A fin de proporcionar valores predeterminados de seguridad mejorados, Cloud VPN lanzará cambios en el orden predeterminado de los algoritmos de cifrado IKE, para que Cloud VPN priorice los algoritmos de cifrado más seguros.
Además, Google dejará de ser compatible con el grupo de algoritmos DH 22. Para obtener más información, consulta Opciones de configuración obsoletas.
Si el nuevo orden predeterminado de los algoritmos de cifrado provoca una selección nueva y un cambio de clave, estos cambios pueden interrumpir el tráfico en tu conexión de Cloud VPN.
En el resto de este documento, encontrarás ayuda para planificar y, también, implementar cambios en el algoritmo de cifrado de VPN.
Modificación del orden
Cuando Cloud VPN inicia una conexión de VPN, se selecciona un algoritmo de cifrado, como se describe en Documentación de Cloud VPN, con el orden de las tablas de cifrado compatibles.
En la actualidad, los algoritmos de cifrado no están ordenados en función de la seguridad. Algunos algoritmos menos seguros aparecen antes que los más seguros. Tras implementar los cambios en el algoritmo de cifrado de Cloud VPN, las preferencias del algoritmo de Cloud VPN cambian para que se prioricen los algoritmos de cifrado más seguros. La modificación del orden de cifrado está planificada para lanzarse de forma progresiva a todas nuestras puertas de enlace de Cloud VPN.
En la siguiente tabla, se muestra el orden del algoritmo DH IKEv2 existente y el orden nuevo:
| Orden del algoritmo DH IKEv2 existente | Nuevo orden del algoritmo DH IKEv2 |
|---|---|
| MODP_2048_BIT | CURVE_25519 |
| MODP_2048_224 | ECP_256_BIT |
| MODP_2048_256 | ECP_384_BIT |
| MODP_1536_BIT | ECP_521_BIT |
| MODP_3072_BIT | MODP_3072_BIT |
| MODP_4096_BIT | MODP_4096_BIT |
| MODP_8192_BIT | MODP_6144_BIT |
| MODP_1024_BIT | MODP_8192_BIT |
| MODP_1024_160 | MODP_2048_BIT |
| ECP_256_BIT | MODP_2048_224 |
| ECP_384_BIT | MODP_2048_256 |
| ECP_521_BIT | MODP_1536_BIT |
| CURVE_25519 | MODP_1024_BIT |
En la siguiente tabla, se muestra el orden del algoritmo de función seudoaleatoria IKEv2 existente y el orden nuevo:
| Orden del algoritmo de funciones seudoaleatorias IKEv2 existente | Nuevo orden del algoritmo de función seudoaleatoria IKEv2 |
|---|---|
| PRF_AES128_XCBC | PRF_HMAC_SHA2_256 |
| PRF_AES128_CMAC | PRF_HMAC_SHA2_384 |
| PRF_HMAC_SHA1 | PRF_HMAC_SHA2_512 |
| PRF_HMAC_MD5 | PRF_HMAC_SHA1 |
| PRF_HMAC_SHA2_256 | PRF_HMAC_MD5 |
| PRF_HMAC_SHA2_384 | PRF_AES128_CMAC |
| PRF_HMAC_SHA2_512 | PRF_AES128_XCBC |
En la siguiente tabla, se muestra el orden del algoritmo integridad existente y el orden nuevo:
| Orden del algoritmo de integridad existente | Nuevo orden del algoritmo integridad |
|---|---|
| AUTH_HMAC_SHA2_256_128 | AUTH_HMAC_SHA2_256_128 |
| AUTH_HMAC_SHA2_384_192 | AUTH_HMAC_SHA2_384_192 |
| AUTH_HMAC_SHA2_512_256 | AUTH_HMAC_SHA2_512_256 |
| AUTH_HMAC_MD5_96 | AUTH_HMAC_SHA1_96 |
| AUTH_HMAC_SHA1_96 | AUTH_HMAC_MD5_96 |
En la siguiente tabla, se muestra el orden del algoritmo de encriptación existente y el orden del algoritmo nuevo:
| Orden del algoritmo de encriptación existente | Nuevo orden del algoritmo de encriptación |
|---|---|
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 192 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 192 |
Es posible que experimentes tráfico interrumpido en tu conexión de Cloud VPN cuando se implementen los cambios debido a la nueva unidad de transmisión máxima (MTU) del algoritmo de cifrado. Específicamente, si tu dispositivo de intercambio de tráfico elige un algoritmo diferente al que usó antes, la interrupción de tráfico puede ocurrir debido a una disminución en el tamaño de la carga útil máxima en el paquete del ESP encriptado. Para obtener más información sobre cómo evitar interrupciones en el tráfico, consulta Recomendaciones.
La MTU de la carga útil de Cloud VPN depende del algoritmo de cifrado seleccionado. La interrupción potencial solo afecta el tráfico que usa la capacidad de carga útil completa. Se espera que cualquier interrupción sea transitoria hasta que la red se adapte a la MTU de carga útil máxima nueva de Cloud VPN.
Opciones de configuración obsoletas
Cloud VPN dejará de ser compatible con el grupo de algoritmos Diffie-Hellman (DH) 22. Como se publicó en RFC 8247, el grupo DH 22 ya no se considera un algoritmo sólido ni seguro.
Si en la actualidad usas el grupo de algoritmos DH 22, experimentarás una interrupción de tráfico en tu conexión de Cloud VPN cuando los cambios entren en vigor.
Configuraciones admitidas
Cloud VPN ya incorporó la compatibilidad con los grupos de algoritmos DH 19, 20 y 21.
Si deseas usar algoritmos de los grupos de algoritmos de DH 19, 20 y 21, puedes configurar la puerta de enlace de VPN de par para proponer y aceptar los algoritmos después de que entren en vigor los cambios. Sin embargo, realizar ese cambio podría interrumpir el tráfico a través de tu conexión de Cloud VPN.
Recomendaciones
Si no aplicas el grupo DH 22 y puedes tolerar posibles interrupciones de tráfico temporales durante los cambios de MTU, no es necesario que realices ninguna otra acción.
Para evitar interrupciones en el tráfico, te recomendamos que configures la puerta de enlace de VPN de par a fin de proponer y aceptar solo un algoritmo de cifrado compatible para cada rol del algoritmo de cifrado. Una puerta de enlace de VPN que propone y acepta solo un algoritmo de cifrado compatible para cada rol del algoritmo de cifrado no se verá afectada por el nuevo orden de propuesta del algoritmo de cifrado de Google.
Después de este cambio, el grupo de DH 22 ya no es compatible con Cloud VPN para los túneles existentes. Si tu conjunto de propuestas de algoritmo de cifrado no contiene otros grupos de DH compatibles, tu router y Cloud VPN no podrán establecer un túnel VPN.
Para obtener más información sobre la MTU, consulta Consideraciones de la MTU.
Cambios en la facturación
No hay cambios en la facturación por los cambios del algoritmo de cifrado de Cloud VPN.
Dónde obtener ayuda
Si tienes alguna pregunta o necesitas asistencia, comunícate con la Asistencia de Google Cloud.