Conteúdo esconder
1 CISCO SD-WAN configura parâmetros de segurança
2 Configurar parâmetros de segurança
3 Configurar parâmetros de segurança do plano de controle
4 Configurar o DTLS no Cisco SD-WAN Manager
5 Configurar parâmetros de segurança do plano de dados
6 Configurar tipos de autenticação permitidos
7 Alterar o temporizador de rechaveamento
8 Alterar o tamanho da janela anti-replay
9 Configurar uma rota estática IPsec
10 Configurar parâmetros do túnel IPsec
11 Modificar detecção de ponto morto IKE
12 Configurar outras propriedades de interface
13 Desative algoritmos de criptografia SSH fracos no Cisco SD-WAN Manager
14 Documentos / Recursos
14.1 Referências

CISCO-LOGO

CISCO SD-WAN configura parâmetros de segurança

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Configurar parâmetros de segurança

Observação

Para alcançar simplificação e consistência, a solução Cisco SD-WAN foi renomeada como Cisco Catalyst SD-WAN. Além disso, do Cisco IOS XE SD-WAN versão 17.12.1a e do Cisco Catalyst SD-WAN versão 20.12.1, as seguintes alterações de componentes são aplicáveis: Cisco vManage para Cisco Catalyst SD-WAN Manager, Cisco vAnalytics para Cisco Catalyst SD-WAN Analytics, Cisco vBond para Cisco Catalyst SD-WAN Validator e Cisco vSmart para Cisco Catalyst SD-WAN Controller. Consulte as notas de versão mais recentes para obter uma lista abrangente de todas as alterações nas marcas dos componentes. Durante a transição para os novos nomes, algumas inconsistências podem estar presentes no conjunto de documentação devido a uma abordagem em fases para as atualizações da interface do usuário do produto de software.

Esta seção descreve como alterar os parâmetros de segurança do plano de controle e do plano de dados na rede de sobreposição Cisco Catalyst SD-WAN.

  • Configurar parâmetros de segurança do plano de controle, em
  • Configurar parâmetros de segurança do plano de dados, em
  • Configurar túneis IPsec habilitados para IKE, em
  • Desative algoritmos de criptografia SSH fracos no Cisco SD-WAN Manager, em

Configurar parâmetros de segurança do plano de controle

Por padrão, o plano de controle usa DTLS como protocolo que fornece privacidade em todos os seus túneis. DTLS é executado em UDP. Você pode alterar o protocolo de segurança do plano de controle para TLS, que é executado em TCP. O principal motivo para usar o TLS é que, se você considerar o Cisco SD-WAN Controller como um servidor, os firewalls protegem os servidores TCP melhor do que os servidores UDP. Você configura o protocolo de túnel do plano de controle em um controlador Cisco SD-WAN: vSmart(config)# security control protocol tls Com essa alteração, todos os túneis do plano de controle entre o controlador Cisco SD-WAN e os roteadores e entre o controlador Cisco SD-WAN e o Cisco SD-WAN Manager usam TLS. Os túneis do plano de controle para o Cisco Catalyst SD-WAN Validator sempre usam DTLS, porque essas conexões devem ser tratadas por UDP. Em um domínio com vários controladores Cisco SD-WAN, quando você configura o TLS em um dos controladores Cisco SD-WAN, todos os túneis do plano de controle desse controlador para os outros controladores usam TLS. Dito de outra forma, o TLS sempre tem precedência sobre o DTLS. No entanto, da perspectiva dos outros controladores Cisco SD-WAN, se você não tiver configurado o TLS neles, eles usarão TLS no túnel do plano de controle apenas para aquele controlador Cisco SD-WAN e usarão túneis DTLS para todos os outros. Controladores Cisco SD-WAN e a todos os seus roteadores conectados. Para que todos os controladores Cisco SD-WAN usem TLS, configure-o em todos eles. Por padrão, o Cisco SD-WAN Controller escuta na porta 23456 solicitações TLS. Para alterar isso: vSmart(config)# security control tls-port number A porta pode ser um número de 1025 a 65535. Para exibir informações de segurança do plano de controle, use o comando show control connection no controlador Cisco SD-WAN. Para example: vSmart-2# mostra conexões de controle

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Configurar o DTLS no Cisco SD-WAN Manager

Se você configurar o Cisco SD-WAN Manager para usar TLS como protocolo de segurança do plano de controle, deverá ativar o encaminhamento de porta em seu NAT. Se você estiver usando DTLS como protocolo de segurança do plano de controle, não será necessário fazer nada. O número de portas encaminhadas depende do número de processos vdaemon em execução no Cisco SD-WAN Manager. Para exibir informações sobre esses processos e sobre o número de portas que estão sendo encaminhadas, use o comando show control summary para mostrar que quatro processos daemon estão em execução:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Para ver as portas de escuta, use o comando show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Esta saída mostra que a porta TCP de escuta é 23456. Se estiver executando o Cisco SD-WAN Manager atrás de um NAT, você deverá abrir as seguintes portas no dispositivo NAT:

  • 23456 (base – porta da instância 0)
  • 23456 + 100 (base + 100)
  • 23456 + 200 (base + 200)
  • 23456 + 300 (base + 300)

Observe que o número de instâncias é igual ao número de núcleos atribuídos ao Cisco SD-WAN Manager, até um máximo de 8.

