Содержание скрывать
1 CISCO SD-WAN Настройка параметров безопасности
2 Настройка параметров безопасности
3 Настройка параметров безопасности плоскости управления
4 Настройте DTLS в Cisco SD-WAN Manager
5 Настройка параметров безопасности плоскости данных
6 Настройка разрешенных типов аутентификации
7 Изменение таймера смены ключей
8 Изменение размера окна защиты от повторов
9 Настройка статического маршрута IPsec
10 Настройка параметров туннеля IPsec
11 Изменить обнаружение мертвых узлов IKE
12 Настройка других свойств интерфейса
13 Отключите слабые алгоритмы шифрования SSH в Cisco SD-WAN Manager
14 Документы/Ресурсы
14.1 Ссылки

CISCO-ЛОГО

CISCO SD-WAN Настройка параметров безопасности

CISCO-SD-WAN-Настройка-Параметры-Безопасности-ПРОДУКТ

Настройка параметров безопасности

Примечание

В целях упрощения и единообразия решение Cisco SD-WAN было переименовано в Cisco Catalyst SD-WAN. Кроме того, начиная с Cisco IOS XE SD-WAN версии 17.12.1a и Cisco Catalyst SD-WAN версии 20.12.1 применимы следующие изменения компонентов: Cisco vManage на Cisco Catalyst SD-WAN Manager, Cisco vAnalytics на Cisco Catalyst SD-WAN. Analytics, Cisco vBond для Cisco Catalyst SD-WAN Validator и Cisco vSmart для Cisco Catalyst SD-WAN Controller. Полный список всех изменений торговых марок компонентов см. в последних примечаниях к выпуску. При переходе на новые названия в комплекте документации могут присутствовать некоторые несоответствия из-за поэтапного подхода к обновлению пользовательского интерфейса программного продукта.

В этом разделе описывается, как изменить параметры безопасности для плоскости управления и плоскости данных в оверлейной сети Cisco Catalyst SD-WAN.

  • Настройка параметров безопасности плоскости управления, на
  • Настройка параметров безопасности плоскости данных, на
  • Настройка туннелей IPsec с поддержкой IKE, на
  • Отключите слабые алгоритмы шифрования SSH в Cisco SD-WAN Manager, на

Настройка параметров безопасности плоскости управления

По умолчанию плоскость управления использует DTLS в качестве протокола, обеспечивающего конфиденциальность во всех туннелях. DTLS работает через UDP. Вы можете изменить протокол безопасности плоскости управления на TLS, который работает через TCP. Основная причина использования TLS заключается в том, что если вы считаете контроллер Cisco SD-WAN сервером, брандмауэры защищают TCP-серверы лучше, чем UDP-серверы. Вы настраиваете протокол туннеля плоскости управления на контроллере Cisco SD-WAN: vSmart(config)# протокол управления безопасностью tls. Благодаря этому изменению все туннели плоскости управления между контроллером Cisco SD-WAN и маршрутизаторами, а также между контроллером Cisco SD-WAN и Cisco SD-WAN Manager используют TLS. Туннели плоскости управления к Cisco Catalyst SD-WAN Validator всегда используют DTLS, поскольку эти соединения должны обрабатываться с помощью UDP. В домене с несколькими контроллерами Cisco SD-WAN при настройке TLS на одном из контроллеров Cisco SD-WAN все туннели плоскости управления от этого контроллера к другим контроллерам используют TLS. Другими словами, TLS всегда имеет приоритет над DTLS. Однако с точки зрения других контроллеров SD-WAN Cisco, если вы не настроили на них TLS, они используют TLS в туннеле плоскости управления только для этого одного контроллера SD-WAN Cisco, и они используют туннели DTLS для всех остальных. Контроллеры Cisco SD-WAN и все подключенные к ним маршрутизаторы. Чтобы все контроллеры Cisco SD-WAN использовали TLS, настройте его на всех из них. По умолчанию контроллер Cisco SD-WAN прослушивает порт 23456 на предмет запросов TLS. Чтобы изменить это: vSmart(config)# номер tls-port управления безопасностью Порт может быть числом от 1025 до 65535. Чтобы отобразить информацию о безопасности плоскости управления, используйте команду show control Connections на контроллере Cisco SD-WAN. Для бывшегоample: vSmart-2# показать соединения управления

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Настройте DTLS в Cisco SD-WAN Manager

Если вы настраиваете Cisco SD-WAN Manager для использования TLS в качестве протокола безопасности плоскости управления, вам необходимо включить переадресацию портов на вашем NAT. Если вы используете DTLS в качестве протокола безопасности плоскости управления, вам не нужно ничего делать. Количество пересылаемых портов зависит от количества процессов vdaemon, запущенных в Cisco SD-WAN Manager. Чтобы отобразить информацию об этих процессах, а также о количестве пересылаемых портов, используйте команду show control summary, показывающую, что запущены четыре процесса-демона:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Чтобы просмотреть прослушиваемые порты, используйте команду show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Эти выходные данные показывают, что прослушиваемый TCP-порт — 23456. Если вы используете Cisco SD-WAN Manager за NAT, вам следует открыть следующие порты на устройстве NAT:

  • 23456 (база – порт экземпляра 0)
  • 23456 + 100 (база + 100)
  • 23456 + 200 (база + 200)
  • 23456 + 300 (база + 300)

Обратите внимание, что количество экземпляров совпадает с количеством ядер, назначенных для Cisco SD-WAN Manager, но не более 8.

