Zawartość ukrywać
1 CISCO SD-WAN Konfiguracja parametrów bezpieczeństwa
2 Skonfiguruj parametry zabezpieczeń
3 Skonfiguruj parametry zabezpieczeń platformy sterującej
4 Skonfiguruj DTLS w Cisco SD-WAN Manager
5 Skonfiguruj parametry zabezpieczeń płaszczyzny danych
6 Skonfiguruj dozwolone typy uwierzytelniania
7 Zmień licznik czasu ponownego kluczowania
8 Zmień rozmiar okna zapobiegania powtórkom
9 Skonfiguruj trasę statyczną IPsec
10 Skonfiguruj parametry tunelu IPsec
11 Zmodyfikuj funkcję wykrywania martwego punktu równorzędnego IKE
12 Skonfiguruj inne właściwości interfejsu
13 Wyłącz słabe algorytmy szyfrowania SSH w Cisco SD-WAN Manager
14 Dokumenty / Zasoby
14.1 Odniesienia

LOGO CISCO

CISCO SD-WAN Konfiguracja parametrów bezpieczeństwa

CISCO-SD-WAN-Konfiguracja-Parametry-bezpieczeństwa-PRODUKT

Skonfiguruj parametry zabezpieczeń

Notatka

Aby osiągnąć uproszczenie i spójność, nazwa rozwiązania Cisco SD-WAN została przemianowana na Cisco Catalyst SD-WAN. Ponadto w przypadku Cisco IOS XE SD-WAN w wersji 17.12.1a i Cisco Catalyst SD-WAN w wersji 20.12.1 obowiązują następujące zmiany komponentów: Cisco vManage do Cisco Catalyst SD-WAN Manager, Cisco vAnalytics do Cisco Catalyst SD-WAN Analytics, Cisco vBond do Cisco Catalyst SD-WAN Validator i Cisco vSmart do Cisco Catalyst SD-WAN Controller. Pełną listę zmian nazw marek komponentów znajdziesz w najnowszych uwagach do wydania. Podczas przejścia na nowe nazwy w zestawie dokumentacji mogą pojawić się pewne niespójności ze względu na etapowe podejście do aktualizacji interfejsu użytkownika oprogramowania.

W tej sekcji opisano sposób zmiany parametrów bezpieczeństwa płaszczyzny sterowania i płaszczyzny danych w sieci nakładkowej Cisco Catalyst SD-WAN.

  • Skonfiguruj parametry zabezpieczeń platformy sterującej, wł
  • Skonfiguruj parametry zabezpieczeń płaszczyzny danych, wł
  • Skonfiguruj tunele IPsec z obsługą IKE, wł
  • Wyłącz słabe algorytmy szyfrowania SSH w Cisco SD-WAN Manager, wł

Skonfiguruj parametry zabezpieczeń platformy sterującej

Domyślnie płaszczyzna sterująca używa DTLS jako protokołu zapewniającego prywatność we wszystkich swoich tunelach. DTLS działa poprzez UDP. Możesz zmienić protokół zabezpieczeń płaszczyzny sterującej na TLS, który działa przez protokół TCP. Głównym powodem stosowania TLS jest to, że jeśli uznasz kontroler Cisco SD-WAN za serwer, zapory ogniowe chronią serwery TCP lepiej niż serwery UDP. Konfigurujesz protokół tunelu płaszczyzny sterującej na kontrolerze Cisco SD-WAN: vSmart(config)# protokół kontroli bezpieczeństwa tls Dzięki tej zmianie wszystkie tunele płaszczyzny sterującej między kontrolerem Cisco SD-WAN a routerami oraz między kontrolerem Cisco SD-WAN i Cisco SD-WAN Manager korzystają z protokołu TLS. Tunele płaszczyzny sterującej do Cisco Catalyst SD-WAN Validator zawsze używają DTLS, ponieważ te połączenia muszą być obsługiwane przez UDP. W domenie z wieloma kontrolerami Cisco SD-WAN po skonfigurowaniu protokołu TLS na jednym z kontrolerów Cisco SD-WAN wszystkie tunele płaszczyzny sterującej z tego kontrolera do innych kontrolerów korzystają z protokołu TLS. Mówiąc inaczej, TLS zawsze ma pierwszeństwo przed DTLS. Jednakże z perspektywy innych kontrolerów Cisco SD-WAN, jeśli nie skonfigurowano na nich protokołu TLS, używają one TLS w tunelu płaszczyzny sterowania tylko do tego jednego kontrolera Cisco SD-WAN i używają tuneli DTLS do wszystkich pozostałych Kontrolery Cisco SD-WAN i wszystkie podłączone do nich routery. Aby wszystkie kontrolery Cisco SD-WAN korzystały z protokołu TLS, skonfiguruj go na wszystkich. Domyślnie kontroler Cisco SD-WAN nasłuchuje na porcie 23456 pod kątem żądań TLS. Aby to zmienić: vSmart(config)# kontrola bezpieczeństwa numer portu tls Port może mieć numer od 1025 do 65535. Aby wyświetlić informacje o bezpieczeństwie płaszczyzny sterującej, użyj polecenia show control Connections na kontrolerze Cisco SD-WAN. Na przykładample: vSmart-2# pokazuje połączenia sterujące

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Skonfiguruj DTLS w Cisco SD-WAN Manager

Jeśli skonfigurujesz Menedżera Cisco SD-WAN do używania TLS jako protokołu bezpieczeństwa płaszczyzny kontrolnej, musisz włączyć przekierowywanie portów w swoim NAT. Jeśli używasz DTLS jako protokołu bezpieczeństwa płaszczyzny kontrolnej, nie musisz nic robić. Liczba przekierowanych portów zależy od liczby procesów vdaemon uruchomionych w Cisco SD-WAN Manager. Aby wyświetlić informacje o tych procesach oraz o liczbie przekierowanych portów, użyj polecenia show control sumary, które pokazuje, że działają cztery procesy demonów:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Aby zobaczyć porty nasłuchujące, użyj polecenia show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

To wyjście pokazuje, że nasłuchujący port TCP to 23456. Jeśli używasz Cisco SD-WAN Manager za NAT, powinieneś otworzyć następujące porty na urządzeniu NAT:

  • 23456 (baza – port instancji 0)
  • 23456 + 100 (podstawa + 100)
  • 23456 + 200 (podstawa + 200)
  • 23456 + 300 (podstawa + 300)

Należy pamiętać, że liczba instancji jest taka sama, jak liczba rdzeni przypisanych do menedżera Cisco SD-WAN, maksymalnie do 8.

Skonfiguruj parametry zabezpieczeń za pomocą szablonu funkcji zabezpieczeń

Użyj szablonu funkcji zabezpieczeń dla wszystkich urządzeń Cisco vEdge. Na routerach brzegowych i w Cisco SD-WAN Validator użyj tego szablonu, aby skonfigurować protokół IPsec pod kątem zabezpieczeń płaszczyzny danych. W narzędziach Cisco SD-WAN Manager i Cisco SD-WAN Controller użyj szablonu funkcji zabezpieczeń, aby skonfigurować protokół DTLS lub TLS na potrzeby zabezpieczeń płaszczyzny sterującej.

Skonfiguruj parametry zabezpieczeń

  1. Z menu Cisco SD-WAN Manager wybierz opcję Konfiguracja > Szablony.
  2. Kliknij opcję Szablony funkcji, a następnie kliknij opcję Dodaj szablon.
    Notatka W wersji Cisco vManage w wersji 20.7.1 i wcześniejszych szablony funkcji nazywane są funkcjami.
  3. Z listy Urządzenia w lewym okienku wybierz urządzenie. Szablony mające zastosowanie do wybranego urządzenia pojawią się w prawym panelu.
  4. Kliknij Bezpieczeństwo, aby otworzyć szablon.
  5. W polu Nazwa szablonu wprowadź nazwę szablonu. Nazwa może mieć maksymalnie 128 znaków i może zawierać wyłącznie znaki alfanumeryczne.
  6. W polu Opis szablonu wprowadź opis szablonu. Opis może mieć maksymalnie 2048 znaków i może zawierać wyłącznie znaki alfanumeryczne.

Kiedy po raz pierwszy otwierasz szablon funkcji, dla każdego parametru, który ma wartość domyślną, zakres jest ustawiany na wartość Domyślny (oznaczany znacznikiem wyboru) i wyświetlane jest ustawienie lub wartość domyślna. Aby zmienić ustawienie domyślne lub wprowadzić wartość, kliknij menu rozwijane zakresu po lewej stronie pola parametru i wybierz jedną z następujących opcji:

Tabela 1:

Parametr Zakres Opis zakresu
Specyficzne dla urządzenia (oznaczone ikoną hosta) Użyj wartości specyficznej dla urządzenia dla parametru. W przypadku parametrów specyficznych dla urządzenia nie można wprowadzić wartości w szablonie funkcji. Wartość wprowadzasz podczas dołączania urządzenia Viptela do szablonu urządzenia.

Po kliknięciu opcji Określone urządzenie zostanie otwarte okno Wprowadź klucz. W tym polu wyświetlany jest klucz będący unikalnym ciągiem znaków identyfikującym parametr w pliku CSV file które tworzysz. Ten file to arkusz kalkulacyjny programu Excel zawierający jedną kolumnę dla każdego klucza. Wiersz nagłówka zawiera nazwy kluczy (jeden klucz w kolumnie), a każdy kolejny wiersz odpowiada urządzeniu i definiuje wartości kluczy dla tego urządzenia. Przesyłasz plik CSV file po podłączeniu urządzenia Viptela do szablonu urządzenia. Aby uzyskać więcej informacji, zobacz Tworzenie arkusza kalkulacyjnego zmiennych szablonu.

Aby zmienić domyślny klucz, wpisz nowy ciąg i przesuń kursor poza pole Enter Key.

ExampPliki parametrów specyficznych dla urządzenia to adres IP systemu, nazwa hosta, lokalizacja GPS i identyfikator witryny.
Parametr Zakres Opis zakresu
Globalny (oznaczony ikoną globusa) Wprowadź wartość parametru i zastosuj tę wartość do wszystkich urządzeń.

ExampPliki parametrów, które można zastosować globalnie do grupy urządzeń, to serwer DNS, serwer syslog i jednostki MTU interfejsu.

Skonfiguruj zabezpieczenia platformy sterującej

Notatka
Sekcja Konfigurowanie zabezpieczeń płaszczyzny kontrolnej dotyczy tylko menedżera Cisco SD-WAN Manager i kontrolera Cisco SD-WAN. Aby skonfigurować protokół połączenia płaszczyzny kontrolnej w instancji Cisco SD-WAN Manager lub kontrolerze Cisco SD-WAN, wybierz obszar Konfiguracja podstawowa i skonfiguruj następujące parametry:

Tabela 2:

Parametr Nazwa Opis
Protokół Wybierz protokół, który ma być używany w połączeniach płaszczyzny sterującej z kontrolerem Cisco SD-WAN:

• DTLS (od rtagRAM Transport Layer Security). To jest ustawienie domyślne.

•  TLS (bezpieczeństwo warstwy transportowej)
Kontroluj port TLS Jeśli wybrałeś TLS, skonfiguruj numer portu do użycia:Zakres: 1025 do 65535Domyślny: 23456

Kliknij Zapisz

Skonfiguruj zabezpieczenia płaszczyzny danych
Aby skonfigurować zabezpieczenia płaszczyzny danych w walidatorze Cisco SD-WAN Validator lub routerze Cisco vEdge, wybierz zakładki Konfiguracja podstawowa i Typ uwierzytelniania i skonfiguruj następujące parametry:

Tabela 3:

Parametr Nazwa Opis
Czas ponownego otwarcia Określ, jak często router Cisco vEdge zmienia klucz AES używany w bezpiecznym połączeniu DTLS na kontroler Cisco SD-WAN. Jeśli włączone jest łagodne ponowne uruchomienie OMP, czas ponownego wprowadzenia klucza musi być co najmniej dwukrotnie dłuższy od wartości licznika łagodnego ponownego uruchomienia OMP.Zakres: 10 do 1209600 sekund (14 dni)Domyślny: 86400 sekund (24 godziny)
Okno powtórki Określ rozmiar przesuwanego okna powtórki.

Wartości: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pakietówDomyślny: 512 pakietów
IPSec

kluczowanie parami

 Opcja ta jest domyślnie wyłączona. Kliknij On aby włączyć.
Parametr Nazwa Opis
Typ uwierzytelniania Wybierz typy uwierzytelniania z Uwierzytelnianie Listai kliknij strzałkę skierowaną w prawo, aby przenieść typy uwierzytelniania do Wybrana lista kolumna.

Typy uwierzytelniania obsługiwane przez Cisco SD-WAN w wersji 20.6.1:

•  szczególnie: Włącza szyfrowanie ładunku zabezpieczającego (ESP) i sprawdzanie integralności nagłówka ESP.

•  ip-udp-esp: Włącza szyfrowanie ESP. Oprócz kontroli integralności nagłówka i ładunku ESP, kontrole obejmują również zewnętrzne nagłówki IP i UDP.

•  ip-udp-esp-no-id: Ignoruje pole identyfikatora w nagłówku IP, dzięki czemu Cisco Catalyst SD-WAN może działać w połączeniu z urządzeniami innych firm.

•  nic: wyłącza sprawdzanie integralności pakietów IPSec. Nie zalecamy korzystania z tej opcji.

 

Typy uwierzytelniania obsługiwane w Cisco SD-WAN w wersji 20.5.1 i wcześniejszych:

•  aha-nie-identyfikator: Włącza ulepszoną wersję AH-SHA1 HMAC i ESP HMAC-SHA1, która ignoruje pole ID w zewnętrznym nagłówku IP pakietu.

•  ah-sha1-hmac: Włącz AH-SHA1 HMAC i ESP HMAC-SHA1.

•  nic: Wybierz brak uwierzytelniania.

•  sha1-hmac: Włącz ESP HMAC-SHA1.

 

Notatka              W przypadku urządzenia brzegowego działającego w systemie Cisco SD-WAN w wersji 20.5.1 lub wcześniejszej można skonfigurować typy uwierzytelniania przy użyciu Bezpieczeństwo szablon. Po uaktualnieniu urządzenia do wersji Cisco SD-WAN w wersji 20.6.1 lub nowszej zaktualizuj wybrane typy uwierzytelniania w Bezpieczeństwo szablon do typów uwierzytelniania obsługiwanych przez Cisco SD-WAN w wersji 20.6.1. Aby zaktualizować typy uwierzytelniania, wykonaj następujące czynności:

1.      Z menu Menedżera Cisco SD-WAN wybierz opcję Konfiguracja >

Szablony.

2.      Trzask Szablony funkcji.

3.      Znajdź Bezpieczeństwo szablon do aktualizacji i kliknij… i kliknij Redagować.

4.      Trzask Aktualizacja. Nie modyfikuj żadnej konfiguracji.

Menedżer Cisco SD-WAN aktualizuje Bezpieczeństwo szablon, aby wyświetlić obsługiwane typy uwierzytelniania.

Kliknij Zapisz.

Skonfiguruj parametry zabezpieczeń płaszczyzny danych

W płaszczyźnie danych protokół IPsec jest domyślnie włączony na wszystkich routerach, a połączenia tunelowe IPsec domyślnie wykorzystują ulepszoną wersję protokołu ESP (Encapsulated Security Payload) do uwierzytelniania w tunelach IPsec. Na routerach można zmienić typ uwierzytelniania, licznik czasu ponownego klucza IPsec i rozmiar okna zapobiegania powtórzeniom protokołu IPsec.

Skonfiguruj dozwolone typy uwierzytelniania

Typy uwierzytelniania w Cisco SD-WAN w wersji 20.6.1 i nowszych
Od wersji Cisco SD-WAN 20.6.1 obsługiwane są następujące typy integralności:

  • esp: Ta opcja umożliwia szyfrowanie ładunku zabezpieczającego (ESP) i sprawdzanie integralności nagłówka ESP.
  • ip-udp-esp: Ta opcja włącza szyfrowanie ESP. Oprócz kontroli integralności nagłówka ESP i ładunku, kontrole obejmują również zewnętrzne nagłówki IP i UDP.
  • ip-udp-esp-no-id: Ta opcja jest podobna do ip-udp-esp, jednak pole ID zewnętrznego nagłówka IP jest ignorowane. Skonfiguruj tę opcję na liście typów integralności, aby oprogramowanie Cisco Catalyst SD-WAN ignorowało pole identyfikatora w nagłówku IP, dzięki czemu Cisco Catalyst SD-WAN może współpracować z urządzeniami innych firm.
  • none: Ta opcja wyłącza sprawdzanie integralności pakietów IPSec. Nie zalecamy korzystania z tej opcji.

Domyślnie połączenia tunelowe IPsec używają do uwierzytelniania ulepszonej wersji protokołu Encapsulated Security Payload (ESP). Aby zmodyfikować negocjowane typy międzymiastowe lub wyłączyć sprawdzanie integralności, użyj następującego polecenia: integralność-type { none | ip-udp-esp | ip-udp-esp-no-id | szczególnie }

Typy uwierzytelniania przed wersją Cisco SD-WAN 20.6.1
Domyślnie połączenia tunelowe IPsec używają do uwierzytelniania ulepszonej wersji protokołu Encapsulated Security Payload (ESP). Aby zmodyfikować wynegocjowane typy uwierzytelniania lub wyłączyć uwierzytelnianie, użyj następującego polecenia: Device(config)# security ipsec typ uwierzytelniania (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Domyślnie IPsec połączenia tunelowe korzystają z protokołu AES-GCM-256, który zapewnia zarówno szyfrowanie, jak i uwierzytelnianie. Skonfiguruj każdy typ uwierzytelniania za pomocą osobnego polecenia security ipsec Authentication-type. Opcje poleceń odpowiadają następującym typom uwierzytelniania, które są wymienione w kolejności od najsilniejszego do najsłabszego:

Notatka
Sha1 w opcjach konfiguracyjnych jest używany ze względów historycznych. Opcje uwierzytelniania wskazują, jaka część sprawdzania integralności pakietu jest wykonywana. Nie określają algorytmu sprawdzającego integralność. Z wyjątkiem szyfrowania ruchu multiemisji, algorytmy uwierzytelniania obsługiwane przez Cisco Catalyst SD WAN nie korzystają z SHA1. Jednak w wersji Cisco SD-WAN w wersji 20.1.x i nowszych zarówno emisja pojedyncza, jak i multiemisji nie używają SHA1.

  • ah-sha1-hmac umożliwia szyfrowanie i enkapsulację przy użyciu protokołu ESP. Jednakże oprócz kontroli integralności nagłówka i ładunku ESP, kontrole obejmują także zewnętrzne nagłówki IP i UDP. Dlatego ta opcja obsługuje sprawdzanie integralności pakietu podobnie jak protokół nagłówka uwierzytelniania (AH). Cała integralność i szyfrowanie odbywa się przy użyciu AES-256-GCM.
  • ah-no-id włącza tryb podobny do ah-sha1-hmac, jednak pole ID zewnętrznego nagłówka IP jest ignorowane. Ta opcja obsługuje niektóre urządzenia SD-WAN inne niż Cisco Catalyst, w tym Apple AirPort Express NAT, w których występuje błąd powodujący modyfikację pola identyfikatora w nagłówku IP, którego nie można modyfikować. Skonfiguruj opcję ah-no-id na liście typów uwierzytelniania, aby oprogramowanie Cisco Catalyst SD-WAN AH ignorowało pole identyfikatora w nagłówku IP, dzięki czemu oprogramowanie Cisco Catalyst SD-WAN mogło współpracować z tymi urządzeniami.
  • sha1-hmac umożliwia szyfrowanie ESP i sprawdzanie integralności.
  • none oznacza brak uwierzytelnienia. Opcji tej należy używać tylko wtedy, gdy jest wymagana do tymczasowego debugowania. Tę opcję można także wybrać w sytuacjach, gdy uwierzytelnianie i integralność płaszczyzny danych nie stanowią problemu. Cisco nie zaleca używania tej opcji w sieciach produkcyjnych.

Aby uzyskać informacje o tym, na które pola pakietów danych mają wpływ te typy uwierzytelniania, zobacz Integralność płaszczyzny danych. Urządzenia Cisco IOS XE Catalyst SD-WAN i urządzenia Cisco vEdge reklamują skonfigurowane typy uwierzytelniania w swoich właściwościach TLOC. Dwa routery po obu stronach połączenia tunelowego IPsec negocjują uwierzytelnianie, które ma być stosowane w połączeniu między nimi, przy użyciu najsilniejszego typu uwierzytelniania skonfigurowanego na obu routerach. Na przykładample, jeśli jeden router ogłasza typy ah-sha1-hmac i ah-no-id, a drugi router ogłasza typ ah-no-id, oba routery negocjują użycie ah-no-id w połączeniu tunelowym IPsec pomiędzy ich. Jeśli na dwóch urządzeniach równorzędnych nie skonfigurowano żadnych wspólnych typów uwierzytelniania, między nimi nie zostanie utworzony tunel IPsec. Algorytm szyfrowania połączeń tunelowych IPsec zależy od rodzaju ruchu:

  • W przypadku ruchu emisji pojedynczej algorytm szyfrowania to AES-256-GCM.
  • Dla ruchu multiemisji:
  • Cisco SD-WAN Release 20.1.x i nowsze — algorytm szyfrowania to AES-256-GCM
  • Poprzednie wersje – algorytm szyfrowania to AES-256-CBC z SHA1-HMAC.

Zmiana typu uwierzytelniania IPsec powoduje zmianę klucza AES ścieżki danych.

Zmień licznik czasu ponownego kluczowania

Zanim urządzenia Cisco IOS XE Catalyst SD-WAN i Cisco vEdge będą mogły wymieniać ruch danych, ustanawiają między sobą bezpieczny, uwierzytelniony kanał komunikacyjny. Routery wykorzystują między sobą tunele IPSec jako kanał oraz szyfr AES-256 do szyfrowania. Każdy router okresowo generuje nowy klucz AES dla swojej ścieżki danych. Domyślnie klucz jest ważny przez 86400 sekund (24 godziny), a zakres timera wynosi od 10 sekund do 1209600 sekund (14 dni). Aby zmienić wartość licznika ponownego klucza: Device(config)# security ipsec rekey sekund Konfiguracja wygląda następująco:

  • bezpieczeństwo ipsec rekey sekundy!

Jeśli chcesz od razu wygenerować nowe klucze IPsec, możesz to zrobić bez modyfikowania konfiguracji routera. Aby to zrobić, wydaj polecenie request security ipsecrekey na zaatakowanym routerze. Na przykładample poniższe dane wyjściowe pokazują, że lokalny SA ma indeks parametrów zabezpieczeń (SPI) równy 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Z każdym SPI powiązany jest unikalny klucz. Jeśli ten klucz zostanie naruszony, użyj polecenia request security ipsec-rekey, aby natychmiast wygenerować nowy klucz. To polecenie zwiększa SPI. U naszego byłegoample, SPI zmienia się na 257 i powiązany z nim klucz jest teraz używany:

  • Urządzenie nr żądania bezpieczeństwa ipsecrekey
  • Numer urządzenia pokazuje ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Po wygenerowaniu nowego klucza router natychmiast wysyła go do kontrolerów Cisco SD-WAN za pomocą protokołu DTLS lub TLS. Kontrolery Cisco SD-WAN wysyłają klucz do routerów równorzędnych. Routery zaczynają go używać natychmiast po otrzymaniu. Należy pamiętać, że klucz powiązany ze starym SPI (256) będzie nadal używany przez krótki czas, aż upłynie limit czasu. Aby natychmiast zaprzestać używania starego klucza, wydaj dwukrotnie polecenie request security ipsec-rekey w krótkich odstępach czasu. Ta sekwencja poleceń usuwa zarówno SPI 256, jak i 257 i ustawia SPI na 258. Router używa następnie powiązanego klucza SPI 258. Należy jednak pamiętać, że niektóre pakiety będą odrzucane na krótki okres czasu, dopóki wszystkie zdalne routery się nie nauczą nowy klucz.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Zmień rozmiar okna zapobiegania powtórkom

Uwierzytelnianie IPsec zapewnia ochronę przed powtórzeniem poprzez przypisanie unikalnego numeru sekwencyjnego do każdego pakietu w strumieniu danych. Ta numeracja sekwencyjna chroni przed powielaniem pakietów danych przez atakującego. Dzięki zabezpieczeniu przed ponownym odtworzeniem nadawca przypisuje monotonicznie rosnące numery kolejne, a odbiorca sprawdza te numery kolejne w celu wykrycia duplikatów. Ponieważ pakiety często nie docierają w kolejności, miejsce docelowe utrzymuje przesuwane okno z numerami sekwencyjnymi, które zaakceptuje.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Pakiety z numerami sekwencyjnymi znajdującymi się na lewo od zakresu przesuwanego okna są uważane za stare lub duplikaty i miejsce docelowe je odrzuca. Miejsce docelowe śledzi najwyższy otrzymany numer kolejny i dostosowuje przesuwane okno, gdy odbierze pakiet o wyższej wartości.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Domyślnie przesuwane okno jest ustawione na 512 pakietów. Można go ustawić na dowolną wartość z zakresu od 64 do 4096, czyli potęgę liczby 2 (czyli 64, 128, 256, 512, 1024, 2048 lub 4096). Aby zmodyfikować rozmiar okna zapobiegającego powtórce, użyj polecenia replay-window, określając rozmiar okna:

Urządzenie(config)# bezpieczeństwo Numer okna powtórki ipsec

Konfiguracja wygląda następująco:
bezpieczeństwo numer okna powtórki ipsec ! !

