Cuprins ascunde
1 CISCO SD-WAN Configurați parametrii de securitate
2 Configurați parametrii de securitate
3 Configurați parametrii de securitate ai planului de control
4 Configurați DTLS în Cisco SD-WAN Manager
5 Configurați parametrii de securitate ai planului de date
6 Configurați tipurile de autentificare permise
7 Schimbați temporizatorul de reintroducere a tastei
8 Modificați dimensiunea ferestrei Anti-Replay
9 Configurați o rută statică IPsec
10 Configurați parametrii tunelului IPsec
11 Modificați detectarea IKE Dead-Peer
12 Configurați alte proprietăți de interfață
13 Dezactivați algoritmii slabi de criptare SSH pe Cisco SD-WAN Manager
14 Documente/Resurse
14.1 Referințe

CISCO-LOGO

CISCO SD-WAN Configurați parametrii de securitate

CISCO-SD-WAN-Configurare-Parametri-Securitate-PRODUS

Configurați parametrii de securitate

Nota

Pentru a obține simplificare și consecvență, soluția Cisco SD-WAN a fost redenumită Cisco Catalyst SD-WAN. În plus, de la Cisco IOS XE SD-WAN Versiunea 17.12.1a și Cisco Catalyst SD-WAN Versiunea 20.12.1, se aplică următoarele modificări ale componentelor: Cisco vManage la Cisco Catalyst SD-WAN Manager, Cisco vAnalytics la Cisco Catalyst SD-WAN Analytics, Cisco vBond la Cisco Catalyst SD-WAN Validator și Cisco vSmart la Cisco Catalyst SD-WAN Controller. Consultați cele mai recente Note de lansare pentru o listă cuprinzătoare a tuturor modificărilor denumirii mărcii componentelor. În timp ce trecem la noile nume, unele inconsecvențe pot fi prezente în setul de documentație din cauza unei abordări treptate a actualizărilor interfeței cu utilizatorul a produsului software.

Această secțiune descrie cum se modifică parametrii de securitate pentru planul de control și planul de date în rețeaua suprapusă Cisco Catalyst SD-WAN.

  • Configurați parametrii de securitate ai planului de control, activat
  • Configurați parametrii de securitate a planului de date, activat
  • Configurați tunelurile IPsec activate pentru IKE, activată
  • Dezactivați algoritmii slabi de criptare SSH pe Cisco SD-WAN Manager, activat

Configurați parametrii de securitate ai planului de control

În mod implicit, planul de control folosește DTLS ca protocol care oferă confidențialitate pe toate tunelurile sale. DTLS rulează peste UDP. Puteți schimba protocolul de securitate al planului de control în TLS, care rulează prin TCP. Motivul principal pentru a utiliza TLS este că, dacă considerați că Cisco SD-WAN Controller este un server, firewall-urile protejează mai bine serverele TCP decât serverele UDP. Configurați protocolul de tunel al planului de control pe un controler Cisco SD-WAN: vSmart(config)# protocol de control al securității tls Cu această modificare, toate tunelurile planului de control dintre controlerul Cisco SD-WAN și routere și între controlerul Cisco SD-WAN și Cisco SD-WAN Manager utilizează TLS. Tunelurile planului de control către Cisco Catalyst SD-WAN Validator folosesc întotdeauna DTLS, deoarece aceste conexiuni trebuie gestionate de UDP. Într-un domeniu cu mai multe controlere Cisco SD-WAN, atunci când configurați TLS pe ​​unul dintre controlerele Cisco SD-WAN, toate tunelurile planului de control de la acel controler la celelalte controlere folosesc TLS. Altfel spus, TLS are întotdeauna prioritate față de DTLS. Cu toate acestea, din perspectiva celorlalte controlere Cisco SD-WAN, dacă nu ați configurat TLS pe ​​ele, acestea folosesc TLS pe ​​tunelul planului de control numai pentru acel controler Cisco SD-WAN și folosesc tuneluri DTLS pentru toate celelalte Controlerele Cisco SD-WAN și către toate routerele lor conectate. Pentru ca toate controlerele Cisco SD-WAN să utilizeze TLS, configurați-l pe toate. În mod implicit, controlerul Cisco SD-WAN ascultă pe portul 23456 solicitările TLS. Pentru a modifica acest lucru: vSmart(config)# security control tls-port number Portul poate fi un număr de la 1025 la 65535. Pentru a afișa informațiile de securitate a planului de control, utilizați comanda show control connections de pe controlerul Cisco SD-WAN. De example: vSmart-2# arată conexiunile de control

CISCO-SD-WAN-Configurare-Parametrii-Securitate-FIG-1

Configurați DTLS în Cisco SD-WAN Manager

Dacă configurați Cisco SD-WAN Manager pentru a utiliza TLS ca protocol de securitate al planului de control, trebuie să activați redirecționarea portului pe NAT. Dacă utilizați DTLS ca protocol de securitate al planului de control, nu trebuie să faceți nimic. Numărul de porturi redirecționate depinde de numărul de procese vdaemon care rulează pe Cisco SD-WAN Manager. Pentru a afișa informații despre aceste procese și despre și numărul de porturi care sunt redirecționate, utilizați comanda show control summary care arată că rulează patru procese daemon:CISCO-SD-WAN-Configurare-Parametrii-Securitate-FIG-2

Pentru a vedea porturile de ascultare, utilizați comanda show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configurare-Parametrii-Securitate-FIG-3

Această ieșire arată că portul TCP de ascultare este 23456. Dacă rulați Cisco SD-WAN Manager în spatele unui NAT, ar trebui să deschideți următoarele porturi pe dispozitivul NAT:

  • 23456 (bază – portul instanței 0)
  • 23456 + 100 (bază + 100)
  • 23456 + 200 (bază + 200)
  • 23456 + 300 (bază + 300)

Rețineți că numărul de instanțe este același cu numărul de nuclee pe care l-ați alocat pentru Cisco SD-WAN Manager, până la maximum 8.