Configurar parâmetros de segurança usando o modelo de recurso de segurança

Use o modelo de recurso de segurança para todos os dispositivos Cisco vEdge. Nos roteadores de borda e no Cisco SD-WAN Validator, use este modelo para configurar o IPsec para segurança do plano de dados. No Cisco SD-WAN Manager e no Cisco SD-WAN Controller, use o modelo de recurso de segurança para configurar DTLS ou TLS para segurança do plano de controle.

Configurar parâmetros de segurança

  1. No menu Cisco SD-WAN Manager, escolha Configuração > Modelos.
  2. Clique em Modelos de Recursos e em Adicionar Modelo.
    Observação No Cisco vManage versão 20.7.1 e versões anteriores, os modelos de recursos são chamados de recurso.
  3. Na lista Dispositivos no painel esquerdo, escolha um dispositivo. Os modelos aplicáveis ​​ao dispositivo selecionado aparecem no painel direito.
  4. Clique em Segurança para abrir o modelo.
  5. No campo Nome do modelo, insira um nome para o modelo. O nome pode ter até 128 caracteres e conter apenas caracteres alfanuméricos.
  6. No campo Descrição do modelo, insira uma descrição do modelo. A descrição pode ter até 2048 caracteres e conter apenas caracteres alfanuméricos.

Quando você abre um modelo de recurso pela primeira vez, para cada parâmetro que possui um valor padrão, o escopo é definido como Padrão (indicado por uma marca de seleção) e a configuração ou valor padrão é mostrado. Para alterar o padrão ou inserir um valor, clique no menu suspenso de escopo à esquerda do campo de parâmetro e escolha uma das seguintes opções:

Tabela 1:

Parâmetro Escopo Descrição do escopo
Específico do dispositivo (indicado por um ícone de host) Use um valor específico do dispositivo para o parâmetro. Para parâmetros específicos do dispositivo, não é possível inserir um valor no modelo de recurso. Você insere o valor ao anexar um dispositivo Viptela a um modelo de dispositivo.

Quando você clica em Específico do dispositivo, a caixa Inserir chave é aberta. Esta caixa exibe uma chave, que é uma string exclusiva que identifica o parâmetro em um CSV file que você cria. Esse file é uma planilha do Excel que contém uma coluna para cada chave. A linha do cabeçalho contém os nomes das chaves (uma chave por coluna) e cada linha seguinte corresponde a um dispositivo e define os valores das chaves para esse dispositivo. Você carrega o CSV file quando você anexa um dispositivo Viptela a um modelo de dispositivo. Para obter mais informações, consulte Criar uma planilha de variáveis ​​de modelo.

Para alterar a chave padrão, digite uma nova string e mova o cursor para fora da caixa Enter Key.

ExampOs arquivos de parâmetros específicos do dispositivo são endereço IP do sistema, nome do host, localização GPS e ID do site.
Parâmetro Escopo Descrição do escopo
Global (indicado por um ícone de globo) Insira um valor para o parâmetro e aplique esse valor a todos os dispositivos.

ExampOs arquivos de parâmetros que você pode aplicar globalmente a um grupo de dispositivos são servidor DNS, servidor syslog e MTUs de interface.

Configurar a segurança do plano de controle

Observação
A seção Configurar segurança do plano de controle se aplica apenas ao Cisco SD-WAN Manager e ao Cisco SD-WAN Controller. Para configurar o protocolo de conexão do plano de controle em uma instância do Cisco SD-WAN Manager ou em um Cisco SD-WAN Controller, escolha a área Configuração básica e configure os seguintes parâmetros:

Tabela 2:

Parâmetro Nome Descrição
Protocolo Escolha o protocolo a ser usado nas conexões do plano de controle com um controlador Cisco SD-WAN:

• DTLS (Datagram Segurança da Camada de Transporte). Este é o padrão.

•  TLS (segurança da camada de transporte)
Controlar porta TLS Se você selecionou TLS, configure o número da porta a ser usada:Faixa: 1025 a 65535Padrão: 23456

Clique em Salvar

Configurar a segurança do plano de dados
Para configurar a segurança do plano de dados em um validador Cisco SD-WAN ou em um roteador Cisco vEdge, escolha as guias Configuração básica e Tipo de autenticação e configure os seguintes parâmetros:

Tabela 3:

Parâmetro Nome Descrição
Hora de rechavear Especifique com que frequência um roteador Cisco vEdge altera a chave AES usada em sua conexão DTLS segura com o controlador Cisco SD-WAN. Se a reinicialização graciosa do OMP estiver habilitada, o tempo de rechaveamento deverá ser pelo menos duas vezes o valor do temporizador de reinicialização graciosa do OMP.Faixa: 10 a 1209600 segundos (14 dias)Padrão: 86400 segundos (24 horas)
Janela de repetição Especifique o tamanho da janela deslizante de reprodução.

Valores: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pacotesPadrão: 512 pacotes
IPsec

codificação em pares

 Isso está desativado por padrão. Clique On para ligá-lo.
Parâmetro Nome Descrição
Tipo de autenticação Selecione os tipos de autenticação na lista Autenticação Listae clique na seta apontando para a direita para mover os tipos de autenticação para o Lista Selecionada coluna.

Tipos de autenticação suportados pelo Cisco SD-WAN versão 20.6.1:

•  especialmente: ativa a criptografia e a verificação de integridade do Encapsulating Security Payload (ESP) no cabeçalho ESP.

•  ip-udp-esp: Ativa a criptografia ESP. Além das verificações de integridade no cabeçalho ESP e na carga útil, as verificações também incluem os cabeçalhos IP externos e UDP.

