Um die Standardsicherheit zu verbessern, führt Cloud VPN Änderungen an der Standardreihenfolge der IKE-Chiffren ein. So werden in Cloud VPN zuerst sicherere Chiffrenalgorithmen verwendet.
Außerdem wird die Unterstützung für die DH-Algorithmusgruppe 22 eingestellt. Weitere Informationen finden Sie unter Eingestellte Konfigurationen.
Wenn die neue Standardreihenfolge der Chiffrealgorithmen zu einer neuen Chiffreauswahl und einer Neuverschlüsselung führt, können diese Änderungen den Traffic auf Ihrer Cloud VPN-Verbindung beeinträchtigen.
Im restlichen Teil dieses Dokuments erfahren Sie, wie Sie die Änderungen an der VPN-Chiffre planen und implementieren.
Bestelländerung
Wenn Cloud VPN eine VPN-Verbindung initiiert, wird eine Chiffre ausgewählt, wie in der Cloud VPN-Dokumentation beschrieben, wobei die Reihenfolge in den Unterstützte Chiffretabellen eingehalten wird.
Derzeit werden die Chiffren nicht nach Sicherheit sortiert. Einige weniger sichere Algorithmen werden vor sichereren Algorithmen aufgeführt. Nachdem die Cloud VPN-Chiffren geändert wurden, ändern sich die Cloud VPN-Algorithmuseinstellungen, sodass sicherere Chiffrenalgorithmen bevorzugt werden. Die Änderung der Chiffrenreihenfolge soll schrittweise für alle unsere Cloud VPN-Gateways eingeführt werden.
In der folgenden Tabelle sind die Reihenfolge der vorhandenen IKEv2-DH-Algorithmen und die neue Reihenfolge aufgeführt:
| Bestehende Reihenfolge der IKEv2-DH-Algorithmen | Neue Reihenfolge der IKEv2-DH-Algorithmen |
|---|---|
| MODP_2048_BIT | CURVE_25519 |
| MODP_2048_224 | ECP_256_BIT |
| MODP_2048_256 | ECP_384_BIT |
| MODP_1536_BIT | ECP_521_BIT |
| MODP_3072_BIT | MODP_3072_BIT |
| MODP_4096_BIT | MODP_4096_BIT |
| MODP_8192_BIT | MODP_6144_BIT |
| MODP_1024_BIT | MODP_8192_BIT |
| MODP_1024_160 | MODP_2048_BIT |
| ECP_256_BIT | MODP_2048_224 |
| ECP_384_BIT | MODP_2048_256 |
| ECP_521_BIT | MODP_1536_BIT |
| CURVE_25519 | MODP_1024_BIT |
Die folgende Tabelle zeigt die Reihenfolge der bestehenden IKEv2-Pseudozufallsfunktionsalgorithmen und die neue Reihenfolge:
| Bestehende Reihenfolge der IKEv2-Pseudozufallsfunktionsalgorithmen | Neue Reihenfolge der IKEv2-Pseudozufallsfunktionsalgorithmen |
|---|---|
| PRF_AES128_XCBC | PRF_HMAC_SHA2_256 |
| PRF_AES128_CMAC | PRF_HMAC_SHA2_384 |
| PRF_HMAC_SHA1 | PRF_HMAC_SHA2_512 |
| PRF_HMAC_MD5 | PRF_HMAC_SHA1 |
| PRF_HMAC_SHA2_256 | PRF_HMAC_MD5 |
| PRF_HMAC_SHA2_384 | PRF_AES128_CMAC |
| PRF_HMAC_SHA2_512 | PRF_AES128_XCBC |
In der folgenden Tabelle sind die Reihenfolge der bestehenden Integritätsalgorithmen und die neue Reihenfolge aufgeführt:
| Bestehende Reihenfolge der Integritätsalgorithmen | Neue Reihenfolge der Integritätsalgorithmen |
|---|---|
| AUTH_HMAC_SHA2_256_128 | AUTH_HMAC_SHA2_256_128 |
| AUTH_HMAC_SHA2_384_192 | AUTH_HMAC_SHA2_384_192 |
| AUTH_HMAC_SHA2_512_256 | AUTH_HMAC_SHA2_512_256 |
| AUTH_HMAC_MD5_96 | AUTH_HMAC_SHA1_96 |
| AUTH_HMAC_SHA1_96 | AUTH_HMAC_MD5_96 |
In der folgenden Tabelle sind die bestehende Reihenfolge der Verschlüsselungsalgorithmen und die neue Reihenfolge aufgeführt:
| Bestehende Reihenfolge der Verschlüsselungsalgorithmen | Neue Reihenfolge der Verschlüsselungsalgorithmen |
|---|---|
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 192 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 192 |
Nach der Implementierung der Änderungen kann es aufgrund der neuen maximalen Übertragungseinheit (MTU) der Chiffre zu Unterbrechungen des Traffics in Ihrer Cloud VPN-Verbindung kommen. Insbesondere wenn Ihr Peer-Gerät einen anderen Algorithmus als zuvor auswählt, kann es zu einer Traffic-Unterbrechung kommen, da die Größe der maximalen Nutzlast im verschlüsselten ESP-Paket sinkt. Weitere Informationen dazu, wie Sie Behinderungen des Traffics vermeiden können, finden Sie unter Empfehlungen.
Die Nutzlast-MTU von Cloud VPN hängt von der ausgewählten Chiffre ab. Die potenzielle Unterbrechung betrifft nur Traffic, der die volle Nutzlastkapazität nutzt. Unterbrechungen sind nur vorübergehend, bis sich das Netzwerk an die neue maximale MTU für die Cloud VPN-Nutzlast angepasst hat.
Verworfene Konfigurationen
Cloud VPN unterstützt die Diffie-Hellman-Algorithmusgruppe 22 nicht mehr. Wie in RFC 8247 veröffentlicht, gilt die DH-Gruppe 22 nicht mehr als starker oder sicherer Algorithmus.
Wenn für Ihre Verbindung derzeit die DH-Algorithmusgruppe 22 verwendet wird, kommt es nach Inkrafttreten der Änderungen zu Traffic-Unterbrechungen bei Ihrer Cloud VPN-Verbindung.
Unterstützte Konfigurationen
Cloud VPN unterstützte bereits die DH-Algorithmusgruppen 19, 20 und 21.
Wenn Sie Algorithmen aus den DH-Algorithmengruppen 19, 20 und 21 verwenden möchten, können Sie Ihr Peer-VPN-Gateway so konfigurieren, dass die Algorithmen vorgeschlagen und akzeptiert werden, nachdem die Änderungen in Kraft getreten sind. Diese Änderung kann jedoch zu Unterbrechungen des Traffics über Ihre Cloud VPN-Verbindung führen.
Empfehlungen
Wenn Sie DH-Gruppe 22 nicht erzwingen und mögliche vorübergehende Traffic-Unterbrechungen bei MTU-Änderungen tolerieren können, sind keine weiteren Maßnahmen erforderlich.
Um Traffic-Unterbrechungen zu vermeiden, empfehlen wir, Ihr Peer-VPN-Gateway so zu konfigurieren, dass nur eine unterstützte Chiffre für jede Chiffrerolle vorgeschlagen und akzeptiert wird. Ein VPN-Gateway, das für jede Chiffrerolle nur eine unterstützte Chiffre vorschlägt und akzeptiert, ist von der neuen Reihenfolge der Chiffrealgorithmenvorschläge von Google nicht betroffen.
Nach dieser Änderung wird die DH-Gruppe 22 von Cloud VPN für bestehende Tunnel nicht mehr unterstützt. Wenn Ihr Vorschlagssatz für Chiffrealgorithmen keine anderen unterstützten DH-Gruppen enthält, können Ihr Router und Cloud VPN keinen VPN-Tunnel herstellen.
Weitere Informationen zu MTU finden Sie unter Überlegungen: MTU.
Änderungen an der Abrechnung
Durch Änderungen an der Chiffre für Cloud VPN ändert sich nichts an der Abrechnung.
Hilfe erhalten
Wenn Sie Fragen haben oder Unterstützung benötigen, wenden Sie sich an den Google Cloud-Support.