Зміст приховати
1 CISCO SD-WAN Налаштуйте параметри безпеки
2 Налаштувати параметри безпеки
3 Налаштуйте параметри безпеки контрольної площини
4 Налаштуйте DTLS у Cisco SD-WAN Manager
5 Налаштуйте параметри безпеки площини даних
6 Налаштувати дозволені типи автентифікації
7 Змініть таймер перезавантаження
8 Змініть розмір вікна Anti-Replay
9 Налаштуйте статичний маршрут IPsec
10 Налаштуйте параметри тунелю IPsec
11 Змінити виявлення мертвого однорангового вузла IKE
12 Налаштувати інші властивості інтерфейсу
13 Вимкніть слабкі алгоритми шифрування SSH у Cisco SD-WAN Manager
14 Документи / Ресурси
14.1 Список літератури

CISCO-LOGO

CISCO SD-WAN Налаштуйте параметри безпеки

CISCO-SD-WAN-Configure-Security-Parameters-PRODUCT

Налаштувати параметри безпеки

Примітка

Для досягнення спрощення та узгодженості рішення Cisco SD-WAN було перейменовано в Cisco Catalyst SD-WAN. Крім того, починаючи з Cisco IOS XE SD-WAN Release 17.12.1a та Cisco Catalyst SD-WAN Release 20.12.1, застосовуються такі зміни компонентів: Cisco vManage на Cisco Catalyst SD-WAN Manager, Cisco vAnalytics на Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator і Cisco vSmart to Cisco Catalyst SD-WAN Controller. Ознайомтеся з останніми примітками до випуску, щоб отримати вичерпний список усіх змін торгової марки компонентів. Поки ми переходимо до нових імен, у комплекті документації можуть бути деякі невідповідності через поетапний підхід до оновлень інтерфейсу користувача програмного продукту.

У цьому розділі описано, як змінити параметри безпеки для площини керування та площини даних у накладеній мережі Cisco Catalyst SD-WAN.

  • Налаштувати параметри безпеки контрольної площини, увімк
  • Налаштувати параметри безпеки площини даних увімк
  • Налаштування тунелів IPsec із підтримкою IKE увімк
  • Вимкніть слабкі алгоритми шифрування SSH на диспетчері Cisco SD-WAN увімк

Налаштуйте параметри безпеки контрольної площини

За замовчуванням рівень керування використовує DTLS як протокол, який забезпечує конфіденційність у всіх його тунелях. DTLS працює над UDP. Ви можете змінити протокол безпеки рівня керування на TLS, який працює через TCP. Основною причиною використання TLS є те, що якщо ви вважаєте контролер Cisco SD-WAN сервером, брандмауери захищають сервери TCP краще, ніж сервери UDP. Ви налаштовуєте тунельний протокол рівня керування на контролері Cisco SD-WAN: vSmart(config)# security control protocol tls Завдяки цій зміні всі тунелі рівня керування між контролером Cisco SD-WAN і маршрутизаторами та між контролером Cisco SD-WAN і Cisco SD-WAN Manager використовують TLS. Тунелі контрольної площини до Cisco Catalyst SD-WAN Validator завжди використовують DTLS, оскільки ці підключення має оброблятися UDP. У домені з кількома контролерами Cisco SD-WAN, коли ви налаштовуєте TLS на одному з контролерів Cisco SD-WAN, усі тунелі площини керування від цього контролера до інших контролерів використовують TLS. Іншими словами, TLS завжди має пріоритет над DTLS. Однак, з точки зору інших контролерів Cisco SD-WAN, якщо ви не налаштували на них TLS, вони використовують TLS на тунелі площини керування лише для цього одного контролера Cisco SD-WAN, і вони використовують тунелі DTLS для всіх інших Контролери Cisco SD-WAN і до всіх підключених до них маршрутизаторів. Щоб усі контролери Cisco SD-WAN використовували TLS, налаштуйте його на всіх них. За замовчуванням контролер Cisco SD-WAN прослуховує запити TLS на порту 23456. Щоб змінити це: vSmart(config)# security control tls-port number Порт може бути числом від 1025 до 65535. Щоб відобразити інформацію безпеки рівня керування, скористайтеся командою show control connections на контролері Cisco SD-WAN. наприкладample: vSmart-2# показати контрольні підключення

CISCO-SD-WAN-Configure-Security-Parameters-FIG-1

Налаштуйте DTLS у Cisco SD-WAN Manager

Якщо ви налаштуєте диспетчер Cisco SD-WAN на використання TLS як протокол безпеки рівня керування, вам потрібно ввімкнути переадресацію портів на вашому NAT. Якщо ви використовуєте DTLS як протокол безпеки рівня керування, вам не потрібно нічого робити. Кількість переадресованих портів залежить від кількості процесів vdaemon, запущених у Cisco SD-WAN Manager. Щоб відобразити інформацію про ці процеси та про кількість портів, які перенаправляються, скористайтеся командою show control summary, яка показує, що запущено чотири процеси демона:CISCO-SD-WAN-Configure-Security-Parameters-FIG-2

Щоб побачити порти прослуховування, скористайтеся командою show control local-properties: vManage# show control local-properties

CISCO-SD-WAN-Configure-Security-Parameters-FIG-3

Цей вихід показує, що прослуховуваний TCP-порт – 23456. Якщо ви використовуєте Cisco SD-WAN Manager за NAT, вам слід відкрити такі порти на пристрої NAT:

  • 23456 (база – порт екземпляра 0)
  • 23456 + 100 (основа + 100)
  • 23456 + 200 (основа + 200)
  • 23456 + 300 (основа + 300)

Зверніть увагу, що кількість екземплярів є такою ж, як кількість ядер, які ви призначили для Cisco SD-WAN Manager, максимум до 8.

