Cifras IKE suportadas

A VPN com isolamento de ar do Google Distributed Cloud (GDC) suporta as seguintes cifras e parâmetros de configuração para gateways VPN de pares.

Ordem da proposta

A VPN do GDC pode atuar como iniciador ou recetor de pedidos IKE, dependendo da origem do tráfego quando é necessária uma nova associação de segurança (SA).

Quando a VPN do GDC inicia uma ligação VPN, a VPN do GDC propõe os algoritmos pela ordem apresentada nas tabelas de cifras suportadas para cada função de cifra. O gateway de VPN de pares que recebe a proposta seleciona um algoritmo.

Se o gateway VPN de pares iniciar a ligação, a VPN do GDC seleciona uma cifra da proposta usando a mesma ordem apresentada na tabela para cada função de cifra.

Consoante o lado que é o iniciador ou o respondedor, a cifra selecionada pode ser diferente. Por exemplo, a cifra selecionada pode até mudar ao longo do tempo à medida que são criadas novas associações de segurança (AS) durante a rotação de chaves.

Para evitar alterações frequentes na seleção de cifras, configure o gateway de VPN do seu par para propor e aceitar apenas uma cifra para cada função de cifra. Esta cifra tem de ser suportada pela VPN isolada do GDC e pelo gateway de VPN do seu par. Não forneça uma lista de cifras para cada função de cifra. Esta prática recomendada garante que ambos os lados do túnel VPN isolado do GDC selecionam sempre a mesma cifra IKE durante a negociação IKE.

Fragmentação IKE

A VPN GDC suporta a fragmentação IKE, conforme descrito pelo protocolo de fragmentação IKEv2: https://www.rfc-editor.org/rfc/rfc7383.

Para os melhores resultados, a Google recomenda que ative a fragmentação IKE, se ainda não estiver ativada, no seu gateway de VPN de pares.

Se não tiver a fragmentação IKE ativada, os pacotes IKE do GDC para o gateway VPN de pares que sejam maiores do que o MTU do gateway são ignorados.

Não é possível fragmentar algumas mensagens IKE, incluindo as seguintes mensagens:

  • IKE_SA_INIT
  • IKE_SESSION_RESUME

Para mais informações, consulte a secção Limitations em https://www.rfc-editor.org/rfc/rfc7383.

Tabelas de cifras suportadas

Estas tabelas de cifras suportadas fornecem as regras para substituir carateres ou grupos de carateres durante os processos de encriptação e desencriptação:

Fase 1

Função de cifra Cifra Notas
Encriptação e integridade
  • AES-GCM-16-256

Nesta lista, o primeiro número é o tamanho do parâmetro ICV em bytes (octetos) e o segundo é o comprimento da chave em bits.

Alguma documentação pode expressar o parâmetro ICV (o primeiro número) em bits (8 torna-se 64, 12 torna-se 96 e 16 torna-se 128).
Função pseudoaleatória (PRF)
  • PRF-HMAC-SHA2-512
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-256
 Muitos dispositivos não requerem uma definição de PRF explícita.
Diffie-Hellman (DH)
  • MODP-4096
  • MODP-3072
  • MODP-2048
  • MODP-1536
Fase 1 vitalícia 36 000 segundos (10 horas)

Fase 2

Função de cifra Cifra Notas
Encriptação e integridade
  • AES-GCM-16-256

Nesta lista, o primeiro número é o tamanho do parâmetro ICV em bytes (octetos) e o segundo é o comprimento da chave em bits.

Alguma documentação pode expressar o parâmetro ICV (o primeiro número) em bits (8 torna-se 64, 12 torna-se 96 e 16 torna-se 128).
Função pseudoaleatória (PRF)
  • PRF-HMAC-SHA2-512
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-256
 Muitos dispositivos não requerem uma definição de PRF explícita.
Diffie-Hellman (DH)
  • MODP-4096
  • MODP-3072
  • MODP-2048
  • MODP-1536
Duração da fase 2 10 800 segundos (3 horas)

Configure o IKE

Pode configurar o IKE no gateway de VPN de pares para o encaminhamento dinâmico, baseado em rotas e baseado em políticas.

Os túneis VPNs da GDC têm de usar o IKE v2 para suportar o tráfego IPv6.

Para configurar o túnel e o gateway de VPN de pares para IKE, use os parâmetros na tabela seguinte:

Para IKEv1 e IKEv2

Definição Valor
Modo IPsec Modo de túnel ESP+Auth (site a site)
Protocolo de autorização psk
Segredo partilhado Também conhecida como chave pré-partilhada IKE. Escolha uma palavra-passe forte seguindo estas diretrizes. A chave pré-partilhada é sensível porque permite o acesso à sua rede.
Iniciar auto (se o dispositivo de par cair, deve reiniciar automaticamente a ligação)
PFS (perfect forward secrecy) on
DPD (Dead Peer Detection) Recomendado: Aggressive. A DPD deteta quando a VPN é reiniciada e usa túneis alternativos para encaminhar o tráfego.
INITIAL_CONTACT
(por vezes denominado uniqueids)		 Recomendado: on (por vezes denominado restart). Finalidade: detetar reinícios mais rapidamente para que o tempo de inatividade percebido seja reduzido.
TSi (seletor de tráfego – iniciador)

Redes de sub-rede: os intervalos especificados pela flag --local-traffic-selector. Se --local-traffic-selector não for especificado porque a VPN está numa rede VPC de modo automático e está a anunciar apenas a sub-rede do gateway, é usado esse intervalo de sub-rede.

Redes antigas: o intervalo da rede.
TSr (Traffic Selector - Responder)

IKEv2: os intervalos de destino de todas as rotas que têm --next-hop-vpn-tunnel definidos para este túnel.

IKEv1: arbitrariamente, o intervalo de destino de um dos trajetos que tem --next-hop-vpn-tunnel definido para este túnel.
MTU A unidade de transmissão máxima (MTU) do dispositivo VPN de pares não pode exceder 1460 bytes. Ative a pré-fragmentação no seu dispositivo para que os pacotes sejam fragmentados primeiro e, em seguida, encapsulados.

Parâmetros adicionais apenas para IKEv1

Definição Valor
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
Algoritmo PFS Grupo 2 (MODP_1024)