Innehåll dölja
1 CISCO SD-WAN Konfigurera säkerhetsparametrar
2 Konfigurera säkerhetsparametrar
3 Konfigurera kontrollplanets säkerhetsparametrar
4 Konfigurera DTLS i Cisco SD-WAN Manager
5 Konfigurera säkerhetsparametrar för dataplan
6 Konfigurera tillåtna autentiseringstyper
7 Ändra omnyckeltimern
8 Ändra storleken på Anti-Replay-fönstret
9 Konfigurera en statisk IPsec-rutt
10 Konfigurera IPsec-tunnelparametrar
11 Ändra IKE Dead-Peer Detection
12 Konfigurera andra gränssnittsegenskaper
13 Inaktivera svaga SSH-krypteringsalgoritmer på Cisco SD-WAN Manager
14 Dokument/resurser
14.1 Referenser

CISCO-LOGO

CISCO SD-WAN Konfigurera säkerhetsparametrar

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Konfigurera säkerhetsparametrar

Notera

För att uppnå förenkling och konsekvens har Cisco SD-WAN-lösningen bytt namn till Cisco Catalyst SD-WAN. Dessutom, från Cisco IOS XE SD-WAN Release 17.12.1a och Cisco Catalyst SD-WAN Release 20.12.1, är följande komponentändringar tillämpliga: Cisco vManage till Cisco Catalyst SD-WAN Manager, Cisco vAnalytics till Cisco Catalyst SD-WAN Analytics, Cisco vBond till Cisco Catalyst SD-WAN Validator och Cisco vSmart till Cisco Catalyst SD-WAN Controller. Se de senaste utgåvorna för en omfattande lista över alla ändringar av komponentens varumärkesnamn. Medan vi går över till de nya namnen kan vissa inkonsekvenser förekomma i dokumentationsuppsättningen på grund av ett stegvis tillvägagångssätt för uppdateringar av användargränssnittet för programvaruprodukten.

Det här avsnittet beskriver hur du ändrar säkerhetsparametrar för kontrollplanet och dataplanet i Cisco Catalyst SD-WAN-överlagringsnätverket.

  • Konfigurera kontrollplanets säkerhetsparametrar, på
  • Konfigurera säkerhetsparametrar för dataplan, på
  • Konfigurera IKE-aktiverade IPsec-tunnlar, på
  • Inaktivera svaga SSH-krypteringsalgoritmer på Cisco SD-WAN Manager, på

Konfigurera kontrollplanets säkerhetsparametrar

Som standard använder kontrollplanet DTLS som protokollet som ger sekretess i alla dess tunnlar. DTLS körs över UDP. Du kan ändra kontrollplanets säkerhetsprotokoll till TLS, som körs över TCP. Den primära anledningen till att använda TLS är att om du anser att Cisco SD-WAN Controller är en server, skyddar brandväggar TCP-servrar bättre än UDP-servrar. Du konfigurerar kontrollplanets tunnelprotokoll på en Cisco SD-WAN Controller: vSmart(config)# säkerhetskontrollprotokoll tls Med denna ändring går alla kontrollplans tunnlar mellan Cisco SD-WAN Controller och routrarna och mellan Cisco SD-WAN Controller och Cisco SD-WAN Manager använder TLS. Styrplanstunnlar till Cisco Catalyst SD-WAN Validator använder alltid DTLS, eftersom dessa anslutningar måste hanteras av UDP. I en domän med flera Cisco SD-WAN-kontroller, när du konfigurerar TLS på en av Cisco SD-WAN-kontroller, använder alla kontrollplanstunnlar från den kontrollenheten till de andra kontrollerna TLS. Sagt på ett annat sätt har TLS alltid företräde framför DTLS. Men ur de andra Cisco SD-WAN-styrenheternas perspektiv, om du inte har konfigurerat TLS på dem, använder de TLS på kontrollplanets tunnel endast till den ena Cisco SD-WAN-styrenheten, och de använder DTLS-tunnlar till alla andra Cisco SD-WAN-kontroller och till alla deras anslutna routrar. För att alla Cisco SD-WAN-kontroller ska använda TLS, konfigurera det på dem alla. Som standard lyssnar Cisco SD-WAN Controller på port 23456 efter TLS-förfrågningar. För att ändra detta: vSmart(config)# säkerhetskontroll tls-portnummer Porten kan vara ett nummer från 1025 till 65535. För att visa kontrollplanets säkerhetsinformation, använd kommandot show control connections på Cisco SD-WAN Controller. Till exempelample: vSmart-2# visar kontrollanslutningar

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Konfigurera DTLS i Cisco SD-WAN Manager

Om du konfigurerar Cisco SD-WAN Manager för att använda TLS som säkerhetsprotokoll för kontrollplanet måste du aktivera portvidarebefordran på din NAT. Om du använder DTLS som säkerhetsprotokoll för kontrollplanet behöver du inte göra någonting. Antalet portar som vidarebefordras beror på antalet vdaemon-processer som körs på Cisco SD-WAN Manager. För att visa information om dessa processer och om och antalet portar som vidarebefordras, använd kommandot show control summary visar att fyra demonprocesser körs:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

För att se lyssningsportarna, använd kommandot show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Denna utdata visar att den lyssnande TCP-porten är 23456. Om du kör Cisco SD-WAN Manager bakom en NAT bör du öppna följande portar på NAT-enheten:

  • 23456 (bas – instans 0 port)
  • 23456 + 100 (bas + 100)
  • 23456 + 200 (bas + 200)
  • 23456 + 300 (bas + 300)

Observera att antalet instanser är detsamma som antalet kärnor du har tilldelat för Cisco SD-WAN Manager, upp till maximalt 8.

