İçindekiler saklamak
1 CISCO SD-WAN Güvenlik Parametrelerini Yapılandırma
2 Güvenlik Parametrelerini Yapılandırma
3 Kontrol Düzlemi Güvenlik Parametrelerini Yapılandırma
4 Cisco SD-WAN Manager'da DTLS'yi yapılandırma
5 Veri Düzlemi Güvenlik Parametrelerini Yapılandırma
6 İzin Verilen Kimlik Doğrulama Türlerini Yapılandırma
7 Yeniden Anahtarlama Zamanlayıcısını Değiştirme
8 Tekrar Oynatmayı Önleme Penceresinin Boyutunu Değiştirme
9 IPsec Statik Rotasını Yapılandırma
10 IPsec Tüneli Parametrelerini Yapılandırma
11 IKE Ölü Eş Tespitini Değiştirin
12 Diğer Arayüz Özelliklerini Yapılandırma
13 Cisco SD-WAN Manager'da Zayıf SSH Şifreleme Algoritmalarını Devre Dışı Bırakın
14 Belgeler / Kaynaklar
14.1 Referanslar

CISCO-LOGO

CISCO SD-WAN Güvenlik Parametrelerini Yapılandırma

CISCO-SD-WAN-Yapılandırma-Güvenlik-Parametreler-ÜRÜN

Güvenlik Parametrelerini Yapılandırma

Not

Basitleştirme ve tutarlılık sağlamak için Cisco SD-WAN çözümü, Cisco Catalyst SD-WAN olarak yeniden markalandı. Ek olarak, Cisco IOS XE SD-WAN Sürüm 17.12.1a ve Cisco Catalyst SD-WAN Sürüm 20.12.1'den aşağıdaki bileşen değişiklikleri geçerlidir: Cisco vManage'den Cisco Catalyst SD-WAN Manager'a, Cisco vAnalytics'ten Cisco Catalyst SD-WAN'a Analytics, Cisco vBond'dan Cisco Catalyst SD-WAN Doğrulayıcı'ya ve Cisco vSmart'tan Cisco Catalyst SD-WAN Denetleyicisine. Tüm bileşen marka adı değişikliklerinin kapsamlı bir listesi için en son Sürüm Notlarına bakın. Yeni isimlere geçiş yaparken, yazılım ürününün kullanıcı arayüzü güncellemelerinin aşamalı olarak yapılması nedeniyle dokümantasyon setinde bazı tutarsızlıklar mevcut olabilir.

Bu bölümde, Cisco Catalyst SD-WAN yer paylaşımı ağındaki kontrol düzlemi ve veri düzlemi için güvenlik parametrelerinin nasıl değiştirileceği açıklanmaktadır.

  • Kontrol Düzlemi Güvenlik Parametrelerini Yapılandırma
  • Veri Düzlemi Güvenlik Parametrelerini Yapılandırma
  • IKE Etkin IPsec Tünellerini Yapılandırma
  • Cisco SD-WAN Manager'da Zayıf SSH Şifreleme Algoritmalarını Devre Dışı Bırakın

Kontrol Düzlemi Güvenlik Parametrelerini Yapılandırma

Varsayılan olarak kontrol düzlemi, tüm tünellerinde gizlilik sağlayan protokol olarak DTLS'yi kullanır. DTLS, UDP üzerinden çalışır. Kontrol düzlemi güvenlik protokolünü TCP üzerinden çalışan TLS olarak değiştirebilirsiniz. TLS kullanmanın temel nedeni, Cisco SD-WAN Denetleyicisini bir sunucu olarak değerlendirirseniz, güvenlik duvarlarının TCP sunucularını UDP sunucularına göre daha iyi korumasıdır. Bir Cisco SD-WAN Denetleyicisinde kontrol düzlemi tünel protokolünü yapılandırırsınız: vSmart(config)# güvenlik kontrol protokolü tls Bu değişiklikle, Cisco SD-WAN Denetleyicisi ile yönlendiriciler arasındaki ve Cisco SD-WAN Denetleyicisi arasındaki tüm kontrol düzlemi tünelleri ve Cisco SD-WAN Manager TLS kullanıyor. Cisco Catalyst SD-WAN Doğrulayıcıya giden kontrol düzlemi tünelleri her zaman DTLS kullanır çünkü bu bağlantıların UDP tarafından yönetilmesi gerekir. Birden fazla Cisco SD-WAN Denetleyicisinin bulunduğu bir etki alanında, Cisco SD-WAN Denetleyicilerinden birinde TLS'yi yapılandırdığınızda, o denetleyiciden diğer denetleyicilere giden tüm kontrol düzlemi tünelleri TLS'yi kullanır. Başka bir deyişle TLS her zaman DTLS'ye göre önceliklidir. Bununla birlikte, diğer Cisco SD-WAN Denetleyicileri açısından bakıldığında, eğer üzerlerinde TLS yapılandırmadıysanız, kontrol düzlemi tünelindeki TLS'yi yalnızca o Cisco SD-WAN Denetleyicisine kullanırlar ve DTLS tünellerini diğerlerine kullanırlar. Cisco SD-WAN Denetleyicilerine ve bunların bağlı tüm yönlendiricilerine. Tüm Cisco SD-WAN Denetleyicilerinin TLS kullanmasını sağlamak için TLS'yi hepsinde yapılandırın. Varsayılan olarak, Cisco SD-WAN Denetleyicisi TLS isteklerini 23456 numaralı bağlantı noktasında dinler. Bunu değiştirmek için: vSmart(config)# güvenlik kontrolü tls-port numarası Bağlantı noktası 1025 ila 65535 arasında bir sayı olabilir. Kontrol düzlemi güvenlik bilgilerini görüntülemek için Cisco SD-WAN Denetleyicisindeki kontrol bağlantılarını göster komutunu kullanın. Eski içinampdosya: vSmart-2# kontrol bağlantılarını gösterir

CISCO-SD-WAN-Yapılandırma-Güvenlik-Parametreler-FIG-1

Cisco SD-WAN Manager'da DTLS'yi yapılandırma

Cisco SD-WAN Manager'ı kontrol düzlemi güvenlik protokolü olarak TLS'yi kullanacak şekilde yapılandırırsanız, NAT'ınızda bağlantı noktası iletmeyi etkinleştirmeniz gerekir. Kontrol düzlemi güvenlik protokolü olarak DTLS kullanıyorsanız herhangi bir şey yapmanıza gerek yoktur. İletilen bağlantı noktalarının sayısı, Cisco SD-WAN Manager üzerinde çalışan vdaemon işlemlerinin sayısına bağlıdır. Bu işlemler ve iletilen bağlantı noktalarının sayısı hakkındaki bilgileri görüntülemek için, dört arka plan programının çalıştığını gösteren show control Summary komutunu kullanın:CISCO-SD-WAN-Yapılandırma-Güvenlik-Parametreler-FIG-2

Dinleme bağlantı noktalarını görmek için show control local-properties komutunu kullanın: vManage# show control local-properties komutunu kullanın.

