Per fornire valori predefiniti di sicurezza avanzati, Cloud VPN sta implementando delle modifiche secondo l'ordine predefinito delle crittografie IKE, in modo che Cloud VPN preferisca algoritmi di crittografia sicuri.
Inoltre, Google interromperà il supporto per il gruppo di algoritmi DH 22. Per ulteriori informazioni, consulta Configurazioni ritirate.
Se il nuovo ordine predefinito degli algoritmi di crittografia causa una nuova selezione e una nuova generazione della chiave del cifrario, queste modifiche potrebbero interrompere il traffico sulla connessione Cloud VPN.
Il resto di questo documento ti aiuta a pianificare e implementare le modifiche alla crittografia VPN.
Modifica dell'ordine
Quando Cloud VPN avvia una connessione VPN, viene selezionata una crittografia descritto in Cloud VPN documentazione utilizzando l'ordine la crittografia supportata per le tabelle.
Al momento, le cifre non sono ordinate in base alla sicurezza. Alcuni algoritmi meno sicuri sono elencati prima di quelli più sicuri. Dopo l'implementazione delle modifiche ai cifrari di Cloud VPN, le preferenze dell'algoritmo di Cloud VPN cambiano in modo da dare la priorità agli algoritmi di cifrari più sicuri. Ordine della crittografia modifica verrà implementata progressivamente in tutti i nostri o i gateway Cloud VPN.
La tabella seguente mostra l'ordine esistente dell'algoritmo IKEv2 DH e la nuovo ordine:
| Ordine degli algoritmi DH IKEv2 esistenti | Nuovo ordine degli algoritmi DH IKEv2 |
|---|---|
| MODP_2048_BIT | CURVE_25519 |
| MODP_2048_224 | ECP_256_BIT |
| MODP_2048_256 | ECP_384_BIT |
| MODP_1536_BIT | ECP_521_BIT |
| MODP_3072_BIT | MODP_3072_BIT |
| MODP_4096_BIT | MODP_4096_BIT |
| MODP_8192_BIT | MODP_6144_BIT |
| MODP_1024_BIT | MODP_8192_BIT |
| MODP_1024_160 | MODP_2048_BIT |
| ECP_256_BIT | MODP_2048_224 |
| ECP_384_BIT | MODP_2048_256 |
| ECP_521_BIT | MODP_1536_BIT |
| CURVE_25519 | MODP_1024_BIT |
La tabella seguente mostra l'ordine esistente dell'algoritmo della funzione pseudo-casuale IKEv2 e il nuovo ordine:
| Algoritmo di funzione pseudo-casuale IKEv2 esistente ordine | Nuova funzione pseudo-casuale IKEv2 ordine dell'algoritmo |
|---|---|
| PRF_AES128_XCBC | PRF_HMAC_SHA2_256 |
| PRF_AES128_CMAC | PRF_HMAC_SHA2_384 |
| PRF_HMAC_SHA1 | PRF_HMAC_SHA2_512 |
| PRF_HMAC_MD5 | PRF_HMAC_SHA1 |
| PRF_HMAC_SHA2_256 | PRF_HMAC_MD5 |
| PRF_HMAC_SHA2_384 | PRF_AES128_CMAC |
| PRF_HMAC_SHA2_512 | PRF_AES128_XCBC |
La tabella seguente mostra l'ordine esistente dell'algoritmo di integrità e la nuovo ordine:
| Ordine dell'algoritmo di integrità esistente | Nuovo ordine dell'algoritmo di integrità |
|---|---|
| AUTH_HMAC_SHA2_256_128 | AUTH_HMAC_SHA2_256_128 |
| AUTH_HMAC_SHA2_384_192 | AUTH_HMAC_SHA2_384_192 |
| AUTH_HMAC_SHA2_512_256 | AUTH_HMAC_SHA2_512_256 |
| AUTH_HMAC_MD5_96 | AUTH_HMAC_SHA1_96 |
| AUTH_HMAC_SHA1_96 | AUTH_HMAC_MD5_96 |
La tabella seguente mostra l'ordine esistente degli algoritmi di crittografia e la nuovo ordine dell'algoritmo:
| Ordine esistente degli algoritmi di crittografia | Nuovo ordine degli algoritmi di crittografia |
|---|---|
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 192 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 192 |
Potresti riscontrare interruzioni del traffico sulla connessione Cloud VPN quando vengono implementate le modifiche a causa della nuova unità massima di trasmissione (MTU) del cifrario. Nello specifico, se il dispositivo peer sceglie un algoritmo diverso rispetto a quello precedente, può verificarsi un'interruzione del traffico a causa della diminuzione delle dimensioni del payload massimo nel pacchetto ESP criptato. Per ulteriori informazioni per evitare interruzioni del traffico, consulta i consigli.
L'MTU del payload di Cloud VPN dipende dalla crittografia selezionata. La potenziale interruzione riguarda solo il traffico che utilizza la capacità di carico utile completa. Qualsiasi interruzione dovrebbe essere temporanea finché la rete non si adatta al nuovo MTU del payload Cloud VPN massimo.
Configurazioni ritirate
Cloud VPN non supporterà più il gruppo di algoritmi Diffie-Hellman (DH) 22. Come pubblicato in RFC 8247, gruppo DH 22 non è più considerato un algoritmo efficace o sicuro.
Se al momento la tua connessione utilizza il gruppo di algoritmi DH 22, quando le modifiche entreranno in vigore si verificherà un'interruzione del traffico sulla connessione Cloud VPN.
Configurazioni supportate
In precedenza, Cloud VPN aveva aggiunto il supporto per i gruppi di algoritmi DH 19, 20 e 21.
Se vuoi utilizzare gli algoritmi dei gruppi di algoritmi DH 19, 20 e 21, puoi configurare il gateway VPN peer in modo che proponga e accetti gli algoritmi dopo l'applicazione delle modifiche. Tuttavia, questa modifica potrebbe interrompere il traffico tramite la connessione Cloud VPN.
Consigli
Se non applichi il gruppo DH 22 e puoi tollerare potenziali interruzioni del traffico durante le modifiche della MTU, non sono necessarie ulteriori azioni.
Per evitare interruzioni del traffico, ti consigliamo di configurare il gateway VPN peer in modo che proponga e accetti un solo cifrario supportato per ogni ruolo. Un gateway VPN che propone e accetta solo una crittografia supportata per ciascun ruolo di crittografia non è interessato dal nuovo ordine delle proposte dell'algoritmo di crittografia di Google.
Dopo questa modifica, il gruppo DH 22 non è più supportato da Cloud VPN per i tunnel esistenti. Se l'insieme di proposte di algoritmi di crittografia non contiene altri gruppi DH supportati, il router e Cloud VPN non potranno stabilire un tunnel VPN.
Per ulteriori informazioni sulla MTU, consulta MTU considerazioni.
Modifiche alla fatturazione
Non sono state apportate modifiche alla fatturazione per le modifiche relative alla crittografia Cloud VPN.
Dove trovare assistenza
Per qualsiasi domanda o se hai bisogno di aiuto, contatta l'assistenza Google Cloud.