Настройка параметров безопасности с помощью шаблона функций безопасности

Используйте шаблон функции безопасности для всех устройств Cisco vEdge. На пограничных маршрутизаторах и в средстве проверки Cisco SD-WAN используйте этот шаблон для настройки IPsec для безопасности плоскости данных. В Cisco SD-WAN Manager и Cisco SD-WAN Controller используйте шаблон функции безопасности, чтобы настроить DTLS или TLS для безопасности плоскости управления.

Настройка параметров безопасности

  1. В меню Cisco SD-WAN Manager выберите «Конфигурация» > «Шаблоны».
  2. Нажмите «Шаблоны функций», а затем нажмите «Добавить шаблон».
    Примечание В Cisco vManage Release 20.7.1 и более ранних версиях шаблоны функций называются Feature.
  3. В списке «Устройства» на левой панели выберите устройство. На правой панели появятся шаблоны, применимые к выбранному устройству.
  4. Нажмите «Безопасность», чтобы открыть шаблон.
  5. В поле Имя шаблона введите имя шаблона. Имя может содержать до 128 символов и содержать только буквенно-цифровые символы.
  6. В поле «Описание шаблона» введите описание шаблона. Описание может содержать до 2048 символов и содержать только буквенно-цифровые символы.

Когда вы впервые открываете шаблон объекта, для каждого параметра, имеющего значение по умолчанию, устанавливается область действия «По умолчанию» (обозначается галочкой), и отображается настройка или значение по умолчанию. Чтобы изменить значение по умолчанию или ввести значение, щелкните раскрывающееся меню области слева от поля параметра и выберите один из следующих вариантов:

Таблица 1:

Параметр Объем Описание области применения
Зависит от устройства (обозначается значком хоста) Используйте для параметра значение, зависящее от устройства. Для параметров, специфичных для устройства, вы не можете ввести значение в шаблон объекта. Вы вводите значение при присоединении устройства Viptela к шаблону устройства.

При нажатии кнопки «Конкретно для устройства» открывается окно «Ввести ключ». В этом поле отображается ключ, который представляет собой уникальную строку, идентифицирующую параметр в CSV-файле. file что вы создаете. Этот file — это электронная таблица Excel, содержащая по одному столбцу для каждого ключа. Строка заголовка содержит имена ключей (по одному ключу на столбец), а каждая следующая строка соответствует устройству и определяет значения ключей для этого устройства. Вы загружаете CSV file когда вы прикрепляете устройство Viptela к шаблону устройства. Дополнительные сведения см. в разделе Создание таблицы переменных шаблона.

Чтобы изменить ключ по умолчанию, введите новую строку и переместите курсор за пределы поля «Ввести ключ».

ExampФайлами параметров, специфичных для устройства, являются IP-адрес системы, имя хоста, местоположение GPS и идентификатор сайта.
Параметр Объем Описание области применения
Глобальный (обозначается значком глобуса) Введите значение параметра и примените это значение ко всем устройствам.

ExampФайлы параметров, которые вы можете применить глобально к группе устройств, — это DNS-сервер, сервер системного журнала и MTU интерфейса.

Настройка безопасности плоскости управления

Примечание
Раздел «Настройка безопасности плоскости управления» применим только к Cisco SD-WAN Manager и Cisco SD-WAN Controller. Чтобы настроить протокол подключения плоскости управления на экземпляре Cisco SD-WAN Manager или Cisco SD-WAN Controller, выберите область «Базовая конфигурация». и настройте следующие параметры:

Таблица 2:

Параметр Имя Описание
Протокол Выберите протокол, который будет использоваться при подключениях плоскости управления к контроллеру Cisco SD-WAN:

•  ДТЛС (ДаtagRAM Transport Layer Security). Это значение по умолчанию.

•  TLS (безопасность транспортного уровня).
Управление TLS-портом Если вы выбрали TLS, настройте номер порта, который будет использоваться:Диапазон: 1025–65535По умолчанию: 23456

Нажмите «Сохранить».

Настройка безопасности плоскости данных
Чтобы настроить безопасность плоскости данных на Cisco SD-WAN Validator или маршрутизаторе Cisco vEdge, выберите вкладки «Базовая конфигурация» и «Тип аутентификации» и настройте следующие параметры:

Таблица 3:

Параметр Имя Описание
Время смены ключа Укажите, как часто маршрутизатор Cisco vEdge меняет ключ AES, используемый при его безопасном соединении DTLS с контроллером Cisco SD-WAN. Если включен плавный перезапуск OMP, время смены ключей должно быть как минимум в два раза больше значения таймера плавного перезапуска OMP.Диапазон: От 10 до 1209600 секунд (14 дней)По умолчанию: 86400 секунд (24 часа)
Окно повтора Укажите размер скользящего окна воспроизведения.

Ценности: 64, 128, 256, 512, 1024, 2048, 4096, 8192 пакетаПо умолчанию: 512 пакетов
IPsec

попарный ключ

 По умолчанию это отключено. Нажмите On чтобы включить его.
Параметр Имя Описание
Тип аутентификации Выберите типы аутентификации из Аутентификация Списоки щелкните стрелку, указывающую вправо, чтобы переместить типы аутентификации в Выбранный список столбец.

Типы аутентификации, поддерживаемые Cisco SD-WAN версии 20.6.1:

•  особенно: включает инкапсулирующее шифрование безопасности (ESP) и проверку целостности заголовка ESP.

•  ip-udp-esp: Включает шифрование ESP. Помимо проверок целостности заголовка ESP и полезных данных, проверки также включают внешние заголовки IP и UDP.

•  ip-udp-esp-no-id: игнорирует поле идентификатора в заголовке IP, чтобы Cisco Catalyst SD-WAN мог работать совместно с устройствами сторонних производителей.

•  никто: отключает проверку целостности пакетов IPSec. Мы не рекомендуем использовать эту опцию.

 

Типы аутентификации, поддерживаемые в Cisco SD-WAN версии 20.5.1 и более ранних версиях:

•  ах-нет-идентификатор: Включить расширенную версию AH-SHA1 HMAC и ESP HMAC-SHA1, которая игнорирует поле идентификатора во внешнем IP-заголовке пакета.

•  ах-ша1-хмак: включить AH-SHA1 HMAC и ESP HMAC-SHA1.

•  никто: выберите отсутствие аутентификации.

•  sha1-hmac: включить ESP HMAC-SHA1.

 

Примечание              Для пограничного устройства, работающего на Cisco SD-WAN версии 20.5.1 или более ранней, вы можете настроить типы аутентификации с помощью Безопасность шаблон. При обновлении устройства до Cisco SD-WAN Release 20.6.1 или более поздней версии обновите выбранные типы аутентификации в Безопасность шаблон для типов аутентификации, поддерживаемых Cisco SD-WAN Release 20.6.1. Чтобы обновить типы аутентификации, выполните следующие действия:

1.      В меню Cisco SD-WAN Manager выберите Конфигурация >

Шаблоны.

2.      Нажмите Шаблоны функций.

3.      Найдите Безопасность шаблон для обновления и нажмите… и нажмите Редактировать.

4.      Нажмите Обновлять. Не изменяйте никакую конфигурацию.

Cisco SD-WAN Manager обновляет Безопасность шаблон для отображения поддерживаемых типов аутентификации.

Нажмите «Сохранить».

Настройка параметров безопасности плоскости данных

В плоскости данных IPsec включен по умолчанию на всех маршрутизаторах, а туннельные соединения IPsec по умолчанию используют расширенную версию протокола инкапсуляции полезной нагрузки безопасности (ESP) для аутентификации в туннелях IPsec. На маршрутизаторах можно изменить тип аутентификации, таймер смены ключей IPsec и размер окна защиты от повтора IPsec.

Настройка разрешенных типов аутентификации

Типы аутентификации в Cisco SD-WAN версии 20.6.1 и более поздних версиях
Начиная с версии Cisco SD-WAN 20.6.1 поддерживаются следующие типы целостности:

  • esp: этот параметр включает шифрование инкапсуляционной безопасности (ESP) и проверку целостности заголовка ESP.
  • ip-udp-esp: этот параметр включает шифрование ESP. Помимо проверок целостности заголовка ESP и полезных данных, проверки также включают внешние заголовки IP и UDP.
  • ip-udp-esp-no-id: этот параметр аналогичен ip-udp-esp, однако поле ID внешнего заголовка IP игнорируется. Настройте этот параметр в списке типов целостности, чтобы программное обеспечение Cisco Catalyst SD-WAN игнорировало поле ID в заголовке IP, чтобы Cisco Catalyst SD-WAN мог работать совместно с устройствами сторонних производителей.
  • none: этот параметр отключает проверку целостности пакетов IPSec. Мы не рекомендуем использовать эту опцию.

По умолчанию туннельные соединения IPsec используют для аутентификации расширенную версию протокола Encapsulation Security Payload (ESP). Чтобы изменить согласованные типы взаимодействия или отключить проверку целостности, используйте следующую команду: тип целостности { none | ip-udp-esp | ip-udp-esp-no-id | особенно }

Типы аутентификации до версии Cisco SD-WAN 20.6.1
По умолчанию туннельные соединения IPsec используют для аутентификации расширенную версию протокола Encapsulation Security Payload (ESP). Чтобы изменить согласованные типы аутентификации или отключить аутентификацию, используйте следующую команду: Device(config)# security ipsec тип аутентификации (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) По умолчанию IPsec туннельные соединения используют AES-GCM-256, который обеспечивает как шифрование, так и аутентификацию. Настройте каждый тип аутентификации с помощью отдельной команды типа аутентификации Security ipsec. Параметры команды соответствуют следующим типам аутентификации, которые перечислены в порядке от наиболее надежного к наименее надежному:

Примечание
sha1 в параметрах конфигурации используется по историческим причинам. Параметры аутентификации указывают, какая часть проверки целостности пакета выполняется. В них не указан алгоритм проверки целостности. За исключением шифрования многоадресного трафика, алгоритмы аутентификации, поддерживаемые Cisco Catalyst SD WAN, не используют SHA1. Однако в Cisco SD-WAN версии 20.1.x и более поздних версиях как одноадресная, так и многоадресная рассылка не используют SHA1.

  • ah-sha1-hmac включает шифрование и инкапсуляцию с использованием ESP. Однако в дополнение к проверке целостности заголовка ESP и полезной нагрузки проверки также включают внешние заголовки IP и UDP. Следовательно, этот параметр поддерживает проверку целостности пакета, аналогичную протоколу заголовка аутентификации (AH). Вся целостность и шифрование выполняются с использованием AES-256-GCM.
  • ah-no-id включает режим, аналогичный ah-sha1-hmac, однако поле ID внешнего IP-заголовка игнорируется. Этот вариант подходит для некоторых устройств SD-WAN, отличных от Cisco Catalyst, включая Apple AirPort Express NAT, в которых имеется ошибка, приводящая к изменению неизменяемого поля ID в заголовке IP. Настройте параметр ah-no-id в списке типов аутентификации, чтобы программное обеспечение Cisco Catalyst SD-WAN AH игнорировало поле ID в заголовке IP, чтобы программное обеспечение Cisco Catalyst SD-WAN могло работать совместно с этими устройствами.
  • sha1-hmac включает шифрование ESP и проверку целостности.
  • none означает отсутствие аутентификации. Эту опцию следует использовать только в том случае, если она необходима для временной отладки. Вы также можете выбрать этот вариант в ситуациях, когда аутентификация и целостность уровня данных не являются проблемой. Cisco не рекомендует использовать эту опцию для производственных сетей.