Konfigurera säkerhetsparametrar med hjälp av mallen för säkerhetsfunktioner

Använd mallen för säkerhetsfunktioner för alla Cisco vEdge-enheter. På kantroutrarna och på Cisco SD-WAN Validator, använd den här mallen för att konfigurera IPsec för dataplanssäkerhet. På Cisco SD-WAN Manager och Cisco SD-WAN Controller använder du mallen för säkerhetsfunktioner för att konfigurera DTLS eller TLS för kontrollplanssäkerhet.

Konfigurera säkerhetsparametrar

  1. På menyn Cisco SD-WAN Manager väljer du Konfiguration > Mallar.
  2. Klicka på Funktionsmallar och klicka sedan på Lägg till mall.
    Notera I Cisco vManage Release 20.7.1 och tidigare versioner kallas Feature Templates för Feature.
  3. Välj en enhet i listan Enheter i den vänstra rutan. Mallarna som är tillämpliga på den valda enheten visas i den högra rutan.
  4. Klicka på Säkerhet för att öppna mallen.
  5. I fältet Mallnamn anger du ett namn för mallen. Namnet kan bestå av upp till 128 tecken och kan endast innehålla alfanumeriska tecken.
  6. I fältet Mallbeskrivning anger du en beskrivning av mallen. Beskrivningen kan innehålla upp till 2048 tecken och kan endast innehålla alfanumeriska tecken.

När du först öppnar en funktionsmall, för varje parameter som har ett standardvärde, är omfattningen inställd på Standard (indikeras med en bock), och standardinställningen eller värdet visas. För att ändra standard eller för att ange ett värde, klicka på rullgardinsmenyn omfattning till vänster om parameterfältet och välj något av följande:

Tabell 1:

Parameter Omfattning Omfattningsbeskrivning
Enhetsspecifik (anges med en värdikon) Använd ett enhetsspecifikt värde för parametern. För enhetsspecifika parametrar kan du inte ange ett värde i funktionsmallen. Du anger värdet när du kopplar en Viptela-enhet till en enhetsmall.

När du klickar på Enhetsspecifik öppnas rutan Enter Key. Den här rutan visar en nyckel, som är en unik sträng som identifierar parametern i en CSV file som du skapar. Detta file är ett Excel-kalkylblad som innehåller en kolumn för varje nyckel. Rubrikraden innehåller nyckelnamnen (en nyckel per kolumn), och varje rad efter det motsvarar en enhet och definierar värdena på nycklarna för den enheten. Du laddar upp CSV-filen file när du ansluter en Viptela-enhet till en enhetsmall. Mer information finns i Skapa ett kalkylblad för mallvariabler.

För att ändra standardnyckeln, skriv en ny sträng och flytta markören ut från rutan Enter Key.

Exampfiler av enhetsspecifika parametrar är systemets IP-adress, värdnamn, GPS-plats och plats-ID.
Parameter Omfattning Omfattningsbeskrivning
Global (anges med en klotikon) Ange ett värde för parametern och tillämpa det värdet på alla enheter.

Exampfiler av parametrar som du kan tillämpa globalt på en grupp enheter är DNS-server, syslog-server och gränssnitts-MTU.

Konfigurera Control Plane Security

Notera
Avsnittet Konfigurera kontrollplanssäkerhet gäller endast Cisco SD-WAN Manager och Cisco SD-WAN Controller. För att konfigurera kontrollplanets anslutningsprotokoll på en Cisco SD-WAN Manager-instans eller en Cisco SD-WAN Controller, välj området Basic Configuration och konfigurera följande parametrar:

Tabell 2:

Parameter Namn Beskrivning
Protokoll Välj det protokoll som ska användas på kontrollplansanslutningar till en Cisco SD-WAN Controller:

• DTLS (Datagram Transport Layer Security). Detta är standard.

• TLS (Transport Layer Security)
Styr TLS-port Om du valde TLS, konfigurera portnumret som ska användas:Räckvidd: 1025 till 65535Standard: 23456

Klicka på Spara

Konfigurera Data Plane Security
För att konfigurera dataplanssäkerhet på en Cisco SD-WAN Validator eller en Cisco vEdge-router, välj flikarna Basic Configuration och Authentication Type och konfigurera följande parametrar:

Tabell 3:

Parameter Namn Beskrivning
Nyckeltid Ange hur ofta en Cisco vEdge-router ändrar AES-nyckeln som används på dess säkra DTLS-anslutning till Cisco SD-WAN Controller. Om OMP graceful omstart är aktiverad, måste omnyckeltiden vara minst två gånger värdet av OMP graceful omstartstimern.Räckvidd: 10 till 1209600 sekunder (14 dagar)Standard: 86400 sekunder (24 timmar)
Uppspelningsfönster Ange storleken på det skjutbara uppspelningsfönstret.

Värden: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paketStandard: 512 paket
IPsec

parvis-nyckel

 Detta är avstängt som standard. Klick On för att slå på den.
Parameter Namn Beskrivning
Autentiseringstyp Välj autentiseringstyper från Autentisering Lista, och klicka på pilen som pekar åt höger för att flytta autentiseringstyperna till Vald lista kolumn.

Autentiseringstyper som stöds från Cisco SD-WAN Release 20.6.1:

•  esp: Aktiverar Encapsulating Security Payload (ESP)-kryptering och integritetskontroll på ESP-huvudet.

