Pour renforcer la sécurité par défaut, Cloud VPN déploie les modifications apportées à l'ordre par défaut des algorithmes de chiffrement IKE, afin que Cloud VPN privilégie les algorithmes de chiffrement plus sécurisés en premier.
De plus, Google ne prendra plus en charge le groupe d'algorithmes DH 22. Pour en savoir plus, consultez la section Configurations obsolètes.
Si le nouvel ordre par défaut des algorithmes de chiffrement entraîne une nouvelle sélection de l'algorithme de chiffrement et un renouvellement de la clé, ces modifications peuvent perturber le trafic sur votre connexion Cloud VPN.
Le reste de ce document vous aide à planifier et à mettre en œuvre les modifications de votre algorithme de chiffrement VPN.
Modification de l'ordre
Lorsque Cloud VPN établit une connexion VPN, l'algorithme de chiffrement est sélectionné comme décrit dans le document de Cloud VPN à l'aide de l'ordre dans la requêt eTables de chiffrement compatibles.
Actuellement, les algorithmes de chiffrement ne sont pas ordonnés en fonction de leur sécurité. Certains algorithmes moins sécurisés sont répertoriés avant les algorithmes plus sécurisés. Une fois les modifications apportées à l'algorithme de chiffrement Cloud VPN, les préférences de l'algorithme Cloud VPN changent afin que des algorithmes de chiffrement plus sécurisés soient privilégiés. Cette modification de l'ordre de chiffrement est prévue pour être déployée progressivement sur toutes nos passerelles Cloud VPN.
Le tableau suivant présente l'ordre de l'algorithme DH IKEv2 existant et le nouvel ordre :
| Ordre existant de l'algorithme DH IKEv2 | Nouvel ordre d'algorithme DH IKEv2 |
|---|---|
| MODP_2048_BIT | CURVE_25519 |
| MODP_2048_224 | ECP_256_BIT |
| MODP_2048_256 | ECP_384_BIT |
| MODP_1536_BIT | ECP_521_BIT |
| MODP_3072_BIT | MODP_3072_BIT |
| MODP_4096_BIT | MODP_4096_BIT |
| MODP_8192_BIT | MODP_6144_BIT |
| MODP_1024_BIT | MODP_8192_BIT |
| MODP_1024_160 | MODP_2048_BIT |
| ECP_256_BIT | MODP_2048_224 |
| ECP_384_BIT | MODP_2048_256 |
| ECP_521_BIT | MODP_1536_BIT |
| CURVE_25519 | MODP_1024_BIT |
Le tableau suivant présente l'ordre de l'algorithme de la fonction pseudo-aléatoire IKEv2 existante et le nouvel ordre :
| Ordre de l'algorithme de fonction pseudo-aléatoire IKEv2 existant | Nouvel ordre d'algorithme de fonction pseudo-aléatoire IKEv2 |
|---|---|
| PRF_AES128_XCBC | PRF_HMAC_SHA2_256 |
| PRF_AES128_CMAC | PRF_HMAC_SHA2_384 |
| PRF_HMAC_SHA1 | PRF_HMAC_SHA2_512 |
| PRF_HMAC_MD5 | PRF_HMAC_SHA1 |
| PRF_HMAC_SHA2_256 | PRF_HMAC_MD5 |
| PRF_HMAC_SHA2_384 | PRF_AES128_CMAC |
| PRF_HMAC_SHA2_512 | PRF_AES128_XCBC |
Le tableau suivant indique l'ordre de l'algorithme d'intégrité existant et le nouvel ordre :
| Ordre existant de l'algorithme d'intégrité | Nouvel ordre de l'algorithme d'intégrité |
|---|---|
| AUTH_HMAC_SHA2_256_128 | AUTH_HMAC_SHA2_256_128 |
| AUTH_HMAC_SHA2_384_192 | AUTH_HMAC_SHA2_384_192 |
| AUTH_HMAC_SHA2_512_256 | AUTH_HMAC_SHA2_512_256 |
| AUTH_HMAC_MD5_96 | AUTH_HMAC_SHA1_96 |
| AUTH_HMAC_SHA1_96 | AUTH_HMAC_MD5_96 |
Le tableau suivant indique l'ordre des algorithmes de chiffrement existant et le nouvel ordre des algorithmes :
| Ordre de l'algorithme de chiffrement existant | Nouvel ordre de l'algorithme de chiffrement |
|---|---|
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 192 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 192 |
Le trafic sur votre connexion Cloud VPN peut être interrompu lorsque les modifications sont mises en œuvre en raison de la nouvelle unité de transmission maximale (MTU) de chiffrement. Plus précisément, si votre appareil pair choisit un algorithme différent de celui utilisé précédemment, une interruption du trafic peut se produire en raison de la diminution de la taille de la charge utile maximale dans le paquet ESP chiffré. Pour en savoir plus sur la façon d'éviter les interruptions de trafic, consultez la page Recommandations.
La MTU de charge utile Cloud VPN dépend de l'algorithme de chiffrement sélectionné. La perturbation potentielle n'affecte que le trafic qui utilise la capacité totale de la charge utile. Toute interruption devrait être temporaire jusqu'à ce que le réseau s'adapte à la nouvelle MTU de charge utile Cloud VPN maximale.
Configurations obsolètes
Cloud VPN ne prend plus en charge le groupe d'algorithmes Diffie-Hellman (DH) 22. Comme publié dans le document RFC 8247, le groupe DH 22 n'est plus considéré comme un algorithme puissant ou sécurisé.
Si votre connexion utilise actuellement le groupe d'algorithmes DH 22, le trafic sera interrompu sur votre connexion Cloud VPN lorsque les modifications prendront effet.
Configurations compatibles
Cloud VPN a précédemment ajouté la compatibilité avec les groupes d'algorithmes DH 19, 20 et 21.
Si vous souhaitez utiliser les algorithmes des groupes d'algorithmes DH 19, 20 et 21, vous pouvez configurer votre passerelle VPN de pairs pour qu'elle propose et accepte les algorithmes une fois les modifications en vigueur. Cette modification pourrait toutefois perturber le trafic sur votre connexion Cloud VPN.
Recommandations
Si vous n'utilisez pas le groupe DH 22 et que vous pouvez tolérer des interruptions de trafic temporaires potentielles lors des modifications de la MTU, aucune autre action n'est requise.
Pour éviter toute interruption du trafic, nous vous recommandons de configurer votre passerelle VPN de pairs de sorte qu'elle ne propose et n'accepte qu'un seul algorithme de chiffrement compatible pour chaque rôle de chiffrement. Une passerelle VPN qui propose et n'accepte qu'un seul algorithme de chiffrement compatible pour chaque rôle de chiffrement n'est pas affectée par le nouvel ordre de proposition d'algorithme de chiffrement de Google.
Après cette modification, le groupe DH 22 n'est plus compatible avec Cloud VPN pour les tunnels existants. Si votre ensemble de propositions d'algorithmes de chiffrement ne contient pas d'autres groupes DH compatibles, votre routeur et Cloud VPN ne pourront pas établir de tunnel VPN.
Pour en savoir plus sur les MTU, consultez la section Considérations concernant les MTU.
Changements dans la facturation
Les modifications apportées à l'algorithme de chiffrement Cloud VPN n'occasionnent pas de changements dans la facturation.
Où obtenir de l'aide
Pour toute question, ou si vous avez besoin d'aide, contactez l'assistance Google Cloud.