La VPN aislada de Google Distributed Cloud (GDC) admite los siguientes cifrados y parámetros de configuración para las pasarelas VPN de la red de aplicación similar.
Orden de propuestas
La VPN de GDC puede actuar como iniciador o como receptor de solicitudes IKE en función del origen del tráfico cuando se necesita una nueva asociación de seguridad (SA).
Cuando GDC VPN inicia una conexión VPN, propone los algoritmos en el orden que se muestra en las tablas de cifrado admitidas para cada rol de cifrado. La pasarela de VPN de emparejamiento que recibe la propuesta selecciona un algoritmo.
Si la pasarela VPN de par inicia la conexión, la VPN de GDC selecciona un cifrado de la propuesta siguiendo el mismo orden que se muestra en la tabla para cada rol de cifrado.
En función de qué lado sea el iniciador o el receptor, la cifra seleccionada puede ser diferente. Por ejemplo, la cifra seleccionada puede cambiar con el tiempo a medida que se crean nuevas asociaciones de seguridad (SAs) durante la rotación de claves.
Para evitar cambios frecuentes en la selección de cifrado, configura tu gateway de VPN de peer para que proponga y acepte solo un cifrado para cada rol de cifrado. Esta cifra debe ser compatible tanto con la VPN aislada de GDC como con tu pasarela VPN de par. No proporciones una lista de cifrados para cada rol de cifrado. Con esta práctica recomendada, te aseguras de que ambos extremos de tu túnel VPN aislado de GDC siempre seleccionen el mismo cifrado IKE durante la negociación de IKE.
Fragmentación de IKE
La VPN de GDC admite la fragmentación IKE, tal como se describe en el protocolo de fragmentación IKEv2: https://www.rfc-editor.org/rfc/rfc7383.
Para obtener los mejores resultados, Google recomienda que habilite la fragmentación de IKE en su gateway de VPN de peer, si aún no lo ha hecho.
Si no tienes habilitada la fragmentación de IKE, se descartarán los paquetes IKE de GDC a la pasarela VPN del peer que sean más grandes que la MTU de la pasarela.
Algunos mensajes IKE no se pueden fragmentar, como los siguientes:
IKE_SA_INITIKE_SESSION_RESUME
Para obtener más información, consulta la sección Limitaciones en https://www.rfc-editor.org/rfc/rfc7383.
Tablas de cifrado admitidas
Estas tablas de cifrado admitidas proporcionan las reglas para sustituir caracteres o grupos de caracteres durante los procesos de cifrado y descifrado:
Fase 1
| Rol de cifrado | Cifrado | Notas |
|---|---|---|
| Cifrado e integridad |
|
En esta lista, el primer número es el tamaño del parámetro ICV en bytes (octetos) y el segundo es la longitud de la clave en bits. En algunos documentos, el parámetro ICV (el primer número) se expresa en bits (8 se convierte en 64, 12 en 96 y 16 en 128). |
| Función seudoaleatoria (PRF) |
|
Muchos dispositivos no requieren un ajuste de PRF explícito. |
| Diffie-Hellman (DH) |
|
|
| Tiempo de vida de la fase 1 | 36.000 segundos (10 horas) |
Fase 2
| Rol de cifrado | Cifrado | Notas |
|---|---|---|
| Cifrado e integridad |
|
En esta lista, el primer número es el tamaño del parámetro ICV en bytes (octetos) y el segundo es la longitud de la clave en bits. En algunos documentos, el parámetro ICV (el primer número) se expresa en bits (8 se convierte en 64, 12 en 96 y 16 en 128). |
| Función seudoaleatoria (PRF) |
|
Muchos dispositivos no requieren un ajuste de PRF explícito. |
| Diffie-Hellman (DH) |
|
|
| Tiempo de vida de la fase 2 | 10.800 segundos (3 horas) |
Configurar IKE
Puedes configurar IKE en tu pasarela de VPN de par para el enrutamiento dinámico, basado en rutas y basado en políticas.
Los túneles VPN de GDC deben usar IKE versión 2 para admitir el tráfico IPv6.
Para configurar la pasarela de VPN de par y el túnel para IKE, usa los parámetros de la siguiente tabla:
Para IKEv1 e IKEv2
| Ajuste | Valor |
|---|---|
| Modo IPsec | Modo Túnel ESP+Auth (de sitio a sitio) |
| Protocolo de autenticación | psk |
| Secreto compartido | También se conoce como clave precompartida IKE. Elige una contraseña segura siguiendo estas directrices. La clave precompartida es información sensible porque permite acceder a tu red. |
| Iniciar | auto (si el dispositivo emparejado se desconecta, debería reiniciar automáticamente la conexión) |
| PFS (confidencialidad directa perfecta) | on |
| DPD (detección de entidad par inactiva) | Recomendación: Aggressive. DPD detecta cuándo se reinicia la VPN y usa túneles alternativos para enrutar el tráfico. |
| INITIAL_CONTACT (a veces se llama uniqueids) |
Recomendado: on (a veces llamado restart).
Propósito: detectar los reinicios más rápido para reducir el tiempo de inactividad percibido. |
| TSi (Traffic Selector - Initiator) | Redes de subred: los intervalos especificados por la marca Redes antiguas: el intervalo de la red. |
| TSr (selector de tráfico - respuesta) | IKEv2: los intervalos de destino de todas las rutas que tengan IKEv1: de forma arbitraria, el intervalo de destino de una de las rutas que tiene |
| MTU | La unidad máxima de transmisión (MTU) del dispositivo VPN del mismo nivel no debe superar los 1460 bytes. Habilita la prefragmentación en tu dispositivo para que los paquetes se fragmenten primero y, después, se encapsulen. |
Parámetros adicionales solo para IKEv1
| Ajuste | Valor |
|---|---|
| IKE/ISAKMP | aes128-sha1-modp1024 |
| ESP | aes128-sha1 |
| Algoritmo PFS | Grupo 2 (MODP_1024) |