Aby pomóc w QoS, dla każdego z pierwszych ośmiu kanałów ruchu utrzymywane są oddzielne okna powtórek. Skonfigurowany rozmiar okna powtórki jest dzielony przez osiem dla każdego kanału. Jeśli na routerze skonfigurowana jest funkcja QoS, na routerze tym może wystąpić większa niż oczekiwana liczba odrzuconych pakietów w wyniku mechanizmu zapobiegającego powtarzaniu protokołu IPsec, a wiele z odrzuconych pakietów to pakiety prawidłowe. Dzieje się tak, ponieważ funkcja QoS zmienia kolejność pakietów, zapewniając preferencyjne traktowanie pakietów o wyższym priorytecie i opóźniając pakiety o niższym priorytecie. Aby zminimalizować lub zapobiec tej sytuacji, możesz wykonać następujące czynności:

  • Zwiększ rozmiar okna zapobiegającego ponownemu odtwarzaniu.
  • Inżynieruj ruch w pierwszych ośmiu kanałach ruchu, aby upewnić się, że ruch w kanale nie ulegnie zmianie.

Skonfiguruj tunele IPsec z obsługą IKE
Aby bezpiecznie przesyłać ruch z sieci nakładkowej do sieci usługowej, można skonfigurować tunele IPsec obsługujące protokół Internet Key Exchange (IKE). Tunele IPsec z obsługą protokołu IKE zapewniają uwierzytelnianie i szyfrowanie w celu zapewnienia bezpiecznego transportu pakietów. Tunel IPsec z obsługą protokołu IKE tworzy się poprzez skonfigurowanie interfejsu IPsec. Interfejsy IPsec są interfejsami logicznymi i konfiguruje się je tak samo, jak każdy inny interfejs fizyczny. Możesz skonfigurować parametry protokołu IKE w interfejsie IPsec i możesz skonfigurować inne właściwości interfejsu.

Notatka Cisco zaleca używanie protokołu IKE w wersji 2. Począwszy od wersji Cisco SD-WAN 19.2.x, klucz wstępny musi mieć długość co najmniej 16 bajtów. Utworzenie tunelu IPsec nie powiedzie się, jeśli rozmiar klucza jest mniejszy niż 16 znaków po aktualizacji routera do wersji 19.2.

Notatka
Oprogramowanie Cisco Catalyst SD-WAN obsługuje protokół IKE w wersji 2 zgodnie z definicją w RFC 7296. Jednym z zastosowań tuneli IPsec jest umożliwienie instancjom wirtualnym routera vEdge Cloud działającym na Amazon AWS łączenia się z wirtualną chmurą prywatną Amazon (VPC). Na tych routerach należy skonfigurować usługę IKE w wersji 1. Urządzenia Cisco vEdge obsługują tylko sieci VPN oparte na trasach w konfiguracji IPSec, ponieważ urządzenia te nie mogą definiować selektorów ruchu w domenie szyfrowania.

Skonfiguruj tunel IPsec
Aby skonfigurować interfejs tunelu IPsec dla bezpiecznego ruchu transportowego z sieci usługowej, utwórz logiczny interfejs IPsec:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Tunel IPsec możesz utworzyć w transportowej sieci VPN (VPN 0) oraz w dowolnej usłudze VPN (VPN 1 do 65530, z wyjątkiem 512). Interfejs IPsec ma nazwę w formacie ipsecnumber, gdzie liczba może wynosić od 1 do 255. Każdy interfejs IPsec musi mieć adres IPv4. Adres ten musi mieć prefiks /30. Cały ruch w sieci VPN znajdujący się w obrębie tego prefiksu IPv4 jest kierowany do interfejsu fizycznego w VPN 0 w celu bezpiecznego przesyłania przez tunel IPsec. Aby skonfigurować źródło tunelu IPsec na urządzeniu lokalnym, możesz określić adres IP interfejs fizyczny (w poleceniu tunel-źródło) lub nazwa interfejsu fizycznego (w poleceniu tunel-źródło-interfejs). Upewnij się, że interfejs fizyczny jest skonfigurowany w VPN 0. Aby skonfigurować miejsce docelowe tunelu IPsec, określ adres IP urządzenia zdalnego w poleceniu tunel-destination. Kombinacja adresu źródłowego (lub nazwy interfejsu źródłowego) i adresu docelowego definiuje pojedynczy tunel IPsec. Może istnieć tylko jeden tunel IPsec, który używa określonej pary adresów źródłowych (lub nazw interfejsu) i adresów docelowych.

Skonfiguruj trasę statyczną IPsec

Aby skierować ruch z usługi VPN do tunelu IPsec w transportowej sieci VPN (VPN 0), należy skonfigurować trasę statyczną specyficzną dla IPsec w usłudze VPN (VPN inna niż VPN 0 lub VPN 512):

  • vEdge(config)# vpn identyfikator-vpn
  • vEdge(config-vpn)# ip ipsec-route prefiks/długość interfejs VPN 0
  • numer ipsec [numer ipsec2]

Identyfikator VPN to identyfikator dowolnej usługi VPN (VPN od 1 do 65530, z wyjątkiem 512). prefiks/długość to adres IP lub prefiks w formacie dziesiętnym z czterema kropkami i długość prefiksu trasy statycznej specyficznej dla protokołu IPsec. Interfejs jest interfejsem tunelu IPsec w VPN 0. Można skonfigurować jeden lub dwa interfejsy tunelu IPsec. Jeśli skonfigurujesz dwa, pierwszy będzie podstawowym tunelem IPsec, a drugi kopią zapasową. W przypadku dwóch interfejsów wszystkie pakiety są wysyłane tylko do tunelu podstawowego. Jeśli ten tunel ulegnie awarii, wszystkie pakiety są następnie wysyłane do tunelu dodatkowego. Jeśli tunel podstawowy zostanie przywrócony, cały ruch zostanie przeniesiony z powrotem do głównego tunelu IPsec.

