Untuk memberikan default keamanan enhanced, Cloud VPN meluncurkan perubahan pada urutan default cipher IKE, sehingga Cloud VPN lebih memilih algoritma cipher yang lebih aman terlebih dahulu.
Selain itu, Google menghentikan dukungan untuk algoritma DH grup 22. Untuk informasi selengkapnya, lihat Konfigurasi tidak digunakan lagi.
Jika urutan default baru algoritma cipher menyebabkan pemilihan dan kunci ulang cipher baru, perubahan ini dapat mengganggu traffic pada koneksi Cloud VPN Anda.
Bagian akhir dari dokumen ini membantu Anda merencanakan dan mengimplementasikan perubahan cipher VPN.
Modifikasi urutan
Saat Cloud VPN memulai koneksi VPN, cipher dipilih seperti yang dijelaskan dalam Dokumentasi Cloud VPN menggunakan urutan dalam tabel cipher yang didukung.
Saat ini, cipher tidak diurutkan berdasarkan keamanan. Beberapa algoritma yang kurang aman dicantumkan sebelum algoritma yang lebih aman. Setelah perubahan cipher Cloud VPN diimplementasikan, preferensi algoritma Cloud VPN berubah sehingga algoritma cipher yang aman lebih diutamakan. Perencanaan modifikasi urutan cipher akan diluncurkan secara bertahap ke semua gateway Cloud VPN kami.
Tabel berikut menunjukkan urutan algoritma DH IKEv2 yang sudah ada dan urutan baru:
| Urutan algoritma DH IKEv2 yang ada | Urutan algoritma DH IKEv2 baru |
|---|---|
| MODP_2048_BIT | CURVE_25519 |
| MODP_2048_224 | ECP_256_BIT |
| MODP_2048_256 | ECP_384_BIT |
| MODP_1536_BIT | ECP_521_BIT |
| MODP_3072_BIT | MODP_3072_BIT |
| MODP_4096_BIT | MODP_4096_BIT |
| MODP_8192_BIT | MODP_6144_BIT |
| MODP_1024_BIT | MODP_8192_BIT |
| MODP_1024_160 | MODP_2048_BIT |
| ECP_256_BIT | MODP_2048_224 |
| ECP_384_BIT | MODP_2048_256 |
| ECP_521_BIT | MODP_1536_BIT |
| CURVE_25519 | MODP_1024_BIT |
Tabel berikut menunjukkan urutan algoritma fungsi pseudo-random IKEv2 yang sudah ada dan urutan baru:
| Urutan algoritma fungsi pseudo-random IKEv2 yang ada | Urutan algoritma fungsi pseudo-random IKEv2 yang baru |
|---|---|
| PRF_AES128_XCBC | PRF_HMAC_SHA2_256 |
| PRF_AES128_CMAC | PRF_HMAC_SHA2_384 |
| PRF_HMAC_SHA1 | PRF_HMAC_SHA2_512 |
| PRF_HMAC_MD5 | PRF_HMAC_SHA1 |
| PRF_HMAC_SHA2_256 | PRF_HMAC_MD5 |
| PRF_HMAC_SHA2_384 | PRF_AES128_CMAC |
| PRF_HMAC_SHA2_512 | PRF_AES128_XCBC |
Tabel berikut menunjukkan urutan algoritma integritas yang ada dan urutan baru:
| Urutan algoritma integritas yang ada | Urutan algoritma integritas baru |
|---|---|
| AUTH_HMAC_SHA2_256_128 | AUTH_HMAC_SHA2_256_128 |
| AUTH_HMAC_SHA2_384_192 | AUTH_HMAC_SHA2_384_192 |
| AUTH_HMAC_SHA2_512_256 | AUTH_HMAC_SHA2_512_256 |
| AUTH_HMAC_MD5_96 | AUTH_HMAC_SHA1_96 |
| AUTH_HMAC_SHA1_96 | AUTH_HMAC_MD5_96 |
Tabel berikut menunjukkan urutan algoritma enkripsi yang ada dan urutan algoritma baru:
| Urutan algoritma enkripsi yang ada | Urutan algoritma enkripsi baru |
|---|---|
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 192 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 192 |
Anda mungkin mengalami gangguan traffic pada koneksi Cloud VPN saat perubahan diimplementasikan karena cipher maximum transmisi unit (MTU) yang baru. Khususnya, jika perangkat peer Anda memilih algoritma yang berbeda dengan sebelumnya, gangguan traffic dapat terjadi karena penurunan ukuran payload maksimum dalam paket ESP terenkripsi. Untuk informasi selengkapnya tentang menghindari gangguan traffic, lihat Rekomendasi.
MTU payload Cloud VPN bergantung pada cipher yang dipilih. Gangguan potensi hanya memengaruhi traffic yang menggunakan kapasitas payload penuh. Setiap gangguan diharapkan bersifat sementara hingga jaringan beradaptasi dengan MTU payload Cloud VPN maksimum yang baru.
Konfigurasi yang tidak digunakan lagi
Cloud VPN menghentikan dukungan untuk grup algoritma Diffie-Hellman (DH) 22. Seperti yang dipublikasikan di RFC 8247, grup DH 22 tidak lagi dianggap sebagai algoritma yang kuat atau aman.
Jika saat ini koneksi Anda menggunakan algoritma DH grup 22, Anda akan mengalami gangguan traffic pada koneksi Cloud VPN saat perubahan ini diberlakukan.
Konfigurasi yang didukung
Cloud VPN sebelumnya menambahkan dukungan untuk grup algoritma DH 19, 20, dan 21.
Jika ingin menggunakan algoritma dari grup algoritma DH 19, 20, dan 21, Anda dapat untuk mengusulkan dan menerima algoritma setelah perubahan berlaku. Namun, melakukan perubahan tersebut dapat mengganggu traffic melalui koneksi Cloud VPN Anda.
Rekomendasi
Jika Anda tidak menerapkan grup DH 22 dan dapat menoleransi potensi gangguan traffic sementara selama perubahan MTU, Anda tidak perlu melakukan tindakan lebih lanjut.
Untuk menghindari gangguan traffic, sebaiknya konfigurasikan gateway VPN peer untuk mengusulkan dan menerima hanya satu cipher yang didukung untuk setiap peran cipher. Gateway VPN yang mengusulkan dan menerima hanya satu cipher yang didukung untuk setiap peran cipher tidak terpengaruh oleh urutan proposal algoritma penyandian baru Google.
Setelah perubahan ini, grup DH 22 tidak lagi didukung oleh Cloud VPN untuk tunnel yang ada. Jika kumpulan proposal algoritma cipher Anda tidak berisi grup DH lain yang didukung, router dan Cloud VPN Anda tidak dapat membuat tunnel VPN.
Untuk informasi selengkapnya tentang MTU, lihat pertimbangan MTU.
Perubahan penagihan
Tidak ada perubahan penagihan untuk perubahan cipher Cloud VPN.
Dimana mendapatkan bantuan
Jika Anda memiliki pertanyaan atau memerlukan asisten, hubungi Dukungan Google Cloud.