CISCO-SD-WAN-Yapılandırma-Güvenlik-Parametreler-FIG-3

Bu çıktı, dinleme TCP portunun 23456 olduğunu gösterir. Cisco SD-WAN Manager'ı bir NAT arkasında çalıştırıyorsanız, NAT cihazında aşağıdaki portları açmalısınız:

  • 23456 (temel – örnek 0 bağlantı noktası)
  • 23456 + 100 (taban + 100)
  • 23456 + 200 (taban + 200)
  • 23456 + 300 (taban + 300)

Örnek sayısının, maksimum 8'e kadar, Cisco SD-WAN Manager için atadığınız çekirdek sayısıyla aynı olduğunu unutmayın.

Güvenlik Özelliği Şablonunu Kullanarak Güvenlik Parametrelerini Yapılandırma

Tüm Cisco vEdge cihazları için Güvenlik özelliği şablonunu kullanın. Uç yönlendiricilerde ve Cisco SD-WAN Doğrulayıcıda, veri düzlemi güvenliği için IPsec'i yapılandırmak üzere bu şablonu kullanın. Cisco SD-WAN Manager ve Cisco SD-WAN Controller'da, kontrol düzlemi güvenliği için DTLS veya TLS'yi yapılandırmak üzere Güvenlik özelliği şablonunu kullanın.

Güvenlik Parametrelerini Yapılandırma

  1. Cisco SD-WAN Manager menüsünden Yapılandırma > Şablonlar'ı seçin.
  2. Özellik Şablonları'na ve ardından Şablon Ekle'ye tıklayın.
    Not Cisco vManage Sürüm 20.7.1 ve önceki sürümlerde Özellik Şablonlarına Özellik adı verilir.
  3. Sol bölmedeki Cihazlar listesinden bir cihaz seçin. Seçilen cihaza uygun şablonlar sağ bölmede görünür.
  4. Şablonu açmak için Güvenlik'e tıklayın.
  5. Şablon Adı alanına şablon için bir ad girin. Ad en fazla 128 karakterden oluşabilir ve yalnızca alfasayısal karakterler içerebilir.
  6. Şablon Açıklaması alanına şablonun açıklamasını girin. Açıklama en fazla 2048 karakter olabilir ve yalnızca alfasayısal karakterler içerebilir.

Bir özellik şablonunu ilk açtığınızda, varsayılan değeri olan her parametre için kapsam Varsayılan olarak ayarlanır (onay işaretiyle gösterilir) ve varsayılan ayar veya değer gösterilir. Varsayılanı değiştirmek veya bir değer girmek için parametre alanının solundaki kapsam açılır menüsüne tıklayın ve aşağıdakilerden birini seçin:

Tablo 1:

Parametre Kapsam Kapsam Açıklaması
Cihaza Özel (ana bilgisayar simgesiyle gösterilir) Parametre için cihaza özel bir değer kullanın. Cihaza özel parametreler için özellik şablonuna değer giremezsiniz. Bir Viptela cihazını bir cihaz şablonuna eklediğinizde değeri girersiniz.

Cihaza Özel'i tıklattığınızda Anahtarı Girin kutusu açılır. Bu kutu, bir CSV dosyasındaki parametreyi tanımlayan benzersiz bir dize olan bir anahtarı görüntüler. file senin yarattığın. Bu file her anahtar için bir sütun içeren bir Excel elektronik tablosudur. Başlık satırı anahtar adlarını içerir (sütun başına bir anahtar) ve bundan sonraki her satır bir aygıta karşılık gelir ve bu aygıta ilişkin anahtarların değerlerini tanımlar. CSV'yi yüklersiniz file bir Viptela cihazını bir cihaz şablonuna eklediğinizde. Daha fazla bilgi için bkz. Şablon Değişkenleri Elektronik Tablosu Oluşturma.

Varsayılan anahtarı değiştirmek için yeni bir dize yazın ve imleci Anahtar Gir kutusunun dışına taşıyın.

ExampCihaza özgü parametre dosyaları sistem IP adresi, ana bilgisayar adı, GPS konumu ve site kimliğidir.
Parametre Kapsam Kapsam Açıklaması
Küresel (küre simgesiyle gösterilir) Parametre için bir değer girin ve bu değeri tüm cihazlara uygulayın.

ExampGenel olarak bir grup cihaza uygulayabileceğiniz parametre dosyaları DNS sunucusu, sistem günlüğü sunucusu ve arayüz MTU'larıdır.

Kontrol Düzlemi Güvenliğini Yapılandırma

Not
Kontrol Düzlemi Güvenliğini Yapılandır bölümü yalnızca Cisco SD-WAN Manager ve Cisco SD-WAN Denetleyicisi için geçerlidir. Bir Cisco SD-WAN Manager örneğinde veya bir Cisco SD-WAN Denetleyicisinde kontrol düzlemi bağlantı protokolünü yapılandırmak için Temel Yapılandırma alanını seçin ve aşağıdaki parametreleri yapılandırın:

Tablo 2:

Parametre İsim Tanım
Protokol Cisco SD-WAN Denetleyicisine kontrol düzlemi bağlantılarında kullanılacak protokolü seçin:

• DTLS (DatagRam Aktarım Katmanı Güvenliği). Bu varsayılandır.

• TLS (Aktarım Katmanı Güvenliği)
TLS Bağlantı Noktasını Kontrol Et TLS'yi seçtiyseniz kullanılacak bağlantı noktası numarasını yapılandırın:Menzil: 1025'den 65535'aVarsayılan: 23456

Kaydet'e tıklayın

Veri Düzlemi Güvenliğini Yapılandırma
Cisco SD-WAN Doğrulayıcı veya Cisco vEdge yönlendiricisinde veri düzlemi güvenliğini yapılandırmak için Temel Yapılandırma ve Kimlik Doğrulama Türü sekmelerini seçin ve aşağıdaki parametreleri yapılandırın:

Tablo 3:

Parametre İsim Tanım
Yeniden Anahtarlama Süresi Bir Cisco vEdge yönlendiricisinin, Cisco SD-WAN Denetleyicisine olan güvenli DTLS bağlantısında kullanılan AES anahtarını ne sıklıkla değiştirdiğini belirtin. OMP otomatik yeniden başlatma etkinleştirilirse yeniden anahtarlama süresi, OMP otomatik yeniden başlatma zamanlayıcısının değerinin en az iki katı olmalıdır.Menzil: 10 ila 1209600 saniye (14 gün)Varsayılan: 86400 saniye (24 saat)
Tekrar Oynatma Penceresi Kayan tekrar oynatma penceresinin boyutunu belirtin.

Değerler: 64, 128, 256, 512, 1024, 2048, 4096, 8192 paketVarsayılan: 512 paket
IP güvenliği

ikili anahtarlama

 Bu, varsayılan olarak kapalıdır. Tıklamak On açmak için.
Parametre İsim Tanım
Kimlik doğrulama türü Kimlik doğrulama türlerini şuradan seçin: Kimlik doğrulama Listekimlik doğrulama türlerini Seçili Liste kolon.