Włącz wersję IKE 1
Kiedy tworzysz tunel IPsec na routerze vEdge, w interfejsie tunelu jest domyślnie włączona usługa IKE w wersji 1. Następujące właściwości są również domyślnie włączone dla IKEv1:

  • Uwierzytelnianie i szyfrowanie — zaawansowany standard szyfrowania AES-256, szyfrowanie CBC z algorytmem kodu uwierzytelniania wiadomości HMAC-SHA1 z kluczem HMAC-SHAXNUMX zapewniającym integralność
  • Numer grupy Diffiego-Hellmana – 16
  • Przedział czasu ponownego kluczowania — 4 godziny
  • Tryb ustanowienia SA — główny

Domyślnie IKEv1 używa trybu głównego IKE do ustanawiania SA IKE. W tym trybie wymienianych jest sześć pakietów negocjacyjnych w celu ustanowienia SA. Aby wymienić tylko trzy pakiety negocjacyjne, włącz tryb agresywny:

Notatka
O ile to możliwe, należy unikać agresywnego trybu IKE z kluczami współdzielonymi. W przeciwnym razie należy wybrać silny klucz wstępny.

  • vEdge(config)# vpn vpn-id interfejs numer ipsec ike
  • vEdge(config-ike)# tryb agresywny

Domyślnie IKEv1 używa grupy Diffie-Hellmana 16 w wymianie kluczy IKE. Ta grupa używa 4096-bitowej bardziej modułowej grupy wykładniczej (MODP) podczas wymiany kluczy IKE. Możesz zmienić numer grupy na 2 (dla 1024-bitowego MODP), 14 (2048-bitowego MODP) lub 15 (3072-bitowego MODP):

  • vEdge(config)# vpn vpn-id interfejs numer ipsec ike
  • vEdge(config-ike)# numer grupy

Domyślnie wymiana kluczy IKE wykorzystuje zaawansowany standard szyfrowania AES-256, szyfrowanie CBC z algorytmem kodu uwierzytelniającego wiadomości HMAC-SHA1 w celu zapewnienia integralności. Możesz zmienić uwierzytelnianie:

  • vEdge(config)# vpn vpn-id interfejs numer ipsec ike
  • vEdge(config-ike)# pakiet szyfrów

Zestaw uwierzytelniania może być jednym z następujących:

  • aes128-cbc-sha1 — zaawansowany standard szyfrowania AES-128, szyfrowanie CBC z algorytmem uwierzytelniania wiadomości HMAC-SHA1 z kluczem hash zapewniającym integralność
  • aes128-cbc-sha2 — zaawansowany standard szyfrowania AES-128, szyfrowanie CBC z algorytmem uwierzytelniania wiadomości HMAC-SHA256 z kluczem hash zapewniającym integralność
  • aes256-cbc-sha1 — zaawansowany standard szyfrowania AES-256, szyfrowanie CBC z algorytmem uwierzytelniania wiadomości z kluczem HMAC-SHA1 zapewniającym integralność; jest to ustawienie domyślne.
  • aes256-cbc-sha2 — zaawansowany standard szyfrowania AES-256, szyfrowanie CBC z algorytmem uwierzytelniania wiadomości HMAC-SHA256 z kluczem hash zapewniającym integralność

Domyślnie klucze IKE są odświeżane co 1 godzinę (3600 sekund). Możesz zmienić interwał ponownego kluczowania na wartość od 30 sekund do 14 dni (1209600 sekund). Zaleca się, aby odstęp między kolejnymi kluczami wynosił co najmniej 1 godzinę.

  • vEdge(config)# vpn vpn-id interfejs numer ipsec jak
  • vEdge(config-ike)# sekundy ponownego klucza

Aby wymusić generowanie nowych kluczy dla sesji IKE, wydaj polecenie request ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id interfejs numer ipsec ike

W przypadku IKE możesz także skonfigurować uwierzytelnianie za pomocą klucza wstępnego (PSK):

  • vEdge(config)# vpn vpn-id interfejs numer ipsec ike
  • vEdge(config-ike)# typ uwierzytelniania-klucz wstępny-wspólne-tajne hasło hasło to hasło używane z kluczem wstępnym. Może to być ciąg znaków ASCII lub ciąg szesnastkowy o długości od 1 do 127 znaków.

Jeśli zdalny element równorzędny IKE wymaga identyfikatora lokalnego lub zdalnego, możesz skonfigurować ten identyfikator:

  • vEdge(config)# vpn vpn-id interfejs numer ipsec ike typ uwierzytelniania
  • vEdge(config-authentication-type)# identyfikator lokalny
  • vEdge(typ-uwierzytelniania konfiguracji) # identyfikator zdalnego identyfikatora

Identyfikatorem może być adres IP lub dowolny ciąg tekstowy o długości od 1 do 63 znaków. Domyślnie identyfikator lokalny to źródłowy adres IP tunelu, a identyfikator zdalny to docelowy adres IP tunelu.

Włącz wersję IKE 2
Po skonfigurowaniu tunelu IPsec do korzystania z protokołu IKE w wersji 2 domyślnie włączone są także następujące właściwości dla protokołu IKEv2:

  • Uwierzytelnianie i szyfrowanie — zaawansowany standard szyfrowania AES-256, szyfrowanie CBC z algorytmem kodu uwierzytelniania wiadomości HMAC-SHA1 z kluczem HMAC-SHAXNUMX zapewniającym integralność
  • Numer grupy Diffiego-Hellmana – 16
  • Przedział czasu ponownego kluczowania — 4 godziny

Domyślnie IKEv2 używa grupy Diffie-Hellmana 16 w wymianie kluczy IKE. Ta grupa używa 4096-bitowej bardziej modułowej grupy wykładniczej (MODP) podczas wymiany kluczy IKE. Możesz zmienić numer grupy na 2 (dla 1024-bitowego MODP), 14 (2048-bitowego MODP) lub 15 (3072-bitowego MODP):

  • vEdge(config)# vpn vpn-id interfejs ipsecnumber ike
  • vEdge(config-ike)# numer grupy

Domyślnie wymiana kluczy IKE wykorzystuje zaawansowany standard szyfrowania AES-256, szyfrowanie CBC z algorytmem kodu uwierzytelniającego wiadomości HMAC-SHA1 w celu zapewnienia integralności. Możesz zmienić uwierzytelnianie:

  • vEdge(config)# vpn vpn-id interfejs ipsecnumber ike
  • vEdge(config-ike)# pakiet szyfrów

Zestaw uwierzytelniania może być jednym z następujących:

  • aes128-cbc-sha1 — zaawansowany standard szyfrowania AES-128, szyfrowanie CBC z algorytmem uwierzytelniania wiadomości HMAC-SHA1 z kluczem hash zapewniającym integralność
  • aes128-cbc-sha2 — zaawansowany standard szyfrowania AES-128, szyfrowanie CBC z algorytmem uwierzytelniania wiadomości HMAC-SHA256 z kluczem hash zapewniającym integralność
  • aes256-cbc-sha1 — zaawansowany standard szyfrowania AES-256, szyfrowanie CBC z algorytmem uwierzytelniania wiadomości z kluczem HMAC-SHA1 zapewniającym integralność; jest to ustawienie domyślne.
  • aes256-cbc-sha2 — zaawansowany standard szyfrowania AES-256, szyfrowanie CBC z algorytmem uwierzytelniania wiadomości HMAC-SHA256 z kluczem hash zapewniającym integralność

Domyślnie klucze IKE są odświeżane co 4 godziny (14,400 30 sekund). Możesz zmienić interwał ponownego kluczowania na wartość od 14 sekund do 1209600 dni (XNUMX sekund):

  • vEdge(config)# vpn vpn-id interfejs ipsecnumber ike
  • vEdge(config-ike)# sekundy ponownego klucza

Aby wymusić generowanie nowych kluczy dla sesji IKE, wydaj polecenie request ipsec ike-rekey. W przypadku IKE możesz także skonfigurować uwierzytelnianie za pomocą klucza wstępnego (PSK):

  • vEdge(config)# vpn vpn-id interfejs ipsecnumber ike
  • vEdge(config-ike)# typ uwierzytelniania-klucz wstępny-wspólne-tajne hasło hasło to hasło używane z kluczem wstępnym. Może to być ciąg znaków ASCII, ciąg szesnastkowy albo klucz zaszyfrowany metodą AES. Jeśli zdalny element równorzędny IKE wymaga identyfikatora lokalnego lub zdalnego, możesz skonfigurować ten identyfikator:
  • vEdge(config)# vpn vpn-id interfejs numer ipsec ike typ uwierzytelniania
  • vEdge(config-authentication-type)# identyfikator lokalny
  • vEdge(typ-uwierzytelniania konfiguracji) # identyfikator zdalnego identyfikatora

Identyfikatorem może być adres IP lub dowolny ciąg tekstowy o długości od 1 do 64 znaków. Domyślnie identyfikator lokalny to źródłowy adres IP tunelu, a identyfikator zdalny to docelowy adres IP tunelu.

Skonfiguruj parametry tunelu IPsec

Tabela 4: Historia funkcji

Funkcja Nazwa Informacje o wydaniu Opis
Dodatkowe kryptograficzne Wersja Cisco SD-WAN 20.1.1 Ta funkcja dodaje obsługę
Wsparcie algorytmiczne dla IPSec   HMAC_SHA256, HMAC_SHA384 i
Tunele   Algorytmy HMAC_SHA512 dla
    rozszerzona ochrona.

Domyślnie w tunelu IPsec obsługującym ruch IKE używane są następujące parametry:

  • Uwierzytelnianie i szyfrowanie – algorytm AES-256 w GCM (tryb Galois/licznik)
  • Interwał ponownego kluczowania — 4 godziny
  • Okno powtórki – 32 pakiety

Możesz zmienić szyfrowanie w tunelu IPsec na szyfr AES-256 w CBC (tryb łączenia bloków szyfru, z HMAC używającym uwierzytelniania wiadomości z kluczem SHA-1 lub SHA-2 lub na null z HMAC przy użyciu SHA-1 lub Uwierzytelnianie wiadomości za pomocą klucza SHA-2, aby nie szyfrować tunelu IPsec używanego w ruchu wymiany kluczy IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# zestaw szyfrów (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 | aes256-null-sha384 | aes256-null-sha512)

Domyślnie klucze IKE są odświeżane co 4 godziny (14,400 30 sekund). Możesz zmienić interwał ponownego kluczowania na wartość od 14 sekund do 1209600 dni (XNUMX sekund):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# sekundy ponownego klucza

Aby wymusić generowanie nowych kluczy dla tunelu IPsec, wydaj polecenie request ipsec ipsec-rekey. Domyślnie w tunelach IPsec włączona jest doskonała tajemnica przekazywania (PFS), aby zapewnić, że bezpieczeństwo przyszłych kluczy nie będzie miało wpływu na poprzednie sesje. PFS wymusza nową wymianę kluczy Diffiego-Hellmana, domyślnie przy użyciu 4096-bitowej grupy modułów głównych Diffie-Hellmana. Możesz zmienić ustawienie PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# ustawienie pfs idealnego-przekazywania-tajemnicy

ustawienie pfs może mieć jedną z następujących wartości:

  • grupa-2 — użyj 1024-bitowej grupy modułów pierwszych Diffiego-Hellmana.
  • grupa-14 — użyj 2048-bitowej grupy modułów pierwszych Diffiego-Hellmana.
  • grupa-15 — użyj 3072-bitowej grupy modułów pierwszych Diffiego-Hellmana.
  • grupa-16 — użyj 4096-bitowej grupy modułów pierwszych Diffiego-Hellmana. To jest ustawienie domyślne.
  • brak — wyłącz PFS.

Domyślnie okno odtwarzania IPsec w tunelu IPsec ma 512 bajtów. Możesz ustawić rozmiar okna powtórki na 64, 128, 256, 512, 1024, 2048 lub 4096 pakietów:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# numer okna powtórki

Zmodyfikuj funkcję wykrywania martwego punktu równorzędnego IKE

Usługa IKE korzysta z mechanizmu wykrywania martwego elementu równorzędnego, aby określić, czy połączenie z elementem równorzędnym IKE działa i jest osiągalne. Aby zaimplementować ten mechanizm, IKE wysyła pakiet Hello do swojego partnera, a uczestnik w odpowiedzi wysyła potwierdzenie. Domyślnie IKE wysyła pakiety Hello co 10 sekund, a po trzech niepotwierdzonych pakietach IKE stwierdza, że ​​sąsiad nie żyje i otwiera tunel do partnera. Następnie usługa IKE okresowo wysyła do partnera pakiet Hello i ponownie ustanawia tunel, gdy uczestnik wróci do trybu online. Można zmienić interwał wykrywania aktywności na wartość z zakresu od 0 do 65535 oraz liczbę ponownych prób na wartość z zakresu od 0 do 255.