Configurați parametrii de securitate utilizând șablonul de caracteristici de securitate

Utilizați șablonul de caracteristică de securitate pentru toate dispozitivele Cisco vEdge. Pe routerele de margine și pe Cisco SD-WAN Validator, utilizați acest șablon pentru a configura IPsec pentru securitatea planului de date. Pe Cisco SD-WAN Manager și Cisco SD-WAN Controller, utilizați șablonul de caracteristică Securitate pentru a configura DTLS sau TLS pentru securitatea planului de control.

Configurați parametrii de securitate

  1. Din meniul Cisco SD-WAN Manager, alegeți Configurare > Șabloane.
  2. Faceți clic pe Șabloane de caracteristici, apoi faceți clic pe Adăugare șablon.
    Nota În Cisco vManage Release 20.7.1 și versiunile anterioare, Șabloanele de caracteristici se numesc Feature.
  3. Din lista Dispozitive din panoul din stânga, alegeți un dispozitiv. Șabloanele aplicabile dispozitivului selectat apar în panoul din dreapta.
  4. Faceți clic pe Securitate pentru a deschide șablonul.
  5. În câmpul Nume șablon, introduceți un nume pentru șablon. Numele poate avea până la 128 de caractere și poate conține doar caractere alfanumerice.
  6. În câmpul Descriere șablon, introduceți o descriere a șablonului. Descrierea poate avea până la 2048 de caractere și poate conține doar caractere alfanumerice.

Când deschideți pentru prima dată un șablon de caracteristică, pentru fiecare parametru care are o valoare implicită, domeniul de aplicare este setat la Implicit (indicat printr-o bifă) și este afișată setarea sau valoarea implicită. Pentru a modifica valoarea implicită sau pentru a introduce o valoare, faceți clic pe meniul derulant scope din partea stângă a câmpului parametru și alegeți una dintre următoarele:

Tabelul 1:

Parametru Domeniul de aplicare Descrierea domeniului de aplicare
Specific dispozitiv (indicat printr-o pictogramă gazdă) Utilizați o valoare specifică dispozitivului pentru parametru. Pentru parametrii specifici dispozitivului, nu puteți introduce o valoare în șablonul de caracteristici. Introduceți valoarea când atașați un dispozitiv Viptela la un șablon de dispozitiv.

Când faceți clic pe Device Specific, se deschide caseta Enter Key. Această casetă afișează o cheie, care este un șir unic care identifică parametrul într-un CSV file pe care le creezi. Acest file este o foaie de calcul Excel care conține o coloană pentru fiecare cheie. Rândul antet conține numele cheilor (o cheie pe coloană), iar fiecare rând ulterior corespunde unui dispozitiv și definește valorile cheilor pentru acel dispozitiv. Încărcați CSV-ul file atunci când atașați un dispozitiv Viptela la un șablon de dispozitiv. Pentru mai multe informații, consultați Crearea unei foi de calcul cu variabile șablon.

Pentru a schimba cheia implicită, tastați un șir nou și mutați cursorul din caseta Enter Key.

Exampfișierele parametrilor specifici dispozitivului sunt adresa IP a sistemului, numele gazdei, locația GPS și ID-ul site-ului.
Parametru Domeniul de aplicare Descrierea domeniului de aplicare
Global (indicat printr-o pictogramă glob) Introduceți o valoare pentru parametru și aplicați acea valoare tuturor dispozitivelor.

Exampfișierele de parametri pe care le puteți aplica la nivel global unui grup de dispozitive sunt serverul DNS, serverul syslog și MTU-urile de interfață.

Configurați securitatea planului de control

Nota
Secțiunea Configurați securitatea planului de control se aplică numai pentru Cisco SD-WAN Manager și Cisco SD-WAN Controller. Pentru a configura protocolul de conexiune a planului de control pe o instanță Cisco SD-WAN Manager sau un Cisco SD-WAN Controller, alegeți zona Configurație de bază și configurați următorii parametri:

Tabelul 2:

Parametru Nume Descriere
Protocol Alegeți protocolul de utilizat pentru conexiunile planului de control la un controler Cisco SD-WAN:

• DTLS (Datagram Transport Layer Security). Aceasta este valoarea implicită.

• TLS (Transport Layer Security)
Controlează portul TLS Dacă ați selectat TLS, configurați numărul portului de utilizat:Gamă: de la 1025 la 65535Implicit: 23456

Faceți clic pe Salvare

Configurați securitatea planului de date
Pentru a configura securitatea planului de date pe un validator Cisco SD-WAN sau un router Cisco vEdge, alegeți filele Configurație de bază și Tip de autentificare și configurați următorii parametri:

Tabelul 3:

Parametru Nume Descriere
Rekey Time Specificați cât de des schimbă un router Cisco vEdge cheia AES utilizată în conexiunea sa DTLS securizată la controlerul Cisco SD-WAN. Dacă este activată repornirea grațioasă OMP, timpul de reintroducere trebuie să fie de cel puțin două ori valoarea temporizatorului de repornire grațioasă OMP.Gamă: 10 până la 1209600 de secunde (14 zile)Implicit: 86400 secunde (24 ore)
Fereastra de redare Specificați dimensiunea ferestrei de redare glisante.

Valori: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pacheteImplicit: 512 pachete
IPsec

tastare în perechi

 Aceasta este dezactivată în mod implicit. Clic On să-l pornească.
Parametru Nume Descriere
Tip de autentificare Selectați tipurile de autentificare din Autentificare Listăși faceți clic pe săgeata îndreptată spre dreapta pentru a muta tipurile de autentificare la Lista selectată coloană.

Tipuri de autentificare acceptate de Cisco SD-WAN Versiunea 20.6.1:

•  esp: Activează criptarea Encapsulating Security Payload (ESP) și verificarea integrității pe antetul ESP.