Cisco SD-WAN Sürüm 20.6.1'de desteklenen kimlik doğrulama türleri:

•  özellikle: ESP başlığında Kapsüllenen Güvenlik Yükü (ESP) şifrelemesini ve bütünlük kontrolünü etkinleştirir.

•  ip-udp-esp: ESP şifrelemesini etkinleştirir. ESP başlığı ve veri yükü üzerindeki bütünlük kontrollerine ek olarak, kontroller aynı zamanda dış IP ve UDP başlıklarını da içerir.

•  ip-udp-esp-kimlik yok: Cisco Catalyst SD-WAN'ın Cisco olmayan cihazlarla birlikte çalışabilmesi için IP başlığındaki kimlik alanını yok sayar.

•  hiçbiri: IPSec paketlerinde bütünlük denetimini kapatır. Bu seçeneği kullanmanızı önermiyoruz.

 

Cisco SD-WAN Sürüm 20.5.1 ve önceki sürümlerde desteklenen kimlik doğrulama türleri:

•  ah-kimlik yok: Paketin dış IP başlığındaki kimlik alanını yok sayan, AH-SHA1 HMAC ve ESP HMAC-SHA1'in geliştirilmiş bir sürümünü etkinleştirin.

•  ah-sha1-hmac: AH-SHA1 HMAC ve ESP HMAC-SHA1'i etkinleştirin.

•  hiçbiri: Kimlik doğrulama yok seçeneğini seçin.

•  sha1-hmac: ESP HMAC-SHA1'i etkinleştirin.

 

Not              Cisco SD-WAN Sürüm 20.5.1 veya önceki sürümlerde çalışan bir uç cihazı için, kimlik doğrulama türlerini bir kullanarak yapılandırmış olabilirsiniz. Güvenlik şablon. Cihazı Cisco SD-WAN Sürüm 20.6.1 veya sonraki bir sürüme yükselttiğinizde, seçilen kimlik doğrulama türlerini Güvenlik Cisco SD-WAN Sürüm 20.6.1'den desteklenen kimlik doğrulama türlerine şablon. Kimlik doğrulama türlerini güncellemek için aşağıdakileri yapın:

1.      Cisco SD-WAN Yöneticisi menüsünden seçim yapın Yapılandırma >

Şablonlar.

2.      Tıklamak Özellik Şablonları.

3.      Bul Güvenlik güncellemek için şablon ve tıklayın… ve tıklayın Düzenlemek.

4.      Tıklamak Güncelleme. Herhangi bir konfigürasyonu değiştirmeyin.

Cisco SD-WAN Manager, Güvenlik Desteklenen kimlik doğrulama türlerini görüntülemek için şablon.

Kaydet’e tıklayın.

Veri Düzlemi Güvenlik Parametrelerini Yapılandırma

Veri düzleminde, IPsec varsayılan olarak tüm yönlendiricilerde etkindir ve varsayılan olarak IPsec tünel bağlantıları, IPsec tünellerinde kimlik doğrulama için Kapsüllenen Güvenlik Yükü (ESP) protokolünün geliştirilmiş bir sürümünü kullanır. Yönlendiricilerde kimlik doğrulama türünü, IPsec yeniden anahtarlama zamanlayıcısını ve IPsec yeniden oynatma önleme penceresinin boyutunu değiştirebilirsiniz.

İzin Verilen Kimlik Doğrulama Türlerini Yapılandırma

Cisco SD-WAN Sürüm 20.6.1 ve Sonrasındaki Kimlik Doğrulama Türleri
Cisco SD-WAN Sürüm 20.6.1'den itibaren aşağıdaki bütünlük türleri desteklenmektedir:

  • esp: Bu seçenek, Kapsüllenen Güvenlik Yükü (ESP) şifrelemesini ve ESP başlığında bütünlük kontrolünü etkinleştirir.
  • ip-udp-esp: Bu seçenek ESP şifrelemesini etkinleştirir. ESP başlığı ve veri yükü üzerindeki bütünlük kontrollerine ek olarak, kontroller aynı zamanda dış IP ve UDP başlıklarını da içerir.
  • ip-udp-esp-no-id: Bu seçenek ip-udp-esp'ye benzer, ancak dış IP başlığının kimlik alanı göz ardı edilir. Cisco Catalyst SD-WAN yazılımının IP başlığındaki kimlik alanını yok saymasını sağlamak ve Cisco Catalyst SD-WAN'ın Cisco olmayan cihazlarla birlikte çalışabilmesi için bütünlük türleri listesinde bu seçeneği yapılandırın.
  • yok: Bu seçenek IPSec paketlerinde bütünlük denetimini kapatır. Bu seçeneği kullanmanızı önermiyoruz.

Varsayılan olarak IPsec tünel bağlantıları, kimlik doğrulama için Kapsüllenen Güvenlik Yükü (ESP) protokolünün geliştirilmiş bir sürümünü kullanır. Anlaşmalı interity türlerini değiştirmek veya bütünlük denetimini devre dışı bırakmak için aşağıdaki komutu kullanın: bütünlük türü { none | ip-udp-esp | ip-udp-esp-no-kimlik | özellikle }

Cisco SD-WAN Sürümü 20.6.1 Öncesi Kimlik Doğrulama Türleri
Varsayılan olarak IPsec tünel bağlantıları, kimlik doğrulama için Kapsüllenen Güvenlik Yükü (ESP) protokolünün geliştirilmiş bir sürümünü kullanır. Anlaşmalı kimlik doğrulama türlerini değiştirmek veya kimlik doğrulamayı devre dışı bırakmak için aşağıdaki komutu kullanın: Device(config)# Security ipsec Authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) Varsayılan olarak, IPsec tünel bağlantıları, hem şifreleme hem de kimlik doğrulama sağlayan AES-GCM-256'yı kullanır. Her kimlik doğrulama türünü ayrı bir güvenlik ipsec kimlik doğrulama türü komutuyla yapılandırın. Komut seçenekleri, en güçlüden en az güçlüye doğru sıralanan aşağıdaki kimlik doğrulama türleriyle eşleşir:

Not
Yapılandırma seçeneklerindeki sha1, tarihsel nedenlerden dolayı kullanılır. Kimlik doğrulama seçenekleri, paket bütünlüğü kontrolünün ne kadarının yapıldığını gösterir. Bütünlüğü kontrol eden algoritmayı belirtmezler. Çok noktaya yayın trafiğinin şifrelenmesi dışında Cisco Catalyst SD WAN tarafından desteklenen kimlik doğrulama algoritmaları SHA1 kullanmaz. Ancak Cisco SD-WAN Sürüm 20.1.x ve sonrasında, hem tek noktaya yayın hem de çok noktaya yayın SHA1 kullanmaz.

