Algoritmos de cifrado IKE admitidos

Cloud VPN admite los siguientes algoritmos de cifrado y parámetros de configuración para dispositivos VPN de intercambio de tráfico o servicios de VPN. Cloud VPN negocia de forma automática la conexión siempre que el lado del intercambio de tráfico use una configuración de algoritmo de cifrado IKE admitido.

Para obtener instrucciones de configuración, consulta Configura la puerta de enlace de VPN de intercambio de tráfico.

Los siguientes algoritmos de cifrado IKE son compatibles con la VPN clásica y la VPN con alta disponibilidad.

Algoritmos de cifrado IKEv2 que usan AEAD

Los siguientes cifrados usan encriptación autenticada con datos asociados (AEAD).

Fase 1

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Integridad y encriptación
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256

En esta lista el primer número es el tamaño del parámetro ICV en bytes (octetos), y el segundo es la longitud de la clave en bits.

Algunos documentos pueden expresar el parámetro ICV (el primer número) en bits (8 se convierte en 64, 12 en 96, y 16 en 128).
Función seudoaleatoria (PRF)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
 Muchos dispositivos no requieren una configuración PRF explícita.
Diffie-Hellman (DH)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
  • ecp_256 (Grupo 19)
  • ecp_384 (Grupo 20)
  • ecp_521 (Grupo 21)
  • curve_25519 (Grupo 31)
 La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en el orden que se muestra. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.
Vida útil de la fase 1 36,000 segundos (10 horas)

Fase 2

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Integridad y encriptación
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192

La propuesta de Cloud VPN presenta los algoritmos en el orden que se muestra. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.

Ten en cuenta que el primer número de cada algoritmo es el tamaño del parámetro ICV en bytes (octetos) y el segundo es la longitud de la clave en bits. En algunos documentos podría expresarse el parámetro ICV (el primer número) en bits (8 se convierte en 64, 12 en 96, y 16 en 128).
Algoritmo PFS (requerido)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
  • ecp_256 (Grupo 19)
  • ecp_384 (Grupo 20)
  • ecp_521 (Grupo 21)
  • curve_25519 (Grupo 31)
 La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en el orden que se muestra. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.
Diffie-Hellman (DH) Consulta la fase 1. Si la puerta de enlace de VPN requiere una configuración de DH para la fase 2, usa la misma configuración que en la fase 1.
Vida útil de la fase 2 10,800 segundos (3 horas)

Algoritmos de cifrado IKEv2 que no usan AEAD

Fase 1

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Encriptación
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
 La propuesta de Cloud VPN presenta los algoritmos de encriptación simétrica en el orden que se muestra. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.
Integridad
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256

La propuesta de Cloud VPN presenta los algoritmos HMAC en el orden que se muestra. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.

Es posible que en la documentación de la puerta de enlace de VPN local se use un nombre un poco diferente para el algoritmo. Por ejemplo, HMAC-SHA2-512-256 podría denominarse solo como SHA2-512 o SHA-512, lo que reduce el número de longitud de truncamiento y otra información innecesaria.
Función seudoaleatoria (PRF)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
 Muchos dispositivos no requieren una configuración PRF explícita.
Diffie-Hellman (DH)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
  • ecp_256 (Grupo 19)
  • ecp_384 (Grupo 20)
  • ecp_521 (Grupo 21)
  • curve_25519 (Grupo 31)
 La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en el orden que se muestra. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.
Vida útil de la fase 1 36,000 segundos (10 horas)

Fase 2

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Encriptación
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
 La propuesta de Cloud VPN presenta los algoritmos de encriptación simétrica en el orden que se muestra. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.
Integridad
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96

La propuesta de Cloud VPN presenta los algoritmos HMAC en el orden que se muestra. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.

Es posible que en la documentación de la puerta de enlace de VPN local se use un nombre un poco diferente para el algoritmo. Por ejemplo, HMAC-SHA2-512-256 podría denominarse solo como SHA2-512 o SHA-512, lo que reduce el número de longitud de truncamiento y otra información innecesaria.
Algoritmo PFS (requerido)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
  • ecp_256 (Grupo 19)
  • ecp_384 (Grupo 20)
  • ecp_521 (Grupo 21)
  • curve_25519 (Grupo 31)
 La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en el orden que se muestra. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.
Diffie-Hellman (DH) Consulta la fase 1. Si la puerta de enlace de VPN requiere una configuración de DH para la fase 2, usa la misma configuración que en la fase 1.
Vida útil de la fase 2 10,800 segundos (3 horas)

Algoritmos de cifrado IKEv1

Fase 1

Función del algoritmo de cifrado Algoritmo de cifrado
Encriptación AES-CBC-128
Integridad HMAC-SHA1-96
Función seudoaleatoria (PRF)* PRF-SHA1-96
Diffie-Hellman (DH) modp_1024 (Grupo 2)
Vida útil de la fase 1 36,600 segundos (10 horas, 10 minutos)

* Para obtener más información sobre PRF en IKEv1, consulta RFC 2409.

Fase 2

Función del algoritmo de cifrado Algoritmo de cifrado
Encriptación AES-CBC-128
Integridad HMAC-SHA1-96
Algoritmo PFS (obligatorio) modp_1024 (Grupo 2)
Diffie-Hellman (DH) Si necesitas especificar DH para la puerta de enlace de VPN, usa la misma configuración que en la fase 1.
Vida útil de la fase 2 10,800 segundos (3 horas)

¿Qué sigue?