Per fornire valori predefiniti per la sicurezza avanzata, Cloud VPN sta implementando modifiche all'ordine predefinito delle crittografie IKE, in modo che Cloud VPN preferisca prima algoritmi di crittografia più sicuri.
Inoltre, Google interromperà il supporto per il gruppo di algoritmi DH 22. Per ulteriori informazioni, consulta la sezione Configurazioni deprecate.
Se il nuovo ordine predefinito degli algoritmi di crittografia causa una nuova selezione e nuova chiave di crittografia, queste modifiche potrebbero interrompere il traffico sulla connessione Cloud VPN.
La parte restante di questo documento ti aiuta a pianificare e implementare le modifiche alla crittografia VPN.
Modifica dell'ordine
Quando Cloud VPN avvia una connessione VPN, viene selezionata una crittografia, come descritto nella documentazione di Cloud VPN, utilizzando l'ordine nelle tabelle di crittografia supportate.
Attualmente, le crittografie non vengono ordinate in base alla sicurezza. Alcuni algoritmi meno sicuri vengono elencati prima di quelli più sicuri. Dopo l'implementazione delle modifiche alla crittografia di Cloud VPN, le preferenze dell'algoritmo di Cloud VPN cambiano in modo da preferire algoritmi di crittografia più sicuri. La modifica dell'ordine di crittografia è pianificata per essere implementata progressivamente in tutti i nostri gateway Cloud VPN.
La seguente tabella mostra l'ordine esistente dell'algoritmo DH IKEv2 e il nuovo ordine:
| Ordine esistente dell'algoritmo DH IKEv2 | Nuovo ordine dell'algoritmo DH IKEv2 |
|---|---|
| MODP_2048_BIT | CURVE_25519 |
| MODP_2048_224 | ECP_256_BIT |
| MODP_2048_256 | ECP_384_BIT |
| MODP_1536_BIT | ECP_521_BIT |
| MODP_3072_BIT | MODP_3072_BIT |
| MODP_4096_BIT | MODP_4096_BIT |
| MODP_8192_BIT | MODP_6144_BIT |
| MODP_1024_BIT | MODP_8192_BIT |
| MODP_1024_160 | MODP_2048_BIT |
| ECP_256_BIT | MODP_2048_224 |
| ECP_384_BIT | MODP_2048_256 |
| ECP_521_BIT | MODP_1536_BIT |
| CURVE_25519 | MODP_1024_BIT |
La tabella seguente mostra l'ordine esistente dell'algoritmo di funzione pseudo-casuale IKEv2 e il nuovo ordine:
| Ordine dell'algoritmo di funzione pseudo-casuale IKEv2 esistente | Nuovo ordine dell'algoritmo di funzione pseudo-casuale IKEv2 |
|---|---|
| PRF_AES128_XCBC | PRF_HMAC_SHA2_256 |
| PRF_AES128_CMAC | PRF_HMAC_SHA2_384 |
| PRF_HMAC_SHA1 | PRF_HMAC_SHA2_512 |
| PRF_HMAC_MD5 | PRF_HMAC_SHA1 |
| PRF_HMAC_SHA2_256 | PRF_HMAC_MD5 |
| PRF_HMAC_SHA2_384 | PRF_AES128_CMAC |
| PRF_HMAC_SHA2_512 | PRF_AES128_XCBC |
La seguente tabella mostra l'ordine esistente dell'algoritmo di integrità e il nuovo ordine:
| Ordine esistente dell'algoritmo di integrità | Nuovo ordine dell'algoritmo per l'integrità |
|---|---|
| AUTH_HMAC_SHA2_256_128 | AUTH_HMAC_SHA2_256_128 |
| AUTH_HMAC_SHA2_384_192 | AUTH_HMAC_SHA2_384_192 |
| AUTH_HMAC_SHA2_512_256 | AUTH_HMAC_SHA2_512_256 |
| AUTH_HMAC_MD5_96 | AUTH_HMAC_SHA1_96 |
| AUTH_HMAC_SHA1_96 | AUTH_HMAC_MD5_96 |
La seguente tabella mostra l'ordine dell'algoritmo di crittografia esistente e quello nuovo:
| Ordine dell'algoritmo di crittografia esistente | Nuovo ordine dell'algoritmo di crittografia |
|---|---|
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 192 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 192 |
Potresti riscontrare problemi di traffico sulla tua connessione Cloud VPN quando le modifiche vengono implementate a causa della nuova unità massima di trasmissione (MTU) di crittografia. Nello specifico, se il tuo dispositivo peer sceglie un algoritmo diverso da quello che ha fatto in precedenza, l'interruzione del traffico può verificarsi a causa di una diminuzione delle dimensioni del payload massimo nel pacchetto ESP criptato. Per ulteriori informazioni su come evitare interruzioni del traffico, consulta la sezione Suggerimenti.
La MTU del payload di Cloud VPN dipende dalla crittografia selezionata. La potenziale interruzione interessa solo il traffico che utilizza l'intera capacità di payload. Qualsiasi interruzione dovrebbe essere temporanea finché la rete non si adatta al nuovo MTU massimo del payload di Cloud VPN.
Configurazioni deprecate
Cloud VPN non supporterà più il gruppo di algoritmi Diffie-Hellman (DH) 22. Come pubblicato nel documento RFC 8247, il gruppo DH 22 non è più considerato un algoritmo solido e sicuro.
Se attualmente la connessione utilizza il gruppo di algoritmi DH 22, si verificherà un'interruzione del traffico sulla connessione Cloud VPN quando le modifiche entreranno in vigore.
Configurazioni supportate
In precedenza, Cloud VPN supportava i gruppi di algoritmi DH 19, 20 e 21.
Se vuoi utilizzare algoritmi dei gruppi di algoritmi DH 19, 20 e 21, puoi configurare il gateway VPN peer in modo che proponga e accetti gli algoritmi dopo l'applicazione delle modifiche. Tuttavia, questa modifica potrebbe interrompere il traffico sulla tua connessione Cloud VPN.
Suggerimenti
Se non applichi il gruppo DH 22 e puoi tollerare potenziali interruzioni temporanee del traffico durante le modifiche alla MTU, non sono necessarie ulteriori azioni.
Per evitare interruzioni del traffico, ti consigliamo di configurare il gateway VPN peer in modo che proponga e accetti una sola crittografia supportata per ogni ruolo di crittografia. Un gateway VPN che propone e accetta solo una crittografia supportata per ciascun ruolo di crittografia non è interessato dall'ordine di proposta di un nuovo algoritmo di crittografia di Google.
Dopo questa modifica, il gruppo DH 22 non è più supportato da Cloud VPN per i tunnel esistenti. Se il set di proposte per l'algoritmo di crittografia non contiene altri gruppi DH supportati, il router e Cloud VPN non saranno in grado di stabilire un tunnel VPN.
Per ulteriori informazioni sulla MTU, consulta le considerazioni sulla MTU.
Modifiche alla fatturazione
Non sono previste modifiche alla fatturazione per le modifiche alla crittografia Cloud VPN.
Dove richiedere assistenza
Per qualsiasi domanda o se hai bisogno di aiuto, contatta l'assistenza Google Cloud.