•  ip-udp-esp-sem-id: ignora o campo ID no cabeçalho IP para que o Cisco Catalyst SD-WAN possa funcionar em conjunto com dispositivos não Cisco.

•  nenhum: desativa a verificação de integridade em pacotes IPSec. Não recomendamos usar esta opção.

 

Tipos de autenticação suportados no Cisco SD-WAN versão 20.5.1 e anteriores:

•  ah-não-id: Habilite uma versão aprimorada do AH-SHA1 HMAC e ESP HMAC-SHA1 que ignora o campo ID no cabeçalho IP externo do pacote.

•  ah-sha1-hmac: Habilite AH-SHA1 HMAC e ESP HMAC-SHA1.

•  nenhum: selecione sem autenticação.

•  sha1-hmac: Habilite ESP HMAC-SHA1.

 

Observação              Para um dispositivo de borda em execução no Cisco SD-WAN versão 20.5.1 ou anterior, você pode ter configurado tipos de autenticação usando um Segurança modelo. Ao atualizar o dispositivo para o Cisco SD-WAN versão 20.6.1 ou posterior, atualize os tipos de autenticação selecionados na caixa Segurança modelo para os tipos de autenticação suportados pelo Cisco SD-WAN versão 20.6.1. Para atualizar os tipos de autenticação, faça o seguinte:

1.      No menu Cisco SD-WAN Manager, escolha Configuração >

Modelos.

2.      Clique Modelos de recursos.

3.      Encontre o Segurança modelo para atualizar e clique em… e clique Editar.

4.      Clique Atualizar. Não modifique nenhuma configuração.

O Cisco SD-WAN Manager atualiza o Segurança modelo para exibir os tipos de autenticação suportados.

Clique em Salvar.

Configurar parâmetros de segurança do plano de dados

No plano de dados, o IPsec é habilitado por padrão em todos os roteadores e, por padrão, as conexões de túnel IPsec usam uma versão aprimorada do protocolo Encapsulating Security Payload (ESP) para autenticação em túneis IPsec. Nos roteadores, você pode alterar o tipo de autenticação, o temporizador de rechaveamento IPsec e o tamanho da janela anti-repetição IPsec.

Configurar tipos de autenticação permitidos

Tipos de autenticação no Cisco SD-WAN versão 20.6.1 e posterior
No Cisco SD-WAN versão 20.6.1, os seguintes tipos de integridade são suportados:

  • esp: esta opção permite a criptografia e a verificação de integridade do Encapsulating Security Payload (ESP) no cabeçalho ESP.
  • ip-udp-esp: Esta opção habilita a criptografia ESP. Além das verificações de integridade no cabeçalho ESP e na carga útil, as verificações também incluem os cabeçalhos IP externos e UDP.
  • ip-udp-esp-no-id: Esta opção é semelhante a ip-udp-esp, porém o campo ID do cabeçalho IP externo é ignorado. Configure esta opção na lista de tipos de integridade para que o software Cisco Catalyst SD-WAN ignore o campo ID no cabeçalho IP para que o Cisco Catalyst SD-WAN possa funcionar em conjunto com dispositivos não Cisco.
  • nenhum: Esta opção desativa a verificação de integridade em pacotes IPSec. Não recomendamos usar esta opção.

Por padrão, as conexões de túnel IPsec usam uma versão aprimorada do protocolo Encapsulating Security Payload (ESP) para autenticação. Para modificar os tipos de interidade negociados ou desabilitar a verificação de integridade, use o seguinte comando: integridade-type { none | ip-udp-esp | ip-udp-esp-no-id | esp}

Tipos de autenticação antes da versão 20.6.1 do Cisco SD-WAN
Por padrão, as conexões de túnel IPsec usam uma versão aprimorada do protocolo Encapsulating Security Payload (ESP) para autenticação. Para modificar os tipos de autenticação negociados ou desabilitar a autenticação, use o seguinte comando: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Por padrão, IPsec as conexões de túnel usam AES-GCM-256, que fornece criptografia e autenticação. Configure cada tipo de autenticação com um comando security ipsec authentication-type separado. As opções de comando são mapeadas para os seguintes tipos de autenticação, listados em ordem do mais forte para o menos forte:

Observação
O sha1 nas opções de configuração é usado por motivos históricos. As opções de autenticação indicam quanto da verificação de integridade do pacote é feita. Eles não especificam o algoritmo que verifica a integridade. Exceto pela criptografia do tráfego multicast, os algoritmos de autenticação suportados pelo Cisco Catalyst SD WAN não usam SHA1. No entanto, no Cisco SD-WAN versão 20.1.x e posteriores, tanto o unicast quanto o multicast não usam SHA1.

  • ah-sha1-hmac permite criptografia e encapsulamento usando ESP. No entanto, além das verificações de integridade no cabeçalho ESP e na carga útil, as verificações também incluem os cabeçalhos IP externos e UDP. Conseqüentemente, esta opção suporta uma verificação de integridade do pacote semelhante ao protocolo Authentication Header (AH). Toda integridade e criptografia são realizadas usando AES-256-GCM.
  • ah-no-id ativa um modo semelhante a ah-sha1-hmac, no entanto, o campo ID do cabeçalho IP externo é ignorado. Esta opção acomoda alguns dispositivos SD-WAN não Cisco Catalyst, incluindo o Apple AirPort Express NAT, que possuem um bug que faz com que o campo ID no cabeçalho IP, um campo não mutável, seja modificado. Configure a opção ah-no-id na lista de tipos de autenticação para que o software Cisco Catalyst SD-WAN AH ignore o campo ID no cabeçalho IP para que o software Cisco Catalyst SD-WAN possa funcionar em conjunto com esses dispositivos.
  • sha1-hmac permite criptografia ESP e verificação de integridade.
  • none mapeia para nenhuma autenticação. Esta opção só deve ser usada se for necessária para depuração temporária. Você também pode escolher esta opção em situações em que a autenticação e a integridade do plano de dados não sejam uma preocupação. A Cisco não recomenda usar esta opção para redes de produção.

