Um die erweiterten Sicherheitsstandards zu bieten, führt Cloud VPN Änderungen an der Standardreihenfolge von IKE-Chiffren ein, sodass Cloud VPN zuerst sicherere Algorithmen bevorzugt.
Außerdem wird die Unterstützung für die DH-Algorithmusgruppe 22 eingestellt. Weitere Informationen finden Sie unter Verworfene Konfigurationen.
Wenn die neue Standardreihenfolge der Chiffrealgorithmen eine neue Auswahl und Neuverschlüsselung der Chiffre verursacht, können diese Änderungen den Traffic auf der Cloud VPN-Verbindung beeinträchtigen.
Die übrigen Abschnitte dieses Dokuments unterstützen Sie beim Planen und Implementieren der Änderungen an Ihrer VPN-Chiffre.
Bestelländerung
Wenn Cloud VPN eine VPN-Verbindung initiiert, wird eine Chiffre ausgewählt, wie in der Cloud VPN-Dokumentation beschrieben, wobei die Reihenfolge in den Unterstützte Chiffretabellen eingehalten wird.
Derzeit werden die Chiffren nicht nach Sicherheit sortiert. Einige weniger sichere Algorithmen werden vor sichereren Algorithmen aufgeführt. Nachdem die Cloud VPN-Chiffreänderungen implementiert wurden, ändern sich die Cloud VPN-Algorithmuseinstellungen, sodass sicherere Chiffrealgorithmen bevorzugt werden. Die Änderung der Chiffrereihenfolge wird schrittweise für alle unsere Cloud VPN-Gateways eingeführt.
In der folgenden Tabelle sind die vorhandene Reihenfolge des IKEv2-DH-Algorithmus und die neue Reihenfolge aufgeführt:
Bestehende Reihenfolge des IKEv2-DH-Algorithmus | Neue IKEv2-DH-Algorithmusreihenfolge |
---|---|
MODP_2048_BIT | CURVE_25519 |
MODP_2048_224 | ECP_256_BIT |
MODP_2048_256 | ECP_384_BIT |
MODP_1536_BIT | ECP_521_BIT |
MODP_3072_BIT | MODP_3072_BIT |
MODP_4096_BIT | MODP_4096_BIT |
MODP_8192_BIT | MODP_6144_BIT |
MODP_1024_BIT | MODP_8192_BIT |
MODP_1024_160 | MODP_2048_BIT |
ECP_256_BIT | MODP_2048_224 |
ECP_384_BIT | MODP_2048_256 |
ECP_521_BIT | MODP_1536_BIT |
CURVE_25519 | MODP_1024_BIT |
In der folgenden Tabelle sind die vorhandene Reihenfolge der Pseudozufallsfunktionen von IKEv2 und die neue Reihenfolge aufgeführt:
Vorhandene IKEv2-Pseudozufallsfunktionsreihenfolge | Neue IKEv2-Pseudozufallsfunktionsreihenfolge |
---|---|
PRF_AES128_XCBC | PRF_HMAC_SHA2_256 |
PRF_AES128_CMAC | PRF_HMAC_SHA2_384 |
PRF_HMAC_SHA1 | PRF_HMAC_SHA2_512 |
PRF_HMAC_MD5 | PRF_HMAC_SHA1 |
PRF_HMAC_SHA2_256 | PRF_HMAC_MD5 |
PRF_HMAC_SHA2_384 | PRF_AES128_CMAC |
PRF_HMAC_SHA2_512 | PRF_AES128_XCBC |
In der folgenden Tabelle sind die vorhandene Reihenfolge des Integritätsalgorithmus und die neue Reihenfolge aufgeführt:
Bestehende Reihenfolge des Integritätsalgorithmus | Neue Reihenfolge im Integritätsalgorithmus |
---|---|
AUTH_HMAC_SHA2_256_128 | AUTH_HMAC_SHA2_256_128 |
AUTH_HMAC_SHA2_384_192 | AUTH_HMAC_SHA2_384_192 |
AUTH_HMAC_SHA2_512_256 | AUTH_HMAC_SHA2_512_256 |
AUTH_HMAC_MD5_96 | AUTH_HMAC_SHA1_96 |
AUTH_HMAC_SHA1_96 | AUTH_HMAC_MD5_96 |
In der folgenden Tabelle sind die vorhandene Reihenfolge des Verschlüsselungsalgorithmus und die neue Reihenfolge des Algorithmus aufgeführt:
Vorhandene Reihenfolge des Verschlüsselungsalgorithmus | Neue Reihenfolge im Verschlüsselungsalgorithmus |
---|---|
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 192 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 192 |
Bei der Implementierung der Änderungen aufgrund der neuen maximalen Übertragungseinheit (Maximum Transmission Unit, MTU) kann es zu einer Unterbrechung des Traffics in Ihrer Cloud VPN-Verbindung kommen. Wenn Ihr Peer-Gerät einen anderen Algorithmus als den vorherigen Algorithmus auswählt, kann die Trafficunterbrechung aufgrund einer Verringerung der maximalen Nutzlast im verschlüsselten ESP-Paket auftreten. Weitere Informationen zur Vermeidung von Trafficunterbrechungen finden Sie unter Empfehlungen.
Die MTU von Cloud VPN hängt von der ausgewählten Chiffre ab. Die potenzielle Unterbrechung betrifft nur Traffic, der die vollständige Nutzlastkapazität verwendet. Jede Unterbrechung ist nur vorübergehend, bis sich das Netzwerk an die neue maximale Cloud VPN-Nutzlast anpasst.
Verworfene Konfigurationen
Cloud VPN unterstützt die DH-Algorithmus-Gruppe (Diffie-Hellman) nicht mehr. Wie in RFC 8247 veröffentlicht, wird die DH-Gruppe 22 nicht mehr als starker oder sicherer Algorithmus angesehen.
Wenn Ihre Verbindung derzeit die DH-Algorithmusgruppe 22 verwendet, kommt es zu einer Trafficunterbrechung bei Ihrer Cloud VPN-Verbindung, wenn die Änderungen wirksam werden.
Unterstützte Konfigurationen
Cloud VPN unterstützt zuvor die DH-Algorithmusgruppen 19, 20 und 21.
Wenn Sie Algorithmen aus den DH-Algorithmusgruppen 19, 20 und 21 verwenden möchten, können Sie Ihr Peer-VPN-Gateway so konfigurieren, dass es die Algorithmen vorschlagen und akzeptiert, nachdem die Änderungen wirksam wurden. Diese Änderung kann jedoch den Traffic über Ihre Cloud VPN-Verbindung beeinträchtigen.
Empfehlungen
Wenn Sie die DH-Gruppe 22 nicht erzwingen und potenzielle vorübergehende Trafficunterbrechungen während MTU-Änderungen tolerieren können, sind keine weiteren Maßnahmen erforderlich.
Zur Vermeidung von Trafficunterbrechungen empfehlen wir Ihnen, Ihr Peer-VPN-Gateway so zu konfigurieren, dass für jede Chiffrerolle nur eine unterstützte Chiffre vorgeschlagen und akzeptiert wird. Ein VPN-Gateway, das nur eine unterstützte Chiffre für jede Chiffrerolle vorschlägt, ist von der neuen Reihenfolge der Chiffrealgorithmus von Google nicht betroffen.
Nach dieser Änderung wird DH Gruppe 22 von Cloud VPN nicht mehr für vorhandene Tunnel unterstützt. Wenn Ihr Cipheralgorithmus-Satz nicht andere unterstützte DH-Gruppen enthält, können Ihr Router und Ihr Cloud VPN keinen VPN-Tunnel einrichten.
Weitere Informationen zu MTU finden Sie unter Überlegungen: MTU.
Änderungen an der Abrechnung
Es gibt keine Abrechnungsänderungen für Änderungen an der Cloud VPN-Chiffre.
Hilfe erhalten
Wenn Sie Fragen haben oder Unterstützung benötigen, wenden Sie sich an den Google Cloud-Support.