•  ip-udp-esp: Aktiverar ESP-kryptering. Utöver integritetskontrollerna på ESP-huvudet och nyttolasten inkluderar kontrollerna även de yttre IP- och UDP-huvudena.

•  ip-udp-esp-no-id: Ignorerar ID-fältet i IP-huvudet så att Cisco Catalyst SD-WAN kan fungera tillsammans med icke-Cisco-enheter.

•  ingen: Inaktiverar integritetskontroll på IPSec-paket. Vi rekommenderar inte att du använder det här alternativet.

 

Autentiseringstyper som stöds i Cisco SD-WAN Release 20.5.1 och tidigare:

•  ah-nej-id: Aktivera en förbättrad version av AH-SHA1 HMAC och ESP HMAC-SHA1 som ignorerar ID-fältet i paketets yttre IP-huvud.

•  ah-sha1-hmac: Aktivera AH-SHA1 HMAC och ESP HMAC-SHA1.

•  ingen: Välj ingen autentisering.

•  sha1-hmac: Aktivera ESP HMAC-SHA1.

 

Notera              För en edge-enhet som körs på Cisco SD-WAN Release 20.5.1 eller tidigare kan du ha konfigurerat autentiseringstyper med en Säkerhet mall. När du uppgraderar enheten till Cisco SD-WAN Release 20.6.1 eller senare uppdaterar du de valda autentiseringstyperna i Säkerhet mall till de autentiseringstyper som stöds från Cisco SD-WAN Release 20.6.1. Gör följande för att uppdatera autentiseringstyperna:

1.      Välj från Cisco SD-WAN Manager-menyn Konfiguration >

Mallar.

2.      Klick Funktionsmallar.

3.      Hitta Säkerhet mall för att uppdatera och klicka ... och klicka Redigera.

4.      Klick Uppdatera. Ändra inte någon konfiguration.

Cisco SD-WAN Manager uppdaterar Säkerhet mall för att visa de autentiseringstyper som stöds.

Klicka på Spara.

Konfigurera säkerhetsparametrar för dataplan

I dataplanet är IPsec aktiverat som standard på alla routrar, och som standard använder IPsec-tunnelanslutningar en förbättrad version av protokollet Encapsulating Security Payload (ESP) för autentisering på IPsec-tunnlar. På routrarna kan du ändra typen av autentisering, IPsec-omkodningstimern och storleken på IPsec-anti-replay-fönstret.

Konfigurera tillåtna autentiseringstyper

Autentiseringstyper i Cisco SD-WAN version 20.6.1 och senare
Från Cisco SD-WAN Release 20.6.1 stöds följande integritetstyper:

  • esp: Det här alternativet aktiverar Encapsulating Security Payload (ESP)-kryptering och integritetskontroll i ESP-huvudet.
  • ip-udp-esp: Detta alternativ aktiverar ESP-kryptering. Utöver integritetskontrollerna på ESP-huvudet och nyttolasten inkluderar kontrollerna även de yttre IP- och UDP-huvudena.
  • ip-udp-esp-no-id: Det här alternativet liknar ip-udp-esp, men ID-fältet för den yttre IP-huvudet ignoreras. Konfigurera det här alternativet i listan över integritetstyper så att Cisco Catalyst SD-WAN-programvaran ignorerar ID-fältet i IP-huvudet så att Cisco Catalyst SD-WAN kan fungera tillsammans med icke-Cisco-enheter.
  • ingen: Det här alternativet inaktiverar integritetskontroll på IPSec-paket. Vi rekommenderar inte att du använder det här alternativet.

Som standard använder IPsec-tunnelanslutningar en förbättrad version av ESP-protokollet (Encapsulating Security Payload) för autentisering. För att ändra de förhandlade integritetstyperna eller för att inaktivera integritetskontrollen, använd följande kommando: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Autentiseringstyper före Cisco SD-WAN Release 20.6.1
Som standard använder IPsec-tunnelanslutningar en förbättrad version av ESP-protokollet (Encapsulating Security Payload) för autentisering. För att ändra de förhandlade autentiseringstyperna eller för att inaktivera autentisering, använd följande kommando: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Som standard, IPsec tunnelanslutningar använder AES-GCM-256, som ger både kryptering och autentisering. Konfigurera varje autentiseringstyp med ett separat säkerhetskommando för ipsec-autentiseringstyp. Kommandoalternativen mappar till följande autentiseringstyper, som är listade i ordning från starkast till minst starka:

Notera
Sha1 i konfigurationsalternativen används av historiska skäl. Autentiseringsalternativen anger hur mycket av paketintegritetskontrollen som görs. De anger inte algoritmen som kontrollerar integriteten. Med undantag för kryptering av multicast-trafik, använder inte autentiseringsalgoritmerna som stöds av Cisco Catalyst SD WAN SHA1. Men i Cisco SD-WAN Release 20.1.x och framåt använder både unicast och multicast inte SHA1.