Para obter informações sobre quais campos de pacotes de dados são afetados por esses tipos de autenticação, consulte Integridade do Plano de Dados. Os dispositivos Cisco IOS XE Catalyst SD-WAN e os dispositivos Cisco vEdge anunciam seus tipos de autenticação configurados em suas propriedades TLOC. Os dois roteadores em ambos os lados de uma conexão de túnel IPsec negociam a autenticação a ser usada na conexão entre eles, usando o tipo de autenticação mais forte configurado em ambos os roteadores. Para exampPor exemplo, se um roteador anunciar os tipos ah-sha1-hmac e ah-no-id, e um segundo roteador anunciar o tipo ah-no-id, os dois roteadores negociarão para usar ah-no-id na conexão do túnel IPsec entre eles. Se nenhum tipo de autenticação comum estiver configurado nos dois pares, nenhum túnel IPsec será estabelecido entre eles. O algoritmo de criptografia nas conexões de túnel IPsec depende do tipo de tráfego:

  • Para tráfego unicast, o algoritmo de criptografia é AES-256-GCM.
  • Para tráfego multicast:
  • Cisco SD-WAN versão 20.1.xe posterior – o algoritmo de criptografia é AES-256-GCM
  • Versões anteriores – o algoritmo de criptografia é AES-256-CBC com SHA1-HMAC.

Quando o tipo de autenticação IPsec é alterado, a chave AES do caminho de dados é alterada.

Alterar o temporizador de rechaveamento

Antes que os dispositivos Cisco IOS XE Catalyst SD-WAN e os dispositivos Cisco vEdge possam trocar tráfego de dados, eles configuram um canal de comunicação autenticado seguro entre eles. Os roteadores usam túneis IPSec entre eles como canal e a cifra AES-256 para realizar a criptografia. Cada roteador gera periodicamente uma nova chave AES para seu caminho de dados. Por padrão, uma chave é válida por 86400 segundos (24 horas) e o intervalo do temporizador é de 10 segundos a 1209600 segundos (14 dias). Para alterar o valor do temporizador de rechave: Device(config)# security ipsec rekey segundos A configuração é semelhante a esta:

  • segurança ipsec rekey segundos!

Se desejar gerar novas chaves IPsec imediatamente, você poderá fazê-lo sem modificar a configuração do roteador. Para fazer isso, emita o comando request security ipsecrekey no roteador comprometido. Para examparquivo, a saída a seguir mostra que o SA local tem um Índice de Parâmetro de Segurança (SPI) de 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Uma chave exclusiva está associada a cada SPI. Se esta chave estiver comprometida, use o comando request security ipsec-rekey para gerar uma nova chave imediatamente. Este comando incrementa o SPI. Em nosso examparquivo, o SPI muda para 257 e a chave associada a ele agora é usada:

  • Dispositivo# solicita segurança ipsecrekey
  • Dispositivo# mostra ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Após a geração da nova chave, o roteador a envia imediatamente para os controladores Cisco SD-WAN usando DTLS ou TLS. Os controladores Cisco SD-WAN enviam a chave para os roteadores peer. Os roteadores começam a usá-lo assim que o recebem. Observe que a chave associada ao antigo SPI (256) continuará a ser usada por um curto período até expirar. Para parar de usar a chave antiga imediatamente, emita o comando request security ipsec-rekey duas vezes, em rápida sucessão. Esta sequência de comandos remove o SPI 256 e 257 e define o SPI para 258. O roteador então usa a chave associada do SPI 258. Observe, entretanto, que alguns pacotes serão descartados por um curto período de tempo até que todos os roteadores remotos aprendam a nova chave.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Alterar o tamanho da janela anti-replay

A autenticação IPsec fornece proteção anti-repetição atribuindo um número de sequência exclusivo a cada pacote em um fluxo de dados. Essa numeração de sequência protege contra a duplicação de pacotes de dados por um invasor. Com a proteção anti-repetição, o remetente atribui números de sequência crescentes monotonicamente e o destino verifica esses números de sequência para detectar duplicatas. Como os pacotes muitas vezes não chegam em ordem, o destino mantém uma janela deslizante de números de sequência que aceitará.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Pacotes com números de sequência que ficam à esquerda do intervalo da janela deslizante são considerados antigos ou duplicados e o destino os descarta. O destino rastreia o número de sequência mais alto que recebeu e ajusta a janela deslizante quando recebe um pacote com valor mais alto.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Por padrão, a janela deslizante está configurada para 512 pacotes. Ele pode ser definido como qualquer valor entre 64 e 4096 que seja uma potência de 2 (ou seja, 64, 128, 256, 512, 1024, 2048 ou 4096). Para modificar o tamanho da janela anti-replay, use o comando replay-window, especificando o tamanho da janela:

Device(config)# número da janela de repetição ipsec de segurança

A configuração fica assim:
número da janela de repetição ipsec de segurança! !