  • ah-sha1-hmac, ESP kullanarak şifrelemeyi ve kapsüllemeyi sağlar. Ancak ESP başlığı ve veri yükü üzerindeki bütünlük kontrollerine ek olarak kontroller dış IP ve UDP başlıklarını da içerir. Dolayısıyla bu seçenek, Kimlik Doğrulama Başlığı (AH) protokolüne benzer şekilde paketin bütünlük kontrolünü destekler. Tüm bütünlük ve şifreleme AES-256-GCM kullanılarak gerçekleştirilir.
  • ah-no-id ah-sha1-hmac'a benzer bir modu etkinleştirir, ancak dış IP başlığının kimlik alanı göz ardı edilir. Bu seçenek, Apple AirPort Express NAT dahil olmak üzere, değiştirilemeyen bir alan olan IP başlığındaki kimlik alanının değiştirilmesine neden olan bir hataya sahip bazı Cisco Catalyst olmayan SD-WAN aygıtlarını barındırır. Cisco Catalyst SD-WAN AH yazılımının IP başlığındaki kimlik alanını yok saymasını sağlamak ve Cisco Catalyst SD-WAN yazılımının bu cihazlarla birlikte çalışabilmesi için kimlik doğrulama türleri listesinde ah-no-id seçeneğini yapılandırın.
  • sha1-hmac, ESP şifrelemesini ve bütünlük kontrolünü sağlar.
  • hiçbiri kimlik doğrulamanın olmamasıyla eşleşmiyor. Bu seçenek yalnızca geçici hata ayıklama için gerekliyse kullanılmalıdır. Veri düzlemi kimlik doğrulamasının ve bütünlüğünün sorun olmadığı durumlarda da bu seçeneği tercih edebilirsiniz. Cisco bu seçeneğin üretim ağları için kullanılmasını önermez.

Bu kimlik doğrulama türlerinden hangi veri paketi alanlarının etkilendiği hakkında bilgi için bkz. Veri Düzlemi Bütünlüğü. Cisco IOS XE Catalyst SD-WAN cihazları ve Cisco vEdge cihazları, yapılandırılmış kimlik doğrulama türlerini TLOC özelliklerinde duyurur. IPsec tünel bağlantısının her iki tarafındaki iki yönlendirici, her iki yönlendiricide de yapılandırılmış olan en güçlü kimlik doğrulama türünü kullanarak, aralarındaki bağlantıda kullanılacak kimlik doğrulama konusunda anlaşır. Eski içinampDosyada, bir yönlendirici ah-sha1-hmac ve ah-no-id türlerini tanıtıyorsa ve ikinci bir yönlendirici ah-no-id türünü tanıtıyorsa, iki yönlendirici arasındaki IPsec tünel bağlantısında ah-no-id kullanmak için anlaşır onlara. İki eşte ortak kimlik doğrulama türü yapılandırılmamışsa aralarında IPsec tüneli kurulmaz. IPsec tünel bağlantılarındaki şifreleme algoritması trafiğin türüne bağlıdır:

  • Tek noktaya yayın trafiği için şifreleme algoritması AES-256-GCM'dir.
  • Çok noktaya yayın trafiği için:
  • Cisco SD-WAN Sürüm 20.1.x ve üzeri – şifreleme algoritması AES-256-GCM'dir
  • Önceki sürümler – şifreleme algoritması SHA256-HMAC'li AES-1-CBC'dir.

IPsec kimlik doğrulama türü değiştirildiğinde veri yolunun AES anahtarı da değişir.

Yeniden Anahtarlama Zamanlayıcısını Değiştirme

Cisco IOS XE Catalyst SD-WAN cihazları ve Cisco vEdge cihazları veri trafiği alışverişinde bulunmadan önce aralarında güvenli, kimliği doğrulanmış bir iletişim kanalı kurarlar. Yönlendiriciler kanal olarak aralarında IPSec tünellerini ve şifrelemeyi gerçekleştirmek için AES-256 şifresini kullanır. Her yönlendirici, periyodik olarak veri yolu için yeni bir AES anahtarı oluşturur. Varsayılan olarak bir anahtar 86400 saniye (24 saat) boyunca geçerlidir ve zamanlayıcı aralığı 10 saniye ile 1209600 saniye (14 gün) arasındadır. Yeniden anahtarlama zamanlayıcı değerini değiştirmek için: Cihaz(yapılandırma)# güvenlik ipsec yeniden anahtar saniyesi Yapılandırma şu şekilde görünür:

  • güvenlik ipsec yeniden anahtarlama saniyeleri!

Hemen yeni IPsec anahtarları oluşturmak istiyorsanız bunu yönlendiricinin yapılandırmasını değiştirmeden yapabilirsiniz. Bunu yapmak için, güvenliği ihlal edilmiş yönlendiricide request güvenlik ipsecrekey komutunu verin. Eski içinampdosyasında, aşağıdaki çıktı yerel SA'nın Güvenlik Parametre Dizini'nin (SPI) 256 olduğunu gösterir:CISCO-SD-WAN-Yapılandırma-Güvenlik-Parametreler-FIG-4

Her bir SPI ile benzersiz bir anahtar ilişkilendirilir. Bu anahtarın güvenliği ihlal edilirse hemen yeni bir anahtar oluşturmak için request Security ipsec-rekey komutunu kullanın. Bu komut SPI'yi artırır. Eski sevgilimizdeampDosyada SPI 257 olarak değişir ve onunla ilişkili anahtar artık kullanılır:

  • Cihaz# isteği güvenliği ipsecrekey
  • Cihaz# ipsec local-sa'yı göster

CISCO-SD-WAN-Yapılandırma-Güvenlik-Parametreler-FIG-5

Yeni anahtar oluşturulduktan sonra yönlendirici, DTLS veya TLS kullanarak bunu hemen Cisco SD-WAN Denetleyicilerine gönderir. Cisco SD-WAN Denetleyicileri anahtarı eş yönlendiricilere gönderir. Yönlendiriciler bunu alır almaz kullanmaya başlarlar. Eski SPI (256) ile ilişkili anahtarın, zaman aşımına uğrayana kadar kısa bir süre daha kullanılmaya devam edeceğini unutmayın. Eski anahtarı kullanmayı hemen durdurmak için, güvenlik ipsec-rekey isteği komutunu hızlı bir şekilde art arda iki kez verin. Bu komut dizisi hem SPI 256 hem de 257'yi kaldırır ve SPI'yi 258'e ayarlar. Yönlendirici daha sonra ilgili SPI 258 anahtarını kullanır. Bununla birlikte, bazı paketlerin tüm uzak yönlendiriciler öğrenene kadar kısa bir süre için bırakılacağını unutmayın. yeni anahtar.CISCO-SD-WAN-Yapılandırma-Güvenlik-Parametreler-FIG-6

Tekrar Oynatmayı Önleme Penceresinin Boyutunu Değiştirme

IPsec kimlik doğrulaması, bir veri akışındaki her pakete benzersiz bir sıra numarası atayarak yeniden yürütmeye karşı koruma sağlar. Bu sıra numaralandırma, saldırganın veri paketlerini çoğaltmasına karşı koruma sağlar. Yeniden oynatma korumasıyla, gönderen monoton olarak artan sıra numaraları atar ve hedef, kopyaları tespit etmek için bu sıra numaralarını kontrol eder. Paketler çoğu zaman sırayla ulaşmadığından, hedef kabul edeceği sıra numaralarından oluşan kayan bir pencere tutar.CISCO-SD-WAN-Yapılandırma-Güvenlik-Parametreler-FIG-7

Kayan pencere aralığının soluna düşen sıra numaralarına sahip paketler eski veya kopya olarak kabul edilir ve hedef bunları bırakır. Hedef, aldığı en yüksek sıra numarasını takip eder ve daha yüksek değere sahip bir paket aldığında kayan pencereyi ayarlar.CISCO-SD-WAN-Yapılandırma-Güvenlik-Parametreler-FIG-8

Varsayılan olarak kayan pencere 512 pakete ayarlanmıştır. 64 ile 4096 arasında 2'nin üssü olan herhangi bir değere (yani 64, 128, 256, 512, 1024, 2048 veya 4096) ayarlanabilir. Yeniden oynatmayı önleme penceresi boyutunu değiştirmek için, pencerenin boyutunu belirterek replay-window komutunu kullanın:

Cihaz(yapılandırma)# güvenlik ipsec tekrar oynatma penceresi numarası

Yapılandırma şöyle görünür:
güvenlik ipsec tekrar oynatma penceresi numarası! !

