Pour renforcer la sécurité par défaut, Cloud VPN déploie les modifications apportées à l'ordre par défaut des algorithmes de chiffrement IKE, afin que Cloud VPN privilégie les algorithmes de chiffrement plus sécurisés en premier.
De plus, Google abandonne la prise en charge du groupe d'algorithmes DH 22. Pour en savoir plus, consultez la section Configurations obsolètes.
Si le nouvel ordre par défaut des algorithmes de chiffrement entraîne une nouvelle sélection et une nouvelle génération de clés, ces modifications peuvent perturber le trafic sur votre connexion Cloud VPN.
Le reste de ce document vous aide à planifier et à mettre en œuvre vos modifications de l'algorithme de chiffrement VPN.
Modification de commande
Lorsque Cloud VPN établit une connexion VPN, l'algorithme de chiffrement est sélectionné comme décrit dans le document de Cloud VPN à l'aide de l'ordre dans la requêt eTables de chiffrement compatibles.
Actuellement, les algorithmes de chiffrement ne sont pas classés en fonction de la sécurité. Certains algorithmes moins sécurisés sont listés avant les algorithmes plus sécurisés. Une fois les modifications apportées à l'algorithme de chiffrement Cloud VPN implémentées, les préférences d'algorithme Cloud VPN changent pour privilégier les algorithmes de chiffrement plus sécurisés. La modification de l'ordre des algorithmes de chiffrement est prévue pour être déployée progressivement sur toutes nos passerelles Cloud VPN.
Le tableau suivant présente l'ordre de l'algorithme DH IKEv2 existant et le nouvel ordre :
| Ordre de l'algorithme DH IKEv2 existant | Nouvel ordre de l'algorithme DH IKEv2 |
|---|---|
| MODP_2048_BIT | CURVE_25519 |
| MODP_2048_224 | ECP_256_BIT |
| MODP_2048_256 | ECP_384_BIT |
| MODP_1536_BIT | ECP_521_BIT |
| MODP_3072_BIT | MODP_3072_BIT |
| MODP_4096_BIT | MODP_4096_BIT |
| MODP_8192_BIT | MODP_6144_BIT |
| MODP_1024_BIT | MODP_8192_BIT |
| MODP_1024_160 | MODP_2048_BIT |
| ECP_256_BIT | MODP_2048_224 |
| ECP_384_BIT | MODP_2048_256 |
| ECP_521_BIT | MODP_1536_BIT |
| CURVE_25519 | MODP_1024_BIT |
Le tableau suivant présente l'ordre de l'algorithme de la fonction pseudo-aléatoire IKEv2 existante et le nouvel ordre :
| Ordre de l'algorithme de fonction pseudo-aléatoire IKEv2 existant | Nouvel ordre de l'algorithme de fonction pseudo-aléatoire IKEv2 |
|---|---|
| PRF-AES-128-XCBC | PRF-HMAC-SHA1 |
| PRF-AES-128-CMAC | PRF_HMAC_SHA2_384 |
| PRF-HMAC-SHA1 | PRF_HMAC_SHA2_512 |
| PRF-HMAC-MD5 | PRF-HMAC-SHA1 |
| PRF_HMAC_SHA2_256 | PRF-HMAC-MD5 |
| PRF_HMAC_SHA2_384 | PRF-AES-128-CMAC |
| PRF_HMAC_SHA2_512 | PRF-AES-128-XCBC |
Le tableau suivant indique l'ordre de l'algorithme d'intégrité existant et le nouvel ordre :
| Ordre de l'algorithme d'intégrité existant | Nouvel ordre de l'algorithme d'intégrité |
|---|---|
| AUTH_HMAC_SHA2_256_128 | AUTH_HMAC_SHA2_256_128 |
| AUTH_HMAC_SHA2_384_192 | AUTH_HMAC_SHA2_384_192 |
| AUTH_HMAC_SHA2_512_256 | AUTH_HMAC_SHA2_512_256 |
| AUTH_HMAC_MD5_96 | AUTH_HMAC_SHA1_96 |
| AUTH_HMAC_SHA1_96 | AUTH_HMAC_MD5_96 |
Le tableau suivant indique l'ordre des algorithmes de chiffrement existant et le nouvel ordre des algorithmes :
| Ordre des algorithmes de chiffrement existant | Nouvel ordre de l'algorithme de chiffrement |
|---|---|
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 192 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 192 |
Il est possible que le trafic soit perturbé sur votre connexion Cloud VPN lorsque les modifications seront implémentées en raison de la nouvelle unité de transmission maximale (MTU) du chiffrement. Plus précisément, si votre appareil homologue choisit un algorithme différent de celui qu'il utilisait précédemment, une perturbation du trafic peut se produire en raison d'une diminution de la taille de la charge utile maximale dans le paquet ESP chiffré. Pour en savoir plus sur l'évitement des perturbations du trafic, consultez la section Recommandations.
La MTU de la charge utile Cloud VPN dépend de l'algorithme de chiffrement sélectionné. La perturbation potentielle ne concerne que le trafic qui utilise la capacité de charge utile complète. Toute interruption devrait être temporaire jusqu'à ce que le réseau s'adapte à la nouvelle MTU de charge utile Cloud VPN maximale.
Configurations obsolètes
Cloud VPN abandonne la prise en charge du groupe d'algorithmes Diffie-Hellman (DH) 22. Comme indiqué dans la RFC 8247, le groupe DH 22 n'est plus considéré comme un algorithme ni fort ni sécurisé.
Si votre connexion utilise actuellement le groupe d'algorithmes DH 22, vous constaterez une interruption du trafic sur votre connexion Cloud VPN lorsque les modifications prendront effet.
Configurations compatibles
Cloud VPN a précédemment ajouté la prise en charge des groupes d'algorithmes DH 19, 20 et 21.
Si vous souhaitez utiliser des algorithmes des groupes d'algorithmes DH 19, 20 et 21, vous pouvez configurer votre passerelle VPN de pairs pour qu'elle propose et accepte les algorithmes une fois les modifications appliquées. Toutefois, cette modification risque de perturber le trafic sur votre connexion Cloud VPN.
Recommandations
Si vous n'utilisez pas le groupe DH 22 et que vous pouvez tolérer des interruptions de trafic temporaires potentielles lors des modifications de la MTU, aucune autre action n'est requise.
Pour éviter les perturbations du trafic, nous vous recommandons de configurer votre passerelle VPN de pairs de sorte qu'elle ne propose et n'accepte qu'un seul algorithme de chiffrement compatible pour chaque rôle de chiffrement. Une passerelle VPN qui ne propose et n'accepte qu'un seul algorithme de chiffrement compatible pour chaque rôle de chiffrement n'est pas affectée par le nouvel ordre de proposition d'algorithmes de chiffrement de Google.
Après ce changement, le groupe DH 22 n'est plus compatible avec Cloud VPN pour les tunnels existants. Si votre ensemble de propositions d'algorithmes de chiffrement ne contient pas d'autres groupes DH compatibles, votre routeur et Cloud VPN ne pourront pas établir de tunnel VPN.
Pour en savoir plus sur les MTU, consultez la section Considérations concernant les MTU.
Changements dans la facturation
Les modifications apportées à l'algorithme de chiffrement Cloud VPN n'occasionnent pas de changements dans la facturation.
Où obtenir de l'aide
Pour toute question, ou si vous avez besoin d'aide, contactez l'assistance Google Cloud.