Per fornire impostazioni predefinite di sicurezza avanzate, Cloud VPN sta implementando modifiche all'ordine predefinito delle crittografie IKE, in modo che Cloud VPN preferisca innanzitutto gli algoritmi di crittografia più sicuri.
Inoltre, Google ritirerà il supporto per il gruppo di algoritmi DH 22. Per ulteriori informazioni, consulta Configurazioni ritirate.
Se il nuovo ordine predefinito degli algoritmi di crittografia comporta una nuova selezione e una nuova generazione della chiave di crittografia, queste modifiche potrebbero interrompere il traffico sulla connessione Cloud VPN.
Il resto di questo documento ti aiuta a pianificare e implementare le modifiche ai codici VPN.
Modifica dell'ordine
Quando Cloud VPN avvia una connessione VPN, viene selezionato un'algoritmo di crittografia come descritto nella documentazione di Cloud VPN utilizzando l'ordine indicato nelle tabelle degli algoritmi di crittografia supportati.
Al momento, le cifre non sono ordinate in base alla sicurezza. Alcuni algoritmi meno sicuri sono elencati prima di quelli più sicuri. Dopo l'implementazione delle modifiche ai cifrari di Cloud VPN, le preferenze dell'algoritmo di Cloud VPN cambiano in modo da dare la priorità agli algoritmi di cifrari più sicuri. È prevista l'implementazione graduale della modifica dell'ordine dei cifrari su tutti i nostri gateway Cloud VPN.
La tabella seguente mostra l'ordine esistente degli algoritmi DH IKEv2 e il nuovo ordine:
| Ordine degli algoritmi DH IKEv2 esistenti | Nuovo ordine degli algoritmi DH IKEv2 |
|---|---|
| MODP_2048_BIT | CURVE_25519 |
| MODP_2048_224 | ECP_256_BIT |
| MODP_2048_256 | ECP_384_BIT |
| MODP_1536_BIT | ECP_521_BIT |
| MODP_3072_BIT | MODP_3072_BIT |
| MODP_4096_BIT | MODP_4096_BIT |
| MODP_8192_BIT | MODP_6144_BIT |
| MODP_1024_BIT | MODP_8192_BIT |
| MODP_1024_160 | MODP_2048_BIT |
| ECP_256_BIT | MODP_2048_224 |
| ECP_384_BIT | MODP_2048_256 |
| ECP_521_BIT | MODP_1536_BIT |
| CURVE_25519 | MODP_1024_BIT |
La tabella seguente mostra l'ordine esistente e quello nuovo degli algoritmi di funzione pseudo-casuale IKEv2:
| Ordine esistente dell'algoritmo della funzione pseudo-casuale IKEv2 | Nuovo ordine dell'algoritmo della funzione pseudo-casuale IKEv2 |
|---|---|
| PRF_AES128_XCBC | PRF_HMAC_SHA2_256 |
| PRF_AES128_CMAC | PRF_HMAC_SHA2_384 |
| PRF_HMAC_SHA1 | PRF_HMAC_SHA2_512 |
| PRF_HMAC_MD5 | PRF_HMAC_SHA1 |
| PRF_HMAC_SHA2_256 | PRF_HMAC_MD5 |
| PRF_HMAC_SHA2_384 | PRF_AES128_CMAC |
| PRF_HMAC_SHA2_512 | PRF_AES128_XCBC |
La tabella seguente mostra l'ordine esistente dell'algoritmo di integrità e il nuovo ordine:
| Ordine degli algoritmi di integrità esistenti | Nuovo ordine dell'algoritmo di integrità |
|---|---|
| AUTH_HMAC_SHA2_256_128 | AUTH_HMAC_SHA2_256_128 |
| AUTH_HMAC_SHA2_384_192 | AUTH_HMAC_SHA2_384_192 |
| AUTH_HMAC_SHA2_512_256 | AUTH_HMAC_SHA2_512_256 |
| AUTH_HMAC_MD5_96 | AUTH_HMAC_SHA1_96 |
| AUTH_HMAC_SHA1_96 | AUTH_HMAC_MD5_96 |
La tabella seguente mostra l'ordine esistente degli algoritmi di crittografia e l'ordine del nuovo algoritmo:
| Ordine degli algoritmi di crittografia esistenti | Nuovo ordine degli algoritmi di crittografia |
|---|---|
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 192 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 192 |
Potresti riscontrare interruzioni del traffico sulla connessione Cloud VPN quando vengono implementate le modifiche a causa della nuova unità massima di trasmissione (MTU) del cifrario. Nello specifico, se il dispositivo peer sceglie un algoritmo diverso rispetto a quello precedente, può verificarsi un'interruzione del traffico a causa della diminuzione delle dimensioni del payload massimo nel pacchetto ESP criptato. Per ulteriori informazioni su come evitare interruzioni del traffico, consulta la sezione Consigli.
L'MTU del payload di Cloud VPN dipende dal cifrario selezionato. La potenziale interruzione riguarda solo il traffico che utilizza la capacità massima del payload. Qualsiasi interruzione dovrebbe essere temporanea finché la rete non si adatta al nuovo MTU del payload Cloud VPN massimo.
Configurazioni ritirate
Cloud VPN non supporterà più il gruppo di algoritmi Diffie-Hellman (DH) 22. Come pubblicato nel RFC 8247, il gruppo DH 22 non è più considerato un algoritmo forte né sicuro.
Se al momento la tua connessione utilizza il gruppo di algoritmi DH 22, quando le modifiche entreranno in vigore si verificherà un'interruzione del traffico sulla connessione Cloud VPN.
Configurazioni supportate
In precedenza, Cloud VPN aveva aggiunto il supporto per i gruppi di algoritmi DH 19, 20 e 21.
Se vuoi utilizzare gli algoritmi dei gruppi di algoritmi DH 19, 20 e 21, puoi configurare il gateway VPN peer in modo che proponga e accetti gli algoritmi dopo l'applicazione delle modifiche. Tuttavia, questa modifica potrebbe interrompere il traffico tramite la connessione Cloud VPN.
Consigli
Se non applichi il gruppo DH 22 e puoi tollerare potenziali interruzioni temporanee del traffico durante le modifiche dell'MTU, non devi fare altro.
Per evitare interruzioni del traffico, ti consigliamo di configurare il gateway VPN peer in modo che proponga e accetti un solo cifrario supportato per ogni ruolo. Un gateway VPN che propone e accetta un solo cifrario supportato per ogni ruolo del cifrario non è interessato dall'ordine di proposta del nuovo algoritmo di cifrario di Google.
Dopo questa modifica, il gruppo DH 22 non è più supportato da Cloud VPN per i tunnel esistenti. Se l'insieme di proposte di algoritmi di crittografia non contiene altri gruppi DH supportati, il router e Cloud VPN non potranno stabilire un tunnel VPN.
Per ulteriori informazioni sull'MTU, consulta le considerazioni sull'MTU.
Modifiche alla fatturazione
Non sono previste modifiche alla fatturazione per le modifiche ai codici di Cloud VPN.
Dove trovare assistenza
Per qualsiasi domanda o se hai bisogno di aiuto, contatta l'assistenza Google Cloud.