Notatka

W przypadku transportowych sieci VPN interwał wykrywania aktywności jest przeliczany na sekundy przy użyciu następującego wzoru: Interwał dla liczby prób retransmisji N = interwał * 1.8N-1Na przykładample, jeśli interwał jest ustawiony na 10 i ponownie wynosi 5, interwał wykrywania zwiększa się w następujący sposób:

  • Próba 1: 10 * 1.81-1 = 10 sekund
  • Próba 2: 10 * 1.82-1 = 18 sekund
  • Próba 3: 10 * 1.83-1 = 32.4 sekund
  • Próba 4: 10 * 1.84-1 = 58.32 sekund
  • Próba 5: 10 * 1.85-1 = 104.976 sekund

vEdge(config-interface-ipsecnumber)# liczba ponownych prób wykrycia martwego peera

Skonfiguruj inne właściwości interfejsu

W przypadku interfejsów tunelu IPsec można skonfigurować tylko następujące dodatkowe właściwości interfejsu:

  • vEdge(config-interface-ipsec)# bajtów mtu
  • vEdge(config-interface-ipsec)# tcp-mss-dostosuj bajty

Wyłącz słabe algorytmy szyfrowania SSH w Cisco SD-WAN Manager

Tabela 5: Tabela historii funkcji

Funkcja Nazwa Informacje o wydaniu Funkcja Opis
Wyłącz słabe algorytmy szyfrowania SSH w Cisco SD-WAN Manager Wersja Cisco vManage 20.9.1 Ta funkcja umożliwia wyłączenie słabszych algorytmów SSH w programie Cisco SD-WAN Manager, które mogą nie spełniać określonych standardów bezpieczeństwa danych.

Informacje na temat wyłączania słabych algorytmów szyfrowania SSH w programie Cisco SD-WAN Manager
Cisco SD-WAN Manager zapewnia klienta SSH do komunikacji z komponentami sieci, w tym kontrolerami i urządzeniami brzegowymi. Klient SSH zapewnia szyfrowane połączenie w celu bezpiecznego przesyłania danych w oparciu o różne algorytmy szyfrowania. Wiele organizacji wymaga silniejszego szyfrowania niż to zapewniane przez SHA-1, AES-128 i AES-192. Od wersji Cisco vManage Release 20.9.1 można wyłączyć następujące słabsze algorytmy szyfrowania, aby klient SSH nie korzystał z tych algorytmów:

  • SHA-1
  • AES-128
  • AES-192

Przed wyłączeniem tych algorytmów szyfrowania upewnij się, że urządzenia Cisco vEdge, jeśli takie istnieją, w sieci korzystają z oprogramowania w wersji nowszej niż Cisco SD-WAN Release 18.4.6.

Korzyści z wyłączenia słabych algorytmów szyfrowania SSH w programie Cisco SD-WAN Manager
Wyłączenie słabszych algorytmów szyfrowania SSH poprawia bezpieczeństwo komunikacji SSH i zapewnia, że ​​organizacje korzystające z Cisco Catalyst SD-WAN przestrzegają rygorystycznych przepisów bezpieczeństwa.

Wyłącz słabe algorytmy szyfrowania SSH w Cisco SD-WAN Manager przy użyciu interfejsu CLI

  1. Z menu Menedżera Cisco SD-WAN wybierz opcję Narzędzia > Terminal SSH.
  2. Wybierz urządzenie Cisco SD-WAN Manager, na którym chcesz wyłączyć słabsze algorytmy SSH.
  3. Wprowadź nazwę użytkownika i hasło, aby zalogować się do urządzenia.
  4. Wejdź w tryb serwera SSH.
    • vmanage(config)#system
    • vmanage(config-system)# serwer ssh
  5. Wykonaj jedną z poniższych czynności, aby wyłączyć algorytm szyfrowania SSH:
    • Wyłącz SHA-1:
  6. zarządzaj (config-ssh-server)# bez kex-algo sha1
  7. zarządzaj(config-ssh-server)# zatwierdzenie
    Wyświetlany jest następujący komunikat ostrzegawczy: Wygenerowano następujące ostrzeżenia: „system ssh-server kex-algo sha1”: ​​OSTRZEŻENIE: Upewnij się, że wszystkie urządzenia brzegowe obsługują wersję kodu > 18.4.6, która negocjuje lepiej niż SHA1 z vManage. W przeciwnym razie te krawędzie mogą stać się offline. Przystępować? [tak, nie] tak
    • Upewnij się, że na wszystkich urządzeniach Cisco vEdge w sieci działa Cisco SD-WAN w wersji 18.4.6 lub nowszej, i wpisz tak.
    • Wyłącz AES-128 i AES-192:
    • vmanage(config-ssh-server)# brak szyfru aes-128-192
    • vmanage(config-ssh-server)# zatwierdzenie
      Wyświetlany jest następujący komunikat ostrzegawczy:
      Wygenerowano następujące ostrzeżenia:
      „system ssh-server cipher aes-128-192”: OSTRZEŻENIE: Upewnij się, że wszystkie Twoje brzegi obsługują wersję kodu > 18.4.6, która negocjuje lepiej niż AES-128-192 z vManage. W przeciwnym razie te krawędzie mogą stać się offline. Przystępować? [tak, nie] tak
    • Upewnij się, że na wszystkich urządzeniach Cisco vEdge w sieci działa Cisco SD-WAN w wersji 18.4.6 lub nowszej, i wpisz tak.

Sprawdź, czy słabe algorytmy szyfrowania SSH są wyłączone w programie Cisco SD-WAN Manager za pomocą interfejsu CLI

  1. Z menu Menedżera Cisco SD-WAN wybierz opcję Narzędzia > Terminal SSH.
  2. Wybierz urządzenie Cisco SD-WAN Manager, które chcesz zweryfikować.
  3. Wprowadź nazwę użytkownika i hasło, aby zalogować się do urządzenia.
  4. Uruchom następującą komendę: show running-config system ssh-server
  5. Upewnij się, że dane wyjściowe pokazują jedno lub więcej poleceń wyłączających słabsze algorytmy szyfrowania:
    • brak szyfru aes-128-192
    • bez kex-algo sha1

Dokumenty / Zasoby

CISCO SD-WAN Konfiguracja parametrów bezpieczeństwa [plik PDF] Instrukcja użytkownika
SD-WAN Konfiguracja parametrów zabezpieczeń, SD-WAN, Konfiguracja parametrów zabezpieczeń, Parametry zabezpieczeń

Odniesienia

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *