Algoritmos de cifrado IKE admitidos

Cloud VPN admite los siguientes algoritmos de cifrado y parámetros de configuración para dispositivos VPN de intercambio de tráfico o servicios de VPN. Cloud VPN negocia de forma automática la conexión siempre que el lado del intercambio de tráfico use una configuración de algoritmo de cifrado IKE admitido.

Para obtener instrucciones de configuración, consulta Configura la puerta de enlace de VPN de intercambio de tráfico.

Descripción general del algoritmo de cifrado IKE

Los siguientes algoritmos de cifrado IKE son compatibles con la VPN clásica y la VPN con alta disponibilidad.

Hay dos secciones destinadas a IKEv2, una para algoritmos de cifrado en los que se usa la encriptación autenticada con datos asociados (AEAD), y otra para algoritmos de cifrado que no usan AEAD.

Algoritmos de cifrado IKEv2 que usan AEAD

Fase 1

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Integridad y encriptación
  • AES-GCM-8-128
  • AES-GCM-8-192
  • AES-GCM-8-256
  • AES-GCM-12-128
  • AES-GCM-12-192
  • AES-GCM-12-256
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
En esta lista, el primer número es el tamaño del parámetro ICV en bytes (octetos), y el segundo es la longitud de la clave en bits.

Algunos documentos pueden expresar el parámetro ICV (el primer número) en bits (8 se convierte en 64, 12 en 96, y 16 en 128).
Función seudoaleatoria (PRF)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
Muchos dispositivos no requerirán una configuración PRF explícita.
Diffie-Hellman (DH)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en el orden que se muestra. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.
Vida útil de la fase 1 36,000 segundos (10 horas) -

Fase 2

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Integridad y encriptación
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
  • AES-GCM-12-128
  • AES-GCM-8-128
La propuesta de Cloud VPN presenta los algoritmos en el orden que se muestra. Cloud VPN acepta cualquier propuesta que incluya uno o más de estos algoritmos, en cualquier orden.

Ten en cuenta que el primer número de cada algoritmo es el tamaño del parámetro ICV en bytes (octetos) y el segundo es la longitud de la clave en bits. En algunos documentos, podría expresarse el parámetro ICV (el primer número) en bits (8 se convierte en 64, 12 en 96, y 16 en 128).
Algoritmo PFS (obligatorio)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en el orden que se muestra. Cloud VPN acepta cualquier propuesta que tenga uno o más de estos algoritmos, en cualquier orden.
Diffie-Hellman (DH) Consulta la fase 1 Si la puerta de enlace de VPN requiere una configuración de DH para la fase 2, usa la misma configuración que en la fase 1.
Vida útil de la fase 2 10,800 segundos (3 horas) -

Algoritmos de cifrado IKEv2 que no usan AEAD

Fase 1

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Encriptación
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
La propuesta de Cloud VPN presenta los algoritmos de encriptación simétrica en el orden que se muestra. Cloud VPN acepta cualquier propuesta que use uno o más de estos algoritmos, en cualquier orden.
Integridad
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
La propuesta de Cloud VPN presenta los algoritmos HMAC en el orden que se muestra. Cloud VPN acepta cualquier propuesta que tenga uno o más de estos algoritmos, en cualquier orden.

Es posible que en la documentación de la puerta de enlace de VPN local se use un nombre un poco diferente para el algoritmo. Por ejemplo, HMAC-SHA2-512-256 podría denominarse solo como SHA2-512 o SHA-512, lo que reduce el número de longitud de truncamiento y otra información innecesaria.
Función seudoaleatoria (PRF)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
Muchos dispositivos no requerirán una configuración PRF explícita.
Diffie-Hellman (DH)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en el orden que se muestra. Cloud VPN acepta cualquier propuesta que contenga uno o más de estos algoritmos, en cualquier orden.
Vida útil de la fase 1 36,000 segundos (10 horas) -

Fase 2

Función del algoritmo de cifrado Algoritmo de cifrado Notas
Encriptación
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
La propuesta de Cloud VPN presenta los algoritmos de encriptación simétrica en el orden que se muestra. Cloud VPN acepta cualquier propuesta que contenga uno o más de estos algoritmos, en cualquier orden.
Integridad
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
La propuesta de Cloud VPN presenta los algoritmos HMAC en el orden que se muestra. Cloud VPN acepta cualquier propuesta que contenga uno o más de estos algoritmos, en cualquier orden.

Es posible que en la documentación de la puerta de enlace de VPN local se use un nombre un poco diferente para el algoritmo. Por ejemplo, HMAC-SHA2-512-256 podría denominarse solo como SHA2-512 o SHA-512, lo que reduce el número de longitud de truncamiento y otra información innecesaria.
Algoritmo PFS (obligatorio)
  • modp_2048 (Grupo 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Grupo 5)
  • modp_3072 (Grupo 15)
  • modp_4096 (Grupo 16)
  • modp_8192 (Grupo 18)
  • modp_1024 (Grupo 2)
  • modp_1024_160 (modp_1024s160)
La propuesta de Cloud VPN presenta los algoritmos de intercambio de claves en el orden que se muestra. Cloud VPN acepta cualquier propuesta que contenga uno o más de estos algoritmos, en cualquier orden.
Diffie-Hellman (DH) Consulta la fase 1. Si la puerta de enlace de VPN requiere una configuración de DH para la fase 2, usa la misma configuración que en la fase 1.
Vida útil de la fase 2 10,800 segundos (3 horas) -

Algoritmos de cifrado IKEv1

Fase 1

Función del algoritmo de cifrado Algoritmo de cifrado
Encriptación AES-CBC-128
Integridad HMAC-SHA1-96
Función seudoaleatoria (PRF)* PRF-SHA1-96
Diffie-Hellman (DH) modp_1024 (Grupo 2)
Vida útil de la fase 1 36,600 segundos (10 horas, 10 minutos)

* Para obtener más información sobre PRF en IKEv1, consulta RFC 2409.

Fase 2

Función del algoritmo de cifrado Algoritmo de cifrado
Encriptación AES-CBC-128
Integridad HMAC-SHA1-96
Algoritmo PFS (requerido) modp_1024 (Grupo 2)
Diffie-Hellman (DH) Si necesitas especificar DH para la puerta de enlace de VPN, usa la misma configuración que en la fase 1.
Vida útil de la fase 2 10,800 segundos (3 horas)

Próximos pasos