Para ajudar com a QoS, são mantidas janelas de reprodução separadas para cada um dos oito primeiros canais de tráfego. O tamanho da janela de reprodução configurado é dividido por oito para cada canal. Se a QoS estiver configurada em um roteador, esse roteador poderá experimentar um número maior de quedas de pacotes do que o esperado como resultado do mecanismo anti-repetição IPsec, e muitos dos pacotes descartados serão legítimos. Isso ocorre porque o QoS reordena os pacotes, dando tratamento preferencial aos pacotes de maior prioridade e atrasando os pacotes de menor prioridade. Para minimizar ou prevenir esta situação, você pode fazer o seguinte:

  • Aumente o tamanho da janela anti-replay.
  • Projete o tráfego nos primeiros oito canais de tráfego para garantir que o tráfego dentro de um canal não seja reordenado.

Configurar túneis IPsec habilitados para IKE
Para transferir com segurança o tráfego da rede de sobreposição para uma rede de serviço, você pode configurar túneis IPsec que executam o protocolo Internet Key Exchange (IKE). Os túneis IPsec habilitados para IKE fornecem autenticação e criptografia para garantir o transporte seguro de pacotes. Você cria um túnel IPsec habilitado para IKE configurando uma interface IPsec. As interfaces IPsec são interfaces lógicas e você as configura como qualquer outra interface física. Você configura os parâmetros do protocolo IKE na interface IPsec e pode configurar outras propriedades da interface.

Observação A Cisco recomenda usar o IKE versão 2. A partir da versão Cisco SD-WAN 19.2.x, a chave pré-compartilhada precisa ter pelo menos 16 bytes de comprimento. O estabelecimento do túnel IPsec falhará se o tamanho da chave for inferior a 16 caracteres quando o roteador for atualizado para a versão 19.2.

Observação
O software Cisco Catalyst SD-WAN suporta IKE versão 2 conforme definido no RFC 7296. Um uso para túneis IPsec é permitir que instâncias de VM do roteador vEdge Cloud em execução no Amazon AWS se conectem à nuvem privada virtual (VPC) da Amazon. Você deve configurar o IKE versão 1 nesses roteadores. Os dispositivos Cisco vEdge suportam apenas VPNs baseadas em rotas em uma configuração IPSec porque esses dispositivos não podem definir seletores de tráfego no domínio de criptografia.

Configurar um túnel IPsec
Para configurar uma interface de túnel IPsec para tráfego de transporte seguro de uma rede de serviço, crie uma interface IPsec lógica:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Você pode criar o túnel IPsec na VPN de transporte (VPN 0) e em qualquer VPN de serviço (VPN 1 a 65530, exceto 512). A interface IPsec possui um nome no formato ipsecnumber, onde o número pode ser de 1 a 255. Cada interface IPsec deve ter um endereço IPv4. Este endereço deve ser um prefixo /30. Todo o tráfego na VPN que está dentro deste prefixo IPv4 é direcionado para uma interface física na VPN 0 para ser enviado com segurança por um túnel IPsec. Para configurar a origem do túnel IPsec no dispositivo local, você pode especificar o endereço IP do a interface física (no comando tunnel-source) ou o nome da interface física (no comando tunnel-source-interface). Certifique-se de que a interface física esteja configurada em VPN 0. Para configurar o destino do túnel IPsec, especifique o endereço IP do dispositivo remoto no comando tunnel-destination. A combinação de um endereço de origem (ou nome da interface de origem) e um endereço de destino define um único túnel IPsec. Pode existir apenas um túnel IPsec que use um endereço de origem específico (ou nome de interface) e um par de endereços de destino.

Configurar uma rota estática IPsec

Para direcionar o tráfego da VPN de serviço para um túnel IPsec na VPN de transporte (VPN 0), configure uma rota estática específica do IPsec em uma VPN de serviço (uma VPN diferente de VPN 0 ou VPN 512):

  • vEdge(config)#vpn id-vpn
  • vEdge(config-vpn)# ip ipsec-route prefixo/comprimento interface vpn 0
  • número ipsec [número ipsec2]

O ID da VPN é o de qualquer VPN de serviço (VPN 1 a 65530, exceto 512). prefixo/comprimento é o endereço IP ou prefixo, em notação decimal de quatro partes com pontos, e o comprimento do prefixo da rota estática específica do IPsec. A interface é a interface de túnel IPsec na VPN 0. Você pode configurar uma ou duas interfaces de túnel IPsec. Se você configurar dois, o primeiro será o túnel IPsec primário e o segundo será o backup. Com duas interfaces, todos os pacotes são enviados apenas para o túnel primário. Se esse túnel falhar, todos os pacotes serão enviados para o túnel secundário. Se o túnel primário voltar a funcionar, todo o tráfego será movido de volta para o túnel IPsec primário.

Habilitar IKE versão 1
Quando você cria um túnel IPsec em um roteador vEdge, o IKE Versão 1 é habilitado por padrão na interface do túnel. As propriedades a seguir também estão habilitadas por padrão para IKEv1:

  • Autenticação e criptografia — Criptografia CBC padrão de criptografia avançada AES-256 com algoritmo de código de autenticação de mensagem hash com chave HMAC-SHA1 para integridade
  • Número do grupo Diffie-Hellman - 16
  • Intervalo de tempo de rechaveamento – 4 horas
  • Modo de estabelecimento SA—Principal

Por padrão, o IKEv1 usa o modo principal IKE para estabelecer SAs IKE. Neste modo, seis pacotes de negociação são trocados para estabelecer o SA. Para trocar apenas três pacotes de negociação, ative o modo agressivo:

Observação
O modo IKE agressivo com chaves pré-compartilhadas deve ser evitado sempre que possível. Caso contrário, uma chave pré-compartilhada forte deverá ser escolhida.