Сведения о том, на какие поля пакета данных влияют эти типы аутентификации, см. в разделе Целостность плоскости данных. Устройства Cisco IOS XE Catalyst SD-WAN и устройства Cisco vEdge объявляют настроенные типы аутентификации в своих свойствах TLOC. Два маршрутизатора по обе стороны туннельного соединения IPsec согласовывают аутентификацию, которая будет использоваться в соединении между ними, используя самый сильный тип аутентификации, настроенный на обоих маршрутизаторах. Для бывшегоampНапример, если один маршрутизатор объявляет типы ah-sha1-hmac и ah-no-id, а второй маршрутизатор объявляет тип ah-no-id, два маршрутизатора договариваются об использовании ah-no-id в туннельном соединении IPsec между их. Если на двух узлах не настроены общие типы аутентификации, между ними не устанавливается туннель IPsec. Алгоритм шифрования туннельных соединений IPsec зависит от типа трафика:

  • Для одноадресного трафика используется алгоритм шифрования AES-256-GCM.
  • Для многоадресного трафика:
  • Cisco SD-WAN версии 20.1.x и более поздних версий — алгоритм шифрования AES-256-GCM.
  • Предыдущие версии — алгоритм шифрования AES-256-CBC с SHA1-HMAC.

При изменении типа аутентификации IPsec изменяется ключ AES для пути данных.

Изменение таймера смены ключей

Прежде чем устройства Cisco IOS XE Catalyst SD-WAN и устройства Cisco vEdge смогут обмениваться трафиком данных, между ними устанавливается безопасный канал связи с проверкой подлинности. Маршрутизаторы используют туннели IPSec между собой в качестве канала и шифр AES-256 для шифрования. Каждый маршрутизатор периодически генерирует новый ключ AES для своего пути данных. По умолчанию ключ действителен в течение 86400 24 секунд (10 часа), а диапазон таймера составляет от 1209600 секунд до 14 XNUMX XNUMX секунд (XNUMX дней). Чтобы изменить значение таймера повторного ключа: Device(config)# security ipsec rekey секунды. Конфигурация выглядит следующим образом:

  • безопасность ipsec смена ключей секунд!

Если вы хотите немедленно сгенерировать новые ключи IPsec, вы можете сделать это, не изменяя конфигурацию маршрутизатора. Для этого введите команду request security ipsecrekey на взломанном маршрутизаторе. Для бывшегоample, следующий вывод показывает, что локальный SA имеет индекс параметра безопасности (SPI) 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

С каждым SPI связан уникальный ключ. Если этот ключ скомпрометирован, используйте команду request security ipsec-rekey, чтобы немедленно сгенерировать новый ключ. Эта команда увеличивает SPI. В нашем бывшемample, SPI изменится на 257, и теперь используется связанный с ним ключ:

  • Устройство № запроса безопасности ipsecrekey
  • Номер устройства показать ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

После создания нового ключа маршрутизатор немедленно отправляет его контроллерам Cisco SD-WAN с помощью DTLS или TLS. Контроллеры Cisco SD-WAN отправляют ключ одноранговым маршрутизаторам. Маршрутизаторы начинают использовать его, как только получают. Обратите внимание, что ключ, связанный со старым SPI (256), будет продолжать использоваться в течение короткого времени, пока не истечет время ожидания. Чтобы немедленно прекратить использование старого ключа, дважды быстро введите команду request security ipsec-rekey. Эта последовательность команд удаляет SPI 256 и 257 и устанавливает SPI равным 258. Затем маршрутизатор использует соответствующий ключ SPI 258. Однако обратите внимание, что некоторые пакеты будут отбрасываться в течение короткого периода времени, пока все удаленные маршрутизаторы не узнают новый ключ.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Изменение размера окна защиты от повторов

Аутентификация IPsec обеспечивает защиту от повторного воспроизведения путем присвоения уникального порядкового номера каждому пакету в потоке данных. Эта порядковая нумерация защищает от дублирования пакетов данных злоумышленником. При защите от повторного воспроизведения отправитель назначает монотонно увеличивающиеся порядковые номера, а адресат проверяет эти порядковые номера на предмет дубликатов. Поскольку пакеты часто приходят не по порядку, пункт назначения поддерживает скользящее окно порядковых номеров, которые он может принять.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Пакеты с порядковыми номерами, расположенными слева от диапазона скользящего окна, считаются старыми или дубликатами, и пункт назначения отбрасывает их. Пункт назначения отслеживает полученный им наивысший порядковый номер и корректирует скользящее окно при получении пакета с более высоким значением.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

По умолчанию скользящее окно установлено на 512 пакетов. Ему может быть присвоено любое значение от 64 до 4096, которое является степенью 2 (то есть 64, 128, 256, 512, 1024, 2048 или 4096). Чтобы изменить размер окна защиты от повтора, используйте команду replay-window, указав размер окна:

Device(config)# номер окна повтора безопасности ipsec

Конфигурация выглядит так:
номер окна воспроизведения безопасности ipsec ! !

Чтобы улучшить качество обслуживания, для каждого из первых восьми каналов трафика поддерживаются отдельные окна воспроизведения. Настроенный размер окна воспроизведения делится на восемь для каждого канала. Если на маршрутизаторе настроено качество обслуживания, на этом маршрутизаторе может наблюдаться большее, чем ожидалось, количество отброшенных пакетов из-за механизма предотвращения повторного воспроизведения IPsec, и многие из отброшенных пакетов являются законными. Это происходит потому, что QoS меняет порядок пакетов, предоставляя предпочтение пакетам с более высоким приоритетом и задерживая пакеты с более низким приоритетом. Чтобы свести к минимуму или предотвратить такую ​​ситуацию, вы можете сделать следующее:

  • Увеличьте размер окна антиповтора.
  • Направьте трафик на первые восемь каналов трафика, чтобы гарантировать, что трафик внутри канала не будет переупорядочен.

Настройка туннелей IPsec с поддержкой IKE
Для безопасной передачи трафика из оверлейной сети в служебную сеть можно настроить туннели IPsec, использующие протокол обмена ключами в Интернете (IKE). Туннели IPsec с поддержкой IKE обеспечивают аутентификацию и шифрование для обеспечения безопасной передачи пакетов. Туннель IPsec с поддержкой IKE создается путем настройки интерфейса IPsec. Интерфейсы IPsec являются логическими интерфейсами, и вы настраиваете их так же, как и любой другой физический интерфейс. Вы настраиваете параметры протокола IKE на интерфейсе IPsec, а также можете настроить другие свойства интерфейса.

Примечание Cisco рекомендует использовать IKE версии 2. Начиная с версии Cisco SD-WAN 19.2.x, размер предварительного ключа должен быть не менее 16 байт. Установление туннеля IPsec завершается неудачей, если размер ключа меньше 16 символов при обновлении маршрутизатора до версии 19.2.

Примечание
Программное обеспечение Cisco Catalyst SD-WAN поддерживает IKE версии 2, как определено в RFC 7296. Одним из вариантов использования туннелей IPsec является разрешение экземплярам виртуальных машин маршрутизатора vEdge Cloud, работающим на Amazon AWS, подключаться к виртуальному частному облаку Amazon (VPC). На этих маршрутизаторах необходимо настроить IKE версии 1. Устройства Cisco vEdge поддерживают только VPN на основе маршрутов в конфигурации IPSec, поскольку эти устройства не могут определять селекторы трафика в домене шифрования.

Настройка туннеля IPsec
Чтобы настроить туннельный интерфейс IPsec для безопасного транспортного трафика из служебной сети, вы создаете логический интерфейс IPsec:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Вы можете создать туннель IPsec в транспортной VPN (VPN 0) и в любой служебной VPN (VPN от 1 до 65530, кроме 512). Интерфейс IPsec имеет имя в формате ipsecnumber, где число может принимать значения от 1 до 255. Каждый интерфейс IPsec должен иметь адрес IPv4. Этот адрес должен иметь префикс /30. Весь трафик в VPN, находящийся в этом префиксе IPv4, направляется на физический интерфейс в VPN 0 для безопасной отправки через туннель IPsec. Чтобы настроить источник туннеля IPsec на локальном устройстве, вы можете указать либо IP-адрес физический интерфейс (в команде туннеля-источника) или имя физического интерфейса (в команде туннеля-источника-интерфейса). Убедитесь, что физический интерфейс настроен в VPN 0. Чтобы настроить назначение туннеля IPsec, укажите IP-адрес удаленного устройства в команде Tunnel-destination. Комбинация исходного адреса (или имени исходного интерфейса) и адреса назначения определяет один туннель IPsec. Может существовать только один туннель IPsec, который использует определенную пару адреса источника (или имени интерфейса) и адреса назначения.

Настройка статического маршрута IPsec

Чтобы направить трафик из служебной VPN в туннель IPsec в транспортной VPN (VPN 0), вы настраиваете статический маршрут, специфичный для IPsec, в служебной VPN (VPN, отличная от VPN 0 или VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip префикс/длина ipsec-маршрута vpn 0 интерфейс
  • номер ipsec [ipsecnumber2]

Идентификатор VPN соответствует идентификатору любой службы VPN (VPN от 1 до 65530, кроме 512). префикс/длина — это IP-адрес или префикс в десятичном формате, состоящем из четырех частей и точек, а также длина префикса статического маршрута, специфичного для IPsec. Интерфейс представляет собой туннельный интерфейс IPsec в VPN 0. Вы можете настроить один или два туннельных интерфейса IPsec. Если вы настроите два туннеля, первый будет основным туннелем IPsec, а второй — резервным. При наличии двух интерфейсов все пакеты отправляются только в основной туннель. Если этот туннель выходит из строя, все пакеты отправляются во вторичный туннель. Если основной туннель восстанавливается, весь трафик перемещается обратно в основной туннель IPsec.

Включить IKE версии 1
При создании туннеля IPsec на маршрутизаторе vEdge IKE версии 1 по умолчанию включается на интерфейсе туннеля. Следующие свойства также включены по умолчанию для IKEv1:

  • Аутентификация и шифрование — расширенный стандарт шифрования AES-256, шифрование CBC с алгоритмом кода аутентификации сообщения с хеш-ключом HMAC-SHA1 для обеспечения целостности.
  • Номер группы Диффи-Хеллмана — 16.
  • Интервал переключений — 4 часа.
  • Режим создания SA — Основной

По умолчанию IKEv1 использует основной режим IKE для установки IKE SA. В этом режиме происходит обмен шестью пакетами переговоров для установления SA. Чтобы обмениваться только тремя пакетами согласования, включите агрессивный режим:

Примечание
По возможности следует избегать агрессивного режима IKE с предварительными общими ключами. В противном случае следует выбрать надежный предварительный ключ.

  • vEdge(config)# vpn vpn-id интерфейса номер ipsec ike
  • vEdge(config-ike)# агрессивный режим

По умолчанию IKEv1 использует группу Диффи-Хеллмана 16 при обмене ключами IKE. Эта группа использует 4096-битную более модульную экспоненциальную группу (MODP) во время обмена ключами IKE. Вы можете изменить номер группы на 2 (для 1024-битного MODP), 14 (2048-битный MODP) или 15 (3072-битный MODP):

  • vEdge(config)# vpn vpn-id интерфейса номер ipsec ike
  • vEdge(config-ike)# номер группы

По умолчанию при обмене ключами IKE используется расширенный стандарт шифрования AES-256, шифрование CBC с алгоритмом кода аутентификации сообщения с хеш-ключом HMAC-SHA1 для обеспечения целостности. Вы можете изменить аутентификацию:

  • vEdge(config)# vpn vpn-id интерфейса номер ipsec ike
  • vEdge(config-ike)# набор шифровальных пакетов

Набор аутентификации может быть одним из следующих:

  • aes128-cbc-sha1 — расширенный стандарт шифрования AES-128, шифрование CBC с алгоритмом кода аутентификации сообщения с хеш-ключом HMAC-SHA1 для обеспечения целостности.
  • aes128-cbc-sha2 — расширенный стандарт шифрования AES-128, шифрование CBC с алгоритмом кода аутентификации сообщения с хеш-ключом HMAC-SHA256 для обеспечения целостности.
  • aes256-cbc-sha1 — расширенное шифрование стандарта шифрования AES-256 CBC с алгоритмом кода аутентификации сообщения с хеш-ключом HMAC-SHA1 для обеспечения целостности; это значение по умолчанию.
  • aes256-cbc-sha2 — расширенный стандарт шифрования AES-256, шифрование CBC с алгоритмом кода аутентификации сообщения с хеш-ключом HMAC-SHA256 для обеспечения целостности.

По умолчанию ключи IKE обновляются каждые 1 час (3600 секунд). Вы можете изменить интервал смены ключей на значение от 30 секунд до 14 дней (1209600 секунд). Рекомендуется интервал смены ключей составлять не менее 1 часа.

  • vEdge(config)# vpn vpn-id интерфейс номер ipsec например
  • vEdge(config-ike)# секунд повторного ввода ключей

Чтобы принудительно сгенерировать новые ключи для сеанса IKE, введите команду request ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id номер интерфейсаipsec ike

Для IKE вы также можете настроить аутентификацию по предварительному ключу (PSK):

  • vEdge(config)# vpn vpn-id интерфейса номер ipsec ike
  • vEdge(config-ike)# тип аутентификации предварительный общий ключ пароль предварительный общий секретный пароль — это пароль, который будет использоваться с предварительным ключом. Это может быть ASCII или шестнадцатеричная строка длиной от 1 до 127 символов.

Если удаленному узлу IKE требуется локальный или удаленный идентификатор, вы можете настроить этот идентификатор:

  • vEdge(config)# vpn vpn-id интерфейса номер ipsec типа типа аутентификации
  • vEdge(config-authentication-type)# идентификатор локального идентификатора
  • vEdge(config-authentication-type)# идентификатор удаленного идентификатора

Идентификатор может представлять собой IP-адрес или любую текстовую строку длиной от 1 до 63 символов. По умолчанию локальный идентификатор — это исходный IP-адрес туннеля, а удаленный идентификатор — это IP-адрес назначения туннеля.

Включить IKE версии 2
При настройке туннеля IPsec для использования IKE версии 2 следующие свойства также включены по умолчанию для IKEv2:

  • Аутентификация и шифрование — расширенный стандарт шифрования AES-256, шифрование CBC с алгоритмом кода аутентификации сообщения с хеш-ключом HMAC-SHA1 для обеспечения целостности.
  • Номер группы Диффи-Хеллмана — 16.
  • Интервал переключений — 4 часа.

По умолчанию IKEv2 использует группу Диффи-Хеллмана 16 при обмене ключами IKE. Эта группа использует 4096-битную более модульную экспоненциальную группу (MODP) во время обмена ключами IKE. Вы можете изменить номер группы на 2 (для 1024-битного MODP), 14 (2048-битный MODP) или 15 (3072-битный MODP):

  • vEdge(config)# vpn vpn-id интерфейс ipsecnumber ike
  • vEdge(config-ike)# номер группы

По умолчанию при обмене ключами IKE используется расширенный стандарт шифрования AES-256, шифрование CBC с алгоритмом кода аутентификации сообщения с хеш-ключом HMAC-SHA1 для обеспечения целостности. Вы можете изменить аутентификацию:

  • vEdge(config)# vpn vpn-id интерфейс ipsecnumber ike
  • vEdge(config-ike)# набор шифровальных пакетов

Набор аутентификации может быть одним из следующих:

  • aes128-cbc-sha1 — расширенный стандарт шифрования AES-128, шифрование CBC с алгоритмом кода аутентификации сообщения с хеш-ключом HMAC-SHA1 для обеспечения целостности.
  • aes128-cbc-sha2 — расширенный стандарт шифрования AES-128, шифрование CBC с алгоритмом кода аутентификации сообщения с хеш-ключом HMAC-SHA256 для обеспечения целостности.
  • aes256-cbc-sha1 — расширенное шифрование стандарта шифрования AES-256 CBC с алгоритмом кода аутентификации сообщения с хеш-ключом HMAC-SHA1 для обеспечения целостности; это значение по умолчанию.
  • aes256-cbc-sha2 — расширенный стандарт шифрования AES-256, шифрование CBC с алгоритмом кода аутентификации сообщения с хеш-ключом HMAC-SHA256 для обеспечения целостности.