•  ip-udp-esp: Activează criptarea ESP. Pe lângă verificările de integritate ale antetului ESP și ale încărcăturii utile, verificările includ și antetele IP externe și UDP.

•  ip-udp-esp-no-id: Ignoră câmpul ID din antetul IP, astfel încât Cisco Catalyst SD-WAN să poată funcționa împreună cu dispozitive non-Cisco.

•  nici unul: Dezactivează verificarea integrității pe pachetele IPSec. Nu vă recomandăm să utilizați această opțiune.

 

Tipuri de autentificare acceptate în Cisco SD-WAN Versiunea 20.5.1 și versiuni anterioare:

•  ah-nu-id: Activați o versiune îmbunătățită a AH-SHA1 HMAC și ESP HMAC-SHA1 care ignoră câmpul ID din antetul IP exterior al pachetului.

•  ah-sha1-hmac: Activați AH-SHA1 HMAC și ESP HMAC-SHA1.

•  nici unul: Selectați nicio autentificare.

•  sha1-hmac: Activați ESP HMAC-SHA1.

 

Nota              Pentru un dispozitiv edge care rulează pe Cisco SD-WAN versiunea 20.5.1 sau anterioară, este posibil să fi configurat tipuri de autentificare folosind un Securitate șablon. Când actualizați dispozitivul la Cisco SD-WAN versiunea 20.6.1 sau o versiune ulterioară, actualizați tipurile de autentificare selectate în Securitate șablon la tipurile de autentificare acceptate de Cisco SD-WAN Versiunea 20.6.1. Pentru a actualiza tipurile de autentificare, procedați în felul următor:

1.      Din meniul Cisco SD-WAN Manager, alegeți Configurare >

Șabloane.

2.      Clic Șabloane de caracteristici.

3.      Găsiți Securitate șablon pentru a actualiza și faceți clic pe... și faceți clic Edita.

4.      Clic Actualizare. Nu modificați nicio configurație.

Cisco SD-WAN Manager actualizează Securitate șablon pentru a afișa tipurile de autentificare acceptate.

Faceți clic pe Salvare.

Configurați parametrii de securitate ai planului de date

În planul de date, IPsec este activat în mod implicit pe toate routerele, iar implicit conexiunile tunel IPsec folosesc o versiune îmbunătățită a protocolului ESP (Encapsulating Security Payload) pentru autentificare pe tunelurile IPsec. Pe routere, puteți modifica tipul de autentificare, temporizatorul de reintroducere a codului IPsec și dimensiunea ferestrei anti-replay IPsec.

Configurați tipurile de autentificare permise

Tipuri de autentificare în Cisco SD-WAN Versiunea 20.6.1 și versiunile ulterioare
Din Cisco SD-WAN Versiunea 20.6.1, sunt acceptate următoarele tipuri de integritate:

  • esp: Această opțiune permite criptarea și verificarea integrității Encapsulating Security Payload (ESP) pe antetul ESP.
  • ip-udp-esp: Această opțiune activează criptarea ESP. Pe lângă verificările de integritate pe antetul ESP și pe sarcina utilă, verificările includ și antetele IP exterioare și UDP.
  • ip-udp-esp-no-id: Această opțiune este similară cu ip-udp-esp, cu toate acestea, câmpul ID al antetului IP exterior este ignorat. Configurați această opțiune în lista de tipuri de integritate pentru ca software-ul Cisco Catalyst SD-WAN să ignore câmpul ID din antetul IP, astfel încât Cisco Catalyst SD-WAN să poată funcționa împreună cu dispozitive non-Cisco.
  • none: Această opțiune dezactivează verificarea integrității pe pachetele IPSec. Nu vă recomandăm să utilizați această opțiune.

În mod implicit, conexiunile de tunel IPsec folosesc o versiune îmbunătățită a protocolului ESP (Encapsulating Security Payload) pentru autentificare. Pentru a modifica tipurile de interitate negociate sau pentru a dezactiva verificarea integrității, utilizați următoarea comandă: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | mai ales }

Tipuri de autentificare înainte de Cisco SD-WAN Versiunea 20.6.1
În mod implicit, conexiunile de tunel IPsec folosesc o versiune îmbunătățită a protocolului ESP (Encapsulating Security Payload) pentru autentificare. Pentru a modifica tipurile de autentificare negociate sau pentru a dezactiva autentificarea, utilizați următoarea comandă: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Implicit, IPsec conexiunile tunel folosesc AES-GCM-256, care oferă atât criptare, cât și autentificare. Configurați fiecare tip de autentificare cu o comandă separată de tip de autentificare ipsec de securitate. Opțiunile de comandă se mapează la următoarele tipuri de autentificare, care sunt listate în ordine de la cel mai puternic la cel mai puțin puternic:

Nota
Sha1 din opțiunile de configurare este utilizat din motive istorice. Opțiunile de autentificare indică cât de mult este efectuată verificarea integrității pachetului. Ele nu specifică algoritmul care verifică integritatea. Cu excepția criptării traficului multicast, algoritmii de autentificare acceptați de Cisco Catalyst SD WAN nu folosesc SHA1. Cu toate acestea, în Cisco SD-WAN Release 20.1.x și ulterioare, atât unicast, cât și multicast nu folosesc SHA1.

  • ah-sha1-hmac permite criptarea și încapsularea folosind ESP. Cu toate acestea, pe lângă verificările de integritate ale antetului ESP și ale încărcăturii utile, verificările includ și antetele IP externe și UDP. Prin urmare, această opțiune acceptă o verificare a integrității pachetului similar cu protocolul Authentication Header (AH). Toată integritatea și criptarea se realizează folosind AES-256-GCM.
  • ah-no-id activează un mod care este similar cu ah-sha1-hmac, cu toate acestea, câmpul ID al antetului IP exterior este ignorat. Această opțiune găzduiește unele dispozitive SD-WAN non-Cisco Catalyst, inclusiv Apple AirPort Express NAT, care au o eroare care face ca câmpul ID din antetul IP, un câmp nemutable, să fie modificat. Configurați opțiunea ah-no-id din lista de tipuri de autentificare pentru ca software-ul Cisco Catalyst SD-WAN AH să ignore câmpul ID din antetul IP, astfel încât software-ul Cisco Catalyst SD-WAN să poată funcționa împreună cu aceste dispozitive.
  • sha1-hmac permite criptarea ESP și verificarea integrității.
  • niciunul nu se mapează la nicio autentificare. Această opțiune ar trebui utilizată numai dacă este necesară pentru depanarea temporară. De asemenea, puteți alege această opțiune în situațiile în care autentificarea și integritatea planului de date nu reprezintă o problemă. Cisco nu recomandă utilizarea acestei opțiuni pentru rețelele de producție.

Pentru informații despre câmpurile de pachete de date afectate de aceste tipuri de autentificare, consultați Integritatea planului de date. Dispozitivele Cisco IOS XE Catalyst SD-WAN și dispozitivele Cisco vEdge își fac publicitate tipurilor de autentificare configurate în proprietățile lor TLOC. Cele două routere de pe ambele părți ale unei conexiuni de tunel IPsec negociază autentificarea pentru a fi utilizată în conexiunea dintre ele, folosind cel mai puternic tip de autentificare care este configurat pe ambele routere. De example, dacă un router face publicitate tipurilor ah-sha1-hmac și ah-no-id, iar un al doilea router face publicitate tipului ah-no-id, cele două routere negociază să folosească ah-no-id pe conexiunea tunel IPsec între lor. Dacă nu sunt configurate tipuri comune de autentificare pe cei doi peer-uri, nu se stabilește niciun tunel IPsec între ei. Algoritmul de criptare pentru conexiunile tunel IPsec depinde de tipul de trafic:

  • Pentru traficul unicast, algoritmul de criptare este AES-256-GCM.
  • Pentru trafic multicast:
  • Cisco SD-WAN Versiunea 20.1.x și ulterioară – algoritmul de criptare este AES-256-GCM
  • Lansări anterioare – algoritmul de criptare este AES-256-CBC cu SHA1-HMAC.

Când se schimbă tipul de autentificare IPsec, cheia AES pentru calea datelor este schimbată.

Schimbați temporizatorul de reintroducere a tastei

Înainte ca dispozitivele Cisco IOS XE Catalyst SD-WAN și dispozitivele Cisco vEdge să poată face schimb de trafic de date, acestea au configurat un canal de comunicații autentificat securizat între ele. Routerele folosesc tuneluri IPSec între ele ca canal și cifrul AES-256 pentru a realiza criptarea. Fiecare router generează periodic o nouă cheie AES pentru calea de date. În mod implicit, o cheie este valabilă timp de 86400 de secunde (24 de ore), iar intervalul temporizatorului este de la 10 secunde la 1209600 de secunde (14 zile). Pentru a modifica valoarea temporizatorului de rekey: Device(config)# security ipsec rekey seconds Configurația arată astfel:

  • securitate ipsec rekey secunde!

Dacă doriți să generați imediat chei IPsec noi, puteți face acest lucru fără a modifica configurația routerului. Pentru a face acest lucru, lansați comanda request security ipsecrekey pe routerul compromis. De example, următoarea ieșire arată că SA local are un indice de parametri de securitate (SPI) de 256:CISCO-SD-WAN-Configurare-Parametrii-Securitate-FIG-4

O cheie unică este asociată fiecărui SPI. Dacă această cheie este compromisă, utilizați comanda request security ipsec-rekey pentru a genera imediat o nouă cheie. Această comandă crește SPI-ul. În fostul nostruample, SPI se schimbă la 257 și cheia asociată cu acesta este acum utilizată:

  • Dispozitiv # solicită securitate ipsecrekey
  • Dispozitivul # arată ipsec local-sa

CISCO-SD-WAN-Configurare-Parametrii-Securitate-FIG-5

După ce noua cheie este generată, routerul o trimite imediat la controlerele Cisco SD-WAN utilizând DTLS sau TLS. Controlerele Cisco SD-WAN trimit cheia către routerele de la egal la egal. Routerele încep să-l folosească imediat ce îl primesc. Rețineți că cheia asociată vechiului SPI (256) va continua să fie utilizată pentru o perioadă scurtă de timp până când expiră. Pentru a opri imediat utilizarea vechii chei, lansați comanda request security ipsec-rekey de două ori, în succesiune rapidă. Această secvență de comenzi elimină atât SPI 256, cât și 257 și setează SPI-ul la 258. Routerul utilizează apoi cheia asociată SPI 258. Rețineți, totuși, că unele pachete vor fi abandonate pentru o perioadă scurtă de timp până când toate routerele de la distanță învață. noua cheie.CISCO-SD-WAN-Configurare-Parametrii-Securitate-FIG-6

Modificați dimensiunea ferestrei Anti-Replay

Autentificarea IPsec oferă protecție anti-reluare prin atribuirea unui număr de secvență unic fiecărui pachet dintr-un flux de date. Această numerotare secvențială protejează împotriva dublării pachetelor de date de către un atacator. Cu protecție anti-reluare, expeditorul atribuie numere de secvență care cresc monoton, iar destinația verifică aceste numere de secvență pentru a detecta duplicatele. Deoarece pachetele de multe ori nu ajung în ordine, destinația menține o fereastră glisantă de numere de secvență pe care le va accepta.CISCO-SD-WAN-Configurare-Parametrii-Securitate-FIG-7

Pachetele cu numere de secvență care se încadrează în stânga intervalului de ferestre glisante sunt considerate vechi sau duplicate, iar destinația le elimină. Destinația urmărește cel mai mare număr de secvență pe care l-a primit și ajustează fereastra glisantă atunci când primește un pachet cu o valoare mai mare.CISCO-SD-WAN-Configurare-Parametrii-Securitate-FIG-8

În mod implicit, fereastra glisantă este setată la 512 pachete. Poate fi setat la orice valoare între 64 și 4096 care este o putere de 2 (adică 64, 128, 256, 512, 1024, 2048 sau 4096). Pentru a modifica dimensiunea ferestrei anti-reluare, utilizați comanda replay-window, specificând dimensiunea ferestrei:

Device(config)# security ipsec replay-window number

Configurația arată astfel:
numărul ferestrei de redare ipsec de securitate! !

Pentru a ajuta la QoS, sunt menținute ferestre de redare separate pentru fiecare dintre primele opt canale de trafic. Dimensiunea configurată a ferestrei de redare este împărțită la opt pentru fiecare canal. Dacă QoS este configurat pe un router, acel router poate înregistra un număr mai mare decât se aștepta de căderi de pachete ca urmare a mecanismului anti-replay IPsec, iar multe dintre pachetele care sunt abandonate sunt cele legitime. Acest lucru se întâmplă deoarece QoS reordonează pachetele, oferind pachetelor cu prioritate mai mare tratament preferențial și întârziind pachetele cu prioritate mai mică. Pentru a minimiza sau a preveni această situație, puteți face următoarele:

  • Măriți dimensiunea ferestrei anti-reluare.
  • Proiectați traficul pe primele opt canale de trafic pentru a vă asigura că traficul dintr-un canal nu este reordonat.

Configurați tunelurile IPsec activate pentru IKE
Pentru a transfera în siguranță traficul de la rețeaua de suprapunere la o rețea de servicii, puteți configura tuneluri IPsec care rulează protocolul Internet Key Exchange (IKE). Tunelurile IPsec compatibile cu IKE oferă autentificare și criptare pentru a asigura transportul sigur al pachetelor. Creați un tunel IPsec activat pentru IKE configurând o interfață IPsec. Interfețele IPsec sunt interfețe logice și le configurați la fel ca orice altă interfață fizică. Configurați parametrii protocolului IKE pe interfața IPsec și puteți configura alte proprietăți ale interfeței.

Nota Cisco recomandă utilizarea IKE Versiunea 2. Începând cu versiunea Cisco SD-WAN 19.2.x, cheia pre-partajată trebuie să aibă o lungime de cel puțin 16 octeți. Stabilirea tunelului IPsec eșuează dacă dimensiunea cheii este mai mică de 16 caractere atunci când routerul este actualizat la versiunea 19.2.

Nota
Software-ul Cisco Catalyst SD-WAN acceptă IKE Versiunea 2, așa cum este definit în RFC 7296. O utilizare pentru tunelurile IPsec este de a permite instanțelor VM de router vEdge Cloud care rulează pe Amazon AWS să se conecteze la cloudul privat virtual (VPC) Amazon. Trebuie să configurați IKE Versiunea 1 pe aceste routere. Dispozitivele Cisco vEdge acceptă numai VPN-uri bazate pe rută într-o configurație IPSec, deoarece aceste dispozitive nu pot defini selectori de trafic în domeniul de criptare.

Configurați un tunel IPsec
Pentru a configura o interfață de tunel IPsec pentru traficul de transport securizat dintr-o rețea de servicii, creați o interfață IPsec logică:CISCO-SD-WAN-Configurare-Parametrii-Securitate-FIG-9

Puteți crea tunelul IPsec în VPN de transport (VPN 0) și în orice VPN de serviciu (VPN 1 până la 65530, cu excepția 512). Interfața IPsec are un nume în format ipsecnumber, unde numărul poate fi de la 1 la 255. Fiecare interfață IPsec trebuie să aibă o adresă IPv4. Această adresă trebuie să fie un prefix /30. Tot traficul din VPN care se află în acest prefix IPv4 este direcționat către o interfață fizică în VPN 0 pentru a fi trimis în siguranță printr-un tunel IPsec. Pentru a configura sursa tunelului IPsec pe dispozitivul local, puteți specifica fie adresa IP a interfața fizică (în comanda tunnel-source) sau numele interfeței fizice (în comanda tunnel-source-interface). Asigurați-vă că interfața fizică este configurată în VPN 0. Pentru a configura destinația tunelului IPsec, specificați adresa IP a dispozitivului la distanță în comanda tunel-destination. Combinația dintre o adresă sursă (sau un nume de interfață sursă) și o adresă de destinație definește un singur tunel IPsec. Poate exista un singur tunel IPsec care utilizează o anumită adresă sursă (sau un nume de interfață) și o pereche de adrese de destinație.

Configurați o rută statică IPsec

Pentru a direcționa traficul de la serviciul VPN către un tunel IPsec în transport VPN (VPN 0), configurați o rută statică specifică IPsec într-un serviciu VPN (un VPN diferit de VPN 0 sau VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/lungime vpn 0 interfață
  • ipsecnumber [ipsecnumber2]

ID-ul VPN este cel al oricărui serviciu VPN (VPN 1 până la 65530, cu excepția 512). prefixul/lungimea este adresa IP sau prefixul, în notație zecimală cu patru părți și lungimea prefixului rutei statice specifice IPsec. Interfața este interfața tunel IPsec în VPN 0. Puteți configura una sau două interfețe tunel IPsec. Dacă configurați două, primul este tunelul IPsec principal, iar al doilea este backup-ul. Cu două interfețe, toate pachetele sunt trimise numai către tunelul primar. Dacă acel tunel eșuează, toate pachetele sunt apoi trimise la tunelul secundar. Dacă tunelul principal revine, tot traficul este mutat înapoi în tunelul IPsec primar.

Activați IKE versiunea 1
Când creați un tunel IPsec pe un router vEdge, IKE Versiunea 1 este activată implicit pe interfața tunelului. Următoarele proprietăți sunt, de asemenea, activate implicit pentru IKEv1:

  • Autentificare și criptare — AES-256 standard avansat de criptare CBC criptare cu algoritmul codului de autentificare a mesajelor cu cheie HMAC-SHA1 pentru integritate
  • Numărul grupului Diffie-Hellman—16
  • Interval de timp de reintroducere—4 ore
  • Modul de stabilire SA—Principal

În mod implicit, IKEv1 utilizează modul principal IKE pentru a stabili SA IKE. În acest mod, șase pachete de negociere sunt schimbate pentru a stabili SA. Pentru a schimba doar trei pachete de negociere, activați modul agresiv:

Nota
Modul agresiv IKE cu chei pre-partajate ar trebui evitat ori de câte ori este posibil. În caz contrar, ar trebui să fie aleasă o cheie puternică pre-partajată.

  • vEdge(config)# vpn vpn-id interfață numărul ipsec ike
  • vEdge(config-ike)# mod agresiv

În mod implicit, IKEv1 utilizează grupul Diffie-Hellman 16 în schimbul de chei IKE. Acest grup utilizează grupul de 4096 de biți mai modular exponențial (MODP) în timpul schimbului de chei IKE. Puteți modifica numărul grupului la 2 (pentru MODP pe 1024 de biți), 14 (MODP pe 2048 biți) sau 15 (MODP pe 3072 biți):

  • vEdge(config)# vpn vpn-id interfață numărul ipsec ike
  • vEdge(config-ike)# număr de grup

În mod implicit, schimbul de chei IKE utilizează criptarea CBC standard de criptare avansată AES-256 cu algoritmul de cod de autentificare a mesajelor cu cheie HMAC-SHA1 pentru integritate. Puteți schimba autentificarea:

  • vEdge(config)# vpn vpn-id interfață numărul ipsec ike
  • vEdge(config-ike)# suită de criptare

Suita de autentificare poate fi una dintre următoarele:

  • aes128-cbc-sha1 — AES-128 standard avansat de criptare CBC criptare cu algoritmul codului de autentificare a mesajelor HMAC-SHA1 cu cheie hash pentru integritate
  • aes128-cbc-sha2 — AES-128 standard avansat de criptare CBC criptare cu algoritmul codului de autentificare a mesajelor HMAC-SHA256 cu cheie hash pentru integritate
  • aes256-cbc-sha1 — AES-256 criptare avansată standard CBC cu algoritmul de cod de autentificare a mesajelor cu cheie HMAC-SHA1 pentru integritate; acesta este implicit.
  • aes256-cbc-sha2 — AES-256 standard avansat de criptare CBC criptare cu algoritmul codului de autentificare a mesajelor HMAC-SHA256 cu cheie hash pentru integritate

În mod implicit, cheile IKE sunt reîmprospătate la fiecare 1 oră (3600 de secunde). Puteți modifica intervalul de reintroducere la o valoare de la 30 de secunde la 14 zile (1209600 de secunde). Se recomandă ca intervalul de reintroducere a tastei să fie de cel puțin 1 oră.

  • vEdge(config)# vpn vpn-id interfață numărul ipsec ca
  • vEdge(config-ike)# rekey seconds

Pentru a forța generarea de chei noi pentru o sesiune IKE, lansați comanda request ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id interfaceipsec number ike

Pentru IKE, puteți configura, de asemenea, autentificarea cu cheie predistribuită (PSK):

  • vEdge(config)# vpn vpn-id interfață numărul ipsec ike
  • vEdge(config-ike)# tip de autentificare pre-shared-key pre-shared-key parola secretă pre-partajată este parola de utilizat cu cheia pre-partajată. Poate fi un șir ASCII sau hexazecimal de la 1 la 127 de caractere.

Dacă peer-ul IKE la distanță necesită un ID local sau la distanță, puteți configura acest identificator:

  • vEdge(config)# vpn vpn-id interfață numărul ipsec și tipul de autentificare
  • vEdge(config-authentication-type)# id-id local
  • vEdge(config-authentication-type)# ID-ul de la distanță

Identificatorul poate fi o adresă IP sau orice șir de text cu o lungime de la 1 la 63 de caractere. În mod implicit, ID-ul local este adresa IP sursă a tunelului, iar ID-ul de la distanță este adresa IP de destinație a tunelului.

Activați IKE versiunea 2
Când configurați un tunel IPsec pentru a utiliza IKE Versiunea 2, următoarele proprietăți sunt, de asemenea, activate implicit pentru IKEv2:

  • Autentificare și criptare — AES-256 standard avansat de criptare CBC criptare cu algoritmul codului de autentificare a mesajelor cu cheie HMAC-SHA1 pentru integritate
  • Numărul grupului Diffie-Hellman—16
  • Interval de timp de reintroducere—4 ore

În mod implicit, IKEv2 utilizează grupul Diffie-Hellman 16 în schimbul de chei IKE. Acest grup utilizează grupul de 4096 de biți mai modular exponențial (MODP) în timpul schimbului de chei IKE. Puteți modifica numărul grupului la 2 (pentru MODP pe 1024 de biți), 14 (MODP pe 2048 biți) sau 15 (MODP pe 3072 biți):

  • vEdge(config)# vpn vpn-id interfață ipsecnumber ike
  • vEdge(config-ike)# număr de grup

În mod implicit, schimbul de chei IKE utilizează criptarea CBC standard de criptare avansată AES-256 cu algoritmul de cod de autentificare a mesajelor cu cheie HMAC-SHA1 pentru integritate. Puteți schimba autentificarea:

  • vEdge(config)# vpn vpn-id interfață ipsecnumber ike
  • vEdge(config-ike)# suită de criptare

Suita de autentificare poate fi una dintre următoarele:

  • aes128-cbc-sha1 — AES-128 standard avansat de criptare CBC criptare cu algoritmul codului de autentificare a mesajelor HMAC-SHA1 cu cheie hash pentru integritate
  • aes128-cbc-sha2 — AES-128 standard avansat de criptare CBC criptare cu algoritmul codului de autentificare a mesajelor HMAC-SHA256 cu cheie hash pentru integritate
  • aes256-cbc-sha1 — AES-256 criptare avansată standard CBC cu algoritmul de cod de autentificare a mesajelor cu cheie HMAC-SHA1 pentru integritate; acesta este implicit.
  • aes256-cbc-sha2 — AES-256 standard avansat de criptare CBC criptare cu algoritmul codului de autentificare a mesajelor HMAC-SHA256 cu cheie hash pentru integritate

În mod implicit, cheile IKE sunt reîmprospătate la fiecare 4 ore (14,400 de secunde). Puteți modifica intervalul de reintroducere la o valoare de la 30 de secunde la 14 zile (1209600 de secunde):

  • vEdge(config)# vpn vpn-id interfață ipsecnumber ike
  • vEdge(config-ike)# rekey seconds

Pentru a forța generarea de chei noi pentru o sesiune IKE, lansați comanda request ipsec ike-rekey. Pentru IKE, puteți configura, de asemenea, autentificarea cu cheie predistribuită (PSK):

  • vEdge(config)# vpn vpn-id interfață ipsecnumber ike
  • vEdge(config-ike)# tip de autentificare pre-shared-key pre-shared-key parola secretă pre-partajată este parola de utilizat cu cheia pre-partajată. Poate fi un șir ASCII sau hexazecimal sau poate fi o cheie criptată AES. Dacă peer-ul IKE la distanță necesită un ID local sau la distanță, puteți configura acest identificator:
  • vEdge(config)# vpn vpn-id interfață ipsecnumber ike tip de autentificare
  • vEdge(config-authentication-type)# id-id local
  • vEdge(config-authentication-type)# ID-ul de la distanță

Identificatorul poate fi o adresă IP sau orice șir de text cu o lungime de la 1 la 64 de caractere. În mod implicit, ID-ul local este adresa IP sursă a tunelului, iar ID-ul de la distanță este adresa IP de destinație a tunelului.

Configurați parametrii tunelului IPsec

Tabelul 4: Istoricul caracteristicilor

Caracteristică Nume Informații de eliberare Descriere
Criptografic suplimentar Cisco SD-WAN Versiunea 20.1.1 Această caracteristică adaugă suport pentru
Suport algoritmic pentru IPSec   HMAC_SHA256, HMAC_SHA384 și
Tuneluri   HMAC_SHA512 algoritmi pentru
    securitate sporită.

În mod implicit, următorii parametri sunt utilizați pe tunelul IPsec care transportă trafic IKE:

  • Autentificare și criptare — algoritm AES-256 în GCM (mod Galois/contor)
  • Interval de reintroducere—4 ore
  • Fereastra de reluare—32 de pachete

Puteți schimba criptarea tunelului IPsec la cifrul AES-256 în CBC (modul de înlănțuire a blocurilor de cifră, cu HMAC utilizând fie autentificarea mesajelor hash cu cheie SHA-1 sau SHA-2, fie nulă cu HMAC folosind fie SHA-1, fie SHA-2. Autentificarea mesajelor SHA-XNUMX cu cheie hash, pentru a nu cripta tunelul IPsec utilizat pentru traficul de schimb de chei IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1-aes256-null-sha256-null | | aes256-null-sha384 | aes256-null-sha512)

În mod implicit, cheile IKE sunt reîmprospătate la fiecare 4 ore (14,400 de secunde). Puteți modifica intervalul de reintroducere la o valoare de la 30 de secunde la 14 zile (1209600 de secunde):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# rekey secunde

Pentru a forța generarea de noi chei pentru un tunel IPsec, lansați comanda request ipsec ipsec-rekey. În mod implicit, secretul direct perfect (PFS) este activat pe tunelurile IPsec, pentru a se asigura că sesiunile anterioare nu sunt afectate dacă cheile viitoare sunt compromise. PFS forțează un nou schimb de chei Diffie-Hellman, utilizând implicit grupul de module prime Diffie-Hellman pe 4096 de biți. Puteți modifica setarea PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

setarea pfs poate fi una dintre următoarele:

  • grup-2—Utilizați grupul de modul principal Diffie-Hellman de 1024 de biți.
  • grup-14—Utilizați grupul de modul principal Diffie-Hellman de 2048 de biți.
  • grup-15—Utilizați grupul de modul principal Diffie-Hellman de 3072 de biți.
  • group-16—Utilizați grupul de modul principal Diffie-Hellman de 4096 de biți. Aceasta este valoarea implicită.
  • niciunul—Dezactivați PFS.

În mod implicit, fereastra de redare IPsec din tunelul IPsec este de 512 octeți. Puteți seta dimensiunea ferestrei de reluare la 64, 128, 256, 512, 1024, 2048 sau 4096 pachete:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# numărul ferestrei de redare

Modificați detectarea IKE Dead-Peer

IKE folosește un mecanism de detectare a dead-peer pentru a determina dacă conexiunea la un peer IKE este funcțională și accesibilă. Pentru a implementa acest mecanism, IKE trimite un pachet Hello către peer-ul său, iar peer-ul trimite o confirmare ca răspuns. În mod implicit, IKE trimite pachete Hello la fiecare 10 secunde, iar după trei pachete neconfirmate, IKE declară că vecinul este mort și dărâmă tunelul către peer. Ulterior, IKE trimite periodic un pachet Hello către peer și reinstaurează tunelul atunci când peer-ul revine online. Puteți modifica intervalul de detectare a intensității la o valoare de la 0 la 65535 și puteți modifica numărul de reîncercări la o valoare de la 0 la 255.