  • vEdge(config)# vpn interface vpn-id número ipsec ike
  • vEdge(config-ike)# modo agressivo

Por padrão, o IKEv1 usa o grupo Diffie-Hellman 16 na troca de chaves IKE. Este grupo usa o grupo exponencial mais modular (MODP) de 4096 bits durante a troca de chaves IKE. Você pode alterar o número do grupo para 2 (para MODP de 1024 bits), 14 (MODP de 2048 bits) ou 15 (MODP de 3072 bits):

  • vEdge(config)# vpn interface vpn-id número ipsec ike
  • vEdge(config-ike)# número do grupo

Por padrão, a troca de chaves IKE usa criptografia CBC padrão de criptografia avançada AES-256 com o algoritmo de código de autenticação de mensagem hash com chave HMAC-SHA1 para integridade. Você pode alterar a autenticação:

  • vEdge(config)# vpn interface vpn-id número ipsec ike
  • vEdge(config-ike)# conjunto de suíte de cifras

O conjunto de autenticação pode ser um dos seguintes:

  • aes128-cbc-sha1 — Padrão de criptografia avançada AES-128 Criptografia CBC com o algoritmo de código de autenticação de mensagem hash com chave HMAC-SHA1 para integridade
  • aes128-cbc-sha2 — Padrão de criptografia avançada AES-128 Criptografia CBC com o algoritmo de código de autenticação de mensagem hash com chave HMAC-SHA256 para integridade
  • aes256-cbc-sha1 — Padrão de criptografia avançada AES-256 Criptografia CBC com algoritmo de código de autenticação de mensagem hash com chave HMAC-SHA1 para integridade; este é o padrão.
  • aes256-cbc-sha2 — Padrão de criptografia avançada AES-256 Criptografia CBC com o algoritmo de código de autenticação de mensagem hash com chave HMAC-SHA256 para integridade

Por padrão, as chaves IKE são atualizadas a cada 1 hora (3600 segundos). Você pode alterar o intervalo de rechaveamento para um valor de 30 segundos a 14 dias (1209600 segundos). Recomenda-se que o intervalo de rechaveamento seja de pelo menos 1 hora.

  • vEdge(config)# vpn vpn-id interface número ipsec como
  • vEdge(config-ike)# rechavear segundos

Para forçar a geração de novas chaves para uma sessão IKE, emita o comando request ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id interfaceipsec número ike

Para IKE, você também pode configurar a autenticação de chave pré-compartilhada (PSK):

  • vEdge(config)# vpn interface vpn-id número ipsec ike
  • vEdge(config-ike)# authentic-type pre-shared-key pre-shared-secret password password é a senha a ser usada com a chave pré-compartilhada. Pode ser uma string ASCII ou hexadecimal de 1 a 127 caracteres.

Se o peer IKE remoto exigir um ID local ou remoto, você poderá configurar este identificador:

  • vEdge(config)# vpn interface vpn-id número ipsec ike tipo de autenticação
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# id de identificação remota

O identificador pode ser um endereço IP ou qualquer sequência de texto de 1 a 63 caracteres. Por padrão, o ID local é o endereço IP de origem do túnel e o ID remoto é o endereço IP de destino do túnel.

Habilitar IKE versão 2
Ao configurar um túnel IPsec para usar o IKE Versão 2, as propriedades a seguir também são ativadas por padrão para IKEv2:

  • Autenticação e criptografia — Criptografia CBC padrão de criptografia avançada AES-256 com algoritmo de código de autenticação de mensagem hash com chave HMAC-SHA1 para integridade
  • Número do grupo Diffie-Hellman - 16
  • Intervalo de tempo de rechaveamento – 4 horas

Por padrão, o IKEv2 usa o grupo Diffie-Hellman 16 na troca de chaves IKE. Este grupo usa o grupo exponencial mais modular (MODP) de 4096 bits durante a troca de chaves IKE. Você pode alterar o número do grupo para 2 (para MODP de 1024 bits), 14 (MODP de 2048 bits) ou 15 (MODP de 3072 bits):

  • vEdge(config)# vpn interface vpn-id ipsecnumber ike
  • vEdge(config-ike)# número do grupo

Por padrão, a troca de chaves IKE usa criptografia CBC padrão de criptografia avançada AES-256 com o algoritmo de código de autenticação de mensagem hash com chave HMAC-SHA1 para integridade. Você pode alterar a autenticação:

  • vEdge(config)# vpn interface vpn-id ipsecnumber ike
  • vEdge(config-ike)# conjunto de suíte de cifras

O conjunto de autenticação pode ser um dos seguintes:

  • aes128-cbc-sha1 — Padrão de criptografia avançada AES-128 Criptografia CBC com o algoritmo de código de autenticação de mensagem hash com chave HMAC-SHA1 para integridade
  • aes128-cbc-sha2 — Padrão de criptografia avançada AES-128 Criptografia CBC com o algoritmo de código de autenticação de mensagem hash com chave HMAC-SHA256 para integridade
  • aes256-cbc-sha1 — Padrão de criptografia avançada AES-256 Criptografia CBC com algoritmo de código de autenticação de mensagem hash com chave HMAC-SHA1 para integridade; este é o padrão.
  • aes256-cbc-sha2 — Padrão de criptografia avançada AES-256 Criptografia CBC com o algoritmo de código de autenticação de mensagem hash com chave HMAC-SHA256 para integridade