Налаштуйте параметри безпеки за допомогою шаблону функції безпеки

Використовуйте шаблон функції безпеки для всіх пристроїв Cisco vEdge. На периферійних маршрутизаторах і в Cisco SD-WAN Validator використовуйте цей шаблон, щоб налаштувати IPsec для безпеки рівня даних. У Cisco SD-WAN Manager і Cisco SD-WAN Controller використовуйте шаблон функції безпеки, щоб налаштувати DTLS або TLS для безпеки рівня керування.

Налаштувати параметри безпеки

  1. У меню диспетчера Cisco SD-WAN виберіть Конфігурація > Шаблони.
  2. Натисніть «Шаблони функцій», а потім «Додати шаблон».
    Примітка У версії Cisco vManage 20.7.1 і попередніх версіях шаблони функцій називаються функціями.
  3. У списку пристроїв на лівій панелі виберіть пристрій. Шаблони, застосовні до вибраного пристрою, з’являться на правій панелі.
  4. Натисніть Безпека, щоб відкрити шаблон.
  5. У полі Ім’я шаблону введіть назву шаблону. Назва може містити до 128 символів і може містити лише буквено-цифрові символи.
  6. У полі «Опис шаблону» введіть опис шаблону. Опис може містити до 2048 символів і може містити лише буквено-цифрові символи.

Коли ви вперше відкриваєте шаблон функції, для кожного параметра, який має значення за замовчуванням, для області встановлюється значення «За замовчуванням» (позначається галочкою), і відображається налаштування або значення за замовчуванням. Щоб змінити значення за умовчанням або ввести значення, клацніть розкривне меню ліворуч від поля параметра та виберіть один із наведених нижче варіантів.

Таблиця 1:

Параметр Область застосування Опис сфери застосування
Специфічний пристрій (позначається піктограмою хоста) Використовуйте для параметра значення пристрою. Для параметрів, специфічних для пристрою, ви не можете ввести значення в шаблон функції. Ви вводите значення, коли приєднуєте пристрій Viptela до шаблону пристрою.

Коли ви клацнете «Спеціально для пристрою», відкриється поле «Введіть ключ». У цьому полі відображається ключ, який є унікальним рядком, що ідентифікує параметр у файлі CSV file що ви створюєте. Це file це електронна таблиця Excel, яка містить один стовпець для кожного ключа. Рядок заголовка містить назви ключів (один ключ на стовпець), і кожен наступний рядок відповідає пристрою та визначає значення ключів для цього пристрою. Ви завантажуєте CSV file коли ви приєднуєте пристрій Viptela до шаблону пристрою. Щоб отримати додаткові відомості, див. Створення електронної таблиці змінних шаблону.

Щоб змінити ключ за замовчуванням, введіть новий рядок і перемістіть курсор за межі поля Enter Key.

ExampПараметри, що стосуються пристрою, — це IP-адреса системи, ім’я хоста, розташування GPS та ідентифікатор сайту.
Параметр Область застосування Опис сфери застосування
Глобально (позначається значком глобуса) Введіть значення для параметра та застосуйте це значення до всіх пристроїв.

ExampПараметри, які ви можете застосувати глобально до групи пристроїв, це DNS-сервер, сервер системного журналу та MTU інтерфейсу.

Налаштуйте безпеку контрольної площини

Примітка
Розділ «Налаштувати безпеку контрольної площини» стосується лише Cisco SD-WAN Manager і Cisco SD-WAN Controller. Щоб налаштувати протокол підключення контрольної площини на екземплярі Cisco SD-WAN Manager або Cisco SD-WAN Controller, виберіть область «Основна конфігурація». і налаштуйте наступні параметри:

Таблиця 2:

Параметр Ім'я опис
Протокол Виберіть протокол для підключення рівня керування до контролера Cisco SD-WAN:

• DTLS (Datagram Transport Layer Security). Це значення за умовчанням.

• TLS (безпека транспортного рівня)
Контроль порту TLS Якщо ви вибрали TLS, налаштуйте номер порту для використання:діапазон: Від 1025 до 65535За замовчуванням: 23456

Натисніть Зберегти

Налаштування безпеки даних
Щоб налаштувати безпеку рівня даних на Cisco SD-WAN Validator або Cisco vEdge, виберіть вкладки Basic Configuration і Authentication Type і налаштуйте такі параметри:

Таблиця 3:

Параметр Ім'я опис
Час повторного введення Укажіть, як часто маршрутизатор Cisco vEdge змінює ключ AES, що використовується в його безпечному DTLS-з’єднанні з контролером Cisco SD-WAN. Якщо ввімкнено плавний перезапуск OMP, час повторного введення має принаймні вдвічі перевищувати значення таймера плавного перезапуску OMP.діапазон: Від 10 до 1209600 секунд (14 днів)За замовчуванням: 86400 секунд (24 години)
Вікно повтору Вкажіть розмір ковзного вікна відтворення.

Значення: 64, 128, 256, 512, 1024, 2048, 4096, 8192 пакетівЗа замовчуванням: 512 пакетів
IPsec

попарно-ключовий

 За умовчанням це вимкнено. Натисніть On щоб увімкнути його.
Параметр Ім'я опис
Тип автентифікації Виберіть типи автентифікації з Аутентифікація Списокі клацніть стрілку вправо, щоб перемістити типи автентифікації до Вибраний список колонка.

Типи автентифікації, які підтримуються Cisco SD-WAN версії 20.6.1:

•  особливо: вмикає шифрування інкапсуляційного корисного навантаження безпеки (ESP) і перевірку цілісності заголовка ESP.

•  ip-udp-esp: Вмикає шифрування ESP. Окрім перевірок цілісності заголовка ESP і корисного навантаження, перевірки також включають зовнішні заголовки IP та UDP.

•  ip-udp-esp-no-id: Ігнорує поле ідентифікатора в IP-заголовку, щоб Cisco Catalyst SD-WAN могла працювати разом із пристроями інших виробників.