Nota

Pentru VPN-urile de transport, intervalul de detectare a vieții este convertit în secunde utilizând următoarea formulă: Interval pentru numărul încercării de retransmisie N = interval * 1.8N-1De ex.ampdacă intervalul este setat la 10 și reîncercă la 5, intervalul de detectare crește după cum urmează:

  • Încercarea 1: 10 * 1.81-1= 10 secunde
  • Încercare 2: 10 * 1.82-1= 18 secunde
  • Încercare 3: 10 * 1.83-1= 32.4 secunde
  • Încercare 4: 10 * 1.84-1= 58.32 secunde
  • Încercare 5: 10 * 1.85-1= 104.976 secunde

vEdge(config-interface-ipsecnumber)# număr de reîncercări ale intervalului de dead-peer-detection

Configurați alte proprietăți de interfață

Pentru interfețele tunel IPsec, puteți configura numai următoarele proprietăți suplimentare de interfață:

  • vEdge(config-interface-ipsec)# mtu bytes
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Dezactivați algoritmii slabi de criptare SSH pe Cisco SD-WAN Manager

Tabelul 5: Tabelul istoric al caracteristicilor

Caracteristică Nume Informații de eliberare Caracteristică Descriere
Dezactivați algoritmii slabi de criptare SSH pe Cisco SD-WAN Manager Cisco vManage Versiunea 20.9.1 Această caracteristică vă permite să dezactivați algoritmii SSH mai slabi din Cisco SD-WAN Manager care ar putea să nu respecte anumite standarde de securitate a datelor.

Informații despre dezactivarea algoritmilor slabi de criptare SSH pe Cisco SD-WAN Manager
Cisco SD-WAN Manager oferă un client SSH pentru comunicarea cu componentele din rețea, inclusiv controlerele și dispozitivele edge. Clientul SSH oferă o conexiune criptată pentru transferul de date securizat, bazat pe o varietate de algoritmi de criptare. Multe organizații necesită o criptare mai puternică decât cea oferită de SHA-1, AES-128 și AES-192. Din Cisco vManage Release 20.9.1, puteți dezactiva următorii algoritmi de criptare mai slabi, astfel încât un client SSH să nu folosească acești algoritmi:

  • SHA-1
  • AES-128
  • AES-192

Înainte de a dezactiva acești algoritmi de criptare, asigurați-vă că dispozitivele Cisco vEdge, dacă există, în rețea, utilizează o versiune software ulterioară Cisco SD-WAN Versiunea 18.4.6.

Beneficiile dezactivării algoritmilor slabi de criptare SSH pe Cisco SD-WAN Manager
Dezactivarea algoritmilor de criptare SSH mai slabi îmbunătățește securitatea comunicațiilor SSH și asigură că organizațiile care utilizează Cisco Catalyst SD-WAN respectă reglementările stricte de securitate.

Dezactivați algoritmii slabi de criptare SSH pe Cisco SD-WAN Manager utilizând CLI

  1. Din meniul Cisco SD-WAN Manager, alegeți Instrumente > Terminal SSH.
  2. Alegeți dispozitivul Cisco SD-WAN Manager pe care doriți să dezactivați algoritmii SSH mai slabi.
  3. Introduceți numele de utilizator și parola pentru a vă conecta la dispozitiv.
  4. Intrați în modul server SSH.
    • vmanage(config)# sistem
    • vmanage(config-system)# ssh-server
  5. Efectuați una dintre următoarele pentru a dezactiva un algoritm de criptare SSH:
    • Dezactivează SHA-1:
  6. manage(config-ssh-server)# nu kex-algo sha1
  7. manage(config-ssh-server)# commit
    Este afișat următorul mesaj de avertizare: Au fost generate următoarele avertismente: „system ssh-server kex-algo sha1”: ​​AVERTISMENT: Asigurați-vă că toate marginile dumneavoastră rulează versiunea de cod > 18.4.6 care negociază mai bine decât SHA1 cu vManage. În caz contrar, acele margini pot deveni offline. Continua? [da, nu] da
    • Asigurați-vă că orice dispozitiv Cisco vEdge din rețea rulează Cisco SD-WAN versiunea 18.4.6 sau o versiune ulterioară și introduceți da.
    • Dezactivați AES-128 și AES-192:
    • vmanage(config-ssh-server)# fără cifră aes-128-192
    • vmanage(config-ssh-server)# commit
      Este afișat următorul mesaj de avertizare:
      Au fost generate următoarele avertismente:
      „system ssh-server cipher aes-128-192”: AVERTISMENT: Asigurați-vă că toate marginile dumneavoastră rulează versiunea de cod > 18.4.6, care negociază mai bine decât AES-128-192 cu vManage. În caz contrar, acele margini pot deveni offline. Continua? [da, nu] da
    • Asigurați-vă că orice dispozitiv Cisco vEdge din rețea rulează Cisco SD-WAN versiunea 18.4.6 sau o versiune ulterioară și introduceți da.

Verificați dacă algoritmii slabi de criptare SSH sunt dezactivați pe Cisco SD-WAN Manager utilizând CLI

  1. Din meniul Cisco SD-WAN Manager, alegeți Instrumente > Terminal SSH.
  2. Selectați dispozitivul Cisco SD-WAN Manager pe care doriți să îl verificați.
  3. Introduceți numele de utilizator și parola pentru a vă conecta la dispozitiv.
  4. Rulați următoarea comandă: show running-config system ssh-server
  5. Confirmați că rezultatul afișează una sau mai multe comenzi care dezactivează algoritmii de criptare mai slabi:
    • fără cifră aes-128-192
    • nu kex-algo sha1

Documente/Resurse

CISCO SD-WAN Configurați parametrii de securitate [pdfGhid de utilizare
SD-WAN Configurarea parametrilor de securitate, SD-WAN, Configurarea parametrilor de securitate, Parametrii de securitate

Referințe

Lasă un comentariu

Adresa ta de e-mail nu va fi publicată. Câmpurile obligatorii sunt marcate *