  • ah-sha1-hmac möjliggör kryptering och inkapsling med ESP. Men förutom integritetskontrollerna på ESP-huvudet och nyttolasten inkluderar kontrollerna även de yttre IP- och UDP-huvudena. Därför stöder det här alternativet en integritetskontroll av paketet som liknar protokollet Authentication Header (AH). All integritet och kryptering utförs med AES-256-GCM.
  • ah-no-id aktiverar ett läge som liknar ah-sha1-hmac, dock ignoreras ID-fältet för den yttre IP-huvudet. Det här alternativet passar vissa icke-Cisco Catalyst SD-WAN-enheter, inklusive Apple AirPort Express NAT, som har en bugg som gör att ID-fältet i IP-huvudet, ett icke-föränderligt fält, ändras. Konfigurera alternativet ah-no-id i listan över autentiseringstyper så att Cisco Catalyst SD-WAN AH-programvaran ignorerar ID-fältet i IP-huvudet så att Cisco Catalyst SD-WAN-programvaran kan fungera tillsammans med dessa enheter.
  • sha1-hmac möjliggör ESP-kryptering och integritetskontroll.
  • inga mappar till ingen autentisering. Det här alternativet bör endast användas om det krävs för tillfällig felsökning. Du kan också välja det här alternativet i situationer där dataplansautentisering och integritet inte är ett problem. Cisco rekommenderar inte att du använder det här alternativet för produktionsnätverk.

För information om vilka datapaketfält som påverkas av dessa autentiseringstyper, se Dataplansintegritet. Cisco IOS XE Catalyst SD-WAN-enheter och Cisco vEdge-enheter annonserar sina konfigurerade autentiseringstyper i sina TLOC-egenskaper. De två routrarna på vardera sidan av en IPsec-tunnelanslutning förhandlar om den autentisering som ska användas på anslutningen mellan dem, med den starkaste autentiseringstypen som är konfigurerad på båda routrarna. Till exempelample, om en router annonserar ah-sha1-hmac och ah-no-id-typerna, och en andra router annonserar ah-no-id-typen, förhandlar de två routrarna om att använda ah-no-id på IPsec-tunnelanslutningen mellan dem. Om inga vanliga autentiseringstyper är konfigurerade på de två peers, upprättas ingen IPsec-tunnel mellan dem. Krypteringsalgoritmen på IPsec-tunnelanslutningar beror på typen av trafik:

  • För unicast-trafik är krypteringsalgoritmen AES-256-GCM.
  • För multicast-trafik:
  • Cisco SD-WAN Release 20.1.x och senare – krypteringsalgoritmen är AES-256-GCM
  • Tidigare utgåvor – krypteringsalgoritmen är AES-256-CBC med SHA1-HMAC.

När IPsec-autentiseringstypen ändras ändras AES-nyckeln för datasökvägen.

Ändra omnyckeltimern

Innan Cisco IOS XE Catalyst SD-WAN-enheter och Cisco vEdge-enheter kan utbyta datatrafik, konfigurerar de en säker autentiserad kommunikationskanal mellan dem. Routrarna använder IPSec-tunnlar mellan sig som kanal och AES-256-chifferet för att utföra kryptering. Varje router genererar en ny AES-nyckel för sin datasökväg med jämna mellanrum. Som standard är en nyckel giltig i 86400 sekunder (24 timmar), och timerintervallet är 10 sekunder till 1209600 sekunder (14 dagar). För att ändra värdet för åternyckeltimern: Device(config)# säkerhet ipsec åternyckel sekunder Konfigurationen ser ut så här:

  • säkerhet ipsec rekey sekunder!

Om du vill generera nya IPsec-nycklar omedelbart kan du göra det utan att ändra routerns konfiguration. För att göra detta, utfärda kommandot för begäran om säkerhet ipsecrekey på den komprometterade routern. Till exempelample, visar följande utdata att den lokala SA har ett säkerhetsparameterindex (SPI) på 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

En unik nyckel är associerad med varje SPI. Om den här nyckeln äventyras, använd kommandot request security ipsec-rekey för att generera en ny nyckel omedelbart. Detta kommando ökar SPI. I vårt example, SPI ändras till 257 och nyckeln som är associerad med den används nu:

  • Device# request security ipsecrekey
  • Enhet# visa ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

När den nya nyckeln har genererats skickar routern den omedelbart till Cisco SD-WAN-styrenheterna med DTLS eller TLS. Cisco SD-WAN Controllers skickar nyckeln till peer-routrarna. Routrarna börjar använda den så snart de får den. Observera att nyckeln som är associerad med den gamla SPI (256) kommer att fortsätta att användas under en kort tid tills den tar slut. För att sluta använda den gamla nyckeln omedelbart, utfärda kommandot för begäran om säkerhet ipsec-rekey två gånger, i snabb följd. Denna sekvens av kommandon tar bort både SPI 256 och 257 och ställer in SPI till 258. Routern använder sedan den associerade nyckeln till SPI 258. Observera dock att vissa paket kommer att släppas under en kort tidsperiod tills alla fjärrroutrar lär sig den nya nyckeln.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Ändra storleken på Anti-Replay-fönstret

IPsec-autentisering ger anti-replay-skydd genom att tilldela ett unikt sekvensnummer till varje paket i en dataström. Denna sekvensnumrering skyddar mot att en angripare duplicerar datapaket. Med anti-replay-skydd tilldelar avsändaren monotont ökande sekvensnummer, och destinationen kontrollerar dessa sekvensnummer för att upptäcka dubbletter. Eftersom paket ofta inte kommer fram i ordning, upprätthåller destinationen ett glidande fönster med sekvensnummer som den accepterar.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Paket med sekvensnummer som hamnar till vänster om det skjutbara fönsterintervallet anses vara gamla eller dubbletter, och destinationen släpper dem. Destinationen spårar det högsta sekvensnumret den har tagit emot och justerar skjutfönstret när den tar emot ett paket med ett högre värde.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

Som standard är skjutfönstret inställt på 512 paket. Den kan ställas in på vilket värde som helst mellan 64 och 4096 som är en potens av 2 (det vill säga 64, 128, 256, 512, 1024, 2048 eller 4096). För att ändra storleken på anti-replay-fönstret, använd kommandot replay-window och anger storleken på fönstret:

Device(config)# security ipsec replay-window number

Konfigurationen ser ut så här:
säkerhet ipsec replay-fönster nummer! !

För att hjälpa till med QoS, upprätthålls separata uppspelningsfönster för var och en av de första åtta trafikkanalerna. Den konfigurerade storleken på uppspelningsfönstret delas med åtta för varje kanal. Om QoS är konfigurerat på en router kan den routern uppleva ett större antal paketförluster än förväntat som ett resultat av IPsec anti-replay-mekanismen, och många av de paket som släpps är legitima. Detta beror på att QoS omordnar paket, vilket ger paket med högre prioritet förmånsbehandling och fördröjer paket med lägre prioritet. För att minimera eller förhindra denna situation kan du göra följande:

  • Öka storleken på antireplay-fönstret.
  • Konstruera trafik till de första åtta trafikkanalerna för att säkerställa att trafiken inom en kanal inte ordnas om.

Konfigurera IKE-aktiverade IPsec-tunnlar
För att på ett säkert sätt överföra trafik från överläggsnätverket till ett servicenätverk kan du konfigurera IPsec-tunnlar som kör IKE-protokollet (Internet Key Exchange). IKE-aktiverade IPsec-tunnlar tillhandahåller autentisering och kryptering för att säkerställa säker pakettransport. Du skapar en IKE-aktiverad IPsec-tunnel genom att konfigurera ett IPsec-gränssnitt. IPsec-gränssnitt är logiska gränssnitt, och du konfigurerar dem precis som alla andra fysiska gränssnitt. Du konfigurerar IKE-protokollparametrar på IPsec-gränssnittet och du kan konfigurera andra gränssnittsegenskaper.

Notera Cisco rekommenderar att du använder IKE version 2. Från Cisco SD-WAN 19.2.x release och framåt måste den fördelade nyckeln vara minst 16 byte lång. IPsec-tunneletableringen misslyckas om nyckelstorleken är mindre än 16 tecken när routern uppgraderas till version 19.2.

Notera
Cisco Catalyst SD-WAN-programvaran stöder IKE version 2 enligt definitionen i RFC 7296. En användning för IPsec-tunnlar är att tillåta vEdge Cloud-router VM-instanser som körs på Amazon AWS att ansluta till Amazons virtuella privata moln (VPC). Du måste konfigurera IKE version 1 på dessa routrar. Cisco vEdge-enheter stöder endast ruttbaserade VPN i en IPSec-konfiguration eftersom dessa enheter inte kan definiera trafikväljare i krypteringsdomänen.

Konfigurera en IPsec-tunnel
För att konfigurera ett IPsec-tunnelgränssnitt för säker transporttrafik från ett servicenätverk skapar du ett logiskt IPsec-gränssnitt:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Du kan skapa IPsec-tunneln i transport-VPN (VPN 0) och i valfri tjänst VPN (VPN 1 till 65530, förutom 512). IPsec-gränssnittet har ett namn i formatet ipsecnumber, där nummer kan vara från 1 till 255. Varje IPsec-gränssnitt måste ha en IPv4-adress. Denna adress måste vara ett /30 prefix. All trafik i VPN som ligger inom detta IPv4-prefix dirigeras till ett fysiskt gränssnitt i VPN 0 för att skickas säkert över en IPsec-tunnel. För att konfigurera källan till IPsec-tunneln på den lokala enheten kan du ange antingen IP-adressen för det fysiska gränssnittet (i kommandot tunnel-source) eller namnet på det fysiska gränssnittet (i kommandot tunnel-source-interface). Se till att det fysiska gränssnittet är konfigurerat i VPN 0. För att konfigurera destinationen för IPsec-tunneln, ange IP-adressen för fjärrenheten i kommandot tunnel-destination. Kombinationen av en källadress (eller källgränssnittsnamn) och en destinationsadress definierar en enda IPsec-tunnel. Endast en IPsec-tunnel kan existera som använder en specifik källadress (eller gränssnittsnamn) och destinationsadresspar.

Konfigurera en statisk IPsec-rutt

För att dirigera trafik från tjänsten VPN till en IPsec-tunnel i transport-VPN (VPN 0), konfigurerar du en IPsec-specifik statisk rutt i en tjänst VPN (ett annat VPN än VPN 0 eller VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0-gränssnitt
  • ipsecnumber [ipsecnumber2]

VPN-ID:t är det för alla VPN-tjänster (VPN 1 till 65530, förutom 512). prefix/längd är IP-adressen eller prefixet, i decimalnotation med fyra delar, och prefixlängden för den IPsec-specifika statiska rutten. Gränssnittet är IPsec-tunnelgränssnittet i VPN 0. Du kan konfigurera ett eller två IPsec-tunnelgränssnitt. Om du konfigurerar två är den första den primära IPsec-tunneln och den andra är backupen. Med två gränssnitt skickas alla paket endast till den primära tunneln. Om den tunneln misslyckas skickas alla paket till den sekundära tunneln. Om den primära tunneln kommer upp igen, flyttas all trafik tillbaka till den primära IPsec-tunneln.

Aktivera IKE version 1
När du skapar en IPsec-tunnel på en vEdge-router är IKE Version 1 aktiverad som standard på tunnelgränssnittet. Följande egenskaper är också aktiverade som standard för IKEv1:

  • Autentisering och kryptering – AES-256 avancerad krypteringsstandard CBC-kryptering med HMAC-SHA1 nyckel-hash-meddelandeautentiseringskodalgoritm för integritet
  • Diffie-Hellman gruppnummer—16
  • Omkodningstidsintervall—4 timmar
  • SA etableringsläge—Main

Som standard använder IKEv1 IKEs huvudläge för att upprätta IKE SAs. I detta läge utbyts sex förhandlingspaket för att etablera SA. För att endast byta ut tre förhandlingspaket, aktivera aggressivt läge:

Notera
IKE aggressivt läge med fördelade nycklar bör undvikas när det är möjligt. Annars bör en stark fördelad nyckel väljas.

  • vEdge(config)# vpn vpn-id gränssnitt ipsec nummer ike
  • vEdge(config-ike)# läge aggressivt

Som standard använder IKEv1 Diffie-Hellman grupp 16 i IKE-nyckelutbytet. Den här gruppen använder gruppen 4096-bitars mer modulär exponentiell (MODP) under IKE-nyckelutbyte. Du kan ändra gruppnumret till 2 (för 1024-bitars MODP), 14 (2048-bitars MODP) eller 15 (3072-bitars MODP):

  • vEdge(config)# vpn vpn-id gränssnitt ipsec nummer ike
  • vEdge(config-ike)# gruppnummer

Som standard använder IKE-nyckelutbyte AES-256 avancerad krypteringsstandard CBC-kryptering med HMAC-SHA1 keyed-hash meddelandeautentiseringskodalgoritm för integritet. Du kan ändra autentiseringen:

  • vEdge(config)# vpn vpn-id gränssnitt ipsec nummer ike
  • vEdge(config-ike)# chiffer-svitsvit

Autentiseringssviten kan vara något av följande:

  • aes128-cbc-sha1—AES-128 avancerad krypteringsstandard CBC-kryptering med HMAC-SHA1 nyckel-hash-meddelandeautentiseringskodalgoritm för integritet
  • aes128-cbc-sha2—AES-128 avancerad krypteringsstandard CBC-kryptering med HMAC-SHA256 nyckel-hash-meddelandeautentiseringskodalgoritm för integritet
  • aes256-cbc-sha1—AES-256 avancerad krypteringsstandard CBC-kryptering med HMAC-SHA1 keyed-hash meddelandeautentiseringskodalgoritm för integritet; detta är standard.
  • aes256-cbc-sha2—AES-256 avancerad krypteringsstandard CBC-kryptering med HMAC-SHA256 nyckel-hash-meddelandeautentiseringskodalgoritm för integritet

Som standard uppdateras IKE-nycklar var 1:e timme (3600 sekunder). Du kan ändra omnyckelintervallet till ett värde från 30 sekunder till 14 dagar (1209600 sekunder). Det rekommenderas att omnyckelintervallet är minst 1 timme.

  • vEdge(config)# vpn vpn-id gränssnitt ipsec nummer som
  • vEdge(config-ike)# nyckel sekunder

För att tvinga fram nya nycklar för en IKE-session, utfärda kommandot request ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id interfaceipsec nummer ike

För IKE kan du också konfigurera fördelad nyckel (PSK) autentisering:

  • vEdge(config)# vpn vpn-id gränssnitt ipsec nummer ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password är lösenordet som ska användas med den fördelade nyckeln. Det kan vara en ASCII eller en hexadecimal sträng från 1 till 127 tecken lång.

Om den externa IKE-peern kräver ett lokalt eller fjärr-ID kan du konfigurera denna identifierare:

  • vEdge(config)# vpn vpn-id gränssnitt ipsec nummer ike autentiseringstyp
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-autentication-type)# remote-id id

Identifieraren kan vara en IP-adress eller vilken textsträng som helst från 1 till 63 tecken lång. Som standard är det lokala ID:t tunnelns käll-IP-adress och fjärr-ID:t är tunnelns destinations-IP-adress.

Aktivera IKE version 2
När du konfigurerar en IPsec-tunnel att använda IKE version 2, är följande egenskaper också aktiverade som standard för IKEv2:

  • Autentisering och kryptering – AES-256 avancerad krypteringsstandard CBC-kryptering med HMAC-SHA1 nyckel-hash-meddelandeautentiseringskodalgoritm för integritet
  • Diffie-Hellman gruppnummer—16
  • Omkodningstidsintervall—4 timmar

Som standard använder IKEv2 Diffie-Hellman grupp 16 i IKE-nyckelutbytet. Den här gruppen använder gruppen 4096-bitars mer modulär exponentiell (MODP) under IKE-nyckelutbyte. Du kan ändra gruppnumret till 2 (för 1024-bitars MODP), 14 (2048-bitars MODP) eller 15 (3072-bitars MODP):

  • vEdge(config)# vpn vpn-id-gränssnitt ipsecnumber ike
  • vEdge(config-ike)# gruppnummer

Som standard använder IKE-nyckelutbyte AES-256 avancerad krypteringsstandard CBC-kryptering med HMAC-SHA1 keyed-hash meddelandeautentiseringskodalgoritm för integritet. Du kan ändra autentiseringen:

  • vEdge(config)# vpn vpn-id-gränssnitt ipsecnumber ike
  • vEdge(config-ike)# chiffer-svitsvit

Autentiseringssviten kan vara något av följande:

  • aes128-cbc-sha1—AES-128 avancerad krypteringsstandard CBC-kryptering med HMAC-SHA1 nyckel-hash-meddelandeautentiseringskodalgoritm för integritet
  • aes128-cbc-sha2—AES-128 avancerad krypteringsstandard CBC-kryptering med HMAC-SHA256 nyckel-hash-meddelandeautentiseringskodalgoritm för integritet
  • aes256-cbc-sha1—AES-256 avancerad krypteringsstandard CBC-kryptering med HMAC-SHA1 keyed-hash meddelandeautentiseringskodalgoritm för integritet; detta är standard.
  • aes256-cbc-sha2—AES-256 avancerad krypteringsstandard CBC-kryptering med HMAC-SHA256 nyckel-hash-meddelandeautentiseringskodalgoritm för integritet

Som standard uppdateras IKE-nycklarna var fjärde timme (4 14,400 sekunder). Du kan ändra omnyckelintervallet till ett värde från 30 sekunder till 14 dagar (1209600 sekunder):

  • vEdge(config)# vpn vpn-id-gränssnitt ipsecnumber ike
  • vEdge(config-ike)# nyckel sekunder

För att tvinga fram nya nycklar för en IKE-session, utfärda kommandot request ipsec ike-rekey. För IKE kan du också konfigurera fördelad nyckel (PSK) autentisering:

  • vEdge(config)# vpn vpn-id-gränssnitt ipsecnumber ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password password är lösenordet som ska användas med den fördelade nyckeln. Det kan vara en ASCII eller en hexadecimal sträng, eller det kan vara en AES-krypterad nyckel. Om den externa IKE-peern kräver ett lokalt eller fjärr-ID kan du konfigurera denna identifierare:
  • vEdge(config)# vpn vpn-id gränssnitt ipsecnumber ike autentiseringstyp
  • vEdge(config-authentication-type)# local-id id
  • vEdge(config-autentication-type)# remote-id id

Identifieraren kan vara en IP-adress eller vilken textsträng som helst från 1 till 64 tecken lång. Som standard är det lokala ID:t tunnelns käll-IP-adress och fjärr-ID:t är tunnelns destinations-IP-adress.

Konfigurera IPsec-tunnelparametrar

Tabell 4: Funktionshistorik

Särdrag Namn Releaseinformation Beskrivning
Ytterligare kryptografi Cisco SD-WAN version 20.1.1 Denna funktion lägger till stöd för
Algoritmiskt stöd för IPSec   HMAC_SHA256, HMAC_SHA384 och
Tunnlar   HMAC_SHA512 algoritmer för
    ökad säkerhet.

Som standard används följande parametrar på IPsec-tunneln som bär IKE-trafik:

  • Autentisering och kryptering – AES-256-algoritm i GCM (Galois/räknarläge)
  • Nyckelintervall – 4 timmar
  • Uppspelningsfönster—32 paket

Du kan ändra krypteringen på IPsec-tunneln till AES-256-chifferet i CBC (chifferblock chaining-läge, med HMAC som använder antingen SHA-1 eller SHA-2 keyed-hash-meddelandeautentisering eller till null med HMAC med antingen SHA-1 eller SHA-2 keyed-hash-meddelandeautentisering, för att inte kryptera IPsec-tunneln som används för IKE-nyckelutbytestrafik:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# chiffer-svit (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1n | aes256-null-sha256n | | aes256-null-sha384 |.

Som standard uppdateras IKE-nycklarna var fjärde timme (4 14,400 sekunder). Du kan ändra omnyckelintervallet till ett värde från 30 sekunder till 14 dagar (1209600 sekunder):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# omnyckel sekunder

För att tvinga fram nya nycklar för en IPsec-tunnel, utfärda kommandot request ipsec ipsec-rekey. Som standard är perfekt framåtsekretess (PFS) aktiverat på IPsec-tunnlar, för att säkerställa att tidigare sessioner inte påverkas om framtida nycklar äventyras. PFS tvingar fram ett nytt Diffie-Hellman-nyckelutbyte, som standard med 4096-bitars Diffie-Hellman prime-modulgruppen. Du kan ändra PFS-inställningen:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# perfect-forward-secrecy pfs-setting

pfs-inställningen kan vara något av följande:

  • grupp-2—Använd 1024-bitars Diffie-Hellman primmodulsgrupp.
  • grupp-14—Använd 2048-bitars Diffie-Hellman primmodulsgrupp.
  • grupp-15—Använd 3072-bitars Diffie-Hellman primmodulsgrupp.
  • group-16—Använd 4096-bitars Diffie-Hellman prime modulus group. Detta är standard.
  • ingen – inaktivera PFS.

Som standard är IPsec-uppspelningsfönstret på IPsec-tunneln 512 byte. Du kan ställa in uppspelningsfönstrets storlek till 64, 128, 256, 512, 1024, 2048 eller 4096 paket:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# replay-fönsternummer

Ändra IKE Dead-Peer Detection

IKE använder en dead-peer-detektionsmekanism för att avgöra om anslutningen till en IKE-peer är funktionell och nåbar. För att implementera denna mekanism skickar IKE ett Hello-paket till sin peer, och peeren skickar en bekräftelse som svar. Som standard skickar IKE Hello-paket var tionde sekund, och efter tre obekräftade paket förklarar IKE att grannen är död och river ner tunneln till peer. Därefter skickar IKE med jämna mellanrum ett Hello-paket till peeren och återupprättar tunneln när peeren kommer tillbaka online. Du kan ändra intervallet för detektering av livlighet till ett värde från 10 till 0, och du kan ändra antalet återförsök till ett värde från 65535 till 0.

Notera

För transport-VPN:er omvandlas liveness-detektionsintervallet till sekunder med hjälp av följande formel: Intervall för återsändningsförsök nummer N = intervall * 1.8N-1För ex.ample, om intervallet är satt till 10 och försöker igen till 5, ökar detektionsintervallet enligt följande:

  • Försök 1: 10 * 1.81-1= 10 sekunder
  • Försök 2: 10 * 1.82-1= 18 sekunder
  • Försök 3: 10 * 1.83-1= 32.4 sekunder
  • Försök 4: 10 * 1.84-1= 58.32 sekunder
  • Försök 5: 10 * 1.85-1= 104.976 sekunder

vEdge(config-interface-ipsecnumber)# dead-peer-detection interval retries number

Konfigurera andra gränssnittsegenskaper

För IPsec-tunnelgränssnitt kan du endast konfigurera följande ytterligare gränssnittsegenskaper:

  • vEdge(config-interface-ipsec)# mtu-byte
  • vEdge(config-interface-ipsec)# tcp-mss-adjust byte

Inaktivera svaga SSH-krypteringsalgoritmer på Cisco SD-WAN Manager

Tabell 5: Funktionshistoriktabell

Särdrag Namn Releaseinformation Särdrag Beskrivning
Inaktivera svaga SSH-krypteringsalgoritmer på Cisco SD-WAN Manager Cisco vManage version 20.9.1 Den här funktionen låter dig inaktivera svagare SSH-algoritmer på Cisco SD-WAN Manager som kanske inte följer vissa datasäkerhetsstandarder.

Information om att inaktivera svaga SSH-krypteringsalgoritmer på Cisco SD-WAN Manager
Cisco SD-WAN Manager tillhandahåller en SSH-klient för kommunikation med komponenter i nätverket, inklusive kontroller och edge-enheter. SSH-klienten tillhandahåller en krypterad anslutning för säker dataöverföring, baserad på en mängd olika krypteringsalgoritmer. Många organisationer kräver starkare kryptering än den som tillhandahålls av SHA-1, AES-128 och AES-192. Från Cisco vManage Release 20.9.1 kan du inaktivera följande svagare krypteringsalgoritmer så att en SSH-klient inte använder dessa algoritmer:

  • SHA-1
  • AES-128
  • AES-192

Innan du inaktiverar dessa krypteringsalgoritmer, se till att Cisco vEdge-enheter, om några, i nätverket använder en programvaruversion senare än Cisco SD-WAN Release 18.4.6.

Fördelar med att inaktivera svaga SSH-krypteringsalgoritmer på Cisco SD-WAN Manager
Att inaktivera svagare SSH-krypteringsalgoritmer förbättrar säkerheten för SSH-kommunikation och säkerställer att organisationer som använder Cisco Catalyst SD-WAN är kompatibla med strikta säkerhetsbestämmelser.

Inaktivera svaga SSH-krypteringsalgoritmer på Cisco SD-WAN Manager med CLI

  1. På Cisco SD-WAN Manager-menyn väljer du Verktyg > SSH-terminal.
  2. Välj den Cisco SD-WAN Manager-enhet som du vill inaktivera svagare SSH-algoritmer på.
  3. Ange användarnamn och lösenord för att logga in på enheten.
  4. Gå in i SSH-serverläge.
    • vmanage(config)# system
    • vmanage(config-system)# ssh-server
  5. Gör något av följande för att inaktivera en SSH-krypteringsalgoritm:
    • Inaktivera SHA-1:
  6. hantera(config-ssh-server)# ingen kex-algo sha1
  7. hantera(config-ssh-server)# commit
    Följande varningsmeddelande visas: Följande varningar genererades: 'system ssh-server kex-algo sha1': VARNING: Se till att alla dina kanter kör kodversion > 18.4.6 som förhandlar bättre än SHA1 med vManage. Annars kan dessa kanter bli offline. Fortsätta? [ja, nej] ja
    • Se till att alla Cisco vEdge-enheter i nätverket kör Cisco SD-WAN Release 18.4.6 eller senare och ange ja.
    • Inaktivera AES-128 och AES-192:
    • vmanage(config-ssh-server)# inget chiffer aes-128-192
    • vmanage(config-ssh-server)# commit
      Följande varningsmeddelande visas:
      Följande varningar genererades:
      'system ssh-server cipher aes-128-192': VARNING: Se till att alla dina edges kör kodversion > 18.4.6 som förhandlar bättre än AES-128-192 med vManage. Annars kan dessa kanter bli offline. Fortsätta? [ja, nej] ja
    • Se till att alla Cisco vEdge-enheter i nätverket kör Cisco SD-WAN Release 18.4.6 eller senare och ange ja.

Verifiera att svaga SSH-krypteringsalgoritmer är inaktiverade på Cisco SD-WAN Manager med hjälp av CLI

  1. På Cisco SD-WAN Manager-menyn väljer du Verktyg > SSH-terminal.
  2. Välj den Cisco SD-WAN Manager-enhet som du vill verifiera.
  3. Ange användarnamn och lösenord för att logga in på enheten.
  4. Kör följande kommando: show running-config system ssh-server
  5. Bekräfta att utdata visar ett eller flera av kommandona som inaktiverar svagare krypteringsalgoritmer:
    • inget chiffer aes-128-192
    • ingen kex-algo sha1

Dokument/resurser

CISCO SD-WAN Konfigurera säkerhetsparametrar [pdf] Användarhandbok
SD-WAN Konfigurera säkerhetsparametrar, SD-WAN, Konfigurera säkerhetsparametrar, Säkerhetsparametrar

Referenser

Lämna en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade *