh-server)# commit
    Følgende advarselsmelding vises: Følgende advarsler ble generert: 'system ssh-server kex-algo sha1': ADVARSEL: Sørg for at alle kantene dine kjører kodeversjon > 18.4.6 som forhandler bedre enn SHA1 med vManage. Ellers kan disse kantene bli offline. Fortsette? [ja, nei] ja
    • Sørg for at alle Cisco vEdge-enheter i nettverket kjører Cisco SD-WAN versjon 18.4.6 eller nyere, og skriv ja.
    • Deaktiver AES-128 og AES-192:
    • vmanage(config-ssh-server)# ingen chiffer aes-128-192
    • vmanage(config-ssh-server)# commit
      Følgende advarsel vises:
      Følgende advarsler ble generert:
      'system ssh-server cipher aes-128-192': ADVARSEL: Sørg for at alle kantene dine kjører kodeversjon > 18.4.6 som forhandler bedre enn AES-128-192 med vManage. Ellers kan disse kantene bli offline. Fortsette? [ja, nei] ja
    • Sørg for at alle Cisco vEdge-enheter i nettverket kjører Cisco SD-WAN versjon 18.4.6 eller nyere, og skriv ja.

Bekreft at svake SSH-krypteringsalgoritmer er deaktivert på Cisco SD-WAN Manager ved å bruke CLI

  1. Fra Cisco SD-WAN Manager-menyen velger du Verktøy > SSH-terminal.
  2. Velg Cisco SD-WAN Manager-enheten du ønsker å bekrefte.
  3. Skriv inn brukernavn og passord for å logge på enheten.
  4. Kjør følgende kommando: show running-config system ssh-server
  5. Bekreft at utdata viser én eller flere av kommandoene som deaktiverer svakere krypteringsalgoritmer:
    • ingen chiffer aes-128-192
    • ingen kex-algo sha1

Dokumenter / Ressurser

CISCO SD-WAN Konfigurer sikkerhetsparametere [pdfBrukerhåndbok
SD-WAN Konfigurer sikkerhetsparametre, SD-WAN, Konfigurer sikkerhetsparametre, sikkerhetsparametre

Referanser

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket *