Përmbajtja fshehin
1 CISCO SD-WAN Konfiguro parametrat e sigurisë
2 Konfiguro parametrat e sigurisë
3 Konfiguro parametrat e sigurisë së planit të kontrollit
4 Konfiguro DTLS në Cisco SD-WAN Manager
5 Konfiguro parametrat e sigurisë së planit të të dhënave
6 Konfiguro Llojet e Lejuara të Autentifikimit
7 Ndryshoni kohëmatësin e rikyçjes
8 Ndryshoni madhësinë e dritares kundër përsëritjes
9 Konfiguro një rrugë statike IPsec
10 Konfiguro parametrat e tunelit IPsec
11 Modifiko Zbulimin e të vdekurve të IKE-së
12 Konfiguro vetitë e tjera të ndërfaqes
13 Çaktivizo algoritmet e dobëta të kriptimit SSH në Cisco SD-WAN Manager
14 Dokumentet / Burimet
14.1 Referencat

CISCO-LOGO

CISCO SD-WAN Konfiguro parametrat e sigurisë

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Konfiguro parametrat e sigurisë

Shënim

Për të arritur thjeshtësim dhe qëndrueshmëri, zgjidhja Cisco SD-WAN është riemërtuar si Cisco Catalyst SD-WAN. Përveç kësaj, nga Cisco IOS XE SD-WAN Release 17.12.1a dhe Cisco Catalyst SD-WAN Release 20.12.1, janë të zbatueshme ndryshimet e mëposhtme të komponentëve: Cisco vManage në Cisco Catalyst SD-WAN Manager, Cisco vAnalytics në Cisco Catalyst Analytics, Cisco vBond në Cisco Catalyst SD-WAN Validator dhe Cisco vSmart për Cisco Catalyst SD-WAN Controller. Shikoni Shënimet më të fundit të Publikimit për një listë gjithëpërfshirëse të të gjitha ndryshimeve të emrit të markës së komponentëve. Ndërsa kalojmë te emrat e rinj, disa mospërputhje mund të jenë të pranishme në grupin e dokumentacionit për shkak të një qasjeje me faza ndaj përditësimeve të ndërfaqes së përdoruesit të produktit të softuerit.

Ky seksion përshkruan se si të ndryshohen parametrat e sigurisë për rrafshin e kontrollit dhe planin e të dhënave në rrjetin e mbivendosjes Cisco Catalyst SD-WAN.

  • Konfiguro parametrat e sigurisë së planit të kontrollit, aktiv
  • Konfiguro parametrat e sigurisë së planit të të dhënave, aktiv
  • Konfiguro tunelet IPsec të aktivizuara nga IKE, aktiv
  • Çaktivizo algoritmet e dobëta të enkriptimit SSH në Cisco SD-WAN Manager, aktiv

Konfiguro parametrat e sigurisë së planit të kontrollit

Si parazgjedhje, rrafshi i kontrollit përdor DTLS si protokoll që siguron privatësi në të gjitha tunelet e tij. DTLS kalon mbi UDP. Mund ta ndryshoni protokollin e sigurisë së planit të kontrollit në TLS, i cili funksionon mbi TCP. Arsyeja kryesore për të përdorur TLS është se, nëse e konsideroni kontrolluesin Cisco SD-WAN si një server, muret e zjarrit mbrojnë serverët TCP më mirë se serverët UDP. Ju konfiguroni protokollin e tunelit të planit të kontrollit në një kontrollues Cisco SD-WAN: vSmart(config)# protokoll i kontrollit të sigurisë tls Me këtë ndryshim, të gjitha tunelet e planit të kontrollit midis kontrolluesit Cisco SD-WAN dhe ruterave dhe midis kontrolluesit Cisco SD-WAN dhe Cisco SD-WAN Manager përdorin TLS. Tunelet e nivelit të kontrollit te Cisco Catalyst SD-WAN Validator përdorin gjithmonë DTLS, sepse këto lidhje duhet të trajtohen nga UDP. Në një domen me shumë kontrollues Cisco SD-WAN, kur konfiguroni TLS në një nga kontrollorët Cisco SD-WAN, të gjithë tunelet e planit të kontrollit nga ai kontrollues te kontrollorët e tjerë përdorin TLS. Thënë ndryshe, TLS gjithmonë ka përparësi ndaj DTLS. Megjithatë, nga këndvështrimi i kontrollorëve të tjerë Cisco SD-WAN, nëse nuk keni konfiguruar TLS në to, ata përdorin TLS në tunelin e planit të kontrollit vetëm për atë një kontrollues Cisco SD-WAN, dhe përdorin tunele DTLS për të gjithë të tjerët. Kontrollorët Cisco SD-WAN dhe të gjithë ruterat e tyre të lidhur. Që të gjithë kontrollorët Cisco SD-WAN të përdorin TLS, konfigurojeni atë në të gjithë. Si parazgjedhje, kontrolluesi Cisco SD-WAN dëgjon në portën 23456 për kërkesat TLS. Për ta ndryshuar këtë: vSmart(config)# kontrolli i sigurisë numri tls-port Porta mund të jetë një numër nga 1025 deri në 65535. Për të shfaqur informacionin e sigurisë së planit të kontrollit, përdorni komandën show control connections në kontrolluesin Cisco SD-WAN. Për shembullample: vSmart-2# shfaq lidhjet e kontrollit

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Konfiguro DTLS në Cisco SD-WAN Manager

Nëse konfiguroni Cisco SD-WAN Manager që të përdorë TLS si protokoll sigurie të planit të kontrollit, duhet të aktivizoni përcjelljen e portit në NAT tuaj. Nëse jeni duke përdorur DTLS si protokoll sigurie në planin e kontrollit, nuk keni nevojë të bëni asgjë. Numri i portave të përcjella varet nga numri i proceseve vdaemon që ekzekutohen në Cisco SD-WAN Manager. Për të shfaqur informacione rreth këtyre proceseve dhe rreth dhe numrit të porteve që po përcillen, përdorni komandën e përmbledhjes së kontrollit të shfaqjes që tregon se katër procese daemon po ekzekutohen:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Për të parë portat e dëgjimit, përdorni komandën show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Ky dalje tregon se porta TCP e dëgjimit është 23456. Nëse po ekzekutoni Cisco SD-WAN Manager pas një NAT, duhet të hapni portat e mëposhtme në pajisjen NAT:

  • 23456 (porta bazë – shembulli 0)
  • 23456 + 100 (bazë + 100)
  • 23456 + 200 (bazë + 200)
  • 23456 + 300 (bazë + 300)

Vini re se numri i rasteve është i njëjtë me numrin e bërthamave që keni caktuar për Cisco SD-WAN Manager, deri në maksimum 8.

