Pour fournir des paramètres de sécurité par défaut améliorés, Cloud VPN déploie les modifications apportées à l'ordre par défaut des algorithmes de chiffrement IKE, de sorte que Cloud VPN privilégie d'abord les algorithmes de chiffrement plus sécurisés.
De plus, Google ne prend plus en charge le groupe d'algorithmes DH 22. Pour en savoir plus, consultez la section Configurations obsolètes.
Si le nouvel ordre par défaut des algorithmes de chiffrement entraîne une nouvelle sélection d'algorithme de chiffrement et une nouvelle clé, ces modifications peuvent perturber le trafic sur votre connexion Cloud VPN.
Le reste de ce document vous permet de planifier et de mettre en œuvre vos modifications d'algorithme de chiffrement VPN.
Modification de commande
Lorsque Cloud VPN établit une connexion VPN, l'algorithme de chiffrement est sélectionné comme décrit dans le document de Cloud VPN à l'aide de l'ordre dans la requêt eTables de chiffrement compatibles.
Actuellement, les algorithmes de chiffrement ne sont pas triés en fonction de la sécurité. Certains algorithmes moins sécurisés sont listés avant les algorithmes plus sécurisés. Une fois les modifications de chiffrement Cloud VPN mises en œuvre, les préférences de l'algorithme Cloud VPN sont modifiées de manière à privilégier les algorithmes de chiffrement plus sécurisés. La modification de l'ordre de chiffrement est prévue pour être déployée progressivement sur toutes nos passerelles Cloud VPN.
Le tableau suivant montre la commande IKEv2 DH ainsi que la nouvelle commande:
| Ordre d'algorithme IHv2 DH existant | Nouvel ordre d'algorithme IKEv2 DH |
|---|---|
| MODP_2048_BIT | CURVE_25519 |
| MODP_2048_224 | ECP_256_BIT |
| MODP_2048_256 | ECP_384_BIT |
| MODP_1536_BIT | ECP_521_BIT |
| MODP_3072_BIT | MODP_3072_BIT |
| MODP_4096_BIT | MODP_4096_BIT |
| MODP_8192_BIT | MODP_6144_BIT |
| MODP_1024_BIT | MODP_8192_BIT |
| MODP_1024_160 | MODP_2048_BIT |
| ECP_256_BIT | MODP_2048_224 |
| ECP_384_BIT | MODP_2048_256 |
| ECP_521_BIT | MODP_1536_BIT |
| CURVE_25519 | MODP_1024_BIT |
Le tableau suivant montre l'ordre des algorithmes de fonction pseudo-aléatoire IKEv2 et le nouvel ordre:
| Ordre existant de l'algorithme de fonction pseudo-aléatoire IKEv2 | Nouvel ordre d'algorithme des fonctions pseudo-aléatoires IKEv2 |
|---|---|
| PRF-AES-128-XCBC | PRF-HMAC-SHA1 |
| PRF-AES-128-CMAC | PRF_HMAC_SHA2_384 |
| PRF-HMAC-SHA1 | PRF_HMAC_SHA2_512 |
| PRF-HMAC-MD5 | PRF-HMAC-SHA1 |
| PRF_HMAC_SHA2_256 | PRF-HMAC-MD5 |
| PRF_HMAC_SHA2_384 | PRF-AES-128-CMAC |
| PRF_HMAC_SHA2_512 | PRF-AES-128-XCBC |
Le tableau suivant montre l'ordre d'intégrité des algorithmes existant et le nouvel ordre:
| Ordre d'intégrité existant de l'algorithme | Nouvel ordre d'intégrité des algorithmes |
|---|---|
| AUTH_HMAC_SHA2_256_128 | AUTH_HMAC_SHA2_256_128 |
| AUTH_HMAC_SHA2_384_192 | AUTH_HMAC_SHA2_384_192 |
| AUTH_HMAC_SHA2_512_256 | AUTH_HMAC_SHA2_512_256 |
| AUTH_HMAC_MD5_96 | AUTH_HMAC_SHA1_96 |
| AUTH_HMAC_SHA1_96 | AUTH_HMAC_MD5_96 |
Le tableau suivant montre l'ordre d'algorithme de chiffrement existant et le nouvel ordre d'algorithme:
| Ordre d'exécution des algorithmes de chiffrement existants | Nouvel ordre d'algorithme de chiffrement |
|---|---|
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 192 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 192 |
Vous risquez de rencontrer du trafic interrompu sur votre connexion Cloud VPN lorsque les modifications sont mises en œuvre en raison de la nouvelle unité de transmission maximale (MTU) de chiffrement. Plus précisément, si votre appareil pair choisit un algorithme différent de ce qu'il était auparavant, l'interruption du trafic peut être due à une diminution de la taille de la charge utile maximale dans le paquet ESP chiffré. Pour en savoir plus sur la façon d'éviter les interruptions du trafic, consultez la page Recommandations.
La MTU de la charge utile Cloud VPN dépend de l'algorithme de chiffrement sélectionné. La perturbation potentielle n'affecte que le trafic qui utilise la capacité complète de la charge utile. Toute interruption devrait être temporaire jusqu'à ce que le réseau s'adapte à la nouvelle MTU de charge utile Cloud VPN maximale.
Configurations obsolètes
Cloud VPN ne sera bientôt plus compatible avec le groupe d'algorithmes Diffie-Hellman (DH). Comme publié dans le document RFC 8247, le groupe DH 22 n'est plus considéré comme un algorithme puissant ou sécurisé.
Si votre connexion utilise actuellement le groupe d'algorithmes DH 22, cela entraînera une interruption du trafic sur votre connexion Cloud VPN.
Configurations compatibles
Cloud VPN a précédemment ajouté la compatibilité avec les groupes d'algorithmes DH 19, 20 et 21.
Si vous souhaitez utiliser des algorithmes des groupes DH 19, 20 et 21, vous pouvez configurer votre passerelle VPN de pairs pour qu'elle propose et accepte les algorithmes une fois les modifications en vigueur. Toutefois, cette modification peut perturber le trafic sur votre connexion Cloud VPN.
Recommandations
Si vous n'appliquez pas le groupe DH 22 et que vous pouvez tolérer des perturbations temporaires du trafic pendant les modifications de la MTU, aucune autre action n'est requise.
Pour éviter toute interruption du trafic, nous vous recommandons de configurer votre passerelle VPN de pairs pour qu'elle ne propose et accepte qu'un seul algorithme de chiffrement compatible avec chaque rôle de chiffrement. La passerelle VPN qui propose et accepte un seul algorithme de chiffrement compatible avec chaque rôle de chiffrement n'est pas affectée par le nouvel ordre de proposition d'algorithme de chiffrement de Google.
Après cette modification, le groupe DH 22 n'est plus compatible avec Cloud VPN pour les tunnels existants. Si l'ensemble de propositions de votre algorithme de chiffrement ne contient pas d'autres groupes DH compatibles, votre routeur et Cloud VPN ne pourront pas établir de tunnel VPN.
Pour en savoir plus sur les MTU, consultez la section Considérations concernant les MTU.
Changements dans la facturation
Il n'y a aucune modification de la facturation pour les modifications de l'algorithme de chiffrement Cloud VPN.
Où obtenir de l'aide
Pour toute question, ou si vous avez besoin d'aide, contactez l'assistance Google Cloud.