•  немає: вимикає перевірку цілісності пакетів IPSec. Ми не рекомендуємо використовувати цей параметр.

 

Типи автентифікації, які підтримуються в Cisco SD-WAN Release 20.5.1 і раніше:

•  ах-ні-ідент: увімкніть розширену версію AH-SHA1 HMAC і ESP HMAC-SHA1, яка ігнорує поле ID у зовнішньому IP-заголовку пакета.

•  ah-sha1-hmac: увімкнути AH-SHA1 HMAC і ESP HMAC-SHA1.

•  немає: Виберіть відсутність автентифікації.

•  sha1-hmac: увімкнути ESP HMAC-SHA1.

 

Примітка              Для периферійного пристрою, що працює на Cisco SD-WAN версії 20.5.1 або ранішої, ви могли налаштувати типи автентифікації за допомогою Безпека шаблон. Коли ви оновлюєте пристрій до версії Cisco SD-WAN 20.6.1 або новішої, оновіть вибрані типи автентифікації в Безпека шаблон для типів автентифікації, які підтримуються Cisco SD-WAN випуску 20.6.1. Щоб оновити типи автентифікації, виконайте такі дії:

1.      У меню Cisco SD-WAN Manager виберіть Конфігурація >

Шаблони.

2.      Натисніть Шаблони функцій.

3.      Знайдіть Безпека шаблон для оновлення та натисніть … і натисніть Редагувати.

4.      Натисніть оновлення. Не змінюйте конфігурацію.

Cisco SD-WAN Manager оновлює Безпека шаблон для відображення підтримуваних типів автентифікації.

Натисніть Зберегти.

Налаштуйте параметри безпеки площини даних

У площині даних IPsec увімкнено за замовчуванням на всіх маршрутизаторах, і за замовчуванням тунельні з’єднання IPsec використовують розширену версію протоколу Encapsulating Security Payload (ESP) для автентифікації в тунелях IPsec. На маршрутизаторах можна змінити тип автентифікації, таймер зміни ключа IPsec і розмір вікна захисту від повтору IPsec.

Налаштувати дозволені типи автентифікації

Типи автентифікації в Cisco SD-WAN версії 20.6.1 і пізнішої версії
Починаючи з Cisco SD-WAN версії 20.6.1, підтримуються такі типи цілісності:

  • esp: цей параметр умикає шифрування Encapsulating Security Payload (ESP) і перевірку цілісності заголовка ESP.
  • ip-udp-esp: цей параметр увімкне шифрування ESP. Окрім перевірок цілісності заголовка ESP і корисного навантаження, перевірки також включають зовнішні заголовки IP та UDP.
  • ip-udp-esp-no-id: цей параметр подібний до ip-udp-esp, однак поле ID зовнішнього IP-заголовка ігнорується. Налаштуйте цей параметр у списку типів цілісності, щоб програмне забезпечення Cisco Catalyst SD-WAN ігнорувало поле ідентифікатора в IP-заголовку, щоб Cisco Catalyst SD-WAN могла працювати разом із пристроями інших виробників.
  • немає: цей параметр вимикає перевірку цілісності пакетів IPSec. Ми не рекомендуємо використовувати цей параметр.

За замовчуванням тунельні підключення IPsec використовують для автентифікації розширену версію протоколу Encapsulating Security Payload (ESP). Щоб змінити узгоджені типи інтерітету або вимкнути перевірку цілісності, скористайтеся такою командою: integrity-type { none | ip-udp-esp | ip-udp-esp-no-id | esp }

Типи автентифікації до випуску Cisco SD-WAN 20.6.1
За замовчуванням тунельні підключення IPsec використовують для автентифікації розширену версію протоколу Encapsulating Security Payload (ESP). Щоб змінити узгоджені типи автентифікації або вимкнути автентифікацію, скористайтеся такою командою: Device(config)# security ipsec authentication-type (ah-sha1-hmac | ah-no-id | sha1-hmac | | none) За замовчуванням IPsec тунельні підключення використовують AES-GCM-256, який забезпечує як шифрування, так і автентифікацію. Налаштуйте кожен тип автентифікації за допомогою окремої команди типу автентифікації безпеки ipsec. Параметри команди відповідають наведеним нижче типам автентифікації, які перераховані в порядку від найбільш надійного до найменш надійного:

Примітка
Sha1 у параметрах конфігурації використовується з історичних причин. Параметри автентифікації вказують, скільки виконано перевірки цілісності пакетів. Вони не вказують алгоритм перевірки цілісності. За винятком шифрування багатоадресного трафіку, алгоритми автентифікації, які підтримує Cisco Catalyst SD WAN, не використовують SHA1. Однак у версії Cisco SD-WAN 20.1.x і новіших як одноадресна, так і багатоадресна передача не використовують SHA1.

  • ah-sha1-hmac дозволяє шифрування та інкапсуляцію за допомогою ESP. Однак, крім перевірок цілісності заголовка ESP і корисного навантаження, перевірки також включають зовнішні заголовки IP і UDP. Таким чином, цей параметр підтримує перевірку цілісності пакета, подібну до протоколу Authentication Header (AH). Вся цілісність і шифрування виконується за допомогою AES-256-GCM.
  • ah-no-id вмикає режим, подібний до ah-sha1-hmac, проте поле ідентифікатора зовнішнього IP-заголовка ігнорується. Цей параметр підтримує деякі пристрої SD-WAN, що не належать до Cisco Catalyst, у тому числі Apple AirPort Express NAT, які мають помилку, яка спричиняє зміну поля ID у заголовку IP, незмінного поля. Налаштуйте параметр ah-no-id у списку типів автентифікації, щоб програмне забезпечення Cisco Catalyst SD-WAN AH ігнорувало поле ID у заголовку IP, щоб програмне забезпечення Cisco Catalyst SD-WAN могло працювати разом із цими пристроями.
  • sha1-hmac включає шифрування ESP і перевірку цілісності.
  • none не відповідає відсутності автентифікації. Цю опцію слід використовувати, лише якщо вона потрібна для тимчасового налагодження. Ви також можете вибрати цей параметр у ситуаціях, коли автентифікація площини даних і цілісність не є проблемою. Cisco не рекомендує використовувати цей параметр для робочих мереж.