Konfiguro parametrat e sigurisë duke përdorur shabllonin e veçorive të sigurisë

Përdorni shabllonin e veçorive të Sigurisë për të gjitha pajisjet Cisco veEdge. Në ruterat e skajit dhe në Cisco SD-WAN Validator, përdorni këtë shabllon për të konfiguruar IPsec për sigurinë e planit të të dhënave. Në Cisco SD-WAN Manager dhe Cisco SD-WAN Controller, përdorni shabllonin e veçorive të Sigurisë për të konfiguruar DTLS ose TLS për sigurinë e planit të kontrollit.

Konfiguro parametrat e sigurisë

  1. Nga menyja Cisco SD-WAN Manager, zgjidhni Konfigurimi > Modelet.
  2. Klikoni Modelet e veçorive dhe më pas kliko Shto shabllon.
    Shënim Në Cisco vManage Release 20.7.1 dhe versionet e mëparshme, Modelet e Veçorisë quhen Veçori.
  3. Nga lista e pajisjeve në panelin e majtë, zgjidhni një pajisje. Modelet e aplikueshme për pajisjen e zgjedhur shfaqen në panelin e djathtë.
  4. Klikoni Siguria për të hapur shabllonin.
  5. Në fushën Emri i modelit, vendosni një emër për shabllonin. Emri mund të jetë deri në 128 karaktere dhe mund të përmbajë vetëm karaktere alfanumerike.
  6. Në fushën Përshkrimi i modelit, vendosni një përshkrim të shabllonit. Përshkrimi mund të jetë deri në 2048 karaktere dhe mund të përmbajë vetëm karaktere alfanumerike.

Kur hapni për herë të parë një shabllon veçorie, për çdo parametër që ka një vlerë të paracaktuar, shtrirja vendoset në Default (tregohet nga një shenjë kontrolli) dhe shfaqet cilësimi ose vlera e paracaktuar. Për të ndryshuar parazgjedhjen ose për të futur një vlerë, klikoni në menunë rënëse të fushëveprimit në të majtë të fushës së parametrave dhe zgjidhni një nga sa vijon:

Tabela 1:

Parametri Fushëveprimi Përshkrimi i fushëveprimit
Specifike për pajisjen (tregohet nga një ikonë pritës) Përdorni një vlerë specifike të pajisjes për parametrin. Për parametrat specifikë të pajisjes, nuk mund të futni një vlerë në shabllonin e veçorive. Ju e futni vlerën kur bashkëngjitni një pajisje Viptela në një shabllon pajisjeje.

Kur klikoni Device Specific, hapet kutia Enter Key. Kjo kuti shfaq një çelës, i cili është një varg unik që identifikon parametrin në një CSV file që ju krijoni. Kjo file është një spreadsheet Excel që përmban një kolonë për çdo çelës. Rreshti i kokës përmban emrat e çelësave (një çelës për kolonë), dhe çdo rresht pas tij korrespondon me një pajisje dhe përcakton vlerat e çelësave për atë pajisje. Ju ngarkoni CSV-në file kur bashkëngjitni një pajisje Viptela në një shabllon pajisjeje. Për më shumë informacion, shihni Krijo një fletëllogaritëse të variablave shabllon.

Për të ndryshuar tastin e paracaktuar, shkruani një varg të ri dhe lëvizni kursorin nga kutia Enter Key.

ExampDisa nga parametrat specifikë të pajisjes janë adresa IP e sistemit, emri i hostit, vendndodhja GPS dhe ID e faqes.
Parametri Fushëveprimi Përshkrimi i fushëveprimit
Global (treguar nga një ikonë globi) Futni një vlerë për parametrin dhe zbatojeni atë vlerë në të gjitha pajisjet.

ExampDisa nga parametrat që mund të aplikoni globalisht në një grup pajisjesh janë serveri DNS, serveri i log-it të sistemit dhe MTU-të e ndërfaqes.

Konfiguro sigurinë e planit të kontrollit

Shënim
Seksioni "Konfiguro sigurinë e planit të kontrollit" zbatohet vetëm për menaxherin SD-WAN Cisco dhe kontrolluesin Cisco SD-WAN. Për të konfiguruar protokollin e lidhjes së planit të kontrollit në një shembull Cisco SD-WAN Manager ose një kontrollues Cisco SD-WAN, zgjidhni zonën e konfigurimit bazë. dhe konfiguroni parametrat e mëposhtëm:

Tabela 2:

Parametri Emri Përshkrimi
Protokolli Zgjidhni protokollin për t'u përdorur në lidhjet e planit të kontrollit me një kontrollues Cisco SD-WAN:

• DTLS (Datagram Transport Layer Security). Ky është standardi.

•  TLS (Siguria e shtresës së transportit)
Kontrollo portin TLS Nëse keni zgjedhur TLS, konfiguroni numrin e portës për t'u përdorur:Gama: 1025 deri në 65535E parazgjedhur: 23456

Klikoni Ruaj

Konfiguro sigurinë e planit të të dhënave
Për të konfiguruar sigurinë e planit të të dhënave në një Cisco SD-WAN Validator ose një router Cisco vEdge, zgjidhni skedat e konfigurimit bazë dhe tipit të vërtetimit dhe konfiguroni parametrat e mëposhtëm:

Tabela 3:

Parametri Emri Përshkrimi
Koha e rikyçjes Specifikoni sa shpesh një ruter Cisco vEdge ndryshon çelësin AES të përdorur në lidhjen e tij të sigurt DTLS me kontrolluesin Cisco SD-WAN. Nëse aktivizohet rinisja e këndshme OMP, koha e rikyçjes duhet të jetë të paktën dyfishi i vlerës së kohëmatësit të këndshëm të rinisjes OMP.Gama: 10 deri në 1209600 sekonda (14 ditë)E parazgjedhur: 86400 sekonda (24 orë)
Dritarja e riprodhimit Specifikoni madhësinë e dritares së përsëritjes rrëshqitëse.

Vlerat: 64, 128, 256, 512, 1024, 2048, 4096, 8192 pakoE parazgjedhur: 512 pako
IPsec

dyshe-kyçje

 Kjo është çaktivizuar si parazgjedhje. Klikoni On për ta ndezur.
Parametri Emri Përshkrimi
Lloji i vërtetimit Zgjidhni llojet e vërtetimit nga Autentifikimi Lista, dhe klikoni shigjetën që tregon djathtas për të zhvendosur llojet e vërtetimit në Lista e zgjedhur kolonë.

Llojet e vërtetimit të mbështetura nga Cisco SD-WAN Release 20.6.1:

•  esp: Aktivizon enkriptimin dhe kontrollin e integritetit të ngarkesës së sigurisë në kapsulë (ESP) në kokën e ESP.

•  ip-udp-esp: Aktivizon enkriptimin ESP. Përveç kontrolleve të integritetit në kokën e ESP dhe ngarkesën, kontrollet përfshijnë gjithashtu kokat e jashtme të IP dhe UDP.

•  ip-udp-esp-no-id: Injoron fushën ID në kokën e IP-së në mënyrë që Cisco Catalyst SD-WAN të mund të funksionojë së bashku me pajisjet jo-Cisco.

•  asnjë: Çaktivizon kontrollin e integritetit në paketat IPSec. Ne nuk rekomandojmë përdorimin e këtij opsioni.

 

Llojet e vërtetimit të mbështetura në Cisco SD-WAN Release 20.5.1 dhe më të hershme:

•  ah-jo-id: Aktivizo një version të përmirësuar të AH-SHA1 HMAC dhe ESP HMAC-SHA1 që injoron fushën ID në kokën e jashtme IP të paketës.

•  ah-sha1-hmac: Aktivizo AH-SHA1 HMAC dhe ESP HMAC-SHA1.

•  asnjë: Zgjidhni pa vërtetim.

•  sha1-hmac: Aktivizo ESP HMAC-SHA1.

 

Shënim              Për një pajisje të skajshme që funksionon në Cisco SD-WAN Release 20.5.1 ose më herët, mund të keni konfiguruar llojet e vërtetimit duke përdorur një Siguria shabllon. Kur përmirësoni pajisjen në Cisco SD-WAN Release 20.6.1 ose më të ri, përditësoni llojet e zgjedhura të vërtetimit në Siguria shabllon për llojet e vërtetimit të mbështetur nga Cisco SD-WAN Release 20.6.1. Për të përditësuar llojet e vërtetimit, bëni sa më poshtë:

1.      Nga menyja Cisco SD-WAN Manager, zgjidhni Konfigurimi >

Modelet.

2.      Klikoni Modelet e veçorive.

3.      Gjeni Siguria shabllon për përditësim dhe klikoni … dhe klikoni Redakto.

4.      Klikoni Përditëso. Mos modifikoni asnjë konfigurim.

Cisco SD-WAN Manager përditëson Siguria shabllon për të shfaqur llojet e mbështetura të vërtetimit.

Klikoni Ruaj.

Konfiguro parametrat e sigurisë së planit të të dhënave

Në planin e të dhënave, IPsec aktivizohet si parazgjedhje në të gjithë ruterat dhe si parazgjedhje, lidhjet e tunelit IPsec përdorin një version të përmirësuar të protokollit Encapsulating Security Payload (ESP) për vërtetim në tunelet IPsec. Në ruterat, mund të ndryshoni llojin e vërtetimit, kohëmatësin e rikyçjes IPsec dhe madhësinë e dritares kundër riprodhimit IPsec.

Konfiguro Llojet e Lejuara të Autentifikimit

Llojet e vërtetimit në Cisco SD-WAN Release 20.6.1 dhe më vonë
Nga Cisco SD-WAN Release 20.6.1, mbështeten llojet e mëposhtme të integritetit:

  • esp: Ky opsion mundëson enkriptimin dhe kontrollin e integritetit në kokën e ESP-së me Encapsulating Security Payload (ESP).
  • ip-udp-esp: Ky opsion mundëson enkriptimin ESP. Përveç kontrolleve të integritetit në kokën ESP dhe ngarkesën, kontrollet përfshijnë gjithashtu titujt e IP të jashtëm dhe UDP.
  • ip-udp-esp-no-id: Ky opsion është i ngjashëm me ip-udp-esp, megjithatë, fusha ID e kokës së jashtme të IP-së injorohet. Konfiguro këtë opsion në listën e llojeve të integritetit që softueri Cisco Catalyst SD-WAN të injorojë fushën ID në kokën e IP-së, në mënyrë që Cisco Catalyst SD-WAN të mund të funksionojë së bashku me pajisjet jo-Cisco.
  • asnjë: Ky opsion çaktivizon kontrollin e integritetit në paketat IPSec. Ne nuk rekomandojmë përdorimin e këtij opsioni.

Si parazgjedhje, lidhjet e tunelit IPsec përdorin një version të përmirësuar të protokollit Encapsulating Security Payload (ESP) për vërtetim. Për të modifikuar llojet e negociuara të ndërrësisë ose për të çaktivizuar kontrollin e integritetit, përdorni komandën e mëposhtme: integrity-type { asnjë | ip-udp-esp | ip-udp-esp-no-id | esp }

Llojet e vërtetimit përpara lëshimit të Cisco SD-WAN 20.6.1
Si parazgjedhje, lidhjet e tunelit IPsec përdorin një version të përmirësuar të protokollit Encapsulating Security Payload (ESP) për vërtetim. Për të modifikuar llojet e negociuara të vërtetimit ose për të çaktivizuar vërtetimin, përdorni komandën e mëposhtme: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | asnjë) Si parazgjedhje, IPsec Lidhjet e tunelit përdorin AES-GCM-256, i cili siguron si kriptim ashtu edhe vërtetim. Konfiguro çdo lloj vërtetimi me një komandë të veçantë sigurie të tipit të vërtetimit ipsec. Opsionet e komandës lidhen me llojet e mëposhtme të vërtetimit, të cilat janë renditur në rend nga më i forti tek më pak i fortë:

Shënim
Sha1 në opsionet e konfigurimit përdoret për arsye historike. Opsionet e vërtetimit tregojnë se sa është kryer kontrolli i integritetit të paketës. Ata nuk specifikojnë algoritmin që kontrollon integritetin. Me përjashtim të kriptimit të trafikut multicast, algoritmet e vërtetimit të mbështetur nga Cisco Catalyst SD WAN nuk përdorin SHA1. Megjithatë në Cisco SD-WAN Release 20.1.x e në vazhdim, si unicast ashtu edhe multicast nuk përdorin SHA1.