Por padrão, as chaves IKE são atualizadas a cada 4 horas (14,400 segundos). Você pode alterar o intervalo de rechaveamento para um valor de 30 segundos a 14 dias (1209600 segundos):

  • vEdge(config)# vpn interface vpn-id ipsecnumber ike
  • vEdge(config-ike)# rechavear segundos

Para forçar a geração de novas chaves para uma sessão IKE, emita o comando request ipsec ike-rekey. Para IKE, você também pode configurar a autenticação de chave pré-compartilhada (PSK):

  • vEdge(config)# vpn interface vpn-id ipsecnumber ike
  • vEdge(config-ike)# authentic-type pre-shared-key pre-shared-secret password password é a senha a ser usada com a chave pré-compartilhada. Pode ser uma string ASCII ou hexadecimal, ou pode ser uma chave criptografada AES. Se o peer IKE remoto exigir um ID local ou remoto, você poderá configurar este identificador:
  • vEdge(config)# vpn interface vpn-id ipsecnumber ike tipo de autenticação
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# id de identificação remota

O identificador pode ser um endereço IP ou qualquer sequência de texto de 1 a 64 caracteres. Por padrão, o ID local é o endereço IP de origem do túnel e o ID remoto é o endereço IP de destino do túnel.

Configurar parâmetros do túnel IPsec

Tabela 4: Histórico de recursos

Recurso Nome Informações de lançamento Descrição
Criptografia Adicional Cisco SD-WAN versão 20.1.1 Este recurso adiciona suporte para
Suporte algorítmico para IPSec   HMAC_SHA256, HMAC_SHA384 e
Túneis   Algoritmos HMAC_SHA512 para
    segurança melhorada.

Por padrão, os seguintes parâmetros são usados ​​no túnel IPsec que transporta tráfego IKE:

  • Autenticação e criptografia — algoritmo AES-256 em GCM (modo Galois/contador)
  • Intervalo de rechaveamento – 4 horas
  • Janela de repetição – 32 pacotes

Você pode alterar a criptografia no túnel IPsec para a cifra AES-256 no CBC (modo de encadeamento de blocos de criptografia, com HMAC usando autenticação de mensagem hash com chave SHA-1 ou SHA-2 ou para nulo com HMAC usando SHA-1 ou Autenticação de mensagem hash com chave SHA-2, para não criptografar o túnel IPsec usado para tráfego de troca de chaves IKE:

  • vEdge(config-interface-ipsecnumber)#ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 aes256-null-sha384 |

Por padrão, as chaves IKE são atualizadas a cada 4 horas (14,400 segundos). Você pode alterar o intervalo de rechaveamento para um valor de 30 segundos a 14 dias (1209600 segundos):

  • vEdge(config-interface-ipsecnumber)#ipsec
  • vEdge(config-ipsec)# rechavear segundos

Para forçar a geração de novas chaves para um túnel IPsec, emita o comando request ipsec ipsec-rekey. Por padrão, o sigilo de encaminhamento perfeito (PFS) está habilitado em túneis IPsec, para garantir que sessões anteriores não sejam afetadas se chaves futuras forem comprometidas. O PFS força uma nova troca de chaves Diffie-Hellman, por padrão usando o grupo de módulos principais Diffie-Hellman de 4096 bits. Você pode alterar a configuração PFS:

  • vEdge(config-interface-ipsecnumber)#ipsec
  • vEdge(config-ipsec)# configuração pfs de segredo de encaminhamento perfeito

A configuração pfs pode ser uma das seguintes:

  • grupo-2 — Use o grupo de módulo principal Diffie-Hellman de 1024 bits.
  • grupo-14 — Use o grupo de módulo principal Diffie-Hellman de 2048 bits.
  • grupo-15 — Use o grupo de módulo principal Diffie-Hellman de 3072 bits.
  • grupo-16 — Use o grupo de módulo principal Diffie-Hellman de 4096 bits. Este é o padrão.
  • nenhum — Desative o PFS.

Por padrão, a janela de reprodução IPsec no túnel IPsec tem 512 bytes. Você pode definir o tamanho da janela de reprodução para 64, 128, 256, 512, 1024, 2048 ou 4096 pacotes:

  • vEdge(config-interface-ipsecnumber)#ipsec
  • vEdge(config-ipsec)# número da janela de repetição

Modificar detecção de ponto morto IKE

O IKE usa um mecanismo de detecção de peer morto para determinar se a conexão com um peer IKE está funcional e acessível. Para implementar esse mecanismo, o IKE envia um pacote Hello ao seu par, e o par envia uma confirmação em resposta. Por padrão, o IKE envia pacotes Hello a cada 10 segundos e, após três pacotes não reconhecidos, o IKE declara que o vizinho está morto e desmonta o túnel até o ponto. Depois disso, o IKE envia periodicamente um pacote Hello ao par e restabelece o túnel quando o par volta a ficar online. Você pode alterar o intervalo de detecção de atividade para um valor de 0 a 65535 e pode alterar o número de novas tentativas para um valor de 0 a 255.

Observação

Para VPNs de transporte, o intervalo de detecção de atividade é convertido em segundos usando a seguinte fórmula: Intervalo para número de tentativa de retransmissão N = intervalo * 1.8N-1For exampPor exemplo, se o intervalo for definido como 10 e novas tentativas como 5, o intervalo de detecção aumentará da seguinte forma:

  • Tentativa 1: 10 * 1.81-1 = 10 segundos
  • Tentar 2: 10 * 1.82-1 = 18 segundos
  • Tentar 3: 10 * 1.83-1 = 32.4 segundos
  • Tentar 4: 10 * 1.84-1 = 58.32 segundos
  • Tentar 5: 10 * 1.85-1 = 104.976 segundos

vEdge(config-interface-ipsecnumber)# número de tentativas do intervalo de detecção de peer morto

Configurar outras propriedades de interface

Para interfaces de túnel IPsec, é possível configurar apenas as seguintes propriedades de interface adicionais:

  • vEdge(config-interface-ipsec)#mtu bytes
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Desative algoritmos de criptografia SSH fracos no Cisco SD-WAN Manager

Tabela 5: Tabela de histórico de recursos

Recurso Nome Informações de lançamento Recurso Descrição
Desative algoritmos de criptografia SSH fracos no Cisco SD-WAN Manager Versão 20.9.1 do Cisco vManage Este recurso permite desabilitar algoritmos SSH mais fracos no Cisco SD-WAN Manager que podem não estar em conformidade com determinados padrões de segurança de dados.

Informações sobre como desabilitar algoritmos de criptografia SSH fracos no Cisco SD-WAN Manager
O Cisco SD-WAN Manager fornece um cliente SSH para comunicação com componentes da rede, incluindo controladores e dispositivos de borda. O cliente SSH fornece uma conexão criptografada para transferência segura de dados, com base em uma variedade de algoritmos de criptografia. Muitas organizações exigem criptografia mais forte do que a fornecida por SHA-1, AES-128 e AES-192. No Cisco vManage versão 20.9.1, você pode desabilitar os seguintes algoritmos de criptografia mais fracos para que um cliente SSH não use esses algoritmos:

  • SHA-1
  • AES-128
  • AES-192

Antes de desabilitar esses algoritmos de criptografia, certifique-se de que os dispositivos Cisco vEdge, se houver, na rede, estejam usando uma versão de software posterior ao Cisco SD-WAN versão 18.4.6.

Benefícios de desabilitar algoritmos de criptografia SSH fracos no Cisco SD-WAN Manager
Desativar algoritmos de criptografia SSH mais fracos melhora a segurança da comunicação SSH e garante que as organizações que usam o Cisco Catalyst SD-WAN estejam em conformidade com regulamentações de segurança rígidas.

Desative algoritmos de criptografia SSH fracos no Cisco SD-WAN Manager usando CLI

  1. No menu Cisco SD-WAN Manager, escolha Ferramentas > Terminal SSH.
  2. Escolha o dispositivo Cisco SD-WAN Manager no qual você deseja desabilitar algoritmos SSH mais fracos.
  3. Digite o nome de usuário e a senha para fazer login no dispositivo.
  4. Entre no modo de servidor SSH.
    • vmanage(config)# sistema
    • vmanage(config-system)#servidor ssh
  5. Siga um destes procedimentos para desativar um algoritmo de criptografia SSH:
    • Desative SHA-1:
  6. gerenciar(config-ssh-server)# no kex-algo sha1
  7. gerenciar(config-ssh-server)#commit
    A seguinte mensagem de aviso é exibida: Os seguintes avisos foram gerados: ‘system ssh-server kex-algo sha1’: AVISO: Certifique-se de que todas as suas bordas executem a versão do código> 18.4.6, que negocia melhor que SHA1 com vManage. Caso contrário, essas bordas poderão ficar off-line. Continuar? [sim, não] sim
    • Certifique-se de que todos os dispositivos Cisco vEdge na rede estejam executando o Cisco SD-WAN versão 18.4.6 ou posterior e digite sim.
    • Desative AES-128 e AES-192:
    • vmanage(config-ssh-server)# sem cifra aes-128-192
    • vmanage(config-ssh-server)#commit
      A seguinte mensagem de aviso é exibida:
      Os seguintes avisos foram gerados:
      ‘system ssh-server cipher aes-128-192’: AVISO: certifique-se de que todas as suas bordas executem a versão do código> 18.4.6, que negocia melhor que AES-128-192 com vManage. Caso contrário, essas bordas poderão ficar off-line. Continuar? [sim, não] sim
    • Certifique-se de que todos os dispositivos Cisco vEdge na rede estejam executando o Cisco SD-WAN versão 18.4.6 ou posterior e digite sim.

Verifique se os algoritmos de criptografia SSH fracos estão desabilitados no Cisco SD-WAN Manager usando a CLI

  1. No menu Cisco SD-WAN Manager, escolha Ferramentas > Terminal SSH.
  2. Selecione o dispositivo Cisco SD-WAN Manager que você deseja verificar.
  3. Digite o nome de usuário e a senha para fazer login no dispositivo.
  4. Execute o seguinte comando: show running-config system ssh-server
  5. Confirme se a saída mostra um ou mais comandos que desativam algoritmos de criptografia mais fracos:
    • sem cifra aes-128-192
    • não kex-algo sha1

Documentos / Recursos

CISCO SD-WAN configura parâmetros de segurança [pdf] Guia do Usuário
SD-WAN Configurar parâmetros de segurança, SD-WAN, Configurar parâmetros de segurança, Parâmetros de segurança

Referências

Deixe um comentário

Seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados *