Yaliyomo kujificha
1 CISCO SD-WAN Sanidi Vigezo vya Usalama
2 Sanidi Vigezo vya Usalama
3 Sanidi Vigezo vya Usalama vya Ndege ya Kudhibiti
4 Sanidi DTLS katika Kidhibiti cha Cisco SD-WAN
5 Sanidi Vigezo vya Usalama wa Ndege ya Data
6 Sanidi Aina Zinazoruhusiwa za Uthibitishaji
7 Badilisha Kipima Muda cha Kuweka upya
8 Badilisha Ukubwa wa Dirisha la Kuzuia Uchezaji tena
9 Sanidi Njia Tuli ya IPsec
10 Sanidi Vigezo vya Tunnel ya IPsec
11 Rekebisha Utambuzi wa IKE Dead-Rika
12 Sanidi Sifa Zingine za Kiolesura
13 Zima Algorithms dhaifu za Usimbaji wa SSH kwenye Kidhibiti cha Cisco SD-WAN
14 Nyaraka / Rasilimali
14.1 Marejeleo

CISCO-NEMBO

CISCO SD-WAN Sanidi Vigezo vya Usalama

CISCO-SD-WAN-Sanidi-Vigezo-vya-Usalama-PRODUCT

Sanidi Vigezo vya Usalama

Kumbuka

Ili kufikia kurahisisha na uthabiti, suluhisho la Cisco SD-WAN limebadilishwa jina kuwa Cisco Catalyst SD-WAN. Aidha, kutoka Cisco IOS XE SD-WAN Toleo la 17.12.1a na Cisco Catalyst SD-WAN Toleo 20.12.1, mabadiliko ya vipengele vifuatavyo yanatumika: Cisco vManage kwa Cisco Catalyst SD-WAN Manager, Cisco vAnalytics to Cisco Catalyst SD-WAN Analytics, Cisco vBond hadi Cisco Catalyst SD-WAN Validator, na Cisco vSmart hadi Cisco Catalyst SD-WAN Controller. Tazama Vidokezo vya hivi punde zaidi vya Kutolewa kwa orodha ya kina ya mabadiliko yote ya sehemu ya jina la chapa. Wakati tunabadilisha hadi majina mapya, baadhi ya kutofautiana kunaweza kuwepo katika seti ya nyaraka kwa sababu ya mbinu ya hatua kwa hatua ya masasisho ya kiolesura cha bidhaa ya programu.

Sehemu hii inaeleza jinsi ya kubadilisha vigezo vya usalama vya ndege ya udhibiti na ndege ya data katika mtandao wa kuwekelea wa Cisco Catalyst SD-WAN.

  • Sanidi Vigezo vya Usalama vya Ndege ya Kudhibiti, imewashwa
  • Sanidi Vigezo vya Usalama wa Ndege ya Data, imewashwa
  • Sanidi Vichuguu vya IPsec Vilivyowezeshwa na IKE, vimewashwa
  • Zima Algorithms dhaifu za Usimbaji wa SSH kwenye Kidhibiti cha Cisco SD-WAN, umewasha

Sanidi Vigezo vya Usalama vya Ndege ya Kudhibiti

Kwa chaguomsingi, ndege inayodhibiti hutumia DTLS kama itifaki ambayo hutoa faragha kwenye vichuguu vyake vyote. DTLS inaendesha UDP. Unaweza kubadilisha itifaki ya usalama wa ndege kuwa TLS, ambayo inaendeshwa na TCP. Sababu ya msingi ya kutumia TLS ni kwamba, ukizingatia Kidhibiti cha Cisco SD-WAN kuwa seva, ngome hulinda seva za TCP bora kuliko seva za UDP. Unasanidi itifaki ya handaki ya ndege kwenye Kidhibiti cha Cisco SD-WAN: vSmart(config)# itifaki ya udhibiti wa usalama tls Kwa mabadiliko haya, vichuguu vyote vya ndege vinadhibiti kati ya Kidhibiti cha Cisco SD-WAN na vipanga njia na kati ya Kidhibiti cha Cisco SD-WAN na Cisco SD-WAN Manager kutumia TLS. Dhibiti vichuguu vya ndege hadi Cisco Catalyst SD-WAN Validator hutumia DTLS kila wakati, kwa sababu miunganisho hii lazima ishughulikiwe na UDP. Katika kikoa kilicho na Vidhibiti vingi vya Cisco SD-WAN, unaposanidi TLS kwenye mojawapo ya Vidhibiti vya Cisco SD-WAN, vichuguu vyote vya ndege kutoka kwa kidhibiti hicho hadi kwa vidhibiti vingine hutumia TLS. Alisema kwa njia nyingine, TLS daima huchukua nafasi ya kwanza kuliko DTLS. Walakini, kwa mtazamo wa Vidhibiti vingine vya Cisco SD-WAN, ikiwa haujasanidi TLS juu yao, hutumia TLS kwenye handaki ya ndege ya kudhibiti tu kwa Mdhibiti mmoja wa Cisco SD-WAN, na hutumia vichuguu vya DTLS kwenda kwa zingine zote. Vidhibiti vya Cisco SD-WAN na vipanga njia vyao vyote vilivyounganishwa. Ili kuwa na Vidhibiti vyote vya Cisco SD-WAN vitumie TLS, isanidi kwenye zote. Kwa chaguomsingi, Kidhibiti cha Cisco SD-WAN husikiliza kwenye bandari 23456 kwa maombi ya TLS. Ili kubadilisha hii: vSmart(config)# udhibiti wa usalama tls-bandari nambari Bandari inaweza kuwa nambari kutoka 1025 hadi 65535. Ili kuonyesha maelezo ya usalama wa ndege ya udhibiti, tumia amri ya miunganisho ya udhibiti wa maonyesho kwenye Kidhibiti cha Cisco SD-WAN. Kwa mfanoample: vSmart-2# onyesha viunganisho vya udhibiti

CISCO-SD-WAN-Sanidi-Vigezo-vya-Usalama-FIG-1

Sanidi DTLS katika Kidhibiti cha Cisco SD-WAN

Ukisanidi Kidhibiti cha Cisco SD-WAN ili kutumia TLS kama itifaki ya usalama ya ndege inayodhibiti, lazima uwashe usambazaji wa mlango kwenye NAT yako. Ikiwa unatumia DTLS kama itifaki ya usalama ya ndege ya kudhibiti, huhitaji kufanya chochote. Idadi ya milango iliyotumwa inategemea idadi ya michakato ya vdaemon inayoendeshwa kwenye Kidhibiti cha Cisco SD-WAN. Ili kuonyesha maelezo kuhusu michakato hii na kuhusu na idadi ya milango ambayo inasambazwa, tumia amri ya muhtasari wa kidhibiti inaonyesha kuwa michakato minne ya daemoni inaendeshwa:CISCO-SD-WAN-Sanidi-Vigezo-vya-Usalama-FIG-2

Ili kuona milango ya kusikiliza, tumia amri ya onyesho la kudhibiti sifa za ndani: vManage# onyesha udhibiti wa sifa za ndani.

CISCO-SD-WAN-Sanidi-Vigezo-vya-Usalama-FIG-3

Toleo hili linaonyesha kuwa lango la TCP la kusikiliza ni 23456. Ikiwa unatumia Kidhibiti cha Cisco SD-WAN nyuma ya NAT, unapaswa kufungua milango ifuatayo kwenye kifaa cha NAT:

  • 23456 (msingi - mfano 0 bandari)
  • 23456 + 100 (msingi + 100)
  • 23456 + 200 (msingi + 200)
  • 23456 + 300 (msingi + 300)

Kumbuka kuwa idadi ya matukio ni sawa na idadi ya cores ulizokabidhi kwa Kidhibiti cha Cisco SD-WAN, hadi zisizozidi 8.

Sanidi Vigezo vya Usalama Kwa Kutumia Kiolezo cha Kipengele cha Usalama

Tumia kiolezo cha kipengele cha Usalama kwa vifaa vyote vya Cisco vEdge. Kwenye vipanga njia vya ukingo na kwenye Kihalalishaji cha Cisco SD-WAN, tumia kiolezo hiki kusanidi IPsec kwa usalama wa ndege ya data. Kwenye Kidhibiti cha Cisco SD-WAN na Kidhibiti cha SD-WAN cha Cisco, tumia kiolezo cha kipengele cha Usalama ili kusanidi DTLS au TLS kwa ajili ya kudhibiti usalama wa ndege.

Sanidi Vigezo vya Usalama

  1. Kutoka kwa menyu ya Meneja wa Cisco SD-WAN, chagua Usanidi > Violezo.
  2. Bofya Violezo vya Kipengele na kisha ubofye Ongeza Kiolezo.
    Kumbuka Katika Cisco vManage Toleo 20.7.1 na matoleo ya awali, Violezo vya Vipengele huitwa Kipengele.
  3. Kutoka kwenye orodha ya Vifaa kwenye kidirisha cha kushoto, chagua kifaa. Violezo vinavyotumika kwa kifaa kilichochaguliwa huonekana kwenye kidirisha cha kulia.
  4. Bofya Usalama ili kufungua kiolezo.
  5. Katika uga wa Jina la Kiolezo, weka jina la kiolezo. Jina linaweza kuwa na hadi herufi 128 na linaweza kuwa na herufi za alphanumeric pekee.
  6. Katika sehemu ya Maelezo ya Kiolezo, weka maelezo ya kiolezo. Maelezo yanaweza kuwa hadi vibambo 2048 na yanaweza kuwa na vibambo vya alphanumeric pekee.

Unapofungua kiolezo cha kipengele kwa mara ya kwanza, kwa kila kigezo kilicho na thamani chaguo-msingi, upeo huwekwa kuwa Chaguo-msingi (unaoonyeshwa kwa alama ya kuteua), na mpangilio chaguo-msingi au thamani huonyeshwa. Ili kubadilisha chaguo-msingi au kuweka thamani, bofya menyu kunjuzi ya upeo iliyo upande wa kushoto wa uga wa kigezo na uchague mojawapo ya yafuatayo:

Jedwali la 1:

Kigezo Upeo Maelezo ya Upeo
Kifaa Maalum (kilichoonyeshwa na ikoni ya seva pangishi) Tumia thamani mahususi ya kifaa kwa kigezo. Kwa vigezo mahususi vya kifaa, huwezi kuingiza thamani katika kiolezo cha kipengele. Unaweka thamani unapoambatisha kifaa cha Viptela kwenye kiolezo cha kifaa.

Unapobofya Kifaa Maalum, kisanduku cha Ingiza kinafungua. Kisanduku hiki kinaonyesha ufunguo, ambao ni mfuatano wa kipekee unaotambulisha kigezo katika CSV file kwamba unaunda. Hii file ni lahajedwali ya Excel ambayo ina safu wima moja kwa kila kitufe. Safu ya kichwa ina majina muhimu (ufunguo mmoja kwa kila safu), na kila safu baada ya hiyo inalingana na kifaa na inafafanua maadili ya vitufe vya kifaa hicho. Unapakia CSV file unapoambatisha kifaa cha Viptela kwenye kiolezo cha kifaa. Kwa maelezo zaidi, angalia Unda Lahajedwali ya Vigezo vya Kiolezo.

Ili kubadilisha ufunguo chaguo-msingi, chapa mfuatano mpya na usogeze kishale kutoka kwenye kisanduku cha Ufunguo wa Ingiza.

Exampvigezo mahususi vya kifaa ni anwani ya IP ya mfumo, jina la mwenyeji, eneo la GPS na kitambulisho cha tovuti.
Kigezo Upeo Maelezo ya Upeo
Ulimwengu (iliyoonyeshwa na ikoni ya ulimwengu) Weka thamani ya kigezo, na utumie thamani hiyo kwenye vifaa vyote.

Exampvigezo ambavyo unaweza kutumia kimataifa kwa kundi la vifaa ni seva ya DNS, seva ya syslog, na kiolesura cha MTU.

Sanidi Usalama wa Ndege ya Kudhibiti

Kumbuka
Sehemu ya Usalama wa Ndege ya Kudhibiti inatumika kwa Kidhibiti cha Cisco SD-WAN na Kidhibiti cha Cisco SD-WAN pekee. Ili kusanidi itifaki ya unganisho la ndege kwenye mfano wa Kidhibiti cha Cisco SD-WAN au Kidhibiti cha Cisco SD-WAN, chagua eneo la Usanidi Msingi. na usanidi vigezo vifuatavyo:

Jedwali la 2:

Kigezo Jina Maelezo
Itifaki Chagua itifaki ya kutumia kwenye miunganisho ya ndege ya kudhibiti kwa Kidhibiti cha Cisco SD-WAN:

• DTLS (DatagUsalama wa Tabaka la Usafiri wa kondoo dume). Hii ndiyo chaguo-msingi.

•  TLS (Usalama wa Tabaka la Usafiri)
Dhibiti Bandari ya TLS Ikiwa umechagua TLS, sanidi nambari ya mlango kutumia:Masafa: 1025 hadi 65535Chaguomsingi: 23456

Bofya Hifadhi

Sanidi Usalama wa Ndege ya Data
Ili kusanidi usalama wa ndege ya data kwenye Kihalalishaji cha Cisco SD-WAN au kipanga njia cha Cisco vEdge, chagua vichupo vya Aina ya Usanidi wa Msingi na Uthibitishaji, na usanidi vigezo vifuatavyo:

Jedwali la 3:

Kigezo Jina Maelezo
Wakati wa Rekey Bainisha ni mara ngapi kipanga njia cha Cisco vEdge kinabadilisha ufunguo wa AES unaotumika kwenye muunganisho wake salama wa DTLS hadi kwa Kidhibiti cha Cisco SD-WAN. Ikiwa uanzishaji upya wa neema wa OMP umewashwa, muda wa kuweka tena ufunguo lazima uwe angalau mara mbili ya thamani ya kipima muda cha neema cha kuanzisha upya cha OMP.Masafa: Sekunde 10 hadi 1209600 (siku 14)Chaguomsingi: Sekunde 86400 (saa 24)
Cheza tena Dirisha Bainisha saizi ya dirisha la kucheza tena la kuteleza.

Maadili: 64, 128, 256, 512, 1024, 2048, 4096, pakiti 8192Chaguomsingi: 512 pakiti
IPsec

pairwise-keying

 Hii imezimwa kwa chaguo-msingi. Bofya On kuiwasha.
Kigezo Jina Maelezo
Aina ya Uthibitishaji Chagua aina za uthibitishaji kutoka kwa Uthibitishaji Orodha, na ubofye mshale unaoelekeza kulia ili kusogeza aina za uthibitishaji kwenye Orodha Iliyochaguliwa safu.

Aina za uthibitishaji zinazotumika kutoka Cisco SD-WAN Toleo 20.6.1:

•  esp: Huwasha usimbaji fiche wa Upakiaji wa Malipo ya Usalama (ESP) na ukaguzi wa uadilifu kwenye kichwa cha ESP.

•  ip-udp-esp: Huwasha usimbaji fiche wa ESP. Mbali na ukaguzi wa uadilifu kwenye kichwa cha ESP na upakiaji, hundi pia zinajumuisha vichwa vya IP na UDP vya nje.

•  ip-udp-esp-no-id: Hupuuza sehemu ya kitambulisho katika kichwa cha IP ili Cisco Catalyst SD-WAN ifanye kazi kwa kushirikiana na vifaa visivyo vya Cisco.

•  hakuna: Huzima ukaguzi wa uadilifu kwenye pakiti za IPSec. Hatupendekezi kutumia chaguo hili.

 

Aina za uthibitishaji zinazotumika katika Toleo la Cisco SD-WAN 20.5.1 na mapema:

•  ah-hakuna-id: Washa toleo lililoboreshwa la AH-SHA1 HMAC na ESP HMAC-SHA1 ambalo linapuuza sehemu ya kitambulisho katika kichwa cha IP cha nje cha pakiti.

•  ah-sha1-hmac: Washa AH-SHA1 HMAC na ESP HMAC-SHA1.

•  hakuna: Chagua hakuna uthibitishaji.

•  sha1-hmac: Washa ESP HMAC-SHA1.

 

Kumbuka              Kwa kifaa cha makali kinachoendesha Cisco SD-WAN Toleo la 20.5.1 au la awali, unaweza kuwa umesanidi aina za uthibitishaji kwa kutumia Usalama kiolezo. Unapoboresha kifaa hadi Cisco SD-WAN Toleo 20.6.1 au matoleo mapya zaidi, sasisha aina za uthibitishaji zilizochaguliwa kwenye Usalama kiolezo cha aina za uthibitishaji zinazotumika kutoka Cisco SD-WAN Toleo 20.6.1. Ili kusasisha aina za uthibitishaji, fanya yafuatayo:

1.      Kutoka kwa menyu ya Meneja wa Cisco SD-WAN, chagua Usanidi >

Violezo.

2.      Bofya Violezo vya Kipengele.

3.      Tafuta Usalama template kusasisha na kubofya ... na ubofye Hariri.

4.      Bofya Sasisha. Usirekebishe usanidi wowote.

Cisco SD-WAN Meneja inasasisha Usalama kiolezo cha kuonyesha aina za uthibitishaji zinazotumika.

Bofya Hifadhi.

Sanidi Vigezo vya Usalama wa Ndege ya Data

Katika ndege ya data, IPsec imewashwa kwa chaguomsingi kwenye vipanga njia vyote, na kwa chaguomsingi miunganisho ya handaki ya IPsec hutumia toleo lililoboreshwa la itifaki ya Encapsulating Security Payload (ESP) kwa uthibitishaji kwenye vichuguu vya IPsec. Kwenye vipanga njia, unaweza kubadilisha aina ya uthibitishaji, kipima muda cha kuweka upya kipima muda cha IPsec, na saizi ya kidirisha cha kuzuia uchezaji tena wa IPsec.

Sanidi Aina Zinazoruhusiwa za Uthibitishaji

Aina za Uthibitishaji katika Toleo la Cisco SD-WAN 20.6.1 na Baadaye
Kutoka kwa Cisco SD-WAN Toleo 20.6.1, aina zifuatazo za uadilifu zinaauniwa:

  • esp: Chaguo hili huwezesha usimbaji fiche wa Upakiaji wa Malipo ya Usalama (ESP) na ukaguzi wa uadilifu kwenye kichwa cha ESP.
  • ip-udp-esp: Chaguo hili huwezesha usimbaji fiche wa ESP. Mbali na ukaguzi wa uadilifu kwenye kichwa cha ESP na mzigo wa malipo, hundi pia zinajumuisha vichwa vya IP na UDP vya nje.
  • ip-udp-esp-no-id: Chaguo hili ni sawa na ip-udp-esp, hata hivyo, uga wa kitambulisho cha kichwa cha nje cha IP hauzingatiwi. Sanidi chaguo hili katika orodha ya aina za uadilifu ili programu ya Cisco Catalyst SD-WAN ipuuze sehemu ya kitambulisho kwenye kichwa cha IP ili Cisco Catalyst SD-WAN ifanye kazi kwa kushirikiana na vifaa visivyo vya Cisco.
  • hakuna: Chaguo hili huzima ukaguzi wa uadilifu kwenye pakiti za IPSec. Hatupendekezi kutumia chaguo hili.

Kwa chaguomsingi, miunganisho ya handaki ya IPsec hutumia toleo lililoboreshwa la itifaki ya Upakiaji wa Usalama wa Encapsulating (ESP) kwa uthibitishaji. Ili kurekebisha aina za umoja zilizojadiliwa au kuzima ukaguzi wa uadilifu, tumia amri ifuatayo: uadilifu-aina { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Aina za Uthibitishaji Kabla ya Kutolewa kwa Cisco SD-WAN 20.6.1
Kwa chaguomsingi, miunganisho ya handaki ya IPsec hutumia toleo lililoboreshwa la itifaki ya Upakiaji wa Usalama wa Encapsulating (ESP) kwa uthibitishaji. Ili kurekebisha aina za uthibitishaji zilizojadiliwa au kuzima uthibitishaji, tumia amri ifuatayo: Kifaa(config)# aina ya uthibitishaji wa ipsec ya usalama (ah-sha1-hmac | ah-no-id | sha1-hmac | | hakuna) Kwa chaguo-msingi, IPsec miunganisho ya handaki hutumia AES-GCM-256, ambayo hutoa usimbaji fiche na uthibitishaji. Sanidi kila aina ya uthibitishaji na amri tofauti ya aina ya uthibitishaji ya ipsec. Ramani ya chaguzi za amri kwa aina zifuatazo za uthibitishaji, ambazo zimeorodheshwa kwa mpangilio kutoka kwa nguvu nyingi hadi zenye nguvu kidogo:

Kumbuka
Sha1 katika chaguzi za usanidi hutumiwa kwa sababu za kihistoria. Chaguo za uthibitishaji zinaonyesha ni kiasi gani cha ukaguzi wa uadilifu wa pakiti unafanywa. Hazibainishi kanuni zinazokagua uadilifu. Isipokuwa kwa usimbaji fiche wa trafiki ya matangazo mengi, kanuni za uthibitishaji zinazotumika na Cisco Catalyst SD WAN hazitumii SHA1. Hata hivyo katika Cisco SD-WAN Toleo 20.1.x na kuendelea, unicast na multicast haitumii SHA1.

  • ah-sha1-hmac huwezesha usimbaji fiche na usimbaji kwa kutumia ESP. Hata hivyo, pamoja na ukaguzi wa uadilifu kwenye kichwa cha ESP na mzigo wa malipo, hundi pia zinajumuisha vichwa vya nje vya IP na UDP. Kwa hivyo, chaguo hili linaauni ukaguzi wa uadilifu wa pakiti sawa na itifaki ya Kichwa cha Uthibitishaji (AH). Uadilifu na usimbaji fiche wote unafanywa kwa kutumia AES-256-GCM.
  • ah-no-id huwezesha hali inayofanana na ah-sha1-hmac, hata hivyo, uga wa kitambulisho cha kichwa cha nje cha IP hupuuzwa. Chaguo hili linashughulikia baadhi ya vifaa visivyo vya Cisco Catalyst SD-WAN, ikiwa ni pamoja na Apple AirPort Express NAT, ambavyo vina hitilafu inayosababisha sehemu ya kitambulisho kwenye kichwa cha IP, sehemu isiyoweza kubadilishwa, kurekebishwa. Sanidi chaguo la ah-no-id katika orodha ya aina za uthibitishaji ili programu ya Cisco Catalyst SD-WAN AH ipuuze sehemu ya Kitambulisho kwenye kichwa cha IP ili programu ya Cisco Catalyst SD-WAN ifanye kazi kwa kushirikiana na vifaa hivi.
  • sha1-hmac huwezesha usimbaji fiche wa ESP na ukaguzi wa uadilifu.
  • hakuna ramani bila uthibitishaji. Chaguo hili linapaswa kutumika tu ikiwa inahitajika kwa utatuzi wa muda. Unaweza pia kuchagua chaguo hili katika hali ambapo uthibitishaji wa ndege ya data na uadilifu sio wasiwasi. Cisco haipendekezi kutumia chaguo hili kwa mitandao ya uzalishaji.

Kwa maelezo kuhusu ni sehemu gani za pakiti za data zimeathiriwa na aina hizi za uthibitishaji, angalia Uadilifu wa Data Plane. Vifaa vya Cisco IOS XE Catalyst SD-WAN na vifaa vya Cisco vEdge vinatangaza aina zao za uthibitishaji zilizosanidiwa katika sifa zao za TLOC. Vipanga njia viwili kwa kila upande wa muunganisho wa handaki ya IPsec hujadili uthibitishaji wa kutumia kwenye muunganisho kati yao, kwa kutumia aina kali zaidi ya uthibitishaji ambayo imesanidiwa kwenye vipanga njia vyote viwili. Kwa mfanoample, ikiwa kipanga njia kimoja kitatangaza aina za ah-sha1-hmac na ah-no-id, na kipanga njia cha pili kinatangaza aina ya ah-no-id, vipanga njia viwili vinajadiliana kutumia ah-no-id kwenye muunganisho wa handaki ya IPsec kati ya. yao. Ikiwa hakuna aina za uthibitishaji za kawaida zilizosanidiwa kwenye programu zingine mbili, hakuna njia ya IPsec iliyoanzishwa kati yao. Algorithm ya usimbaji kwenye miunganisho ya handaki ya IPsec inategemea aina ya trafiki:

  • Kwa trafiki isiyo na waya, algoriti ya usimbuaji ni AES-256-GCM.
  • Kwa trafiki ya utangazaji anuwai:
  • Cisco SD-WAN Toleo 20.1.x na baadaye– algoriti ya usimbaji ni AES-256-GCM
  • Matoleo ya awali– algoriti ya usimbaji ni AES-256-CBC yenye SHA1-HMAC.

Wakati aina ya uthibitishaji wa IPsec inabadilishwa, ufunguo wa AES wa njia ya data hubadilishwa.

Badilisha Kipima Muda cha Kuweka upya

Kabla ya vifaa vya Cisco IOS XE Catalyst SD-WAN na vifaa vya Cisco vEdge kubadilishana trafiki ya data, huweka njia salama ya mawasiliano iliyoidhinishwa kati yao. Vipanga njia hutumia vichuguu vya IPSec kati yao kama chaneli, na cipher ya AES-256 kutekeleza usimbaji fiche. Kila kipanga njia hutoa ufunguo mpya wa AES kwa njia yake ya data mara kwa mara. Kwa chaguo-msingi, ufunguo ni halali kwa sekunde 86400 (saa 24), na kipindi cha saa ni sekunde 10 hadi sekunde 1209600 (siku 14). Ili kubadilisha thamani ya kipima muda: Kifaa(config)# sekunde za ufunguo wa usalama wa ipsec Mipangilio inaonekana kama hii:

  • usalama ipsec rekey sekunde!

Ikiwa unataka kuzalisha funguo mpya za IPsec mara moja, unaweza kufanya hivyo bila kurekebisha usanidi wa router. Ili kufanya hivyo, toa amri ya usalama wa ombi la ipsecrekey kwenye router iliyoathirika. Kwa mfanoampna, matokeo yafuatayo yanaonyesha kuwa SA ya ndani ina Kiashiria cha Kigezo cha Usalama (SPI) cha 256:CISCO-SD-WAN-Sanidi-Vigezo-vya-Usalama-FIG-4

Ufunguo wa kipekee unahusishwa na kila SPI. Ikiwa ufunguo huu umeingiliwa, tumia amri ya ombi la usalama la ipsec-rekey ili kutoa ufunguo mpya mara moja. Amri hii huongeza SPI. Katika ex wetuampna, SPI inabadilika hadi 257 na ufunguo unaohusishwa nayo sasa unatumika:

  • Kifaa# omba usalama wa ipsecrekey
  • Kifaa# onyesha ipsec local-sa

CISCO-SD-WAN-Sanidi-Vigezo-vya-Usalama-FIG-5

Baada ya ufunguo mpya kuzalishwa, router hutuma mara moja kwa Vidhibiti vya Cisco SD-WAN kwa kutumia DTLS au TLS. Vidhibiti vya Cisco SD-WAN hutuma ufunguo kwa vipanga njia rika. Vipanga njia huanza kuitumia mara tu wanapopokea. Kumbuka kuwa ufunguo unaohusishwa na SPI ya zamani (256) utaendelea kutumika kwa muda mfupi hadi utakapokwisha. Ili kuacha kutumia ufunguo wa zamani mara moja, toa amri ya usalama ya ipsec-rekey mara mbili, kwa mfululizo wa haraka. Mlolongo huu wa amri huondoa SPI 256 na 257 zote mbili na kuweka SPI hadi 258. Kisha kipanga njia hutumia ufunguo unaohusishwa wa SPI 258. Kumbuka, hata hivyo, kwamba baadhi ya pakiti zitadondoshwa kwa muda mfupi hadi vipanga njia vyote vya mbali vijifunze. ufunguo mpya.CISCO-SD-WAN-Sanidi-Vigezo-vya-Usalama-FIG-6

Badilisha Ukubwa wa Dirisha la Kuzuia Uchezaji tena

Uthibitishaji wa IPsec hutoa ulinzi dhidi ya uchezaji tena kwa kukabidhi nambari ya kipekee ya mfuatano kwa kila pakiti katika mtiririko wa data. Uwekaji nambari huu wa mfuatano hulinda dhidi ya mvamizi anayeiga pakiti za data. Kwa ulinzi wa kuzuia uchezaji wa marudio, mtumaji huweka nambari za mfuatano zinazoongezeka mara moja, na lengwa hukagua nambari hizi za mfuatano ili kugundua nakala. Kwa sababu pakiti mara nyingi hazifiki kwa mpangilio, lengwa hudumisha kidirisha cha kuteleza cha nambari za mfuatano ambacho kitakubali.CISCO-SD-WAN-Sanidi-Vigezo-vya-Usalama-FIG-7

Pakiti zilizo na nambari za mlolongo zinazoanguka upande wa kushoto wa safu ya dirisha inayoteleza huchukuliwa kuwa ya zamani au nakala, na unakoenda huziacha. Lengwa hufuatilia nambari ya juu zaidi ya mfuatano ambayo imepokea, na kurekebisha dirisha la kutelezesha linapopokea pakiti yenye thamani ya juu.CISCO-SD-WAN-Sanidi-Vigezo-vya-Usalama-FIG-8

Kwa chaguo-msingi, dirisha la kuteleza limewekwa kwa pakiti 512. Inaweza kuwekwa kwa thamani yoyote kati ya 64 na 4096 ambayo ni nguvu ya 2 (yaani, 64, 128, 256, 512, 1024, 2048, au 4096). Ili kurekebisha saizi ya kidirisha cha kuzuia kucheza tena, tumia amri ya dirisha la kucheza tena, ukibainisha saizi ya dirisha:

Kifaa(config)# nambari ya dirisha la uchezaji upya wa ipsec ya usalama

Mpangilio unaonekana kama hii:
nambari ya dirisha la usalama la ipsec ! !

Ili kusaidia na QoS, madirisha tofauti ya kucheza tena hutunzwa kwa kila moja ya njia nane za kwanza za trafiki. Saizi ya dirisha la kucheza tena iliyosanidiwa imegawanywa na nane kwa kila kituo. Ikiwa QoS imesanidiwa kwenye kipanga njia, kipanga njia hicho kinaweza kupata idadi kubwa kuliko inavyotarajiwa ya matone ya pakiti kama matokeo ya utaratibu wa kuzuia uchezaji wa upya wa IPsec, na pakiti nyingi ambazo hutupwa ni halali. Hii hutokea kwa sababu QoS hupanga upya pakiti, kutoa pakiti za kipaumbele cha juu upendeleo na kuchelewesha pakiti za kipaumbele cha chini. Ili kupunguza au kuzuia hali hii, unaweza kufanya yafuatayo:

  • Ongeza ukubwa wa dirisha la kuzuia uchezaji tena.
  • Trafiki ya mhandisi kwenye njia nane za kwanza za trafiki ili kuhakikisha kuwa trafiki ndani ya chaneli haijapangwa upya.

Sanidi Vichuguu vya IPsec Vilivyowezeshwa na IKE
Ili kuhamisha kwa usalama trafiki kutoka kwa mtandao unaowekelea hadi kwa mtandao wa huduma, unaweza kusanidi vichuguu vya IPsec vinavyotumia itifaki ya Internet Key Exchange (IKE). Vichungi vya IPsec vilivyowezeshwa na IKE hutoa uthibitishaji na usimbaji fiche ili kuhakikisha usafiri salama wa pakiti. Unaunda handaki ya IPsec inayowezeshwa na IKE kwa kusanidi kiolesura cha IPsec. Miingiliano ya IPsec ni miingiliano yenye mantiki, na unaisanidi kama kiolesura kingine chochote cha kimwili. Unasanidi vigezo vya itifaki ya IKE kwenye kiolesura cha IPsec, na unaweza kusanidi sifa zingine za kiolesura.

Kumbuka Cisco inapendekeza kutumia Toleo la 2 la IKE. Kuanzia toleo la Cisco SD-WAN 19.2.x na kuendelea, ufunguo ulioshirikiwa awali unahitaji kuwa na urefu wa angalau baiti 16. Uanzishaji wa handaki ya IPsec hautafaulu ikiwa saizi ya ufunguo ni chini ya herufi 16 kipanga njia kinapoboreshwa hadi toleo la 19.2.

Kumbuka
Programu ya Cisco Catalyst SD-WAN inaauni Toleo la 2 la IKE kama inavyofafanuliwa katika RFC 7296. Moja ya matumizi ya vichuguu vya IPsec ni kuruhusu matukio ya vEdge Cloud router VM inayoendeshwa kwenye Amazon AWS kuunganisha kwenye wingu la faragha la Amazon (VPC). Lazima usanidi Toleo la 1 la IKE kwenye ruta hizi. Vifaa vya Cisco vEdge vinaauni VPN zinazotegemea njia pekee katika usanidi wa IPSec kwa sababu vifaa hivi haviwezi kufafanua viteuzi vya trafiki katika kikoa cha usimbaji fiche.

Sanidi Njia ya IPsec
Ili kusanidi kiolesura cha handaki ya IPsec kwa trafiki salama ya usafiri kutoka kwa mtandao wa huduma, unaunda kiolesura cha kimantiki cha IPsec:CISCO-SD-WAN-Sanidi-Vigezo-vya-Usalama-FIG-9

Unaweza kuunda handaki ya IPsec katika VPN ya usafiri (VPN 0) na katika huduma yoyote ya VPN (VPN 1 hadi 65530, isipokuwa 512). Kiolesura cha IPsec kina jina katika umbizo ipsecnumber, ambapo nambari inaweza kutoka 1 hadi 255. Kila kiolesura cha IPsec lazima kiwe na anwani ya IPv4. Anwani hii lazima iwe kiambishi awali /30. Trafiki yote katika VPN iliyo ndani ya kiambishi awali hiki cha IPv4 imeelekezwa kwenye kiolesura halisi katika VPN 0 ili kutumwa kwa usalama juu ya handaki ya IPsec. Ili kusanidi chanzo cha handaki ya IPsec kwenye kifaa cha ndani, unaweza kubainisha ama anwani ya IP ya kiolesura cha kimwili (katika amri ya chanzo cha handaki) au jina la kiolesura cha kimwili (katika amri ya kiolesura-chanzo-chanzo cha tunnel). Hakikisha kuwa kiolesura halisi kimesanidiwa katika VPN 0. Ili kusanidi lengwa la handaki la IPsec, bainisha anwani ya IP ya kifaa cha mbali katika amri ya lengwa la handaki. Mchanganyiko wa anwani ya chanzo (au jina la kiolesura cha chanzo) na anwani lengwa hufafanua handaki moja la IPsec. Njia moja pekee ya IPsec inaweza kuwepo ambayo inatumia anwani maalum ya chanzo (au jina la kiolesura) na jozi ya anwani lengwa.

Sanidi Njia Tuli ya IPsec

Ili kuelekeza trafiki kutoka kwa huduma ya VPN hadi kwenye handaki la IPsec katika VPN ya usafiri (VPN 0), unasanidi njia tuli maalum ya IPsec katika huduma ya VPN (VPN zaidi ya VPN 0 au VPN 512) :

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route kiambishi awali/urefu vpn 0 kiolesura
  • ipsecnumber [ipsecnumber2]

Kitambulisho cha VPN ni cha huduma yoyote ya VPN (VPN 1 hadi 65530, isipokuwa 512). kiambishi awali/urefu ni anwani ya IP au kiambishi awali, katika nukuu ya desimali yenye sehemu-nne, na urefu wa kiambishi awali wa njia tuli mahususi ya IPsec. Kiolesura ni kiolesura cha handaki ya IPsec katika VPN 0. Unaweza kusanidi kiolesura kimoja au viwili vya handaki ya IPsec. Ukisanidi mbili, ya kwanza ni handaki ya msingi ya IPsec, na ya pili ni chelezo. Na violesura viwili, pakiti zote hutumwa tu kwenye handaki ya msingi. Ikiwa handaki hiyo itashindwa, pakiti zote hutumwa kwenye handaki ya pili. Ikiwa njia ya msingi itarudi juu, trafiki yote itarejeshwa hadi kwenye handaki ya msingi ya IPsec.

Washa Toleo la 1 la IKE
Unapounda handaki ya IPsec kwenye kipanga njia cha vEdge, Toleo la 1 la IKE huwashwa kwa chaguo-msingi kwenye kiolesura cha handaki. Sifa zifuatazo pia zimewezeshwa kwa chaguo-msingi kwa IKEv1:

  • Uthibitishaji na usimbaji fiche—AES-256 usimbaji fiche wa hali ya juu wa CBC kwa kutumia algoriti ya uthibitishaji wa ujumbe wa keyed-hash wa HMAC-SHA1 kwa uadilifu.
  • Nambari ya kikundi cha Diffie-Hellman-16
  • Muda wa kuweka upya - masaa 4
  • Njia ya uanzishwaji ya SA-Kuu

Kwa chaguomsingi, IKEv1 hutumia modi kuu ya IKE kuanzisha IKE SAs. Katika hali hii, pakiti sita za mazungumzo zinabadilishwa ili kuanzisha SA. Ili kubadilisha pakiti tatu pekee za mazungumzo, washa hali ya fujo:

Kumbuka
Hali ya uchokozi ya IKE yenye funguo zilizoshirikiwa mapema inapaswa kuepukwa inapowezekana. Vinginevyo ufunguo dhabiti ulioshirikiwa mapema unapaswa kuchaguliwa.

  • vEdge(config)# vpn vpn-id kiolesura cha nambari ya ike
  • vEdge(config-ike)# hali ya fujo

Kwa chaguo-msingi, IKEv1 hutumia kikundi cha Diffie-Hellman 16 katika kubadilishana vitufe vya IKE. Kikundi hiki kinatumia kikundi cha moduli cha 4096-bit zaidi (MODP) wakati wa kubadilishana vitufe vya IKE. Unaweza kubadilisha nambari ya kikundi hadi 2 (kwa MODP ya 1024-bit), 14 (2048-bit MODP), au 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id kiolesura cha nambari ya ike
  • vEdge(config-ike)# nambari ya kikundi

Kwa chaguomsingi, ubadilishanaji wa vitufe vya IKE hutumia usimbaji fiche wa kiwango cha juu wa AES-256 wa CBC kwa kutumia algoriti ya uthibitishaji wa ujumbe wa keyed-hash ya HMAC-SHA1 kwa uadilifu. Unaweza kubadilisha uthibitishaji:

  • vEdge(config)# vpn vpn-id kiolesura cha nambari ya ike
  • vEdge(config-ike)# cipher-suite suite

Suti ya uthibitishaji inaweza kuwa mojawapo ya yafuatayo:

  • aes128-cbc-sha1—AES-128 usimbaji fiche wa hali ya juu wa CBC kwa kutumia algoriti ya uthibitishaji wa ujumbe wa keyed-hash wa HMAC-SHA1 kwa uadilifu.
  • aes128-cbc-sha2—AES-128 usimbaji fiche wa hali ya juu wa CBC kwa kutumia algoriti ya uthibitishaji wa ujumbe wa keyed-hash wa HMAC-SHA256 kwa uadilifu.
  • aes256-cbc-sha1—AES-256 usimbaji fiche wa hali ya juu wa CBC kwa kutumia algoriti ya uthibitishaji wa ujumbe wa keyed-hash ya HMAC-SHA1 kwa uadilifu; hii ndiyo chaguo-msingi.
  • aes256-cbc-sha2—AES-256 usimbaji fiche wa hali ya juu wa CBC kwa kutumia algoriti ya uthibitishaji wa ujumbe wa keyed-hash wa HMAC-SHA256 kwa uadilifu.

Kwa chaguomsingi, vitufe vya IKE husasishwa kila baada ya saa 1 (sekunde 3600). Unaweza kubadilisha muda wa kuweka upya kwa thamani kutoka sekunde 30 hadi siku 14 (sekunde 1209600). Inapendekezwa kuwa muda wa kurejesha tena uwe angalau saa 1.

  • vEdge(config)# vpn vpn-id kiolesura cha nambari ya ipsec kama
  • vEdge(config-ike)# ufunguo wa sekunde

Ili kulazimisha uundaji wa funguo mpya kwa kipindi cha IKE, toa ombi la ipsec ike-rekey amri.

  • vEdge(config)# vpn vpn-id interfaceipisec nambari ike

Kwa IKE, unaweza pia kusanidi uthibitishaji wa ufunguo ulioshirikiwa awali (PSK):

  • vEdge(config)# vpn vpn-id kiolesura cha nambari ya ike
  • vEdge(config-ike)# aina ya uthibitishaji-ufunguo-ulioshirikiwa awali nenosiri la siri lililoshirikiwa awali ni nenosiri la kutumia na ufunguo ulioshirikiwa mapema. Inaweza kuwa ASCII au mfuatano wa heksadesimali kutoka kwa urefu wa herufi 1 hadi 127.

Ikiwa rika la mbali la IKE linahitaji kitambulisho cha karibu au cha mbali, unaweza kusanidi kitambulisho hiki:

  • vEdge(config)# vpn vpn-id kiolesura cha nambari ya ipsec aina ya uthibitishaji
  • vEdge(config-authentication-aina)# kitambulisho cha ndani
  • vEdge(aina-ya-uthibitishaji)# kitambulisho cha kijijini

Kitambulisho kinaweza kuwa anwani ya IP au mfuatano wowote wa maandishi kutoka kwa urefu wa herufi 1 hadi 63. Kwa chaguo-msingi, kitambulisho cha ndani ni anwani ya IP ya chanzo cha handaki na kitambulisho cha mbali ni anwani ya IP ya handaki.

Washa Toleo la 2 la IKE
Unaposanidi handaki ya IPsec kutumia Toleo la 2 la IKE, sifa zifuatazo pia zinawezeshwa kwa chaguo-msingi kwa IKEv2:

  • Uthibitishaji na usimbaji fiche—AES-256 usimbaji fiche wa hali ya juu wa CBC kwa kutumia algoriti ya uthibitishaji wa ujumbe wa keyed-hash wa HMAC-SHA1 kwa uadilifu.
  • Nambari ya kikundi cha Diffie-Hellman-16
  • Muda wa kuweka upya - masaa 4

Kwa chaguo-msingi, IKEv2 hutumia kikundi cha Diffie-Hellman 16 katika kubadilishana vitufe vya IKE. Kikundi hiki kinatumia kikundi cha moduli cha 4096-bit zaidi (MODP) wakati wa kubadilishana vitufe vya IKE. Unaweza kubadilisha nambari ya kikundi hadi 2 (kwa MODP ya 1024-bit), 14 (2048-bit MODP), au 15 (3072-bit MODP):

  • vEdge(config)# vpn vpn-id kiolesura cha ipsecnumber ike
  • vEdge(config-ike)# nambari ya kikundi

Kwa chaguomsingi, ubadilishanaji wa vitufe vya IKE hutumia usimbaji fiche wa kiwango cha juu wa AES-256 wa CBC kwa kutumia algoriti ya uthibitishaji wa ujumbe wa keyed-hash ya HMAC-SHA1 kwa uadilifu. Unaweza kubadilisha uthibitishaji:

  • vEdge(config)# vpn vpn-id kiolesura cha ipsecnumber ike
  • vEdge(config-ike)# cipher-suite suite

Suti ya uthibitishaji inaweza kuwa mojawapo ya yafuatayo:

  • aes128-cbc-sha1—AES-128 usimbaji fiche wa hali ya juu wa CBC kwa kutumia algoriti ya uthibitishaji wa ujumbe wa keyed-hash wa HMAC-SHA1 kwa uadilifu.
  • aes128-cbc-sha2—AES-128 usimbaji fiche wa hali ya juu wa CBC kwa kutumia algoriti ya uthibitishaji wa ujumbe wa keyed-hash wa HMAC-SHA256 kwa uadilifu.
  • aes256-cbc-sha1—AES-256 usimbaji fiche wa hali ya juu wa CBC kwa kutumia algoriti ya uthibitishaji wa ujumbe wa keyed-hash ya HMAC-SHA1 kwa uadilifu; hii ndiyo chaguo-msingi.
  • aes256-cbc-sha2—AES-256 usimbaji fiche wa hali ya juu wa CBC kwa kutumia algoriti ya uthibitishaji wa ujumbe wa keyed-hash wa HMAC-SHA256 kwa uadilifu.

Kwa chaguomsingi, vitufe vya IKE husasishwa kila baada ya saa 4 (sekunde 14,400). Unaweza kubadilisha muda wa kuweka tena thamani kutoka sekunde 30 hadi siku 14 (sekunde 1209600):

  • vEdge(config)# vpn vpn-id kiolesura cha ipsecnumber ike
  • vEdge(config-ike)# ufunguo wa sekunde

Ili kulazimisha uundaji wa funguo mpya kwa kipindi cha IKE, toa ombi la ipsec ike-rekey amri. Kwa IKE, unaweza pia kusanidi uthibitishaji wa ufunguo ulioshirikiwa awali (PSK):

  • vEdge(config)# vpn vpn-id kiolesura cha ipsecnumber ike
  • vEdge(config-ike)# aina ya uthibitishaji-ufunguo-ulioshirikiwa awali nenosiri la siri lililoshirikiwa awali ni nenosiri la kutumia na ufunguo ulioshirikiwa mapema. Inaweza kuwa ASCII au mfuatano wa heksadesimali, au inaweza kuwa ufunguo uliosimbwa kwa AES. Ikiwa rika la mbali la IKE linahitaji kitambulisho cha karibu au cha mbali, unaweza kusanidi kitambulisho hiki:
  • vEdge(config)# vpn vpn-id kiolesura cha ipsecnumber ike aina ya uthibitishaji
  • vEdge(config-authentication-aina)# kitambulisho cha ndani
  • vEdge(aina-ya-uthibitishaji)# kitambulisho cha kijijini

Kitambulisho kinaweza kuwa anwani ya IP au mfuatano wowote wa maandishi kutoka kwa urefu wa herufi 1 hadi 64. Kwa chaguo-msingi, kitambulisho cha ndani ni anwani ya IP ya chanzo cha handaki na kitambulisho cha mbali ni anwani ya IP ya handaki.

Sanidi Vigezo vya Tunnel ya IPsec

Jedwali la 4: Historia ya Kipengele

Kipengele Jina Taarifa ya Kutolewa Maelezo
Cryptographic ya ziada Cisco SD-WAN Kutolewa 20.1.1 Kipengele hiki kinaongeza usaidizi kwa
Usaidizi wa Algorithmic kwa IPSec   HMAC_SHA256, HMAC_SHA384, na
Vichuguu   HMAC_SHA512 algoriti za
    usalama ulioimarishwa.

Kwa chaguo-msingi, vigezo vifuatavyo vinatumika kwenye handaki ya IPsec inayobeba trafiki ya IKE:

  • Uthibitishaji na usimbaji fiche—algorithm ya AES-256 katika GCM (Njia ya Galois/kaunta)
  • Muda wa kurejesha tena - masaa 4
  • Dirisha la kucheza tena - pakiti 32

Unaweza kubadilisha usimbaji fiche kwenye handaki ya IPsec hadi cipher ya AES-256 katika CBC (modi ya mnyororo wa kuzuia msimbo, HMAC ikitumia uthibitishaji wa ujumbe wa SHA-1 au SHA-2 keyed-hash au kubatilisha HMAC ukitumia SHA-1 au Uthibitishaji wa ujumbe wa keyed-hash wa SHA-2, ili kutosimba kwa njia fiche handaki ya IPsec inayotumika kwa trafiki ya kubadilishana vitufe vya IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# cipher-suite (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-1sha-256 | | aes256-null-sha256 | aes384-null-sha256)

Kwa chaguomsingi, vitufe vya IKE husasishwa kila baada ya saa 4 (sekunde 14,400). Unaweza kubadilisha muda wa kuweka tena thamani kutoka sekunde 30 hadi siku 14 (sekunde 1209600):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# ufunguo wa sekunde

Ili kulazimisha utengenezaji wa funguo mpya za handaki ya IPsec, toa ombi ipsec ipsec-rekey amri. Kwa chaguomsingi, usiri kamili wa mbele (PFS) huwashwa kwenye vichuguu vya IPsec, ili kuhakikisha kuwa vipindi vya awali havitaathiriwa ikiwa funguo za siku zijazo zitaathiriwa. PFS hulazimisha ubadilishanaji mpya wa vitufe vya Diffie-Hellman, kwa chaguo-msingi kwa kutumia kikundi cha moduli kuu cha 4096-bit Diffie-Hellman. Unaweza kubadilisha mpangilio wa PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# mpangilio-wa-usiri-kamilifu wa pfs

pfs-setting inaweza kuwa moja ya yafuatayo:

  • group-2—Tumia kikundi kikuu cha moduli cha 1024-bit Diffie-Hellman.
  • group-14—Tumia kikundi kikuu cha moduli cha 2048-bit Diffie-Hellman.
  • group-15—Tumia kikundi kikuu cha moduli cha 3072-bit Diffie-Hellman.
  • group-16—Tumia kikundi kikuu cha moduli cha 4096-bit Diffie-Hellman. Hii ndiyo chaguo-msingi.
  • hakuna-Zima PFS.

Kwa chaguo-msingi, dirisha la kucheza tena la IPsec kwenye handaki ya IPsec ni baiti 512. Unaweza kuweka ukubwa wa dirisha la kucheza tena kuwa 64, 128, 256, 512, 1024, 2048, au pakiti 4096:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# nambari ya dirisha la kucheza tena

Rekebisha Utambuzi wa IKE Dead-Rika

IKE hutumia mbinu ya kutambua watu waliokufa ili kubaini ikiwa muunganisho kwa programu rika ya IKE unafanya kazi na unaweza kufikiwa. Ili kutekeleza utaratibu huu, IKE hutuma kifurushi cha Hello kwa rika lake, na rika hutuma shukrani kwa kujibu. Kwa chaguo-msingi, IKE hutuma pakiti za Hello kila baada ya sekunde 10, na baada ya pakiti tatu ambazo hazijatambulika, IKE hutangaza jirani kuwa amekufa na kubomoa handaki kwa mwenzake. Baadaye, IKE hutuma pakiti ya Hello mara kwa mara kwa rika, na kuanzisha upya njia wakati mwenzi huyo anaporejea mtandaoni. Unaweza kubadilisha muda wa kugundua uhai hadi thamani kutoka 0 hadi 65535, na unaweza kubadilisha idadi ya majaribio hadi thamani kutoka 0 hadi 255.

Kumbuka

Kwa VPN za usafiri, muda wa kutambua uhai hubadilishwa kuwa sekunde kwa kutumia fomula ifuatayo: Muda wa jaribio la kutuma tena nambari N = muda * 1.8N-1Kwa zamaniample, ikiwa muda umewekwa kuwa 10 na kujaribu tena hadi 5, muda wa kugundua huongezeka kama ifuatavyo:

  • Jaribio la 1: 10 * 1.81-1= sekunde 10
  • Jaribio 2: 10 * 1.82-1= sekunde 18
  • Jaribio 3: 10 * 1.83-1= sekunde 32.4
  • Jaribio 4: 10 * 1.84-1= sekunde 58.32
  • Jaribio 5: 10 * 1.85-1= sekunde 104.976

vEdge(config-interface-ipsecnumber)# nambari ya muda ya ugunduzi-wa-rika-kufa inajaribu tena

Sanidi Sifa Zingine za Kiolesura

Kwa miingiliano ya handaki ya IPsec, unaweza kusanidi tu sifa zifuatazo za kiolesura:

  • vEdge(config-interface-ipsec)# mtu baiti
  • vEdge(config-interface-ipsec)# tcp-mss-rekebisha baiti

Zima Algorithms dhaifu za Usimbaji wa SSH kwenye Kidhibiti cha Cisco SD-WAN

Jedwali la 5: Jedwali la Historia ya Kipengele

Kipengele Jina Taarifa ya Kutolewa Kipengele Maelezo
Zima Algorithms dhaifu za Usimbaji wa SSH kwenye Kidhibiti cha Cisco SD-WAN Cisco vManage Toleo 20.9.1 Kipengele hiki hukuruhusu kuzima algoriti dhaifu za SSH kwenye Kidhibiti cha Cisco SD-WAN ambacho huenda kisitii viwango fulani vya usalama wa data.

Taarifa Kuhusu Kuzima Algoriti za Usimbaji Dhaifu wa SSH kwenye Kidhibiti cha Cisco SD-WAN
Cisco SD-WAN Meneja hutoa mteja SSH kwa mawasiliano na vipengele katika mtandao, ikiwa ni pamoja na vidhibiti na vifaa makali. Kiteja cha SSH hutoa muunganisho uliosimbwa kwa njia fiche kwa uhamishaji salama wa data, kulingana na aina mbalimbali za algoriti za usimbaji fiche. Mashirika mengi yanahitaji usimbaji fiche wenye nguvu zaidi kuliko ule unaotolewa na SHA-1, AES-128, na AES-192. Kutoka kwa Cisco vManage Toleo 20.9.1, unaweza kuzima algoriti zifuatazo za usimbaji fiche dhaifu ili mteja wa SSH asitumie algoriti hizi:

  • SHA-1
  • AES-128
  • AES-192

Kabla ya kuzima algoriti hizi za usimbaji fiche, hakikisha kwamba vifaa vya Cisco vEdge, ikiwa vipo, katika mtandao, vinatumia toleo la programu baadaye kuliko Cisco SD-WAN Release 18.4.6.

Manufaa ya Kuzima Algoriti za Usimbaji Dhaifu wa SSH kwenye Kidhibiti cha Cisco SD-WAN
Kuzima algoriti dhaifu za usimbaji fiche wa SSH huboresha usalama wa mawasiliano ya SSH, na kuhakikisha kwamba mashirika yanayotumia Cisco Catalyst SD-WAN yanatii kanuni kali za usalama.

Zima Algoriti Hafifu za Usimbaji wa SSH kwenye Kidhibiti cha Cisco SD-WAN Kwa Kutumia CLI

  1. Kutoka kwa menyu ya Kidhibiti cha Cisco SD-WAN, chagua Zana > Kituo cha SSH.
  2. Chagua kifaa cha Kidhibiti cha Cisco SD-WAN ambacho ungependa kuzima algoriti dhaifu za SSH.
  3. Ingiza jina la mtumiaji na nenosiri ili uingie kwenye kifaa.
  4. Ingiza hali ya seva ya SSH.
    • vmanage(config)# mfumo
    • vmanage(config-system)# ssh-server
  5. Fanya mojawapo ya yafuatayo ili kulemaza algoriti ya usimbaji wa SSH:
    • Zima SHA-1:
  6. simamia(config-ssh-server)# no kex-algo sha1
  7. simamia(config-ssh-server)# ahadi
    Ujumbe wa onyo ufuatao unaonyeshwa: Maonyo yafuatayo yalitolewa: ‘system ssh-server kex-algo sha1’: ONYO: Tafadhali hakikisha kingo zako zote zinatumia toleo la msimbo > 18.4.6 ambalo linajadiliana vyema kuliko SHA1 na vManage. Vinginevyo kingo hizo zinaweza kuwa nje ya mtandao. Ungependa kuendelea? [ndiyo, hapana] ndiyo
    • Hakikisha kuwa kifaa chochote cha Cisco vEdge kwenye mtandao kinatumia Cisco SD-WAN Release 18.4.6 au matoleo mapya zaidi na uweke ndiyo.
    • Zima AES-128 na AES-192:
    • vmanage(config-ssh-server)# hakuna cipher aes-128-192
    • vmanage(config-ssh-server)# ahadi
      Ujumbe wa onyo ufuatao unaonyeshwa:
      Maonyo yafuatayo yalitolewa:
      ‘system ssh-server cipher aes-128-192’: ONYO: Tafadhali hakikisha kingo zako zote zina toleo la msimbo > 18.4.6 ambalo linajadiliana vyema kuliko AES-128-192 na vManage. Vinginevyo kingo hizo zinaweza kuwa nje ya mtandao. Ungependa kuendelea? [ndiyo, hapana] ndiyo
    • Hakikisha kuwa kifaa chochote cha Cisco vEdge kwenye mtandao kinatumia Cisco SD-WAN Release 18.4.6 au matoleo mapya zaidi na uweke ndiyo.

Thibitisha kuwa Algorithms dhaifu ya Usimbaji fiche ya SSH Imezimwa kwenye Kidhibiti cha Cisco SD-WAN Kwa Kutumia CLI.

  1. Kutoka kwa menyu ya Kidhibiti cha Cisco SD-WAN, chagua Zana > Kituo cha SSH.
  2. Chagua kifaa cha Cisco SD-WAN Manager unachotaka kuthibitisha.
  3. Ingiza jina la mtumiaji na nenosiri ili uingie kwenye kifaa.
  4. Endesha amri ifuatayo: onyesha mfumo wa uendeshaji-config ssh-server
  5. Thibitisha kuwa matokeo yanaonyesha amri moja au zaidi zinazozima algoriti dhaifu za usimbaji:
    • hakuna cipher aes-128-192
    • hakuna kex-algo sha1

Nyaraka / Rasilimali

CISCO SD-WAN Sanidi Vigezo vya Usalama [pdf] Mwongozo wa Mtumiaji
SD-WAN Sanidi Vigezo vya Usalama, SD-WAN, Sanidi Vigezo vya Usalama, Vigezo vya Usalama

Marejeleo

Acha maoni

Barua pepe yako haitachapishwa. Sehemu zinazohitajika zimetiwa alama *