Vsebina skriti
1 CISCO SD-WAN Konfigurirajte varnostne parametre
2 Konfigurirajte varnostne parametre
3 Konfigurirajte varnostne parametre nadzorne ravnine
4 Konfigurirajte DTLS v Cisco SD-WAN Manager
5 Konfigurirajte varnostne parametre podatkovne ravnine
6 Konfigurirajte dovoljene vrste preverjanja pristnosti
7 Spremenite časovnik za vnovično vstavljanje
8 Spremenite velikost okna za preprečevanje ponovitve
9 Konfigurirajte statično pot IPsec
10 Konfigurirajte parametre tunela IPsec
11 Spremenite IKE Dead-Peer Detection
12 Konfigurirajte druge lastnosti vmesnika
13 Onemogočite šibke algoritme šifriranja SSH v upravitelju Cisco SD-WAN
14 Dokumenti / Viri
14.1 Reference

CISCO-LOGO

CISCO SD-WAN Konfigurirajte varnostne parametre

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Konfigurirajte varnostne parametre

Opomba

Da bi dosegli poenostavitev in doslednost, je bila rešitev Cisco SD-WAN preimenovana v Cisco Catalyst SD-WAN. Poleg tega so od Cisco IOS XE SD-WAN Release 17.12.1a in Cisco Catalyst SD-WAN Release 20.12.1 uporabne naslednje spremembe komponent: Cisco vManage v Cisco Catalyst SD-WAN Manager, Cisco vAnalytics v Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator in Cisco vSmart to Cisco Catalyst SD-WAN Controller. Oglejte si najnovejše opombe ob izdaji za izčrpen seznam vseh sprememb blagovne znamke komponent. Medtem ko prehajamo na nova imena, so lahko v kompletu dokumentacije prisotne nekatere nedoslednosti zaradi postopnega pristopa k posodobitvam uporabniškega vmesnika izdelka programske opreme.

Ta razdelek opisuje, kako spremeniti varnostne parametre za nadzorno ravnino in podatkovno ravnino v prekrivnem omrežju Cisco Catalyst SD-WAN.

  • Konfigurirajte varnostne parametre nadzorne ravnine, vklopljeno
  • Konfigurirajte varnostne parametre podatkovne ravnine, vklopljeno
  • Konfigurirajte tunele IPsec, ki podpirajo IKE, vklopljeno
  • Onemogoči šibke algoritme šifriranja SSH na Cisco SD-WAN Manager, vklopljeno

Konfigurirajte varnostne parametre nadzorne ravnine

Nadzorna ravnina privzeto uporablja DTLS kot protokol, ki zagotavlja zasebnost v vseh svojih tunelih. DTLS deluje prek UDP. Varnostni protokol nadzorne ravnine lahko spremenite v TLS, ki deluje prek TCP. Glavni razlog za uporabo TLS je, da požarni zidovi bolje ščitijo strežnike TCP kot strežnike UDP, če menite, da je krmilnik Cisco SD-WAN strežnik. Protokol tunela nadzorne ravnine konfigurirate na krmilniku Cisco SD-WAN: vSmart(config)# security control protocol tls S to spremembo vsi tuneli nadzorne ravnine med krmilnikom Cisco SD-WAN in usmerjevalniki ter med krmilnikom Cisco SD-WAN in Cisco SD-WAN Manager uporabljata TLS. Tuneli nadzorne ravnine do Cisco Catalyst SD-WAN Validator vedno uporabljajo DTLS, ker mora te povezave obravnavati UDP. V domeni z več krmilniki Cisco SD-WAN, ko konfigurirate TLS na enem od krmilnikov Cisco SD-WAN, vsi tuneli nadzorne ravnine od tega krmilnika do drugih krmilnikov uporabljajo TLS. Povedano drugače, TLS ima vedno prednost pred DTLS. Vendar z vidika drugih krmilnikov Cisco SD-WAN, če na njih niste konfigurirali TLS, uporabljajo TLS v tunelu nadzorne ravnine samo za ta krmilnik Cisco SD-WAN in uporabljajo tunele DTLS za vse druge Krmilniki Cisco SD-WAN in vsem njihovim povezanim usmerjevalnikom. Če želite, da vsi krmilniki Cisco SD-WAN uporabljajo TLS, ga konfigurirajte na vseh. Krmilnik Cisco SD-WAN privzeto posluša na vratih 23456 za zahteve TLS. Če želite to spremeniti: vSmart(config)# security control tls-port number Vrata so lahko številka od 1025 do 65535. Za prikaz informacij o varnosti nadzorne ravnine uporabite ukaz show control connections na krmilniku Cisco SD-WAN. Na primerample: vSmart-2# pokaži nadzorne povezave

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Konfigurirajte DTLS v Cisco SD-WAN Manager

Če konfigurirate Cisco SD-WAN Manager za uporabo TLS kot varnostnega protokola nadzorne ravnine, morate omogočiti posredovanje vrat na vašem NAT. Če uporabljate DTLS kot varnostni protokol nadzorne ravnine, vam ni treba storiti ničesar. Število posredovanih vrat je odvisno od števila procesov vdaemon, ki se izvajajo v upravljalniku Cisco SD-WAN. Za prikaz informacij o teh procesih ter o in številu vrat, ki se posredujejo, uporabite ukaz show control summary kaže, da se izvajajo štirje demonski procesi:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Če želite videti poslušajoča vrata, uporabite ukaz show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Ta izhod kaže, da so poslušajoča vrata TCP 23456. Če uporabljate Cisco SD-WAN Manager za NAT, morate na napravi NAT odpreti naslednja vrata:

  • 23456 (osnova – vrata primerka 0)
  • 23456 + 100 (osnova + 100)
  • 23456 + 200 (osnova + 200)
  • 23456 + 300 (osnova + 300)

Upoštevajte, da je število primerkov enako številu jeder, ki ste jih dodelili za Cisco SD-WAN Manager, do največ 8.

Konfigurirajte varnostne parametre s predlogo varnostnih funkcij

Uporabite predlogo varnostne funkcije za vse naprave Cisco vEdge. Na robnih usmerjevalnikih in v Cisco SD-WAN Validatorju uporabite to predlogo za konfiguracijo IPsec za varnost podatkovne ravnine. V upravljalniku Cisco SD-WAN in krmilniku Cisco SD-WAN uporabite predlogo varnostne funkcije, da konfigurirate DTLS ali TLS za varnost nadzorne ravnine.

Konfigurirajte varnostne parametre

  1. V meniju Cisco SD-WAN Manager izberite Configuration > Templates.
  2. Kliknite Predloge funkcij in nato kliknite Dodaj predlogo.
    Opomba V Cisco vManage Release 20.7.1 in prejšnjih izdajah se predloge funkcij imenujejo Feature.
  3. Na seznamu Naprave v levem podoknu izberite napravo. V desnem podoknu se prikažejo predloge, ki veljajo za izbrano napravo.
  4. Kliknite Varnost, da odprete predlogo.
  5. V polje Ime predloge vnesite ime predloge. Ime je lahko dolgo do 128 znakov in lahko vsebuje samo alfanumerične znake.
  6. V polje Opis predloge vnesite opis predloge. Opis je lahko dolg do 2048 znakov in lahko vsebuje samo alfanumerične znake.

Ko prvič odprete predlogo funkcije, je za vsak parameter, ki ima privzeto vrednost, obseg nastavljen na Privzeto (označeno s kljukico) in prikazana je privzeta nastavitev ali vrednost. Če želite spremeniti privzeto ali vnesti vrednost, kliknite spustni meni obsega na levi strani polja parametrov in izberite eno od naslednjega:

Tabela 1:

Parameter Področje uporabe Opis obsega
Specifično za napravo (označeno z ikono gostitelja) Za parameter uporabite vrednost, specifično za napravo. Za parametre, specifične za napravo, ne morete vnesti vrednosti v predlogo funkcije. Vrednost vnesete, ko napravo Viptela priključite na predlogo naprave.

Ko kliknete Device Specific, se odpre polje Enter Key. V tem polju je prikazan ključ, ki je edinstven niz, ki identificira parameter v datoteki CSV file ki ga ustvarjate. to file je Excelova preglednica, ki vsebuje en stolpec za vsak ključ. Vrstica glave vsebuje imena ključev (en ključ na stolpec), vsaka naslednja vrstica pa ustreza napravi in ​​določa vrednosti ključev za to napravo. Naložite CSV file ko napravo Viptela pritrdite na predlogo naprave. Za več informacij glejte Ustvarjanje preglednice spremenljivk predloge.

Če želite spremeniti privzeto tipko, vnesite nov niz in premaknite kazalec izven polja Enter Key.

ExampParametri, specifični za napravo, so naslov IP sistema, ime gostitelja, lokacija GPS in ID mesta.
Parameter Področje uporabe Opis obsega
Globalno (označeno z ikono globusa) Vnesite vrednost za parameter in uporabite to vrednost za vse naprave.

ExampDaleke parametrov, ki jih lahko uporabite globalno za skupino naprav, so strežnik DNS, strežnik sistemskega dnevnika in MTU vmesnika.

Konfigurirajte varnost nadzorne ravnine

Opomba
Razdelek za konfiguracijo varnosti nadzorne ravnine velja samo za upravljalnik Cisco SD-WAN in krmilnik Cisco SD-WAN. Če želite konfigurirati povezovalni protokol nadzorne ravnine na instanci upravitelja Cisco SD-WAN ali krmilniku Cisco SD-WAN, izberite območje osnovne konfiguracije in konfigurirajte naslednje parametre:

Tabela 2:

Parameter Ime Opis
Protokol Izberite protokol za uporabo pri povezavah nadzorne ravnine s krmilnikom Cisco SD-WAN:

• DTLS (Datagram Transport Layer Security). To je privzeto.

• TLS (Transport Layer Security)
Nadzor TLS vrat Če ste izbrali TLS, konfigurirajte številko vrat za uporabo:Razpon: 1025 do 65535Privzeto: 23456

Kliknite Shrani

Konfigurirajte varnost podatkovne ravnine
Če želite konfigurirati varnost podatkovne ravnine na Cisco SD-WAN Validator ali Cisco vEdge usmerjevalniku, izberite zavihka Basic Configuration in Authentication Type ter konfigurirajte naslednje parametre:

Tabela 3:

Parameter Ime Opis
Rekey Time Določite, kako pogosto usmerjevalnik Cisco vEdge spremeni ključ AES, ki se uporablja na varni povezavi DTLS s krmilnikom Cisco SD-WAN. Če je omogočen eleganten ponovni zagon OMP, mora biti čas vnovičnega vnosa vsaj dvakrat večji od vrednosti časovnika za ponovni zagon OMP.Razpon: 10 do 1209600 sekund (14 dni)Privzeto: 86400 sekund (24 ur)
Okno za ponovno predvajanje Določite velikost drsnega okna za ponovno predvajanje.

Vrednosti: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paketovPrivzeto: 512 paketov
IPsec

parno ključovanje

 To je privzeto izklopljeno. Kliknite On da ga vklopite.
Parameter Ime Opis
Vrsta avtentikacije Izberite vrste preverjanja pristnosti iz Preverjanje pristnosti Seznamin kliknite puščico, ki kaže desno, da premaknete vrste preverjanja pristnosti v Seznam izbranih stolpec.

Vrste avtentikacije, ki jih podpira Cisco SD-WAN izdaja 20.6.1:

•  zlasti: Omogoča šifriranje in preverjanje celovitosti v glavi ESP (Encapsulating Security Payload – ESP).

•  ip-udp-esp: Omogoča šifriranje ESP. Poleg preverjanj celovitosti glave ESP in koristnega tovora preverjanja vključujejo tudi zunanje glave IP in UDP.

•  ip-udp-esp-no-id: Prezre polje ID v glavi IP, tako da lahko Cisco Catalyst SD-WAN deluje v povezavi z napravami, ki niso Cisco.

•  nič: Izklopi preverjanje celovitosti paketov IPSec. Ne priporočamo uporabe te možnosti.

 

Vrste preverjanja pristnosti, podprte v izdaji Cisco SD-WAN 20.5.1 in starejših:

•  ah-ne-id: Omogočite izboljšano različico AH-SHA1 HMAC in ESP HMAC-SHA1, ki ignorira polje ID v zunanji glavi IP paketa.

•  ah-sha1-hmac: Omogoči AH-SHA1 HMAC in ESP HMAC-SHA1.

•  nič: izberite brez preverjanja pristnosti.

•  sha1-hmac: Omogoči ESP HMAC-SHA1.

 

Opomba              Za robno napravo, ki deluje na Cisco SD-WAN izdaja 20.5.1 ali starejša, ste morda konfigurirali vrste preverjanja pristnosti z Varnost predlogo. Ko nadgradite napravo na Cisco SD-WAN izdajo 20.6.1 ali novejšo, posodobite izbrane vrste preverjanja pristnosti v Varnost predlogo za vrste preverjanja pristnosti, ki jih podpira Cisco SD-WAN izdaja 20.6.1. Če želite posodobiti vrste preverjanja pristnosti, naredite naslednje:

1.      V meniju Cisco SD-WAN Manager izberite Konfiguracija >

Predloge.

2.      Kliknite Predloge funkcij.

3.      Poiščite Varnost predlogo za posodobitev in kliknite … in kliknite Uredi.

4.      Kliknite posodobitev. Ne spreminjajte nobene konfiguracije.

Cisco SD-WAN Manager posodobi Varnost predlogo za prikaz podprtih vrst preverjanja pristnosti.

Kliknite Shrani.

Konfigurirajte varnostne parametre podatkovne ravnine

V podatkovni ravnini je IPsec privzeto omogočen na vseh usmerjevalnikih, povezave tunelov IPsec pa privzeto uporabljajo izboljšano različico protokola Encapsulating Security Payload (ESP) za preverjanje pristnosti v tunelih IPsec. Na usmerjevalnikih lahko spremenite vrsto preverjanja pristnosti, časovnik za ponovno vnos IPsec in velikost okna za preprečevanje ponovnega predvajanja IPsec.

Konfigurirajte dovoljene vrste preverjanja pristnosti

Vrste avtentikacije v izdaji Cisco SD-WAN 20.6.1 in novejših
Od izdaje Cisco SD-WAN 20.6.1 so podprti naslednji tipi celovitosti:

  • esp: Ta možnost omogoča šifriranje in preverjanje celovitosti v glavi ESP (Encapsulating Security Payload – ESP).
  • ip-udp-esp: Ta možnost omogoča šifriranje ESP. Poleg preverjanj celovitosti glave ESP in koristnega tovora preverjanja vključujejo tudi zunanje glave IP in UDP.
  • ip-udp-esp-no-id: ta možnost je podobna ip-udp-esp, vendar je polje ID zunanje glave IP prezrto. Konfigurirajte to možnost na seznamu tipov celovitosti, da programska oprema Cisco Catalyst SD-WAN prezre polje ID v glavi IP, tako da lahko Cisco Catalyst SD-WAN deluje v povezavi z napravami, ki niso Cisco.
  • brez: Ta možnost izklopi preverjanje celovitosti paketov IPSec. Ne priporočamo uporabe te možnosti.

Privzeto tunelske povezave IPsec za preverjanje pristnosti uporabljajo izboljšano različico protokola Encapsulating Security Payload (ESP). Če želite spremeniti dogovorjene tipe vmesnosti ali onemogočiti preverjanje celovitosti, uporabite naslednji ukaz: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp}

Vrste avtentikacije pred izdajo Cisco SD-WAN 20.6.1
Privzeto tunelske povezave IPsec za preverjanje pristnosti uporabljajo izboljšano različico protokola Encapsulating Security Payload (ESP). Če želite spremeniti dogovorjene vrste preverjanja pristnosti ali onemogočiti preverjanje pristnosti, uporabite naslednji ukaz: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Privzeto IPsec tunelske povezave uporabljajo AES-GCM-256, ki zagotavlja tako šifriranje kot avtentikacijo. Vsako vrsto preverjanja pristnosti konfigurirajte z ločenim varnostnim ukazom tipa preverjanja pristnosti ipsec. Možnosti ukaza se preslikajo na naslednje vrste preverjanja pristnosti, ki so navedene v vrstnem redu od najbolj močne do najmanj močne:

Opomba
Sha1 v konfiguracijskih možnostih se uporablja iz zgodovinskih razlogov. Možnosti preverjanja pristnosti kažejo, koliko preverjanja celovitosti paketa je opravljeno. Ne določajo algoritma, ki preverja celovitost. Algoritmi za preverjanje pristnosti, ki jih podpira Cisco Catalyst SD WAN, razen za šifriranje multicast prometa, ne uporabljajo SHA1. Vendar pa v izdaji Cisco SD-WAN 20.1.x in novejših tako unicast kot multicast ne uporabljata SHA1.

  • ah-sha1-hmac omogoča šifriranje in enkapsulacijo z uporabo ESP. Vendar pa poleg preverjanja celovitosti glave ESP in koristnega tovora preverjanja vključujejo tudi zunanje glave IP in UDP. Zato ta možnost podpira preverjanje celovitosti paketa, podobno protokolu Authentication Header (AH). Vsa celovitost in šifriranje se izvajata z uporabo AES-256-GCM.
  • ah-no-id omogoča način, ki je podoben ah-sha1-hmac, vendar je ID polje zunanje glave IP prezrto. Ta možnost se prilagodi nekaterim napravam SD-WAN, ki niso Cisco Catalyst, vključno z Apple AirPort Express NAT, ki imajo napako, zaradi katere se polje ID v glavi IP, nespremenljivo polje, spremeni. Konfigurirajte možnost ah-no-id na seznamu vrst preverjanja pristnosti, da programska oprema Cisco Catalyst SD-WAN AH prezre polje ID v glavi IP, tako da lahko programska oprema Cisco Catalyst SD-WAN deluje v povezavi s temi napravami.
  • sha1-hmac omogoča šifriranje ESP in preverjanje integritete.
  • nobena se ne preslika v nobeno avtentikacijo. To možnost uporabite le, če je potrebna za začasno odpravljanje napak. To možnost lahko izberete tudi v primerih, ko avtentikacija in celovitost podatkovne ravni nista zaskrbljujoči. Cisco ne priporoča uporabe te možnosti za proizvodna omrežja.

Za informacije o tem, na katera polja podatkovnega paketa vplivajo te vrste preverjanja pristnosti, glejte Celovitost podatkovne ravnine. Naprave Cisco IOS XE Catalyst SD-WAN in naprave Cisco vEdge oglašujejo svoje konfigurirane vrste preverjanja pristnosti v svojih lastnostih TLOC. Dva usmerjevalnika na obeh straneh tunelske povezave IPsec se pogajata o avtentikaciji za uporabo v povezavi med njima z uporabo najmočnejše vrste avtentikacije, ki je konfigurirana na obeh usmerjevalnikih. Na primerample, če en usmerjevalnik oglašuje vrsti ah-sha1-hmac in ah-no-id, drugi usmerjevalnik pa oglašuje tip ah-no-id, se usmerjevalnika pogajata za uporabo ah-no-id na tunelski povezavi IPsec med njih. Če na obeh enakovrednih napravah niso konfigurirane nobene skupne vrste preverjanja pristnosti, med njima ni vzpostavljen noben tunel IPsec. Algoritem šifriranja na tunelskih povezavah IPsec je odvisen od vrste prometa:

  • Za unicast promet je algoritem šifriranja AES-256-GCM.
  • Za multicast promet:
  • Cisco SD-WAN Release 20.1.x in novejši – algoritem šifriranja je AES-256-GCM
  • Prejšnje izdaje – algoritem šifriranja je AES-256-CBC s SHA1-HMAC.

Ko se spremeni vrsta preverjanja pristnosti IPsec, se spremeni ključ AES za podatkovno pot.

Spremenite časovnik za vnovično vstavljanje

Preden lahko naprave Cisco IOS XE Catalyst SD-WAN in naprave Cisco vEdge izmenjujejo podatkovni promet, med seboj vzpostavijo varen komunikacijski kanal s preverjeno pristnostjo. Usmerjevalniki uporabljajo tunele IPSec med seboj kot kanal in šifro AES-256 za izvajanje šifriranja. Vsak usmerjevalnik občasno ustvari nov ključ AES za svojo podatkovno pot. Ključ je privzeto veljaven 86400 sekund (24 ur), razpon časovnika pa je od 10 sekund do 1209600 sekund (14 dni). Če želite spremeniti vrednost časovnika za vnovičen ključ: Device(config)# security ipsec rekey seconds Konfiguracija je videti takole:

  • varnostni ipsec vnovičen ključ sekund!

Če želite takoj ustvariti nove ključe IPsec, lahko to storite brez spreminjanja konfiguracije usmerjevalnika. Če želite to narediti, izdajte ukaz request security ipsecrekey na ogroženem usmerjevalniku. Na primerample naslednji izhod kaže, da ima lokalni SA indeks varnostnih parametrov (SPI) 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Z vsakim SPI je povezan edinstven ključ. Če je ta ključ ogrožen, uporabite ukaz request security ipsec-rekey, da takoj ustvarite nov ključ. Ta ukaz poveča SPI. V naši bivšiample, se SPI spremeni v 257 in ključ, povezan z njim, se zdaj uporablja:

  • Naprava # zahteva varnostni ipsecreey
  • Device# show ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Ko je nov ključ ustvarjen, ga usmerjevalnik takoj pošlje krmilnikom Cisco SD-WAN z uporabo DTLS ali TLS. Krmilniki Cisco SD-WAN pošljejo ključ enakovrednim usmerjevalnikom. Usmerjevalniki ga začnejo uporabljati takoj, ko ga prejmejo. Upoštevajte, da se bo ključ, povezan s starim SPI (256), še naprej uporabljal kratek čas, dokler ne poteče čas. Če želite takoj prenehati uporabljati stari ključ, dvakrat zaporedoma izdajte ukaz request security ipsec-rekey. To zaporedje ukazov odstrani tako SPI 256 kot 257 in nastavi SPI na 258. Usmerjevalnik nato uporabi povezani ključ SPI 258. Upoštevajte pa, da bodo nekateri paketi za kratek čas izpuščeni, dokler se vsi oddaljeni usmerjevalniki ne naučijo nov ključ.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Spremenite velikost okna za preprečevanje ponovitve

Preverjanje pristnosti IPsec zagotavlja zaščito pred ponovnim predvajanjem tako, da vsakemu paketu v podatkovnem toku dodeli edinstveno zaporedno številko. To zaporedno oštevilčenje ščiti pred napadalcem, ki podvaja podatkovne pakete. Z zaščito pred ponovnim predvajanjem pošiljatelj dodeli monotono naraščajoče zaporedne številke, cilj pa preveri te zaporedne številke, da zazna dvojnike. Ker paketi pogosto ne prispejo v vrstnem redu, cilj vzdržuje drsno okno zaporednih številk, ki jih bo sprejel.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Paketi z zaporednimi številkami, ki padejo levo od obsega drsnega okna, se obravnavajo kot stari ali dvojniki in jih ciljna stran izpusti. Cilj sledi najvišji zaporedni številki, ki jo je prejel, in prilagodi drsno okno, ko prejme paket z višjo vrednostjo.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Privzeto je drsno okno nastavljeno na 512 paketov. Nastavite ga lahko na katero koli vrednost med 64 in 4096, ki je potenca 2 (to je 64, 128, 256, 512, 1024, 2048 ali 4096). Če želite spremeniti velikost okna za preprečevanje ponovitve, uporabite ukaz okna za ponovno predvajanje in določite velikost okna:

Device(config)# security ipsec številka okna za predvajanje

Konfiguracija izgleda takole:
številka varnostnega okna za ponovno predvajanje ipsec! !

Za pomoč pri QoS se vzdržujejo ločena okna za predvajanje za vsakega od prvih osmih prometnih kanalov. Konfigurirana velikost okna za ponovno predvajanje je deljena z osem za vsak kanal. Če je QoS konfiguriran na usmerjevalniku, lahko ta usmerjevalnik doživi večje število padcev paketov, kot je bilo pričakovano, zaradi mehanizma za preprečevanje ponovnega predvajanja IPsec in veliko paketov, ki so padli, je zakonitih. To se zgodi, ker QoS preureja pakete, tako da prednostno obravnava pakete z višjo prioriteto in zakasni pakete z nižjo prioriteto. Če želite zmanjšati ali preprečiti to situacijo, lahko storite naslednje:

  • Povečajte velikost okna za preprečevanje ponovitve.
  • Naredite promet na prvih osem prometnih kanalov, da zagotovite, da promet znotraj kanala ni preurejen.

Konfigurirajte tunele IPsec, ki podpirajo IKE
Za varen prenos prometa iz prekrivnega omrežja v storitveno omrežje lahko konfigurirate tunele IPsec, ki izvajajo protokol Internet Key Exchange (IKE). Tuneli IPsec, ki podpirajo IKE, zagotavljajo avtentikacijo in šifriranje za zagotavljanje varnega prenosa paketov. Tunel IPsec, ki podpira IKE, ustvarite tako, da konfigurirate vmesnik IPsec. Vmesniki IPsec so logični vmesniki in konfigurirate jih tako kot vse druge fizične vmesnike. Parametre protokola IKE konfigurirate na vmesniku IPsec in lahko konfigurirate druge lastnosti vmesnika.

Opomba Cisco priporoča uporabo IKE različice 2. Od izdaje Cisco SD-WAN 19.2.x naprej mora biti ključ v vnaprejšnji skupni rabi dolg vsaj 16 bajtov. Vzpostavitev tunela IPsec ne uspe, če je velikost ključa manjša od 16 znakov, ko je usmerjevalnik nadgrajen na različico 19.2.

Opomba
Programska oprema Cisco Catalyst SD-WAN podpira IKE različice 2, kot je opredeljeno v RFC 7296. Ena uporaba tunelov IPsec je omogočiti primerkom VM usmerjevalnika vEdge Cloud, ki se izvajajo na Amazon AWS, da se povežejo z navideznim zasebnim oblakom Amazon (VPC). Na teh usmerjevalnikih morate konfigurirati IKE različice 1. Naprave Cisco vEdge podpirajo samo VPN-je, ki temeljijo na poti, v konfiguraciji IPSec, ker te naprave ne morejo definirati izbirnikov prometa v domeni šifriranja.

Konfigurirajte tunel IPsec
Če želite konfigurirati vmesnik tunela IPsec za varen transportni promet iz storitvenega omrežja, ustvarite logični vmesnik IPsec:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Tunel IPsec lahko ustvarite v transportnem VPN (VPN 0) in v katerem koli storitvenem VPN (VPN 1 do 65530, razen 512). Vmesnik IPsec ima ime v obliki ipsecnumber, kjer je število lahko od 1 do 255. Vsak vmesnik IPsec mora imeti naslov IPv4. Ta naslov mora biti predpona /30. Ves promet v VPN, ki je znotraj te predpone IPv4, je usmerjen na fizični vmesnik v VPN 0, da se varno pošlje prek tunela IPsec. Če želite konfigurirati vir tunela IPsec v lokalni napravi, lahko določite naslov IP fizični vmesnik (v ukazu tunnel-source) ali ime fizičnega vmesnika (v ukazu tunnel-source-interface). Prepričajte se, da je fizični vmesnik konfiguriran v VPN 0. Če želite konfigurirati cilj tunela IPsec, podajte naslov IP oddaljene naprave v ukazu tunnel-destination. Kombinacija izvornega naslova (ali imena izvornega vmesnika) in ciljnega naslova definira en sam tunel IPsec. Obstaja lahko samo en tunel IPsec, ki uporablja določen izvorni naslov (ali ime vmesnika) in ciljni par naslovov.

Konfigurirajte statično pot IPsec

Če želite usmeriti promet iz storitvenega VPN v tunel IPsec v transportnem VPN (VPN 0), konfigurirajte statično pot, specifično za IPsec, v storitvenem VPN (VPN, ki ni VPN 0 ali VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 vmesnik
  • ipsecnumber [ipsecnumber2]

ID VPN je ID katere koli storitve VPN (VPN 1 do 65530, razen 512). prefix/length je naslov IP ali predpona v decimalnem štiridelnem zapisu s pikami in dolžina predpone statične poti, specifične za IPsec. Vmesnik je vmesnik tunela IPsec v VPN 0. Konfigurirate lahko enega ali dva vmesnika tunela IPsec. Če konfigurirate dva, je prvi primarni tunel IPsec, drugi pa rezervni. Z dvema vmesnikoma se vsi paketi pošljejo samo v primarni tunel. Če ta predor odpove, se vsi paketi nato pošljejo v sekundarni predor. Če se primarni tunel ponovno vzpostavi, se ves promet premakne nazaj v primarni tunel IPsec.

Omogoči IKE različice 1
Ko ustvarite tunel IPsec na usmerjevalniku vEdge, je IKE različica 1 privzeto omogočen na vmesniku tunela. Za IKEv1 so privzeto omogočene tudi naslednje lastnosti:

  • Preverjanje pristnosti in šifriranje – napredni šifrirni standard AES-256 Šifriranje CBC z algoritmom kode za preverjanje pristnosti s ključem HMAC-SHA1 za celovitost
  • Številka Diffie-Hellmanove skupine—16
  • Časovni interval ponovnega vklopa - 4 ure
  • Način vzpostavitve SA—glavni

IKEv1 privzeto uporablja glavni način IKE za vzpostavitev IKE SA. V tem načinu se za vzpostavitev SA izmenja šest pogajalskih paketov. Če želite izmenjati samo tri pogajalske pakete, omogočite agresivni način:

Opomba
Agresivnemu načinu IKE s ključi v vnaprejšnji skupni rabi se je treba izogibati, kjer koli je to mogoče. V nasprotnem primeru je treba izbrati močan ključ v vnaprejšnji skupni rabi.

  • vEdge(config)# vpn vpn-id vmesnik ipsec številka ike
  • vEdge(config-ike)# način agresiven

IKEv1 privzeto uporablja Diffie-Hellmanovo skupino 16 v izmenjavi ključev IKE. Ta skupina med izmenjavo ključev IKE uporablja 4096-bitno bolj modularno eksponencialno skupino (MODP). Številko skupine lahko spremenite na 2 (za 1024-bitni MODP), 14 (2048-bitni MODP) ali 15 (3072-bitni MODP):

  • vEdge(config)# vpn vpn-id vmesnik ipsec številka ike
  • vEdge(config-ike)# številka skupine

Izmenjava ključev IKE privzeto uporablja šifriranje CBC z naprednim šifrirnim standardom AES-256 z algoritmom kode za preverjanje pristnosti sporočila z zgoščenim ključem HMAC-SHA1 za celovitost. Preverjanje pristnosti lahko spremenite:

  • vEdge(config)# vpn vpn-id vmesnik ipsec številka ike
  • vEdge(config-ike)# zbirka šifrirnih zbirk

Zbirka za preverjanje pristnosti je lahko ena od naslednjih:

  • aes128-cbc-sha1—napredni šifrirni standard AES-128 Šifriranje CBC z algoritmom kode za preverjanje pristnosti s ključem HMAC-SHA1 za celovitost
  • aes128-cbc-sha2—napredni šifrirni standard AES-128 Šifriranje CBC z algoritmom kode za preverjanje pristnosti s ključem HMAC-SHA256 za celovitost
  • aes256-cbc-sha1—AES-256 napredni standard šifriranja CBC šifriranje z algoritmom kode za preverjanje pristnosti sporočila HMAC-SHA1 s ključem za celovitost; to je privzeto.
  • aes256-cbc-sha2—napredni šifrirni standard AES-256 Šifriranje CBC z algoritmom kode za preverjanje pristnosti s ključem HMAC-SHA256 za celovitost

Privzeto se ključi IKE osvežijo vsako 1 uro (3600 sekund). Interval vnovičnega vnosa lahko spremenite na vrednost od 30 sekund do 14 dni (1209600 sekund). Priporočljivo je, da je interval ponovnega vnosa vsaj 1 uro.

  • vEdge(config)# vpn vpn-id vmesnik ipsec številka kot
  • vEdge(config-ike)# ponovno vnesite sekunde

Če želite vsiliti generiranje novih ključev za sejo IKE, izdajte ukaz request ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id vmesnik ipsec številka ike

Za IKE lahko konfigurirate tudi preverjanje pristnosti s ključem v predhodni skupni rabi (PSK):

  • vEdge(config)# vpn vpn-id vmesnik ipsec številka ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret geslo geslo je geslo za uporabo s ključem v vnaprejšnji skupni rabi. Lahko je ASCII ali šestnajstiški niz, dolg od 1 do 127 znakov.

Če oddaljeni enakovredni IKE zahteva lokalni ali oddaljeni ID, lahko konfigurirate ta identifikator:

  • vEdge(config)# vpn vpn-id vmesnik ipsec številka ike authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# id oddaljenega ID-ja

Identifikator je lahko naslov IP ali poljuben besedilni niz, dolg od 1 do 63 znakov. Privzeto je lokalni ID izvorni naslov IP predora, oddaljeni ID pa ciljni naslov IP predora.

Omogoči IKE različice 2
Ko konfigurirate tunel IPsec za uporabo IKE različice 2, so za IKEv2 privzeto omogočene tudi naslednje lastnosti:

  • Preverjanje pristnosti in šifriranje – napredni šifrirni standard AES-256 Šifriranje CBC z algoritmom kode za preverjanje pristnosti s ključem HMAC-SHA1 za celovitost
  • Številka Diffie-Hellmanove skupine—16
  • Časovni interval ponovnega vklopa - 4 ure

IKEv2 privzeto uporablja Diffie-Hellmanovo skupino 16 v izmenjavi ključev IKE. Ta skupina med izmenjavo ključev IKE uporablja 4096-bitno bolj modularno eksponencialno skupino (MODP). Številko skupine lahko spremenite na 2 (za 1024-bitni MODP), 14 (2048-bitni MODP) ali 15 (3072-bitni MODP):

  • vEdge(config)# vpn vpn-id vmesnik ipsecnumber ike
  • vEdge(config-ike)# številka skupine

Izmenjava ključev IKE privzeto uporablja šifriranje CBC z naprednim šifrirnim standardom AES-256 z algoritmom kode za preverjanje pristnosti sporočila z zgoščenim ključem HMAC-SHA1 za celovitost. Preverjanje pristnosti lahko spremenite:

  • vEdge(config)# vpn vpn-id vmesnik ipsecnumber ike
  • vEdge(config-ike)# zbirka šifrirnih zbirk

Zbirka za preverjanje pristnosti je lahko ena od naslednjih:

  • aes128-cbc-sha1—napredni šifrirni standard AES-128 Šifriranje CBC z algoritmom kode za preverjanje pristnosti s ključem HMAC-SHA1 za celovitost
  • aes128-cbc-sha2—napredni šifrirni standard AES-128 Šifriranje CBC z algoritmom kode za preverjanje pristnosti s ključem HMAC-SHA256 za celovitost
  • aes256-cbc-sha1—AES-256 napredni standard šifriranja CBC šifriranje z algoritmom kode za preverjanje pristnosti sporočila HMAC-SHA1 s ključem za celovitost; to je privzeto.
  • aes256-cbc-sha2—napredni šifrirni standard AES-256 Šifriranje CBC z algoritmom kode za preverjanje pristnosti s ključem HMAC-SHA256 za celovitost

Privzeto se ključi IKE osvežijo vsake 4 ure (14,400 sekund). Interval vnovičnega vnosa lahko spremenite na vrednost od 30 sekund do 14 dni (1209600 sekund):

  • vEdge(config)# vpn vpn-id vmesnik ipsecnumber ike
  • vEdge(config-ike)# ponovno vnesite sekunde

Če želite vsiliti generiranje novih ključev za sejo IKE, izdajte ukaz request ipsec ike-rekey. Za IKE lahko konfigurirate tudi preverjanje pristnosti s ključem v predhodni skupni rabi (PSK):

  • vEdge(config)# vpn vpn-id vmesnik ipsecnumber ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret geslo geslo je geslo za uporabo s ključem v vnaprejšnji skupni rabi. Lahko je ASCII ali šestnajstiški niz ali pa je lahko ključ, šifriran z AES. Če oddaljeni enakovredni IKE zahteva lokalni ali oddaljeni ID, lahko konfigurirate ta identifikator:
  • vEdge(config)# vpn vpn-id vmesnik ipsecnumber ike authentication-type
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-authentication-type)# id oddaljenega ID-ja

Identifikator je lahko naslov IP ali poljuben besedilni niz, dolg od 1 do 64 znakov. Privzeto je lokalni ID izvorni naslov IP predora, oddaljeni ID pa ciljni naslov IP predora.

Konfigurirajte parametre tunela IPsec

Tabela 4: Zgodovina funkcij

Funkcija Ime Informacije o izdaji Opis
Dodatna kriptografija Cisco SD-WAN izdaja 20.1.1 Ta funkcija dodaja podporo za
Algoritemska podpora za IPSec   HMAC_SHA256, HMAC_SHA384 in
Tuneli   Algoritmi HMAC_SHA512 za
    povečana varnost.

Privzeto se v tunelu IPsec, ki prenaša promet IKE, uporabljajo naslednji parametri:

  • Preverjanje pristnosti in šifriranje—algoritem AES-256 v GCM (način Galois/števec)
  • Interval ponovnega ključa - 4 ure
  • Okno za ponovno predvajanje—32 paketov

Šifriranje v tunelu IPsec lahko spremenite v šifro AES-256 v CBC (način veriženja šifrirnih blokov, s HMAC z uporabo bodisi SHA-1 ali SHA-2 preverjanja pristnosti sporočila z zgoščenim ključem ali na ničelno s HMAC z uporabo SHA-1 ali Preverjanje pristnosti sporočila s ključem SHA-2, da ne šifrira tunela IPsec, ki se uporablja za promet izmenjave ključev IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 |. aes256-null-sha384 |. aes256-null-sha512)

Privzeto se ključi IKE osvežijo vsake 4 ure (14,400 sekund). Interval vnovičnega vnosa lahko spremenite na vrednost od 30 sekund do 14 dni (1209600 sekund):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# ponovno vnesite sekunde

Če želite vsiliti generiranje novih ključev za tunel IPsec, izdajte ukaz request ipsec ipsec-rekey. Privzeto je popolna tajnost naprej (PFS) omogočena v tunelih IPsec, da se zagotovi, da pretekle seje niso prizadete, če so prihodnji ključi ogroženi. PFS vsili novo izmenjavo ključev Diffie-Hellman, privzeto z uporabo 4096-bitne skupine primarnih modulov Diffie-Hellman. Nastavitev PFS lahko spremenite:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# popolna-naprej-tajnost pfs-nastavitev

nastavitev pfs je lahko ena od naslednjih:

  • skupina-2—Uporabite 1024-bitno Diffie-Hellmanovo pramodulno skupino.
  • skupina-14—Uporabite 2048-bitno Diffie-Hellmanovo pramodulno skupino.
  • skupina-15—Uporabite 3072-bitno Diffie-Hellmanovo pramodulno skupino.
  • group-16—Uporabite 4096-bitno Diffie-Hellmanovo pramodulno skupino. To je privzeto.
  • brez—onemogoči PFS.

Privzeto je okno za ponovno predvajanje IPsec v tunelu IPsec 512 bajtov. Velikost okna za ponovno predvajanje lahko nastavite na 64, 128, 256, 512, 1024, 2048 ali 4096 paketov:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# številka okna za ponovno predvajanje

Spremenite IKE Dead-Peer Detection

IKE uporablja mehanizem za zaznavanje mrtvega vrstnika, da ugotovi, ali je povezava z vrstnikom IKE funkcionalna in dosegljiva. Za implementacijo tega mehanizma IKE pošlje pozdravni paket svojemu vrstniku, vrstnik pa v odgovor pošlje potrditev. IKE privzeto pošlje pakete Hello vsakih 10 sekund in po treh nepotrjenih paketih IKE soseda razglasi za mrtvega in prekine tunel do vrstnika. Nato IKE občasno pošlje paket Hello vrstniku in znova vzpostavi tunel, ko vrstnik ponovno vzpostavi povezavo. Interval zaznavanja živahnosti lahko spremenite na vrednost od 0 do 65535, število ponovnih poskusov pa lahko spremenite na vrednost od 0 do 255.

Opomba

Pri transportnih VPN-jih se interval zaznavanja živahnosti pretvori v sekunde z uporabo naslednje formule: Interval za število poskusov ponovnega prenosa N = interval * 1.8N-1 Na ​​primerample, če je interval nastavljen na 10 in poskusi znova na 5, se interval zaznavanja poveča na naslednji način:

  • 1. poskus: 10 * 1.81-1 = 10 sekund
  • Poskus 2: 10 * 1.82-1 = 18 sekund
  • Poskus 3: 10 * 1.83-1 = 32.4 sekund
  • Poskus 4: 10 * 1.84-1 = 58.32 sekund
  • Poskus 5: 10 * 1.85-1 = 104.976 sekund

vEdge(config-interface-ipsecnumber)# število ponovnih poskusov intervala zaznavanja mrtvih vrstnikov

Konfigurirajte druge lastnosti vmesnika

Za vmesnike tunela IPsec lahko konfigurirate le naslednje dodatne lastnosti vmesnika:

  • vEdge(config-interface-ipsec)# mtu bajtov
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Onemogočite šibke algoritme šifriranja SSH v upravitelju Cisco SD-WAN

Tabela 5: Tabela zgodovine funkcij

Funkcija Ime Informacije o izdaji Funkcija Opis
Onemogočite šibke algoritme šifriranja SSH v upravitelju Cisco SD-WAN Cisco vManage izdaja 20.9.1 Ta funkcija vam omogoča, da onemogočite šibkejše algoritme SSH v upravitelju Cisco SD-WAN, ki morda niso v skladu z določenimi standardi varnosti podatkov.

Informacije o onemogočanju šibkih algoritmov šifriranja SSH v Cisco SD-WAN Managerju
Cisco SD-WAN Manager ponuja odjemalca SSH za komunikacijo s komponentami v omrežju, vključno s krmilniki in robnimi napravami. Odjemalec SSH zagotavlja šifrirano povezavo za varen prenos podatkov, ki temelji na različnih algoritmih šifriranja. Mnoge organizacije zahtevajo močnejše šifriranje od tistega, ki ga zagotavljajo SHA-1, AES-128 in AES-192. Od izdaje Cisco vManage 20.9.1 lahko onemogočite naslednje šibkejše algoritme šifriranja, tako da odjemalec SSH ne uporablja teh algoritmov:

  • SHA-1
  • AES-128
  • AES-192

Preden onemogočite te šifrirne algoritme, zagotovite, da naprave Cisco vEdge, če obstajajo, v omrežju uporabljajo izdajo programske opreme, ki je poznejša od izdaje Cisco SD-WAN 18.4.6.

Prednosti onemogočanja šibkih šifrirnih algoritmov SSH v Cisco SD-WAN Managerju
Onemogočanje šibkejših šifrirnih algoritmov SSH izboljša varnost komunikacije SSH in zagotovi, da so organizacije, ki uporabljajo Cisco Catalyst SD-WAN, skladne s strogimi varnostnimi predpisi.

Onemogočite šibke algoritme šifriranja SSH v upravitelju Cisco SD-WAN z uporabo CLI

  1. V meniju Cisco SD-WAN Manager izberite Orodja > Terminal SSH.
  2. Izberite napravo Cisco SD-WAN Manager, na kateri želite onemogočiti šibkejše algoritme SSH.
  3. Vnesite uporabniško ime in geslo za prijavo v napravo.
  4. Vstopite v način strežnika SSH.
    • vmanage(config)# sistem
    • vmanage(config-system)# ssh-strežnik
  5. Naredite nekaj od naslednjega, da onemogočite algoritem šifriranja SSH:
    • Onemogoči SHA-1:
  6. upravljanje (config-ssh-server)# brez kex-algo sha1
  7. management(config-ssh-server)# commit
    Prikaže se naslednje opozorilno sporočilo: Ustvarjena so bila naslednja opozorila: 'system ssh-server kex-algo sha1': OPOZORILO: Zagotovite, da vsi vaši robovi izvajajo različico kode > 18.4.6, ki se bolje pogaja kot SHA1 z vManage. V nasprotnem primeru lahko ti robovi postanejo brez povezave. Nadaljuj? [da, ne] da
    • Prepričajte se, da vse naprave Cisco vEdge v omrežju uporabljajo Cisco SD-WAN Release 18.4.6 ali novejšo in vnesite yes.
    • Onemogoči AES-128 in AES-192:
    • vmanage(config-ssh-server)# brez šifre aes-128-192
    • vmanage(config-ssh-server)# potrditev
      Prikaže se naslednje opozorilno sporočilo:
      Ustvarjena so bila naslednja opozorila:
      'system ssh-server cipher aes-128-192': OPOZORILO: Zagotovite, da vsi vaši robovi izvajajo različico kode > 18.4.6, ki se bolje pogaja kot AES-128-192 z vManage. V nasprotnem primeru lahko ti robovi postanejo brez povezave. Nadaljuj? [da, ne] da
    • Prepričajte se, da vse naprave Cisco vEdge v omrežju uporabljajo Cisco SD-WAN Release 18.4.6 ali novejšo in vnesite yes.

Prepričajte se, da so šibki algoritmi šifriranja SSH onemogočeni v Cisco SD-WAN Manager z uporabo CLI

  1. V meniju Cisco SD-WAN Manager izberite Orodja > Terminal SSH.
  2. Izberite napravo Cisco SD-WAN Manager, ki jo želite preveriti.
  3. Vnesite uporabniško ime in geslo za prijavo v napravo.
  4. Zaženite naslednji ukaz: show running-config system ssh-server
  5. Potrdite, da izhod prikazuje enega ali več ukazov, ki onemogočajo šibkejše algoritme šifriranja:
    • brez šifre aes-128-192
    • ni kex-algo sha1

Dokumenti / Viri

CISCO SD-WAN Konfigurirajte varnostne parametre [pdf] Uporabniški priročnik
SD-WAN Konfiguracija varnostnih parametrov, SD-WAN, Konfiguracija varnostnih parametrov, Varnostni parametri

Reference

Pustite komentar

Vaš elektronski naslov ne bo objavljen. Obvezna polja so označena *