QoS'ye yardımcı olmak için ilk sekiz trafik kanalının her biri için ayrı yeniden oynatma pencereleri korunur. Yapılandırılmış yeniden oynatma penceresi boyutu her kanal için sekize bölünür. QoS bir yönlendiricide yapılandırılmışsa, IPsec yeniden yürütme önleme mekanizmasının bir sonucu olarak bu yönlendiricide beklenenden daha fazla sayıda paket düşüşü yaşanabilir ve bırakılan paketlerin çoğu meşru paketlerdir. Bunun nedeni, QoS'nin paketleri yeniden sıralaması, yüksek öncelikli paketlere ayrıcalıklı muamele sağlaması ve düşük öncelikli paketleri geciktirmesidir. Bu durumu en aza indirmek veya önlemek için aşağıdakileri yapabilirsiniz:

  • Tekrar oynatmayı önleme penceresinin boyutunu artırın.
  • Bir kanal içindeki trafiğin yeniden sıralanmamasını sağlamak için trafiği ilk sekiz trafik kanalına yönlendirin.

IKE Etkin IPsec Tünellerini Yapılandırma
Trafiği yer paylaşımlı ağdan bir hizmet ağına güvenli bir şekilde aktarmak için, İnternet Anahtar Değişimi (IKE) protokolünü çalıştıran IPsec tünellerini yapılandırabilirsiniz. IKE özellikli IPsec tünelleri, güvenli paket aktarımını sağlamak için kimlik doğrulama ve şifreleme sağlar. Bir IPsec arabirimi yapılandırarak IKE'nin etkin olduğu bir IPsec tüneli oluşturursunuz. IPsec arayüzleri mantıksal arayüzlerdir ve bunları tıpkı diğer fiziksel arayüzler gibi yapılandırırsınız. IKE protokolü parametrelerini IPsec arayüzünde yapılandırırsınız ve diğer arayüz özelliklerini de yapılandırabilirsiniz.

Not Cisco, IKE Sürüm 2'nin kullanılmasını önerir. Cisco SD-WAN 19.2.x sürümünden itibaren, önceden paylaşılan anahtarın en az 16 bayt uzunluğunda olması gerekir. Yönlendirici sürüm 16'ye yükseltildiğinde anahtar boyutu 19.2 karakterden azsa IPsec tüneli kurulumu başarısız olur.

Not
Cisco Catalyst SD-WAN yazılımı, RFC 2'da tanımlandığı gibi IKE Sürüm 7296'yi destekler. IPsec tünellerinin bir kullanımı, Amazon AWS üzerinde çalışan vEdge Cloud yönlendirici VM örneklerinin Amazon sanal özel bulutuna (VPC) bağlanmasına izin vermektir. Bu yönlendiricilerde IKE Sürüm 1'i yapılandırmanız gerekir. Cisco vEdge cihazları, IPSec yapılandırmasında yalnızca rota tabanlı VPN'leri destekler çünkü bu cihazlar şifreleme etki alanındaki trafik seçicileri tanımlayamaz.

IPsec Tüneli Yapılandırma
Bir hizmet ağından güvenli aktarım trafiğine yönelik bir IPsec tünel arayüzünü yapılandırmak için mantıksal bir IPsec arayüzü oluşturursunuz:CISCO-SD-WAN-Yapılandırma-Güvenlik-Parametreler-FIG-9

IPsec tünelini aktarım VPN'sinde (VPN 0) ve herhangi bir hizmet VPN'inde (VPN 1 ila 65530, 512 hariç) oluşturabilirsiniz. IPsec arayüzünün ipsecnumarası biçiminde bir adı vardır; burada sayı 1'den 255'e kadar olabilir. Her IPsec arayüzünün bir IPv4 adresi olması gerekir. Bu adres /30 öneki olmalıdır. VPN'deki bu IPv4 öneki içindeki tüm trafik, IPsec tüneli üzerinden güvenli bir şekilde gönderilmek üzere VPN 0'daki fiziksel bir arayüze yönlendirilir. Yerel cihazdaki IPsec tünelinin kaynağını yapılandırmak için, fiziksel arayüz (tünel-kaynak komutunda) veya fiziksel arayüzün adı (tünel-kaynak-arayüz komutunda). Fiziksel arayüzün VPN 0'da yapılandırıldığından emin olun. IPsec tünelinin hedefini yapılandırmak için, tünel-destination komutunda uzak aygıtın IP adresini belirtin. Bir kaynak adresi (veya kaynak arayüz adı) ile hedef adresin birleşimi, tek bir IPsec tüneli tanımlar. Belirli bir kaynak adresi (veya arayüz adı) ve hedef adres çiftini kullanan yalnızca bir IPsec tüneli mevcut olabilir.

IPsec Statik Rotasını Yapılandırma

Trafiği hizmet VPN'sinden aktarım VPN'sindeki (VPN 0) bir IPsec tüneline yönlendirmek için, bir hizmet VPN'inde (VPN 0 veya VPN 512 dışında bir VPN) IPsec'e özgü bir statik yol yapılandırırsınız:

  • vEdge(config)# vpn vpn kimliği
  • vEdge(config-vpn)# ip ipsec-rota öneki/uzunluğu vpn 0 arayüzü
  • ipsecnumarası [ipsecnumarası2]

VPN kimliği herhangi bir hizmet VPN'inin kimliğidir (1 hariç VPN 65530'den 512'a kadar). önek/uzunluk, ondalık dört bölümlü noktalı gösterimle IP adresi veya öneki ve IPsec'e özgü statik yolun önek uzunluğudur. Arayüz, VPN 0'daki IPsec tünel arayüzüdür. Bir veya iki IPsec tünel arayüzünü yapılandırabilirsiniz. İki tane yapılandırırsanız, ilki birincil IPsec tüneli, ikincisi ise yedektir. İki arayüz ile tüm paketler yalnızca birincil tünele gönderilir. Bu tünel başarısız olursa, tüm paketler ikincil tünele gönderilir. Birincil tünel tekrar açılırsa tüm trafik birincil IPsec tüneline geri taşınır.