По умолчанию ключи IKE обновляются каждые 4 часа (14,400 30 секунд). Вы можете изменить интервал смены ключей на значение от 14 секунд до 1209600 дней (XNUMX секунд):

  • vEdge(config)# vpn vpn-id интерфейс ipsecnumber ike
  • vEdge(config-ike)# секунд повторного ввода ключей

Чтобы принудительно сгенерировать новые ключи для сеанса IKE, введите команду request ipsec ike-rekey. Для IKE вы также можете настроить аутентификацию по предварительному ключу (PSK):

  • vEdge(config)# vpn vpn-id интерфейс ipsecnumber ike
  • vEdge(config-ike)# тип аутентификации предварительный общий ключ пароль предварительный общий секретный пароль — это пароль, который будет использоваться с предварительным ключом. Это может быть ASCII или шестнадцатеричная строка, либо ключ, зашифрованный AES. Если удаленному узлу IKE требуется локальный или удаленный идентификатор, вы можете настроить этот идентификатор:
  • vEdge(config)# vpn vpn-id интерфейс ipsecnumber ike тип аутентификации
  • vEdge(config-authentication-type)# идентификатор локального идентификатора
  • vEdge(config-authentication-type)# идентификатор удаленного идентификатора

Идентификатор может представлять собой IP-адрес или любую текстовую строку длиной от 1 до 64 символов. По умолчанию локальный идентификатор — это исходный IP-адрес туннеля, а удаленный идентификатор — это IP-адрес назначения туннеля.

Настройка параметров туннеля IPsec

Таблица 4: История функций

Особенность Имя Информация о выпуске Описание
Дополнительная криптографическая Cisco SD-WAN версии 20.1.1 Эта функция добавляет поддержку
Алгоритмическая поддержка IPSec   HMAC_SHA256, HMAC_SHA384 и
Туннели   Алгоритмы HMAC_SHA512 для
    повышенная безопасность.

По умолчанию в туннеле IPsec, по которому передается трафик IKE, используются следующие параметры:

  • Аутентификация и шифрование — алгоритм AES-256 в GCM (режим Галуа/счетчика).
  • Интервал смены ключей — 4 часа
  • Окно воспроизведения — 32 пакета.

Вы можете изменить шифрование в туннеле IPsec на шифр AES-256 в CBC (режим цепочки блоков шифрования, с HMAC, использующим аутентификацию сообщения с хеш-ключом SHA-1 или SHA-2, или обнулить с помощью HMAC, используя SHA-1 или SHA-2 или SHA-XNUMX). Аутентификация сообщения с использованием хеш-ключа SHA-XNUMX, чтобы не шифровать туннель IPsec, используемый для трафика обмена ключами IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# набор шифров (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 | aes256-null-sha384 | aes256-null-sha512)

По умолчанию ключи IKE обновляются каждые 4 часа (14,400 30 секунд). Вы можете изменить интервал смены ключей на значение от 14 секунд до 1209600 дней (XNUMX секунд):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# секунд повторного ввода ключей

Чтобы принудительно сгенерировать новые ключи для туннеля IPsec, введите команду request ipsec ipsec-rekey. По умолчанию в туннелях IPsec включена идеальная прямая секретность (PFS), чтобы гарантировать, что прошлые сеансы не будут затронуты, если будущие ключи будут скомпрометированы. PFS принудительно выполняет новый обмен ключами Диффи-Хеллмана, по умолчанию используя 4096-битную группу простых модулей Диффи-Хеллмана. Вы можете изменить настройку PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# настройка идеальной прямой секретности pfs

pfs-setting может быть одним из следующих:

  • group-2 — используйте 1024-битную группу простых модулей Диффи-Хеллмана.
  • group-14 — используйте 2048-битную группу простых модулей Диффи-Хеллмана.
  • group-15 — используйте 3072-битную группу простых модулей Диффи-Хеллмана.
  • group-16 — используйте 4096-битную группу простых модулей Диффи-Хеллмана. Это значение по умолчанию.
  • нет — отключить PFS.

По умолчанию размер окна воспроизведения IPsec в туннеле IPsec составляет 512 байт. Вы можете установить размер окна воспроизведения на 64, 128, 256, 512, 1024, 2048 или 4096 пакетов:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# номер окна воспроизведения

Изменить обнаружение мертвых узлов IKE

IKE использует механизм обнаружения мертвого узла, чтобы определить, является ли соединение с узлом IKE работоспособным и доступным. Чтобы реализовать этот механизм, IKE отправляет пакет Hello своему узлу, а узел отправляет в ответ подтверждение. По умолчанию IKE отправляет пакеты Hello каждые 10 секунд, а после трех неподтвержденных пакетов IKE объявляет соседа мертвым и разрывает туннель к одноранговому узлу. После этого IKE периодически отправляет пакет Hello узлу и повторно устанавливает туннель, когда узел снова подключается к сети. Вы можете изменить интервал определения активности на значение от 0 до 65535, а количество повторов можно изменить на значение от 0 до 255.

Примечание

Для транспортных VPN интервал определения работоспособности преобразуется в секунды по следующей формуле: Интервал для количества попыток повторной передачи N = интервал * 1.8N-1Для примераampТо есть, если интервал установлен на 10 и количество повторных попыток равно 5, интервал обнаружения увеличивается следующим образом:

  • Попытка 1: 10 * 1.81-1= 10 секунд
  • Пытаться 2: 10 * 1.82-1= 18 секунд
  • Пытаться 3: 10 * 1.83-1= 32.4 секунд
  • Пытаться 4: 10 * 1.84-1= 58.32 секунд
  • Пытаться 5: 10 * 1.85-1= 104.976 секунд

vEdge(config-interface-ipsecnumber)# количество повторных попыток интервала обнаружения мертвых узлов

Настройка других свойств интерфейса

Для туннельных интерфейсов IPsec можно настроить только следующие дополнительные свойства интерфейса:

  • vEdge(config-interface-ipsec)# байт mtu
  • vEdge(config-interface-ipsec)# байт tcp-mss-adjust

Отключите слабые алгоритмы шифрования SSH в Cisco SD-WAN Manager

Таблица 5. Таблица истории функций

Особенность Имя Информация о выпуске Особенность Описание
Отключите слабые алгоритмы шифрования SSH в Cisco SD-WAN Manager Cisco vManage версии 20.9.1 Эта функция позволяет отключить более слабые алгоритмы SSH в Cisco SD-WAN Manager, которые могут не соответствовать определенным стандартам безопасности данных.

Информация об отключении слабых алгоритмов шифрования SSH в Cisco SD-WAN Manager
Cisco SD-WAN Manager предоставляет SSH-клиент для связи с компонентами сети, включая контроллеры и периферийные устройства. Клиент SSH обеспечивает зашифрованное соединение для безопасной передачи данных на основе различных алгоритмов шифрования. Многим организациям требуется более сильное шифрование, чем то, которое обеспечивается SHA-1, AES-128 и AES-192. Начиная с версии Cisco vManage 20.9.1, вы можете отключить следующие более слабые алгоритмы шифрования, чтобы клиент SSH не использовал эти алгоритмы:

  • ША-1
  • АЕС-128
  • АЕС-192

Прежде чем отключать эти алгоритмы шифрования, убедитесь, что устройства Cisco vEdge, если таковые имеются в сети, используют версию программного обеспечения выше, чем Cisco SD-WAN Release 18.4.6.

Преимущества отключения слабых алгоритмов шифрования SSH в Cisco SD-WAN Manager
Отключение более слабых алгоритмов шифрования SSH повышает безопасность связи SSH и гарантирует, что организации, использующие Cisco Catalyst SD-WAN, соответствуют строгим правилам безопасности.

Отключите слабые алгоритмы шифрования SSH в Cisco SD-WAN Manager с помощью CLI

  1. В меню Cisco SD-WAN Manager выберите «Инструменты» > «Терминал SSH».
  2. Выберите устройство Cisco SD-WAN Manager, на котором вы хотите отключить более слабые алгоритмы SSH.
  3. Введите имя пользователя и пароль для входа на устройство.
  4. Войдите в режим SSH-сервера.
    • vmanage(config)# система
    • vmanage(config-system)# ssh-сервер
  5. Выполните одно из следующих действий, чтобы отключить алгоритм шифрования SSH:
    • Отключить SHA-1:
  6. Manage(config-ssh-server)# нет kex-algo sha1
  7. Manage(config-ssh-server)# коммит
    Отображается следующее предупреждающее сообщение: Были сгенерированы следующие предупреждения: «system ssh-server kex-algo sha1»: ПРЕДУПРЕЖДЕНИЕ: Убедитесь, что на всех ваших ребрах выполняется версия кода > 18.4.6, которая согласовывает лучше, чем SHA1 с vManage. В противном случае эти ребра могут стать автономными. Продолжить? [да, нет] да
    • Убедитесь, что все устройства Cisco vEdge в сети используют Cisco SD-WAN версии 18.4.6 или более поздней версии, и введите «да».
    • Отключите AES-128 и AES-192:
    • vmanage(config-ssh-server)# без шифрования aes-128-192
    • vmanage(config-ssh-server)# коммит
      Отображается следующее предупреждающее сообщение:
      Были созданы следующие предупреждения:
      «системный шифр ssh-сервера aes-128-192»: ВНИМАНИЕ: убедитесь, что на всех ваших ребрах используется код версии > 18.4.6, который лучше согласовывает с vManage, чем AES-128-192. В противном случае эти ребра могут стать автономными. Продолжить? [да, нет] да
    • Убедитесь, что все устройства Cisco vEdge в сети используют Cisco SD-WAN версии 18.4.6 или более поздней версии, и введите «да».

Убедитесь, что слабые алгоритмы шифрования SSH отключены в Cisco SD-WAN Manager с помощью CLI

  1. В меню Cisco SD-WAN Manager выберите «Инструменты» > «Терминал SSH».
  2. Выберите устройство Cisco SD-WAN Manager, которое вы хотите проверить.
  3. Введите имя пользователя и пароль для входа на устройство.
  4. Выполните следующую команду: show Running-config system ssh-server
  5. Убедитесь, что в выводе отображается одна или несколько команд, отключающих более слабые алгоритмы шифрования:
    • без шифра AES-128-192
    • нет кекс-алго sha1

Документы/Ресурсы

CISCO SD-WAN Настройка параметров безопасности [pdf] Руководство пользователя
SD-WAN Настройка параметров безопасности, SD-WAN, Настройка параметров безопасности, Параметры безопасности

Ссылки

Оставьте комментарий

Ваш адрес электронной почты не будет опубликован. Обязательные поля отмечены *