Інформацію про те, на які поля пакетів даних впливають ці типи автентифікації, див. розділ «Цілісність площини даних». Пристрої Cisco IOS XE Catalyst SD-WAN і пристрої Cisco vEdge рекламують свої налаштовані типи автентифікації у своїх властивостях TLOC. Два маршрутизатори по обидві сторони тунельного з’єднання IPsec узгоджують автентифікацію для використання в з’єднанні між ними, використовуючи найнадійніший тип автентифікації, налаштований на обох маршрутизаторах. наприкладampякщо один маршрутизатор оголошує типи ah-sha1-hmac і ah-no-id, а другий маршрутизатор оголошує тип ah-no-id, два маршрутизатори погоджуються використовувати ah-no-id у тунельному з’єднанні IPsec між їх. Якщо на двох однорангових вузлах не налаштовано спільні типи автентифікації, між ними не встановлюється тунель IPsec. Алгоритм шифрування тунельних з’єднань IPsec залежить від типу трафіку:

  • Для одноадресного трафіку використовується алгоритм шифрування AES-256-GCM.
  • Для багатоадресного трафіку:
  • Cisco SD-WAN Release 20.1.x і новіші версії – алгоритм шифрування AES-256-GCM
  • Попередні випуски – алгоритм шифрування AES-256-CBC із SHA1-HMAC.

Коли змінюється тип автентифікації IPsec, змінюється ключ AES для шляху даних.

Змініть таймер перезавантаження

Перш ніж пристрої Cisco IOS XE Catalyst SD-WAN і пристрої Cisco vEdge зможуть обмінюватися трафіком даних, вони встановлюють безпечний автентифікований канал зв’язку між собою. Маршрутизатори використовують тунелі IPSec між собою як канал і шифр AES-256 для виконання шифрування. Кожен маршрутизатор періодично створює новий ключ AES для свого шляху даних. За замовчуванням ключ дійсний протягом 86400 секунд (24 години), а діапазон таймера становить від 10 секунд до 1209600 секунд (14 днів). Щоб змінити значення таймера повторного введення: Device(config)# security ipsec rekey seconds Конфігурація виглядає так:

  • безпека ipsec rekey секунди!

Якщо ви хочете негайно згенерувати нові ключі IPsec, це можна зробити, не змінюючи конфігурацію маршрутизатора. Для цього виконайте команду запиту безпеки ipsecrekey на скомпрометованому маршрутизаторі. наприкладample, наступні результати показують, що локальна SA має індекс параметрів безпеки (SPI) 256:CISCO-SD-WAN-Configure-Security-Parameters-FIG-4

З кожним SPI пов’язаний унікальний ключ. Якщо цей ключ зламано, скористайтеся командою запиту безпеки ipsec-rekey, щоб негайно створити новий ключ. Ця команда збільшує SPI. У нашого колишньогоample, SPI змінюється на 257 і тепер використовується пов’язаний з ним ключ:

  • Пристрій # запит безпеки ipsecrekey
  • Пристрій # показує ipsec local-sa

CISCO-SD-WAN-Configure-Security-Parameters-FIG-5

Після створення нового ключа маршрутизатор негайно надсилає його до контролерів Cisco SD-WAN за допомогою DTLS або TLS. Контролери Cisco SD-WAN надсилають ключ одноранговим маршрутизаторам. Маршрутизатори починають використовувати його, як тільки отримують його. Зверніть увагу, що ключ, пов’язаний зі старим SPI (256), продовжуватиме використовуватися протягом короткого часу, доки не закінчиться час очікування. Щоб негайно припинити використання старого ключа, двічі поспіль виконайте команду запиту безпеки ipsec-rekey. Ця послідовність команд видаляє SPI 256 і 257 і встановлює SPI на 258. Потім маршрутизатор використовує пов’язаний ключ SPI 258. Однак зауважте, що деякі пакети будуть відкидані на короткий період часу, поки всі віддалені маршрутизатори не навчаться новий ключ.CISCO-SD-WAN-Configure-Security-Parameters-FIG-6

Змініть розмір вікна Anti-Replay

Аутентифікація IPsec забезпечує захист від повторного відтворення шляхом призначення унікального порядкового номера кожному пакету в потоці даних. Ця послідовна нумерація захищає від копіювання зловмисником пакетів даних. За допомогою захисту від повторного відтворення відправник призначає монотонно зростаючі порядкові номери, а адресат перевіряє ці порядкові номери, щоб виявити дублікати. Оскільки пакети часто надходять не в порядку, пункт призначення підтримує ковзаюче вікно порядкових номерів, які він приймає.CISCO-SD-WAN-Configure-Security-Parameters-FIG-7

Пакети з порядковими номерами, розташованими ліворуч від діапазону ковзного вікна, вважаються старими або дублікатами, і адресат видаляє їх. Пункт призначення відстежує найвищий порядковий номер, який він отримав, і регулює ковзаюче вікно, коли отримує пакет із вищим значенням.CISCO-SD-WAN-Configure-Security-Parameters-FIG-8

За замовчуванням ковзне вікно встановлено на 512 пакетів. Його можна встановити на будь-яке значення від 64 до 4096, яке є ступенем 2 (тобто 64, 128, 256, 512, 1024, 2048 або 4096). Щоб змінити розмір вікна захисту від повтору, скористайтеся командою replay-window, вказавши розмір вікна:

Device(config)# security ipsec номер вікна відтворення

Конфігурація виглядає так:
номер вікна повтору безпеки ipsec ! !

Щоб допомогти з QoS, для кожного з перших восьми каналів трафіку підтримуються окремі вікна відтворення. Налаштований розмір вікна відтворення ділиться на вісім для кожного каналу. Якщо QoS налаштовано на маршрутизаторі, цей маршрутизатор може мати більшу, ніж очікувалося, кількість відкиданих пакетів у результаті механізму захисту від повторного відтворення IPsec, і багато відкинутих пакетів є законними. Це відбувається через те, що QoS змінює порядок пакетів, надаючи перевагу пакетам з вищим пріоритетом і затримуючи пакети з нижчим пріоритетом. Щоб мінімізувати або запобігти цій ситуації, ви можете зробити наступне:

  • Збільште розмір вікна захисту від повтору.
  • Інженерний трафік на перші вісім каналів трафіку, щоб переконатися, що трафік усередині каналу не змінюється.

Налаштуйте тунелі IPsec із підтримкою IKE
Щоб безпечно передавати трафік із накладеної мережі в мережу обслуговування, можна налаштувати тунелі IPsec, які запускають протокол обміну ключами в Інтернеті (IKE). Тунелі IPsec із підтримкою IKE забезпечують автентифікацію та шифрування для забезпечення безпечного транспортування пакетів. Ви створюєте тунель IPsec із підтримкою IKE, налаштовуючи інтерфейс IPsec. Інтерфейси IPsec є логічними інтерфейсами, і ви налаштовуєте їх так само, як будь-який інший фізичний інтерфейс. Ви налаштовуєте параметри протоколу IKE в інтерфейсі IPsec, а також можете налаштовувати інші властивості інтерфейсу.

Примітка Cisco рекомендує використовувати IKE версії 2. Починаючи з версії Cisco SD-WAN 19.2.x, попередній спільний ключ має мати довжину принаймні 16 байт. Встановлення тунелю IPsec не вдається, якщо розмір ключа менше 16 символів під час оновлення маршрутизатора до версії 19.2.

Примітка
Програмне забезпечення Cisco Catalyst SD-WAN підтримує IKE версії 2, як визначено в RFC 7296. Один із способів використання тунелів IPsec — дозволити примірникам віртуальної машини vEdge Cloud маршрутизатора, які працюють на Amazon AWS, підключатися до віртуальної приватної хмари Amazon (VPC). Ви повинні налаштувати IKE версії 1 на цих маршрутизаторах. Пристрої Cisco vEdge підтримують лише VPN на основі маршрутів у конфігурації IPSec, оскільки ці пристрої не можуть визначати селектори трафіку в домені шифрування.

Налаштуйте тунель IPsec
Щоб налаштувати тунельний інтерфейс IPsec для захищеного транспортного трафіку з мережі обслуговування, ви створюєте логічний інтерфейс IPsec:CISCO-SD-WAN-Configure-Security-Parameters-FIG-9

Ви можете створити тунель IPsec у транспортній VPN (VPN 0) і в будь-якій службовій VPN (VPN від 1 до 65530, за винятком 512). Інтерфейс IPsec має назву у форматі ipsecnumber, де число може бути від 1 до 255. Кожен інтерфейс IPsec повинен мати адресу IPv4. Ця адреса має мати префікс /30. Увесь трафік у VPN, який знаходиться в межах цього префіксу IPv4, спрямовується до фізичного інтерфейсу у VPN 0 для безпечного надсилання через тунель IPsec. Щоб налаштувати джерело тунелю IPsec на локальному пристрої, ви можете вказати IP-адресу фізичний інтерфейс (у команді tunnel-source) або ім’я фізичного інтерфейсу (у команді tunnel-source-interface). Переконайтеся, що фізичний інтерфейс налаштовано у VPN 0. Щоб налаштувати призначення тунелю IPsec, укажіть IP-адресу віддаленого пристрою в команді tunnel-destination. Комбінація адреси джерела (або назви вихідного інтерфейсу) і адреси призначення визначає єдиний тунель IPsec. Може існувати лише один тунель IPsec, який використовує певну адресу джерела (або назву інтерфейсу) і пару адрес призначення.

Налаштуйте статичний маршрут IPsec

Щоб спрямувати трафік від сервісної VPN до тунелю IPsec у транспортній VPN (VPN 0), ви налаштовуєте статичний маршрут IPsec у службовій VPN (VPN, відмінній від VPN 0 або VPN 512):

  • vEdge(config)# vpn vpn-id
  • vEdge(config-vpn)# ip ipsec-route prefix/length vpn 0 інтерфейс
  • ipsecnumber [ipsecnumber2]

Ідентифікатор VPN – це ідентифікатор будь-якої служби VPN (VPN від 1 до 65530, за винятком 512). prefix/length — це IP-адреса або префікс у десятковій системі запису з чотирьох частин і крапок, а також довжина префікса статичного маршруту IPsec. Інтерфейсом є інтерфейс тунелю IPsec у VPN 0. Ви можете налаштувати один або два інтерфейси тунелю IPsec. Якщо ви налаштуєте два, перший буде основним тунелем IPsec, а другий – резервним. З двома інтерфейсами всі пакети надсилаються лише в основний тунель. Якщо цей тунель виходить з ладу, усі пакети надсилаються до додаткового тунелю. Якщо первинний тунель відновлюється, увесь трафік повертається до основного тунелю IPsec.

Увімкніть IKE версії 1
Коли ви створюєте тунель IPsec на маршрутизаторі vEdge, IKE версії 1 увімкнено за замовчуванням в інтерфейсі тунелю. Наступні властивості також увімкнено за замовчуванням для IKEv1:

  • Автентифікація та шифрування — удосконалений стандарт шифрування AES-256, шифрування CBC із алгоритмом автентифікаційного коду HMAC-SHA1 із хеш-кодом для цілісності
  • Номер групи Діффі-Хеллмана—16
  • Інтервал переключання — 4 години
  • Режим встановлення SA—Основний

За замовчуванням IKEv1 використовує основний режим IKE для встановлення IKE SA. У цьому режимі відбувається обмін шістьма узгоджувальними пакетами для встановлення SA. Щоб обмінятися лише трьома пакетами узгодження, увімкніть агресивний режим:

Примітка
По можливості слід уникати агресивного режиму IKE із попередньо спільними ключами. В іншому випадку слід вибрати надійний попередній спільний ключ.

  • vEdge(config)# vpn vpn-id інтерфейс ipsec номер ike
  • vEdge(config-ike)# режим агресивний

За замовчуванням IKEv1 використовує групу 16 Діффі-Хеллмана в обміні ключами IKE. Ця група використовує 4096-бітну більш модульну експоненціальну (MODP) групу під час обміну ключами IKE. Ви можете змінити номер групи на 2 (для 1024-бітного MODP), 14 (2048-бітного MODP) або 15 (3072-бітного MODP):

  • vEdge(config)# vpn vpn-id інтерфейс ipsec номер ike
  • vEdge(config-ike)# номер групи

За замовчуванням обмін ключами IKE використовує розширений стандарт шифрування AES-256, шифрування CBC з алгоритмом коду автентифікації хеш-хешу HMAC-SHA1 для забезпечення цілісності. Ви можете змінити автентифікацію:

  • vEdge(config)# vpn vpn-id інтерфейс ipsec номер ike
  • vEdge(config-ike)# набір шифрів

Набір автентифікації може бути одним із таких:

  • aes128-cbc-sha1—розширений стандарт шифрування AES-128 Шифрування CBC з алгоритмом автентифікації повідомлень HMAC-SHA1 з ключем хешування для цілісності
  • aes128-cbc-sha2—розширений стандарт шифрування AES-128 Шифрування CBC з алгоритмом автентифікації повідомлень HMAC-SHA256 з ключем хешування для цілісності
  • aes256-cbc-sha1—розширений стандарт шифрування AES-256, шифрування CBC з алгоритмом автентифікації повідомлень із хеш-хесом HMAC-SHA1 для цілісності; це за замовчуванням.
  • aes256-cbc-sha2—розширений стандарт шифрування AES-256 Шифрування CBC з алгоритмом автентифікації повідомлень HMAC-SHA256 з ключем хешування для цілісності

За замовчуванням ключі IKE оновлюються кожні 1 годину (3600 секунд). Ви можете змінити інтервал перезавантаження на значення від 30 секунд до 14 днів (1209600 секунд). Рекомендується, щоб інтервал перезавантаження був не менше 1 години.

  • vEdge(config)# vpn vpn-id номер ipsec інтерфейсу як
  • vEdge(config-ike)# повторне введення секунд

Щоб примусово створити нові ключі для сеансу IKE, виконайте команду запиту ipsec ike-rekey.

  • vEdge(config)# vpn vpn-id інтерфейс ipsec номер ike

Для IKE ви також можете налаштувати автентифікацію попереднього ключа (PSK):

  • vEdge(config)# vpn vpn-id інтерфейс ipsec номер ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password пароль — це пароль для використання зі спільним ключем. Це може бути ASCII або шістнадцятковий рядок довжиною від 1 до 127 символів.

Якщо віддаленому вузлу IKE потрібен локальний або віддалений ідентифікатор, ви можете налаштувати цей ідентифікатор:

  • vEdge(config)# vpn vpn-id інтерфейс ipsec номер ike authentication-type
  • vEdge(config-authentication-type)# ідентифікатор локального ідентифікатора
  • vEdge(config-authentication-type)# ідентифікатор віддаленого ідентифікатора

Ідентифікатором може бути IP-адреса або будь-який текстовий рядок довжиною від 1 до 63 символів. За замовчуванням локальним ідентифікатором є IP-адреса джерела тунелю, а віддаленим ідентифікатором є IP-адреса призначення тунелю.

Увімкніть IKE версії 2
Коли ви налаштовуєте тунель IPsec для використання IKE версії 2, такі властивості також увімкнено за замовчуванням для IKEv2:

  • Автентифікація та шифрування — удосконалений стандарт шифрування AES-256, шифрування CBC із алгоритмом автентифікаційного коду HMAC-SHA1 із хеш-кодом для цілісності
  • Номер групи Діффі-Хеллмана—16
  • Інтервал переключання — 4 години

За замовчуванням IKEv2 використовує групу 16 Діффі-Хеллмана в обміні ключами IKE. Ця група використовує 4096-бітну більш модульну експоненціальну (MODP) групу під час обміну ключами IKE. Ви можете змінити номер групи на 2 (для 1024-бітного MODP), 14 (2048-бітного MODP) або 15 (3072-бітного MODP):

  • vEdge(config)# vpn vpn-id інтерфейс ipsecnumber ike
  • vEdge(config-ike)# номер групи

За замовчуванням обмін ключами IKE використовує розширений стандарт шифрування AES-256, шифрування CBC з алгоритмом коду автентифікації хеш-хешу HMAC-SHA1 для забезпечення цілісності. Ви можете змінити автентифікацію:

  • vEdge(config)# vpn vpn-id інтерфейс ipsecnumber ike
  • vEdge(config-ike)# набір шифрів

Набір автентифікації може бути одним із таких:

  • aes128-cbc-sha1—розширений стандарт шифрування AES-128 Шифрування CBC з алгоритмом автентифікації повідомлень HMAC-SHA1 з ключем хешування для цілісності
  • aes128-cbc-sha2—розширений стандарт шифрування AES-128 Шифрування CBC з алгоритмом автентифікації повідомлень HMAC-SHA256 з ключем хешування для цілісності
  • aes256-cbc-sha1—розширений стандарт шифрування AES-256, шифрування CBC з алгоритмом автентифікації повідомлень із хеш-хесом HMAC-SHA1 для цілісності; це за замовчуванням.
  • aes256-cbc-sha2—розширений стандарт шифрування AES-256 Шифрування CBC з алгоритмом автентифікації повідомлень HMAC-SHA256 з ключем хешування для цілісності

За замовчуванням ключі IKE оновлюються кожні 4 години (14,400 секунд). Ви можете змінити інтервал перезавантаження на значення від 30 секунд до 14 днів (1209600 секунд):

  • vEdge(config)# vpn vpn-id інтерфейс ipsecnumber ike
  • vEdge(config-ike)# повторне введення секунд

Щоб примусово створити нові ключі для сеансу IKE, виконайте команду запиту ipsec ike-rekey. Для IKE ви також можете налаштувати автентифікацію попереднього ключа (PSK):

  • vEdge(config)# vpn vpn-id інтерфейс ipsecnumber ike
  • vEdge(config-ike)# authentication-type pre-shared-key pre-shared-secret password пароль — це пароль для використання зі спільним ключем. Це може бути ASCII або шістнадцятковий рядок, або це може бути ключ, зашифрований AES. Якщо віддаленому вузлу IKE потрібен локальний або віддалений ідентифікатор, ви можете налаштувати цей ідентифікатор:
  • vEdge(config)# vpn vpn-id інтерфейс ipsecnumber ike authentication-type
  • vEdge(config-authentication-type)# ідентифікатор локального ідентифікатора
  • vEdge(config-authentication-type)# ідентифікатор віддаленого ідентифікатора

Ідентифікатором може бути IP-адреса або будь-який текстовий рядок довжиною від 1 до 64 символів. За замовчуванням локальним ідентифікатором є IP-адреса джерела тунелю, а віддаленим ідентифікатором є IP-адреса призначення тунелю.

Налаштуйте параметри тунелю IPsec

Таблиця 4: Історія функцій

Особливість Ім'я Інформація про випуск опис
Додаткова криптографія Cisco SD-WAN випуск 20.1.1 Ця функція додає підтримку для
Алгоритмічна підтримка IPSec   HMAC_SHA256, HMAC_SHA384 і
Тунелі   Алгоритми HMAC_SHA512 для
    підвищена безпека.

За замовчуванням у тунелі IPsec, який передає трафік IKE, використовуються такі параметри:

  • Автентифікація та шифрування — алгоритм AES-256 у GCM (режим Галуа/лічильник)
  • Інтервал перезамовлення — 4 години
  • Вікно повтору — 32 пакети

Ви можете змінити шифрування в тунелі IPsec на шифр AES-256 у CBC (режим ланцюжка блоків шифру, з HMAC з використанням SHA-1 або SHA-2 хеш-автентифікації повідомлень або на нуль з HMAC з використанням SHA-1 або Автентифікація повідомлень із хеш-кодом SHA-2, щоб не шифрувати тунель IPsec, який використовується для трафіку обміну ключами IKE:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# набір шифрів (aes256-gcm | aes256-cbc-sha1 | aes256-cbc-sha256 |aes256-cbc-sha384 | aes256-cbc-sha512 | aes256-null-sha1 | aes256-null-sha256 |aes256-null-sha384 |aes256-null-sha512)

За замовчуванням ключі IKE оновлюються кожні 4 години (14,400 секунд). Ви можете змінити інтервал перезавантаження на значення від 30 секунд до 14 днів (1209600 секунд):

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# повторне введення секунд

Щоб примусово створити нові ключі для тунелю IPsec, виконайте команду запиту ipsec ipsec-rekey. За замовчуванням для тунелів IPsec увімкнуто ідеальну пряму секретність (PFS), щоб гарантувати, що минулі сеанси не впливатимуть, якщо майбутні ключі будуть скомпрометовані. PFS примусово виконує новий обмін ключами Діффі-Хеллмана, за замовчуванням використовуючи 4096-бітну групу простих модулів Діффі-Хеллмана. Ви можете змінити налаштування PFS:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# ідеальна конфіденційна конфіденційність pfs

pfs-setting може бути одним із наступного:

  • group-2 — використовуйте 1024-бітну групу простих модулів Діффі-Хеллмана.
  • group-14 — використовуйте 2048-бітну групу простих модулів Діффі-Хеллмана.
  • group-15 — використовуйте 3072-бітну групу простих модулів Діффі-Хеллмана.
  • group-16 — використовуйте 4096-бітну групу простих модулів Діффі-Хеллмана. Це значення за умовчанням.
  • немає — вимкнути PFS.

За замовчуванням вікно відтворення IPsec у тунелі IPsec становить 512 байт. Ви можете встановити розмір вікна відтворення 64, 128, 256, 512, 1024, 2048 або 4096 пакетів:

  • vEdge(config-interface-ipsecnumber)# ipsec
  • vEdge(config-ipsec)# номер вікна повтору

Змінити виявлення мертвого однорангового вузла IKE

IKE використовує механізм виявлення мертвих однорангових вузлів, щоб визначити, чи є підключення до однорангового вузла IKE функціональним і доступним. Щоб реалізувати цей механізм, IKE надсилає пакет Hello своєму одноранговому вузлу, а той надсилає підтвердження у відповідь. За замовчуванням IKE надсилає пакети Hello кожні 10 секунд, а після трьох непідтверджених пакетів IKE оголошує сусіда мертвим і розриває тунель до однорангового вузла. Після цього IKE періодично надсилає одноранговому вузлу пакет Hello та відновлює тунель, коли одноранговий під’єднується до мережі. Ви можете змінити інтервал виявлення живучості на значення від 0 до 65535, а також кількість повторних спроб на значення від 0 до 255.

Примітка

Для транспортних VPN інтервал виявлення активності перетворюється в секунди за допомогою такої формули: Інтервал для кількості спроб повторної передачі N = інтервал * 1.8N-1Напр.ample, якщо інтервал встановлено на 10, а повторна спроба становить 5, інтервал виявлення збільшується таким чином:

  • Спроба 1: 10 * 1.81-1= 10 секунд
  • Спроба 2: 10 * 1.82-1= 18 секунд
  • Спроба 3: 10 * 1.83-1= 32.4 секунд
  • Спроба 4: 10 * 1.84-1= 58.32 секунд
  • Спроба 5: 10 * 1.85-1= 104.976 секунд

vEdge(config-interface-ipsecnumber)# кількість спроб інтервалу виявлення мертвого однорангового пристрою

Налаштувати інші властивості інтерфейсу

Для тунельних інтерфейсів IPsec можна налаштувати лише такі додаткові властивості інтерфейсу:

  • vEdge(config-interface-ipsec)# mtu байт
  • vEdge(config-interface-ipsec)# tcp-mss-adjust bytes

Вимкніть слабкі алгоритми шифрування SSH у Cisco SD-WAN Manager

Таблиця 5: Таблиця історії функцій

Особливість Ім'я Інформація про випуск Особливість опис
Вимкніть слабкі алгоритми шифрування SSH у Cisco SD-WAN Manager Cisco vManage випуск 20.9.1 Ця функція дозволяє вимкнути слабші алгоритми SSH у Cisco SD-WAN Manager, які можуть не відповідати певним стандартам безпеки даних.

Інформація про вимкнення слабких алгоритмів шифрування SSH у Cisco SD-WAN Manager
Cisco SD-WAN Manager надає SSH-клієнт для зв’язку з компонентами в мережі, включаючи контролери та периферійні пристрої. Клієнт SSH забезпечує зашифроване з’єднання для безпечної передачі даних на основі різноманітних алгоритмів шифрування. Багатьом організаціям потрібне надійніше шифрування, ніж SHA-1, AES-128 і AES-192. З Cisco vManage Release 20.9.1 ви можете вимкнути такі слабкіші алгоритми шифрування, щоб клієнт SSH не використовував ці алгоритми:

  • SHA-1
  • АЕС-128
  • АЕС-192

Перш ніж вимикати ці алгоритми шифрування, переконайтеся, що пристрої Cisco vEdge, якщо такі є, у мережі, використовують випуск програмного забезпечення, пізніший за Cisco SD-WAN, випуск 18.4.6.

Переваги вимкнення слабких алгоритмів шифрування SSH у Cisco SD-WAN Manager
Вимкнення слабших алгоритмів шифрування SSH покращує безпеку зв’язку SSH і гарантує, що організації, які використовують Cisco Catalyst SD-WAN, відповідають суворим нормам безпеки.

Вимкніть слабкі алгоритми шифрування SSH у Cisco SD-WAN Manager за допомогою CLI

  1. У меню Cisco SD-WAN Manager виберіть «Інструменти» > «Термінал SSH».
  2. Виберіть пристрій Cisco SD-WAN Manager, на якому потрібно вимкнути слабші алгоритми SSH.
  3. Введіть ім'я користувача та пароль для входу на пристрій.
  4. Увійдіть у режим сервера SSH.
    • vmanage(config)# система
    • vmanage(config-system)# ssh-сервер
  5. Виконайте одну з таких дій, щоб вимкнути алгоритм шифрування SSH:
    • Вимкнути SHA-1:
  6. керування (config-ssh-сервер)# немає kex-algo sha1
  7. management(config-ssh-server)# commit
    Відображається таке попередження: Було створено такі попередження: 'system ssh-server kex-algo sha1': ПОПЕРЕДЖЕННЯ: переконайтеся, що всі ваші краї виконують код версії > 18.4.6, який узгоджує краще, ніж SHA1, з vManage. Інакше ці краї можуть перестати працювати. Продовжити? [так, ні] так
    • Переконайтеся, що всі пристрої Cisco vEdge у мережі працюють під керуванням Cisco SD-WAN версії 18.4.6 або новішої, і введіть «так».
    • Вимкніть AES-128 і AES-192:
    • vmanage(config-ssh-server)# без шифру aes-128-192
    • vmanage(config-ssh-server)# commit
      Відобразиться таке попередження:
      Були створені такі попередження:
      'system ssh-server cipher aes-128-192': ПОПЕРЕДЖЕННЯ: будь ласка, переконайтеся, що всі ваші краї виконують код версії > 18.4.6, який узгоджує краще, ніж AES-128-192 з vManage. Інакше ці краї можуть перестати працювати. Продовжити? [так, ні] так
    • Переконайтеся, що всі пристрої Cisco vEdge у мережі працюють під керуванням Cisco SD-WAN версії 18.4.6 або новішої, і введіть «так».

Переконайтеся, що слабкі алгоритми шифрування SSH вимкнено в Cisco SD-WAN Manager за допомогою CLI

  1. У меню Cisco SD-WAN Manager виберіть «Інструменти» > «Термінал SSH».
  2. Виберіть пристрій Cisco SD-WAN Manager, який потрібно перевірити.
  3. Введіть ім'я користувача та пароль для входу на пристрій.
  4. Виконайте таку команду: show running-config system ssh-server
  5. Переконайтеся, що вихідні дані показують одну або кілька команд, які вимикають слабші алгоритми шифрування:
    • немає шифру aes-128-192
    • немає kex-algo sha1

Документи / Ресурси

CISCO SD-WAN Налаштуйте параметри безпеки [pdfПосібник користувача
SD-WAN Налаштувати параметри безпеки, SD-WAN, Налаштувати параметри безпеки, Параметри безпеки

Список літератури

Залиште коментар

Ваша електронна адреса не буде опублікована. Обов'язкові поля позначені *