Para fornecer predefinições de segurança melhoradas, a VPN do Google Cloud está a implementar alterações à ordem predefinida das cifras IKE, para que a VPN do Google Cloud prefira primeiro algoritmos de cifras mais seguros.
Além disso, a Google vai descontinuar o apoio técnico do grupo de algoritmos DH 22. Para mais informações, consulte o artigo Configurações descontinuadas.
Se a nova ordem predefinida dos algoritmos de cifragem causar uma nova seleção de cifragem e uma nova geração de chaves, estas alterações podem interromper o tráfego na sua ligação do Cloud VPN.
O resto deste documento ajuda a planear e implementar as alterações à cifra da VPN.
Modificação de encomendas
Quando o Cloud VPN inicia uma ligação VPN, é selecionada uma cifra, conforme descrito na documentação do Cloud VPN, através da ordem nas tabelas de cifras suportadas.
Atualmente, as cifras não estão ordenadas com base na segurança. Alguns algoritmos menos seguros são apresentados antes dos algoritmos mais seguros. Após a implementação das alterações de cifra da VPN Cloud, as preferências do algoritmo da VPN Cloud são alteradas para que os algoritmos de cifra mais seguros sejam preferidos. A modificação da ordem de cifragem vai ser implementada progressivamente em todos os nossos gateways de VPN na nuvem.
A tabela seguinte mostra a ordem do algoritmo DH IKEv2 existente e a nova ordem:
| Ordem do algoritmo DH IKEv2 existente | Nova ordem do algoritmo DH IKEv2 |
|---|---|
| MODP_2048_BIT | CURVE_25519 |
| MODP_2048_224 | ECP_256_BIT |
| MODP_2048_256 | ECP_384_BIT |
| MODP_1536_BIT | ECP_521_BIT |
| MODP_3072_BIT | MODP_3072_BIT |
| MODP_4096_BIT | MODP_4096_BIT |
| MODP_8192_BIT | MODP_6144_BIT |
| MODP_1024_BIT | MODP_8192_BIT |
| MODP_1024_160 | MODP_2048_BIT |
| ECP_256_BIT | MODP_2048_224 |
| ECP_384_BIT | MODP_2048_256 |
| ECP_521_BIT | MODP_1536_BIT |
| CURVE_25519 | MODP_1024_BIT |
A tabela seguinte mostra a ordem do algoritmo da função pseudaleatória IKEv2 existente e a nova ordem:
| Ordem do algoritmo da função pseudaleatória IKEv2 existente | Nova ordem do algoritmo da função pseudaleatória IKEv2 |
|---|---|
| PRF_AES128_XCBC | PRF_HMAC_SHA2_256 |
| PRF_AES128_CMAC | PRF_HMAC_SHA2_384 |
| PRF_HMAC_SHA1 | PRF_HMAC_SHA2_512 |
| PRF_HMAC_MD5 | PRF_HMAC_SHA1 |
| PRF_HMAC_SHA2_256 | PRF_HMAC_MD5 |
| PRF_HMAC_SHA2_384 | PRF_AES128_CMAC |
| PRF_HMAC_SHA2_512 | PRF_AES128_XCBC |
A tabela seguinte mostra a ordem do algoritmo de integridade existente e a nova ordem:
| Ordem do algoritmo de integridade existente | Nova ordem do algoritmo de integridade |
|---|---|
| AUTH_HMAC_SHA2_256_128 | AUTH_HMAC_SHA2_256_128 |
| AUTH_HMAC_SHA2_384_192 | AUTH_HMAC_SHA2_384_192 |
| AUTH_HMAC_SHA2_512_256 | AUTH_HMAC_SHA2_512_256 |
| AUTH_HMAC_MD5_96 | AUTH_HMAC_SHA1_96 |
| AUTH_HMAC_SHA1_96 | AUTH_HMAC_MD5_96 |
A tabela seguinte mostra a ordem do algoritmo de encriptação existente e a ordem do novo algoritmo:
| Ordem do algoritmo de encriptação existente | Nova ordem do algoritmo de encriptação |
|---|---|
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 192 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 192 |
Pode ocorrer uma interrupção do tráfego na sua ligação VPN na nuvem quando as alterações são implementadas devido à nova unidade de transmissão máxima (MTU) de cifragem. Especificamente, se o seu dispositivo par escolher um algoritmo diferente do que usou anteriormente, pode ocorrer uma interrupção do tráfego devido a uma diminuição no tamanho da carga útil máxima no pacote ESP encriptado. Para mais informações sobre como evitar interrupções de trânsito, consulte as recomendações.
A MTU da carga útil da VPN na nuvem depende da cifra selecionada. A potencial interrupção afeta apenas o tráfego que usa a capacidade de carga útil total. Qualquer interrupção deve ser transitória até a rede se adaptar ao novo MTU de payload máximo da VPN na nuvem.
Configurações descontinuadas
A VPN na nuvem vai descontinuar o suporte do grupo de algoritmos Diffie-Hellman (DH) 22. Conforme publicado na RFC 8247, o grupo DH 22 já não é considerado um algoritmo forte nem seguro.
Se a sua ligação usar atualmente o grupo de algoritmos DH 22, vai ocorrer uma interrupção do tráfego na sua ligação VPN do Google Cloud quando as alterações entrarem em vigor.
Configurações suportadas
Anteriormente, a VPN na nuvem adicionou suporte para os grupos de algoritmos DH 19, 20 e 21.
Se quiser usar algoritmos dos grupos de algoritmos DH 19, 20 e 21, pode configurar o gateway de VPN de pares para propor e aceitar os algoritmos após a entrada em vigor das alterações. No entanto, fazer essa alteração pode interromper o tráfego através da sua ligação Cloud VPN.
Recomendações
Se não aplicar o grupo DH 22 e puder tolerar potenciais interrupções temporárias do tráfego durante as alterações de MTU, não é necessária nenhuma ação adicional.
Para evitar interrupções no tráfego, recomendamos que configure o gateway de VPN paritário para propor e aceitar apenas uma cifra suportada para cada função de cifra. Um gateway de VPN que propõe e aceita apenas uma cifra suportada para cada função de cifra não é afetado pela nova ordem de proposta do algoritmo de cifra da Google.
Após esta alteração, o grupo DH 22 deixa de ser suportado pela VPN na nuvem para túneis existentes. Se o conjunto de propostas de algoritmos de cifragem não contiver outros grupos DH suportados, o router e a VPN na nuvem não conseguem estabelecer um túnel VPN.
Para mais informações sobre a MTU, consulte as considerações relativas à MTU.
Alterações de faturação
Não existem alterações de faturação para alterações de cifra da VPN na nuvem.
Onde receber ajuda
Se tiver dúvidas ou precisar de assistência, contacte o apoio técnico do Google Cloud.