IKE Sürüm 1'i etkinleştirin
vEdge yönlendiricisinde bir IPsec tüneli oluşturduğunuzda, tünel arayüzünde varsayılan olarak IKE Sürüm 1 etkinleştirilir. Aşağıdaki özellikler de IKEv1 için varsayılan olarak etkindir:

  • Kimlik doğrulama ve şifreleme—Bütünlük için HMAC-SHA256 anahtarlı karma mesaj kimlik doğrulama kodu algoritmasıyla AES-1 gelişmiş şifreleme standardı CBC şifrelemesi
  • Diffie-Hellman grup numarası—16
  • Yeniden anahtarlama zaman aralığı—4 saat
  • SA kuruluş modu—Ana

Varsayılan olarak IKEv1, IKE SA'ları oluşturmak için IKE ana modunu kullanır. Bu modda SA'yı oluşturmak için altı anlaşma paketi değiştirilir. Yalnızca üç görüşme paketini değiştirmek için agresif modu etkinleştirin:

Not
Önceden paylaşılan anahtarlara sahip IKE agresif modundan mümkün olduğunca kaçınılmalıdır. Aksi takdirde güçlü bir ön paylaşımlı anahtar seçilmelidir.

  • vEdge(config)# vpn vpn-id arayüzü ipsec numarası ike
  • vEdge(config-ike)# mod agresif

Varsayılan olarak IKEv1, IKE anahtar değişiminde Diffie-Hellman grup 16'yı kullanır. Bu grup, IKE anahtar değişimi sırasında 4096 bitlik daha modüler üstel (MODP) grubu kullanır. Grup numarasını 2 (1024 bit MODP için), 14 (2048 bit MODP) veya 15 (3072 bit MODP için) olarak değiştirebilirsiniz:

  • vEdge(config)# vpn vpn-id arayüzü ipsec numarası ike
  • vEdge(config-ike)# grup numarası

Varsayılan olarak IKE anahtar değişimi, bütünlük için HMAC-SHA256 anahtarlı karma mesaj kimlik doğrulama kodu algoritmasıyla AES-1 gelişmiş şifreleme standardı CBC şifrelemesini kullanır. Kimlik doğrulamayı değiştirebilirsiniz:

  • vEdge(config)# vpn vpn-id arayüzü ipsec numarası ike
  • vEdge(config-ike)# şifre paketi paketi

Kimlik doğrulama paketi aşağıdakilerden biri olabilir:

  • aes128-cbc-sha1—Bütünlük için HMAC-SHA128 anahtarlı karma mesaj kimlik doğrulama kodu algoritmasıyla AES-1 gelişmiş şifreleme standardı CBC şifrelemesi
  • aes128-cbc-sha2—Bütünlük için HMAC-SHA128 anahtarlı karma mesaj kimlik doğrulama kodu algoritmasıyla AES-256 gelişmiş şifreleme standardı CBC şifrelemesi
  • aes256-cbc-sha1—Bütünlük için HMAC-SHA256 anahtarlı karma mesaj kimlik doğrulama kodu algoritmasıyla AES-1 gelişmiş şifreleme standardı CBC şifrelemesi; bu varsayılandır.
  • aes256-cbc-sha2—Bütünlük için HMAC-SHA256 anahtarlı karma mesaj kimlik doğrulama kodu algoritmasıyla AES-256 gelişmiş şifreleme standardı CBC şifrelemesi

Varsayılan olarak IKE anahtarları her 1 saatte bir (3600 saniye) yenilenir. Yeniden anahtarlama aralığını 30 saniye ile 14 gün (1209600 saniye) arasında bir değere değiştirebilirsiniz. Yeniden anahtarlama aralığının en az 1 saat olması tavsiye edilir.

  • vEdge(config)# vpn vpn-id arayüzü ipsec numarası gibi
  • vEdge(config-ike)# yeniden anahtarlama saniyesi

Bir IKE oturumu için yeni anahtarların oluşturulmasını zorlamak için request ipsec ike-rekey komutunu verin.

  • vEdge(config)# vpn vpn-id arayüzüipsec numarası ike

IKE için önceden paylaşılmış anahtar (PSK) kimlik doğrulamasını da yapılandırabilirsiniz:

  • vEdge(config)# vpn vpn-id arayüzü ipsec numarası ike
  • vEdge(config-ike)# kimlik doğrulama tipi ön paylaşımlı anahtar ön paylaşımlı gizli şifre şifre, önceden paylaşımlı anahtarla kullanılacak şifredir. Bir ASCII veya 1 ila 127 karakter uzunluğunda onaltılık bir dize olabilir.

Uzak IKE eşi yerel veya uzak kimlik gerektiriyorsa bu tanımlayıcıyı yapılandırabilirsiniz:

  • vEdge(config)# vpn vpn-id arayüzü ipsec numarası ike kimlik doğrulama türü
  • vEdge(yapılandırma-kimlik doğrulama türü)# yerel kimlik kimliği
  • vEdge(yapılandırma-kimlik doğrulama türü)# uzaktan kimlik kimliği

Tanımlayıcı bir IP adresi veya 1 ila 63 karakter uzunluğunda herhangi bir metin dizisi olabilir. Varsayılan olarak yerel kimlik, tünelin kaynak IP adresidir ve uzak kimlik, tünelin hedef IP adresidir.

IKE Sürüm 2'i etkinleştirin
IKE Sürüm 2'yi kullanacak bir IPsec tüneli yapılandırdığınızda, aşağıdaki özellikler de IKEv2 için varsayılan olarak etkinleştirilir:

  • Kimlik doğrulama ve şifreleme—Bütünlük için HMAC-SHA256 anahtarlı karma mesaj kimlik doğrulama kodu algoritmasıyla AES-1 gelişmiş şifreleme standardı CBC şifrelemesi
  • Diffie-Hellman grup numarası—16
  • Yeniden anahtarlama zaman aralığı—4 saat

Varsayılan olarak IKEv2, IKE anahtar değişiminde Diffie-Hellman grup 16'yı kullanır. Bu grup, IKE anahtar değişimi sırasında 4096 bitlik daha modüler üstel (MODP) grubu kullanır. Grup numarasını 2 (1024 bit MODP için), 14 (2048 bit MODP) veya 15 (3072 bit MODP için) olarak değiştirebilirsiniz:

  • vEdge(config)# vpn vpn-id arayüzü ipsecnumber ike
  • vEdge(config-ike)# grup numarası

Varsayılan olarak IKE anahtar değişimi, bütünlük için HMAC-SHA256 anahtarlı karma mesaj kimlik doğrulama kodu algoritmasıyla AES-1 gelişmiş şifreleme standardı CBC şifrelemesini kullanır. Kimlik doğrulamayı değiştirebilirsiniz:

  • vEdge(config)# vpn vpn-id arayüzü ipsecnumber ike
  • vEdge(config-ike)# şifre paketi paketi

Kimlik doğrulama paketi aşağıdakilerden biri olabilir:

  • aes128-cbc-sha1—Bütünlük için HMAC-SHA128 anahtarlı karma mesaj kimlik doğrulama kodu algoritmasıyla AES-1 gelişmiş şifreleme standardı CBC şifrelemesi
  • aes128-cbc-sha2—Bütünlük için HMAC-SHA128 anahtarlı karma mesaj kimlik doğrulama kodu algoritmasıyla AES-256 gelişmiş şifreleme standardı CBC şifrelemesi
  • aes256-cbc-sha1—Bütünlük için HMAC-SHA256 anahtarlı karma mesaj kimlik doğrulama kodu algoritmasıyla AES-1 gelişmiş şifreleme standardı CBC şifrelemesi; bu varsayılandır.
  • aes256-cbc-sha2—Bütünlük için HMAC-SHA256 anahtarlı karma mesaj kimlik doğrulama kodu algoritmasıyla AES-256 gelişmiş şifreleme standardı CBC şifrelemesi

Varsayılan olarak IKE anahtarları her 4 saatte bir (14,400 saniye) yenilenir. Yeniden anahtarlama aralığını 30 saniye ile 14 gün (1209600 saniye) arasında bir değere değiştirebilirsiniz:

  • vEdge(config)# vpn vpn-id arayüzü ipsecnumber ike
  • vEdge(config-ike)# yeniden anahtarlama saniyesi

Bir IKE oturumu için yeni anahtarların oluşturulmasını zorlamak için request ipsec ike-rekey komutunu verin. IKE için önceden paylaşılmış anahtar (PSK) kimlik doğrulamasını da yapılandırabilirsiniz:

  • vEdge(config)# vpn vpn-id arayüzü ipsecnumber ike
  • vEdge(config-ike)# kimlik doğrulama tipi ön paylaşımlı anahtar ön paylaşımlı gizli şifre şifre, önceden paylaşımlı anahtarla kullanılacak şifredir. Bu bir ASCII veya onaltılık bir dize olabilir veya AES ile şifrelenmiş bir anahtar olabilir. Uzak IKE eşi yerel veya uzak kimlik gerektiriyorsa bu tanımlayıcıyı yapılandırabilirsiniz:
  • vEdge(config)# vpn vpn-id arayüzü ipsecnumber ike kimlik doğrulama tipi
  • vEdge(yapılandırma-kimlik doğrulama türü)# yerel kimlik kimliği
  • vEdge(yapılandırma-kimlik doğrulama türü)# uzaktan kimlik kimliği

Tanımlayıcı bir IP adresi veya 1 ila 64 karakter uzunluğunda herhangi bir metin dizisi olabilir. Varsayılan olarak yerel kimlik, tünelin kaynak IP adresidir ve uzak kimlik, tünelin hedef IP adresidir.

IPsec Tüneli Parametrelerini Yapılandırma

Tablo 4: Özellik Geçmişi

Özellik İsim Sürüm Bilgileri Tanım
Ek Şifreleme Cisco SD-WAN Sürüm 20.1.1 Bu özellik aşağıdakiler için destek ekler:
IPSec için Algoritmik Destek   HMAC_SHA256, HMAC_SHA384 ve
Tüneller   HMAC_SHA512 algoritmaları
    Arttırılmış güvenlik.

IKE trafiğini taşıyan IPsec tünelinde varsayılan olarak aşağıdaki parametreler kullanılır:

  • Kimlik doğrulama ve şifreleme—GCM'de AES-256 algoritması (Galois/sayaç modu)
  • Yeniden anahtarlama aralığı—4 saat
  • Tekrar oynatma penceresi — 32 paket

IPsec tünelindeki şifrelemeyi, CBC'deki AES-256 şifresine (şifre bloğu zincirleme modu, SHA-1 veya SHA-2 anahtarlı karma mesaj kimlik doğrulamasını kullanan HMAC ile veya SHA-1 veya SHA-2 veya SHA-XNUMX kullanarak HMAC ile null) değiştirebilirsiniz. IKE anahtar değişimi trafiği için kullanılan IPsec tünelini şifrelememek için SHA-XNUMX anahtarlı karma mesaj kimlik doğrulaması:

  • vEdge(yapılandırma arayüzü-ipsec numarası)# ipsec
  • vEdge(config-ipsec)# şifre-paketi (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 | aes256-null-sha384 | aes256-null-sha512)

Varsayılan olarak IKE anahtarları her 4 saatte bir (14,400 saniye) yenilenir. Yeniden anahtarlama aralığını 30 saniye ile 14 gün (1209600 saniye) arasında bir değere değiştirebilirsiniz:

  • vEdge(yapılandırma arayüzü-ipsec numarası)# ipsec
  • vEdge(config-ipsec)# yeniden anahtarlama saniyesi

Bir IPsec tüneli için yeni anahtarların oluşturulmasını zorlamak için request ipsec ipsec-rekey komutunu verin. Gelecekteki anahtarların güvenliği ihlal edildiğinde geçmiş oturumların etkilenmemesini sağlamak için IPsec tünellerinde varsayılan olarak mükemmel iletim gizliliği (PFS) etkinleştirilmiştir. PFS, varsayılan olarak 4096 bit Diffie-Hellman ana modül grubunu kullanarak yeni bir Diffie-Hellman anahtar değişimini zorlar. PFS ayarını değiştirebilirsiniz:

  • vEdge(yapılandırma arayüzü-ipsec numarası)# ipsec
  • vEdge(config-ipsec)# mükemmel iletme gizliliği pfs ayarı

pfs ayarı aşağıdakilerden biri olabilir:

  • grup-2—1024 bit Diffie-Hellman asal modül grubunu kullanın.
  • grup-14—2048 bit Diffie-Hellman asal modül grubunu kullanın.
  • grup-15—3072 bit Diffie-Hellman asal modül grubunu kullanın.
  • grup-16—4096 bit Diffie-Hellman asal modül grubunu kullanın. Bu varsayılandır.
  • hiçbiri—PFS'yi devre dışı bırakın.

Varsayılan olarak IPsec tünelindeki IPsec yeniden oynatma penceresi 512 bayttır. Yeniden oynatma penceresi boyutunu 64, 128, 256, 512, 1024, 2048 veya 4096 pakete ayarlayabilirsiniz:

  • vEdge(yapılandırma arayüzü-ipsec numarası)# ipsec
  • vEdge(config-ipsec)# tekrar oynatma penceresi numarası

IKE Ölü Eş Tespitini Değiştirin

IKE, bir IKE eşiyle bağlantının işlevsel ve ulaşılabilir olup olmadığını belirlemek için ölü eş algılama mekanizmasını kullanır. Bu mekanizmayı uygulamak için IKE, eşdüzeyine bir Merhaba paketi gönderir ve eş, yanıt olarak bir bildirim gönderir. Varsayılan olarak IKE her 10 saniyede bir Merhaba paketleri gönderir ve onaylanmayan üç paketten sonra IKE komşunun öldüğünü bildirir ve eşe giden tüneli yerle bir eder. Bundan sonra IKE periyodik olarak eşe bir Merhaba paketi gönderir ve eş tekrar çevrimiçi olduğunda tüneli yeniden kurar. Canlılık algılama aralığını 0 ila 65535 arasında bir değere ve yeniden deneme sayısını 0 ila 255 arasında bir değere değiştirebilirsiniz.

Not

Aktarım VPN'leri için, canlılık algılama aralığı aşağıdaki formül kullanılarak saniyelere dönüştürülür: Yeniden iletim denemesi aralığı numarası N = aralık * 1.8N-1For example, aralık 10'a ayarlanıp 5 olarak yeniden denenirse algılama aralığı şu şekilde artar:

  • 1 girişimi: 10 * 1.81-1= 10 saniye
  • Girişim 2: 10 * 1.82-1= 18 saniye
  • Girişim 3: 10 * 1.83-1= 32.4 saniye
  • Girişim 4: 10 * 1.84-1= 58.32 saniye
  • Girişim 5: 10 * 1.85-1= 104.976 saniye

vEdge(config-interface-ipsecnumber)# ölü eş algılama aralığı yeniden deneme sayısı

Diğer Arayüz Özelliklerini Yapılandırma

IPsec tüneli arayüzleri için yalnızca aşağıdaki ek arayüz özelliklerini yapılandırabilirsiniz:

  • vEdge(config-interface-ipsec)# mtu bayt
  • vEdge(config-interface-ipsec)# tcp-mss-ayar baytları

Cisco SD-WAN Manager'da Zayıf SSH Şifreleme Algoritmalarını Devre Dışı Bırakın

Tablo 5: Özellik Geçmişi Tablosu

Özellik İsim Sürüm Bilgileri Özellik Tanım
Cisco SD-WAN Manager'da Zayıf SSH Şifreleme Algoritmalarını Devre Dışı Bırakın Cisco vManage Sürüm 20.9.1 Bu özellik, Cisco SD-WAN Manager'da belirli veri güvenliği standartlarına uymayabilecek daha zayıf SSH algoritmalarını devre dışı bırakmanıza olanak tanır.

Cisco SD-WAN Manager'da Zayıf SSH Şifreleme Algoritmalarını Devre Dışı Bırakma Hakkında Bilgi
Cisco SD-WAN Manager, denetleyiciler ve uç cihazlar da dahil olmak üzere ağdaki bileşenlerle iletişim için bir SSH istemcisi sağlar. SSH istemcisi, çeşitli şifreleme algoritmalarına dayalı olarak güvenli veri aktarımı için şifrelenmiş bir bağlantı sağlar. Birçok kuruluş SHA-1, AES-128 ve AES-192 tarafından sağlananlardan daha güçlü şifrelemeye ihtiyaç duyar. Cisco vManage Sürüm 20.9.1'den, SSH istemcisinin bu algoritmaları kullanmaması için aşağıdaki daha zayıf şifreleme algoritmalarını devre dışı bırakabilirsiniz:

  • SHA-1
  • AES-128
  • AES-192

Bu şifreleme algoritmalarını devre dışı bırakmadan önce, varsa ağdaki Cisco vEdge cihazlarının, Cisco SD-WAN Sürüm 18.4.6'dan sonraki bir yazılım sürümünü kullandığından emin olun.

Cisco SD-WAN Manager'da Zayıf SSH Şifreleme Algoritmalarını Devre Dışı Bırakmanın Faydaları
Daha zayıf SSH şifreleme algoritmalarının devre dışı bırakılması, SSH iletişiminin güvenliğini artırır ve Cisco Catalyst SD-WAN kullanan kuruluşların katı güvenlik düzenlemeleriyle uyumlu olmasını sağlar.

CLI Kullanarak Cisco SD-WAN Manager'da Zayıf SSH Şifreleme Algoritmalarını Devre Dışı Bırakma

  1. Cisco SD-WAN Manager menüsünden Araçlar > SSH Terminali'ni seçin.
  2. Daha zayıf SSH algoritmalarını devre dışı bırakmak istediğiniz Cisco SD-WAN Manager cihazını seçin.
  3. Cihazda oturum açmak için kullanıcı adını ve şifreyi girin.
  4. SSH sunucu moduna girin.
    • vmanage(config)# sistem
    • vmanage(config-system)# ssh-sunucusu
  5. SSH şifreleme algoritmasını devre dışı bırakmak için aşağıdakilerden birini yapın:
    • SHA-1'i devre dışı bırakın:
  6. yönet(config-ssh-server)# kex-algo sha1 yok
  7. yönet(config-ssh-sunucusu)# taahhüt
    Aşağıdaki uyarı mesajı görüntülenir: Aşağıdaki uyarılar oluşturuldu: 'system ssh-server kex-algo sha1': UYARI: Lütfen tüm kenarlarınızın vManage ile SHA18.4.6'den daha iyi anlaşma sağlayan > 1 kod sürümünü çalıştırdığından emin olun. Aksi takdirde bu kenarlar çevrimdışı hale gelebilir. İlerlemek? [evet, hayır] evet
    • Ağdaki tüm Cisco vEdge cihazlarının Cisco SD-WAN Sürüm 18.4.6 veya üstünü çalıştırdığından emin olun ve evet'i girin.
    • AES-128 ve AES-192'yi devre dışı bırakın:
    • vmanage(config-ssh-server)# şifre yok aes-128-192
    • vmanage(config-ssh-sunucusu)# taahhüt
      Aşağıdaki uyarı mesajı görüntülenir:
      Aşağıdaki uyarılar oluşturuldu:
      'system ssh-server cipher aes-128-192': UYARI: Lütfen tüm kenarlarınızın, vManage ile AES-18.4.6-128'den daha iyi anlaşma sağlayan > 192 kod sürümünü çalıştırdığından emin olun. Aksi takdirde bu kenarlar çevrimdışı hale gelebilir. İlerlemek? [evet, hayır] evet
    • Ağdaki tüm Cisco vEdge cihazlarının Cisco SD-WAN Sürüm 18.4.6 veya üstünü çalıştırdığından emin olun ve evet'i girin.

CLI Kullanarak Cisco SD-WAN Manager'da Zayıf SSH Şifreleme Algoritmalarının Devre Dışı Bırakıldığını Doğrulayın

  1. Cisco SD-WAN Manager menüsünden Araçlar > SSH Terminali'ni seçin.
  2. Doğrulamak istediğiniz Cisco SD-WAN Manager cihazını seçin.
  3. Cihazda oturum açmak için kullanıcı adını ve şifreyi girin.
  4. Aşağıdaki komutu çalıştırın: show Running-config system ssh-server
  5. Çıktının, daha zayıf şifreleme algoritmalarını devre dışı bırakan bir veya daha fazla komutu gösterdiğini doğrulayın:
    • şifre yok aes-128-192
    • kex-algo sha1 yok

Belgeler / Kaynaklar

CISCO SD-WAN Güvenlik Parametrelerini Yapılandırma [pdf] Kullanıcı Kılavuzu
SD-WAN Güvenlik Parametrelerini Yapılandırma, SD-WAN, Güvenlik Parametrelerini Yapılandırma, Güvenlik Parametreleri

Referanslar

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar işaretlenmiştir *