  • ah-sha1-hmac mundëson enkriptimin dhe kapsulimin duke përdorur ESP. Megjithatë, përveç kontrolleve të integritetit në kokën dhe ngarkesën e ESP, kontrollet përfshijnë gjithashtu kokat e jashtme të IP dhe UDP. Prandaj, ky opsion mbështet një kontroll të integritetit të paketës të ngjashme me protokollin e Authentication Header (AH). I gjithë integriteti dhe kriptimi kryhet duke përdorur AES-256-GCM.
  • ah-no-id mundëson një modalitet që është i ngjashëm me ah-sha1-hmac, megjithatë, fusha ID e kokës së jashtme të IP-së injorohet. Ky opsion strehon disa pajisje jo-Cisco Catalyst SD-WAN, duke përfshirë Apple AirPort Express NAT, që kanë një gabim që shkakton modifikimin e fushës ID në kokën e IP-së, një fushë e pandryshueshme. Konfiguro opsionin ah-no-id në listën e llojeve të vërtetimit që softueri Cisco Catalyst SD-WAN AH të injorojë fushën ID në kokën e IP-së, në mënyrë që softueri Cisco Catalyst SD-WAN të mund të funksionojë në lidhje me këto pajisje.
  • sha1-hmac mundëson enkriptimin ESP dhe kontrollin e integritetit.
  • asnjë nuk hartohet për asnjë vërtetim. Ky opsion duhet të përdoret vetëm nëse kërkohet për korrigjimin e përkohshëm. Ju gjithashtu mund ta zgjidhni këtë opsion në situata kur vërtetimi dhe integriteti i planit të të dhënave nuk janë shqetësim. Cisco nuk rekomandon përdorimin e këtij opsioni për rrjetet e prodhimit.

Për informacion se cilat fusha të paketave të të dhënave preken nga këto lloje vërtetimi, shihni Integriteti i planit të të dhënave. Pajisjet Cisco IOS XE Catalyst SD-WAN dhe pajisjet Cisco vEdge reklamojnë llojet e tyre të vërtetimit të konfiguruar në vetitë e tyre TLOC. Dy ruterat në të dyja anët e një lidhje tuneli IPsec negociojnë vërtetimin për t'u përdorur në lidhjen ndërmjet tyre, duke përdorur llojin më të fortë të vërtetimit që është konfiguruar në të dy ruterat. Për shembullampnëse një ruter reklamon llojet ah-sha1-hmac dhe ah-no-id dhe një ruter i dytë reklamon llojin ah-no-id, të dy ruterët negociojnë të përdorin ah-no-id në lidhjen e tunelit IPsec ndërmjet ato. Nëse nuk janë konfiguruar lloje të zakonshme të vërtetimit në dy kolegët, nuk krijohet asnjë tunel IPsec midis tyre. Algoritmi i kriptimit në lidhjet e tunelit IPsec varet nga lloji i trafikut:

  • Për trafikun unicast, algoritmi i enkriptimit është AES-256-GCM.
  • Për trafikun multicast:
  • Cisco SD-WAN Release 20.1.x dhe më vonë – algoritmi i enkriptimit është AES-256-GCM
  • Publikimet e mëparshme – algoritmi i enkriptimit është AES-256-CBC me SHA1-HMAC.

Kur ndryshohet lloji i vërtetimit IPsec, ndryshohet çelësi AES për shtegun e të dhënave.

Ndryshoni kohëmatësin e rikyçjes

Përpara se pajisjet Cisco IOS XE Catalyst SD-WAN dhe pajisjet Cisco vEdge të mund të shkëmbejnë trafikun e të dhënave, ata vendosin një kanal komunikimi të sigurt të vërtetuar ndërmjet tyre. Routerët përdorin tunele IPSec midis tyre si kanal, dhe shifrën AES-256 për të kryer enkriptimin. Çdo ruter gjeneron një çelës të ri AES për rrugën e tij të të dhënave në mënyrë periodike. Si parazgjedhje, një çelës është i vlefshëm për 86400 sekonda (24 orë) dhe diapazoni i kohëmatësit është nga 10 sekonda deri në 1209600 sekonda (14 ditë). Për të ndryshuar vlerën e kohëmatësit të tastierës: Pajisja(konfigurimi)# e sigurisë ipsec sekonda e rikyçjes Konfigurimi duket si ky:

  • siguria ipsec sekonda rekey !

Nëse dëshironi të gjeneroni çelësa të rinj IPsec menjëherë, mund ta bëni këtë pa modifikuar konfigurimin e ruterit. Për ta bërë këtë, lëshoni komandën e sigurisë ipsecrekey të kërkesës në ruterin e komprometuar. Për shembullample, prodhimi i mëposhtëm tregon se SA lokale ka një Indeks të Parametrave të Sigurisë (SPI) prej 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

Një çelës unik është i lidhur me çdo SPI. Nëse ky çelës është i komprometuar, përdorni komandën e sigurisë së kërkesës ipsec-rekey për të gjeneruar menjëherë një çelës të ri. Kjo komandë rrit SPI. Në ish-in tonëample, SPI ndryshon në 257 dhe çelësi i lidhur me të përdoret tani:

  • Pajisja# kërkesë për sigurinë ipsecrekey
  • Pajisja# tregon ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Pasi të gjenerohet çelësi i ri, ruteri e dërgon atë menjëherë te kontrollorët Cisco SD-WAN duke përdorur DTLS ose TLS. Kontrollorët Cisco SD-WAN e dërgojnë çelësin te ruterët kolegë. Ruterët fillojnë ta përdorin atë sapo e marrin atë. Vini re se çelësi i lidhur me SPI-në e vjetër (256) do të vazhdojë të përdoret për një kohë të shkurtër derisa të mbarojë. Për të ndaluar përdorimin e çelësit të vjetër menjëherë, lëshoni komandën e sigurisë së kërkesës ipsec-rekey dy herë, radhazi. Kjo sekuencë komandash heq të dy SPI 256 dhe 257 dhe vendos SPI në 258. Më pas ruteri përdor çelësin shoqërues të SPI 258. Megjithatë, vini re se disa paketa do të hiqen për një periudhë të shkurtër kohe derisa të mësojnë të gjithë ruterët në distancë çelësin e ri.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Ndryshoni madhësinë e dritares kundër përsëritjes

Autentifikimi IPsec siguron mbrojtje kundër përsëritjes duke caktuar një numër unik të sekuencës për çdo paketë në një rrjedhë të dhënash. Ky numërim i sekuencës mbron nga një sulmues që dublikon paketat e të dhënave. Me mbrojtjen kundër riprodhimit, dërguesi cakton numra sekuencash në rritje monotonike dhe destinacioni i kontrollon këta numra sekuence për të zbuluar dublikatat. Për shkak se paketat shpesh nuk arrijnë në rregull, destinacioni mban një dritare rrëshqitëse të numrave të sekuencës që do të pranojë.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Paketat me numra sekuence që bien në të majtë të gamës së dritares rrëshqitëse konsiderohen të vjetra ose dublikate dhe destinacioni i heq ato. Destinacioni gjurmon numrin më të lartë të sekuencës që ka marrë dhe rregullon dritaren rrëshqitëse kur merr një paketë me një vlerë më të lartë.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Si parazgjedhje, dritarja rrëshqitëse është vendosur në 512 pako. Mund të vendoset në çdo vlerë midis 64 dhe 4096 që është një fuqi prej 2 (d.m.th., 64, 128, 256, 512, 1024, 2048 ose 4096). Për të modifikuar madhësinë e dritares kundër riprodhimit, përdorni komandën replay-window, duke specifikuar madhësinë e dritares:

Pajisja(konfigurimi)# numër i dritares së riprodhimit të sigurisë ipsec

Konfigurimi duket si ky:
numër i dritares së riprodhimit të sigurisë ipsec! !

Për të ndihmuar me QoS, dritaret e veçanta të riprodhimit mbahen për secilin nga tetë kanalet e para të trafikut. Madhësia e dritares së riprodhimit të konfiguruar ndahet me tetë për çdo kanal. Nëse QoS është konfiguruar në një ruter, ai ruter mund të përjetojë një numër më të madh se sa pritej rënie të paketave si rezultat i mekanizmit kundër riprodhimit IPsec dhe shumë nga paketat që hidhen janë të ligjshme. Kjo ndodh sepse QoS rirendizon paketat, duke u dhënë paketave me prioritet më të lartë trajtim preferencial dhe duke vonuar paketat me prioritet më të ulët. Për të minimizuar ose parandaluar këtë situatë, mund të bëni sa më poshtë:

  • Rritni madhësinë e dritares kundër përsëritjes.
  • Inxhinieroni trafikun në tetë kanalet e para të trafikut për të siguruar që trafiku brenda një kanali të mos riorganizohet.

Konfiguro tunelet IPsec të aktivizuara me IKE
Për të transferuar në mënyrë të sigurt trafikun nga rrjeti i mbivendosjes në një rrjet shërbimi, mund të konfiguroni tunele IPsec që ekzekutojnë protokollin e Internet Key Exchange (IKE). Tunelet IPsec të aktivizuara me IKE ofrojnë vërtetim dhe kriptim për të siguruar transport të sigurt të paketave. Ju krijoni një tunel IPsec të aktivizuar me IKE duke konfiguruar një ndërfaqe IPsec. Ndërfaqet IPsec janë ndërfaqe logjike, dhe ju i konfiguroni ato ashtu si çdo ndërfaqe tjetër fizike. Ju konfiguroni parametrat e protokollit IKE në ndërfaqen IPsec dhe mund të konfiguroni vetitë e tjera të ndërfaqes.

Shënim Cisco rekomandon përdorimin e versionit 2 të IKE. Nga lëshimi i Cisco SD-WAN 19.2.x e tutje, çelësi i parapërndarë duhet të jetë së paku 16 bajt i gjatë. Krijimi i tunelit IPsec dështon nëse madhësia e çelësit është më pak se 16 karaktere kur ruteri është përmirësuar në versionin 19.2.

Shënim
Softueri Cisco Catalyst SD-WAN mbështet IKE Version 2 siç përcaktohet në RFC 7296. Një përdorim i tuneleve IPsec është që të lejohen shembujt VM të ruterit vEdge Cloud që funksionojnë në Amazon AWS për t'u lidhur me renë private virtuale të Amazon (VPC). Duhet të konfiguroni IKE Version 1 në këta ruter. Pajisjet Cisco vEdge mbështesin vetëm VPN të bazuara në rrugë në një konfigurim IPSec sepse këto pajisje nuk mund të përcaktojnë përzgjedhësit e trafikut në domenin e enkriptimit.

Konfiguro një tunel IPsec
Për të konfiguruar një ndërfaqe tuneli IPsec për trafik të sigurt transporti nga një rrjet shërbimi, ju krijoni një ndërfaqe logjike IPsec:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Mund të krijoni tunelin IPsec në VPN transporti (VPN 0) dhe në çdo shërbim VPN (VPN 1 deri në 65530, përveç 512). Ndërfaqja IPsec ka një emër në formatin ipsecnumber, ku numri mund të jetë nga 1 deri në 255. Çdo ndërfaqe IPsec duhet të ketë një adresë IPv4. Kjo adresë duhet të jetë një prefiks /30. I gjithë trafiku në VPN që është brenda këtij prefiksi IPv4 drejtohet në një ndërfaqe fizike në VPN 0 për t'u dërguar në mënyrë të sigurt mbi një tunel IPsec. Për të konfiguruar burimin e tunelit IPsec në pajisjen lokale, mund të specifikoni ose adresën IP të ndërfaqja fizike (në komandën tunnel-source) ose emri i ndërfaqes fizike (në komandën tunel-burim-interface). Sigurohuni që ndërfaqja fizike të jetë konfiguruar në VPN 0. Për të konfiguruar destinacionin e tunelit IPsec, specifikoni adresën IP të pajisjes në distancë në komandën tunel-destinacion. Kombinimi i një adrese burimi (ose emri i ndërfaqes së burimit) dhe një adrese destinacioni përcakton një tunel të vetëm IPsec. Mund të ekzistojë vetëm një tunel IPsec që përdor një adresë specifike burimi (ose emër ndërfaqeje) dhe një çift adresash destinacioni.

Konfiguro një rrugë statike IPsec

Për të drejtuar trafikun nga shërbimi VPN në një tunel IPsec në VPN transporti (VPN 0), ju konfiguroni një rrugë statike specifike të IPsec në një VPN shërbimi (një VPN përveç VPN 0 ose VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefiksi/gjatësia ndërfaqe vpn 0
  • ipsecnumber [ipsecnumber2]

ID-ja VPN është ajo e çdo shërbimi VPN (VPN 1 deri në 65530, përveç 512). prefiksi/gjatësia është adresa IP ose prefiksi, në shënimin dhjetor me katër pika, dhe gjatësia e prefiksit të rrugës statike specifike për IPsec. Ndërfaqja është ndërfaqja e tunelit IPsec në VPN 0. Mund të konfiguroni një ose dy ndërfaqe tuneli IPsec. Nëse konfiguroni dy, i pari është tuneli primar IPsec dhe i dyti është rezervimi. Me dy ndërfaqe, të gjitha paketat dërgohen vetëm në tunelin primar. Nëse ai tunel dështon, të gjitha paketat dërgohen më pas në tunelin dytësor. Nëse tuneli primar kthehet lart, i gjithë trafiku zhvendoset përsëri në tunelin primar IPsec.

Aktivizo versionin 1 të IKE
Kur krijoni një tunel IPsec në një ruter vEdge, IKE Version 1 aktivizohet si parazgjedhje në ndërfaqen e tunelit. Karakteristikat e mëposhtme janë gjithashtu të aktivizuara si parazgjedhje për IKEv1:

  • Autentifikimi dhe kriptimi—AES-256 kriptimi i avancuar, standardi i kriptimit CBC me algoritmin e kodit të autentifikimit të mesazheve të hashit me çelës HMAC-SHA1 për integritet
  • Numri i grupit Diffie-Hellman-16
  • Intervali kohor i rikyçjes - 4 orë
  • Mënyra e krijimit të SA-Kryesore

Si parazgjedhje, IKEv1 përdor modalitetin kryesor IKE për të krijuar IKE SA. Në këtë mënyrë, gjashtë paketa negociuese shkëmbehen për të krijuar SA. Për të shkëmbyer vetëm tre paketa negocimi, aktivizoni modalitetin agresiv:

Shënim
Modaliteti agresiv IKE me çelësa të parapërndarë duhet të shmanget kudo që të jetë e mundur. Përndryshe, duhet të zgjidhet një çelës i fortë paraprakisht i përbashkët.

  • vEdge(config)# vpn ndërfaqe vpn-id ipsec numri ike
  • vEdge(config-ike)# mode agresive

Si parazgjedhje, IKEv1 përdor grupin Diffie-Hellman 16 në shkëmbimin e çelësave IKE. Ky grup përdor grupin 4096-bit më modular eksponencial (MODP) gjatë shkëmbimit të çelësave IKE. Mund ta ndryshoni numrin e grupit në 2 (për MODP 1024-bit), 14 (MODP 2048-bit) ose 15 (MODP 3072-bit):

  • vEdge(config)# vpn ndërfaqe vpn-id ipsec numri ike
  • Numri i grupit vEdge(config-ike)#

Si parazgjedhje, shkëmbimi i çelësave IKE përdor kriptim standard të avancuar të enkriptimit AES-256 CBC me algoritmin e kodit të vërtetimit të mesazheve të hash me çelës HMAC-SHA1 për integritet. Ju mund të ndryshoni vërtetimin:

  • vEdge(config)# vpn ndërfaqe vpn-id ipsec numri ike
  • vEdge(config-ike)# suite cipher-suite

Paketa e vërtetimit mund të jetë një nga sa vijon:

  • aes128-cbc-sha1—AES-128 enkriptim i avancuar standardi i kriptimit CBC me algoritmin e kodit të vërtetimit të kodit të mesazheve hash me çelës HMAC-SHA1 për integritet
  • aes128-cbc-sha2—AES-128 enkriptim i avancuar standardi i kriptimit CBC me algoritmin e kodit të vërtetimit të kodit të mesazheve hash me çelës HMAC-SHA256 për integritet
  • aes256-cbc-sha1—AES-256 enkriptimi i avancuar i standardit të kriptimit CBC me algoritmin e kodit të autentifikimit të mesazheve të hash me çelës HMAC-SHA1 për integritet; ky është parazgjedhja.
  • aes256-cbc-sha2—AES-256 enkriptim i avancuar standardi i kriptimit CBC me algoritmin e kodit të vërtetimit të kodit të mesazheve hash me çelës HMAC-SHA256 për integritet

Si parazgjedhje, çelësat IKE rifreskohen çdo 1 orë (3600 sekonda). Mund ta ndryshoni intervalin e rikyçjes në një vlerë nga 30 sekonda në 14 ditë (1209600 sekonda). Rekomandohet që intervali i rikyçjes të jetë së paku 1 orë.

  • vEdge(config)# vpn ndërfaqe vpn-id numri ipsec si
  • vEdge(config-ike)# sekonda rekey

Për të detyruar gjenerimin e çelësave të rinj për një sesion IKE, lëshoni komandën e kërkesës ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id interfaceipsec numri ike

Për IKE, mund të konfiguroni gjithashtu vërtetimin e çelësit të parandarë (PSK):

  • vEdge(config)# vpn ndërfaqe vpn-id ipsec numri ike
  • vEdge(config-ike)# authentication-type-pre-shared-key password fjalëkalimi para-ndarë-sekret është fjalëkalimi për t'u përdorur me çelësin e parandarë. Mund të jetë një varg ASCII ose heksadecimal nga 1 deri në 127 karaktere.

Nëse kolegu i largët IKE kërkon një ID lokale ose të largët, mund të konfiguroni këtë identifikues:

  • vEdge(config)# vpn ndërfaqe vpn-id numri ipsec ike autentikimi-lloj
  • vEdge(config-authentication-type)# id local-id
  • vEdge(config-authentication-type)# ID-ja e largët

Identifikuesi mund të jetë një adresë IP ose ndonjë varg teksti nga 1 deri në 63 karaktere. Si parazgjedhje, ID-ja lokale është adresa IP e burimit të tunelit dhe ID-ja në distancë është adresa IP e destinacionit të tunelit.

Aktivizo versionin 2 të IKE
Kur konfiguroni një tunel IPsec për të përdorur IKE Version 2, vetitë e mëposhtme aktivizohen gjithashtu si parazgjedhje për IKEv2:

  • Autentifikimi dhe kriptimi—AES-256 kriptimi i avancuar, standardi i kriptimit CBC me algoritmin e kodit të autentifikimit të mesazheve të hashit me çelës HMAC-SHA1 për integritet
  • Numri i grupit Diffie-Hellman-16
  • Intervali kohor i rikyçjes - 4 orë

Si parazgjedhje, IKEv2 përdor grupin Diffie-Hellman 16 në shkëmbimin e çelësave IKE. Ky grup përdor grupin 4096-bit më modular eksponencial (MODP) gjatë shkëmbimit të çelësave IKE. Mund ta ndryshoni numrin e grupit në 2 (për MODP 1024-bit), 14 (MODP 2048-bit) ose 15 (MODP 3072-bit):

  • vEdge(config)# vpn ndërfaqe vpn-id ipsecnumber ike
  • Numri i grupit vEdge(config-ike)#

Si parazgjedhje, shkëmbimi i çelësave IKE përdor kriptim standard të avancuar të enkriptimit AES-256 CBC me algoritmin e kodit të vërtetimit të mesazheve të hash me çelës HMAC-SHA1 për integritet. Ju mund të ndryshoni vërtetimin:

  • vEdge(config)# vpn ndërfaqe vpn-id ipsecnumber ike
  • vEdge(config-ike)# suite cipher-suite

Paketa e vërtetimit mund të jetë një nga sa vijon:

  • aes128-cbc-sha1—AES-128 enkriptim i avancuar standardi i kriptimit CBC me algoritmin e kodit të vërtetimit të kodit të mesazheve hash me çelës HMAC-SHA1 për integritet
  • aes128-cbc-sha2—AES-128 enkriptim i avancuar standardi i kriptimit CBC me algoritmin e kodit të vërtetimit të kodit të mesazheve hash me çelës HMAC-SHA256 për integritet
  • aes256-cbc-sha1—AES-256 enkriptimi i avancuar i standardit të kriptimit CBC me algoritmin e kodit të autentifikimit të mesazheve të hash me çelës HMAC-SHA1 për integritet; ky është parazgjedhja.
  • aes256-cbc-sha2—AES-256 enkriptim i avancuar standardi i kriptimit CBC me algoritmin e kodit të vërtetimit të kodit të mesazheve hash me çelës HMAC-SHA256 për integritet

Si parazgjedhje, çelësat IKE rifreskohen çdo 4 orë (14,400 sekonda). Mund ta ndryshoni intervalin e rikyçjes në një vlerë nga 30 sekonda në 14 ditë (1209600 sekonda):

  • vEdge(config)# vpn ndërfaqe vpn-id ipsecnumber ike
  • vEdge(config-ike)# sekonda rekey

Për të detyruar gjenerimin e çelësave të rinj për një sesion IKE, lëshoni komandën e kërkesës ipsec ike-rekey. Për IKE, mund të konfiguroni gjithashtu vërtetimin e çelësit të parandarë (PSK):

  • vEdge(config)# vpn ndërfaqe vpn-id ipsecnumber ike
  • vEdge(config-ike)# authentication-type-pre-shared-key password fjalëkalimi para-ndarë-sekret është fjalëkalimi për t'u përdorur me çelësin e parandarë. Mund të jetë një varg ASCII ose heksadecimal, ose mund të jetë një çelës i koduar me AES. Nëse kolegu i largët IKE kërkon një ID lokale ose të largët, mund të konfiguroni këtë identifikues:
  • vEdge(config)# vpn ndërfaqe vpn-id ipsecnumber ike authentication-type
  • vEdge(config-authentication-type)# id local-id
  • vEdge(config-authentication-type)# ID-ja e largët

Identifikuesi mund të jetë një adresë IP ose ndonjë varg teksti nga 1 deri në 64 karaktere. Si parazgjedhje, ID-ja lokale është adresa IP e burimit të tunelit dhe ID-ja në distancë është adresa IP e destinacionit të tunelit.

Konfiguro parametrat e tunelit IPsec

Tabela 4: Historia e Veçorisë

Veçori Emri Informacioni i publikimit Përshkrimi
Kriptografik shtesë Cisco SD-WAN Publikimi 20.1.1 Kjo veçori shton mbështetje për
Mbështetje algoritmike për IPSec   HMAC_SHA256, HMAC_SHA384 dhe
Tunelet   Algoritmet HMAC_SHA512 për
    siguri e shtuar.

Si parazgjedhje, parametrat e mëposhtëm përdoren në tunelin IPsec që mbart trafikun IKE:

  • Autentifikimi dhe enkriptimi—algoritmi AES-256 në GCM (modaliteti Galois/counter)
  • Intervali i rikyçjes - 4 orë
  • Dritarja e riprodhimit - 32 pako

Mund ta ndryshoni enkriptimin në tunelin IPsec në shifrën AES-256 në CBC (modaliteti i zinxhirit të bllokut të shifrave, me HMAC duke përdorur vërtetimin e mesazheve të hash me çelës SHA-1 ose SHA-2 ose të anuloni me HMAC duke përdorur ose SHA-1 ose Vërtetimi i mesazhit me hash me çelës SHA-2, për të mos enkriptuar tunelin IPsec të përdorur për trafikun e shkëmbimit të çelësave IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# grup-shifror (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-cbc-sha1 | aes256-null-256 | | aes256-null-sha384 | aes256-null-sha512)

Si parazgjedhje, çelësat IKE rifreskohen çdo 4 orë (14,400 sekonda). Mund ta ndryshoni intervalin e rikyçjes në një vlerë nga 30 sekonda në 14 ditë (1209600 sekonda):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# sekonda rekey

Për të detyruar gjenerimin e çelësave të rinj për një tunel IPsec, lëshoni komandën e kërkesës ipsec ipsec-rekey. Si parazgjedhje, fshehtësia e përsosur përpara (PFS) është aktivizuar në tunelet IPsec, për të siguruar që seancat e kaluara të mos preken nëse çelësat e ardhshëm komprometohen. PFS detyron një shkëmbim të ri të çelësave Diffie-Hellman, si parazgjedhje duke përdorur grupin e modulit prime 4096-bit Diffie-Hellman. Mund të ndryshoni cilësimin PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfekt-forward-secrecy pfs-setting

Vendosja e pfs mund të jetë një nga sa vijon:

  • grupi-2—Përdorni grupin e modulit prime 1024-bit Diffie-Hellman.
  • grupi-14—Përdorni grupin e modulit prime 2048-bit Diffie-Hellman.
  • grupi-15—Përdorni grupin e modulit prime 3072-bit Diffie-Hellman.
  • grup-16—Përdorni grupin e modulit prime 4096-bit Diffie-Hellman. Ky është standardi.
  • asnjë—Çaktivizoni PFS.

Si parazgjedhje, dritarja e përsëritjes së IPsec në tunelin IPsec është 512 bajt. Ju mund të vendosni madhësinë e dritares së riprodhimit në 64, 128, 256, 512, 1024, 2048 ose 4096 pako:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# numri i dritares së riprodhimit

Modifiko Zbulimin e të vdekurve të IKE-së

IKE përdor një mekanizëm të zbulimit të kolegëve të vdekur për të përcaktuar nëse lidhja me një koleg IKE është funksionale dhe e arritshme. Për të zbatuar këtë mekanizëm, IKE i dërgon një pako Hello kolegut të tij dhe kolegu dërgon një konfirmim në përgjigje. Si parazgjedhje, IKE dërgon pako Hello çdo 10 sekonda, dhe pas tre paketave të papranuara, IKE deklaron fqinjin të vdekur dhe shkatërron tunelin tek kolegu. Më pas, IKE i dërgon në mënyrë periodike një pako Hello kolegut dhe ri-krijon tunelin kur kolegu kthehet në linjë. Mund ta ndryshoni intervalin e zbulimit të gjallërisë në një vlerë nga 0 në 65535 dhe mund të ndryshoni numrin e riprovave në një vlerë nga 0 në 255.

Shënim

Për VPN-të e transportit, intervali i zbulimit të gjallërisë konvertohet në sekonda duke përdorur formulën e mëposhtme: Intervali për përpjekjen e ritransmetimit numër N = interval * 1.8N-1Për example, nëse intervali është vendosur në 10 dhe ripërsëritet në 5, intervali i zbulimit rritet si më poshtë:

  • Përpjekja 1: 10 * 1.81-1 = 10 sekonda
  • Përpjekje 2: 10 * 1.82-1 = 18 sekonda
  • Përpjekje 3: 10 * 1.83-1 = 32.4 sekonda
  • Përpjekje 4: 10 * 1.84-1 = 58.32 sekonda
  • Përpjekje 5: 10 * 1.85-1 = 104.976 sekonda

vEdge(config-interface-ipsecnumber)# numri i riprovave të intervalit dead-peer-detection

Konfiguro vetitë e tjera të ndërfaqes

Për ndërfaqet e tunelit IPsec, mund të konfiguroni vetëm vetitë e mëposhtme shtesë të ndërfaqes:

  • vEdge(config-interface-ipsec)# bajt mtu
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Çaktivizo algoritmet e dobëta të kriptimit SSH në Cisco SD-WAN Manager

Tabela 5: Tabela e Historisë së Veçorive

Veçori Emri Informacioni i publikimit Veçori Përshkrimi
Çaktivizo algoritmet e dobëta të kriptimit SSH në Cisco SD-WAN Manager Cisco vManage Release 20.9.1 Kjo veçori ju lejon të çaktivizoni algoritme më të dobëta SSH në Cisco SD-WAN Manager që mund të mos përputhen me standarde të caktuara të sigurisë së të dhënave.

Informacion rreth çaktivizimit të algoritmeve të dobëta të kriptimit SSH në Cisco SD-WAN Manager
Cisco SD-WAN Manager ofron një klient SSH për komunikim me komponentët në rrjet, duke përfshirë kontrollorët dhe pajisjet e skajshme. Klienti SSH siguron një lidhje të koduar për transferim të sigurt të të dhënave, bazuar në një shumëllojshmëri algoritmesh kriptimi. Shumë organizata kërkojnë kriptim më të fortë se ai i ofruar nga SHA-1, AES-128 dhe AES-192. Nga Cisco vManage Release 20.9.1, mund të çaktivizoni algoritmet e mëposhtme më të dobëta të kriptimit në mënyrë që një klient SSH të mos përdorë këto algoritme:

  • SHA-1
  • AES-128
  • AES-192

Përpara se të çaktivizoni këto algoritme të enkriptimit, sigurohuni që pajisjet Cisco vEdge, nëse ka, në rrjet, po përdorin një version të softuerit më vonë se Cisco SD-WAN Release 18.4.6.

Përfitimet e çaktivizimit të algoritmeve të dobëta të kriptimit SSH në Cisco SD-WAN Manager
Çaktivizimi i algoritmeve më të dobëta të kriptimit SSH përmirëson sigurinë e komunikimit SSH dhe siguron që organizatat që përdorin Cisco Catalyst SD-WAN të jenë në përputhje me rregulloret strikte të sigurisë.

Çaktivizo algoritmet e dobëta të kriptimit SSH në Cisco SD-WAN Manager duke përdorur CLI

  1. Nga menyja Cisco SD-WAN Manager, zgjidhni Tools > SSH Terminal.
  2. Zgjidhni pajisjen Cisco SD-WAN Manager në të cilën dëshironi të çaktivizoni algoritmet më të dobëta SSH.
  3. Futni emrin e përdoruesit dhe fjalëkalimin për t'u identifikuar në pajisje.
  4. Hyni në modalitetin e serverit SSH.
    • sistemi vmanage(config)#
    • vmanage(config-system)# ssh-server
  5. Bëni një nga sa vijon për të çaktivizuar një algoritëm të enkriptimit SSH:
    • Çaktivizo SHA-1:
  6. menaxho(config-ssh-server)# pa kex-algo sha1
  7. menaxho(config-ssh-server)# commit
    Shfaqet mesazhi paralajmërues i mëposhtëm: U gjeneruan paralajmërimet e mëposhtme: 'sistemi ssh-server kex-algo sha1': PARALAJMËRIM: Sigurohuni që të gjitha skajet tuaja të ekzekutojnë versionin e kodit > 18.4.6 i cili negocion më mirë se SHA1 me vManage. Përndryshe, ato skaje mund të bëhen jashtë linje. Vazhdoni? [po, jo] po
    • Sigurohuni që çdo pajisje Cisco vEdge në rrjet të ekzekutojë Cisco SD-WAN Release 18.4.6 ose më të ri dhe shkruani po.
    • Çaktivizo AES-128 dhe AES-192:
    • vmanage(config-ssh-server)# pa shifër aes-128-192
    • vmanage(config-ssh-server)# commit
      Shfaqet mesazhi paralajmërues i mëposhtëm:
      Paralajmërimet e mëposhtme janë krijuar:
      'Sistemi ssh-server cipher aes-128-192': PARALAJMËRIM: Ju lutemi sigurohuni që të gjitha skajet tuaja të ekzekutojnë versionin e kodit > 18.4.6 i cili negocion më mirë se AES-128-192 me vManage. Përndryshe, ato skaje mund të bëhen jashtë linje. Vazhdoni? [po, jo] po
    • Sigurohuni që çdo pajisje Cisco vEdge në rrjet të ekzekutojë Cisco SD-WAN Release 18.4.6 ose më të ri dhe shkruani po.

Verifikoni që algoritmet e dobëta të kriptimit SSH janë çaktivizuar në Cisco SD-WAN Manager duke përdorur CLI

  1. Nga menyja Cisco SD-WAN Manager, zgjidhni Tools > SSH Terminal.
  2. Zgjidhni pajisjen Cisco SD-WAN Manager që dëshironi të verifikoni.
  3. Futni emrin e përdoruesit dhe fjalëkalimin për t'u identifikuar në pajisje.
  4. Ekzekutoni komandën e mëposhtme: tregoni serverin ssh të sistemit running-config
  5. Konfirmoni që dalja tregon një ose më shumë nga komandat që çaktivizojnë algoritmet më të dobëta të kriptimit:
    • asnjë shifër aes-128-192
    • jo kex-algo sha1

Dokumentet / Burimet

CISCO SD-WAN Konfiguro parametrat e sigurisë [pdfUdhëzuesi i përdoruesit
SD-WAN Konfiguro parametrat e sigurisë, SD-WAN, konfiguro parametrat e sigurisë, parametrat e sigurisë

Referencat

Lini një koment

Adresa juaj e emailit nuk do të publikohet. Fushat e kërkuara janë shënuar *