Para fornecer padrões de segurança aprimorados, o Cloud VPN está implementando alterações na ordem padrão de criptografias IKE, para que o Cloud VPN prefira primeiro os algoritmos de criptografia mais seguros.
Além disso, o Google está descartando o suporte ao grupo 22 de algoritmos de DH. Para mais informações, consulte Configurações obsoletas.
Se a nova ordem padrão dos algoritmos de criptografia causar uma nova seleção e criptografia de nova criptografia, essas alterações poderão interromper o tráfego na conexão do Cloud VPN.
O restante deste documento ajuda você a planejar e implementar as mudanças na criptografia da VPN.
Modificação da ordem
Quando o Cloud VPN inicia uma conexão VPN, uma criptografia é selecionada conforme descrito noDocumentação do Cloud VPN usando a ordem nas tabelas de criptografia compatíveis.
Atualmente, as criptografias não são ordenadas com base na segurança. Alguns algoritmos menos seguros são listados antes dos mais seguros. Depois que as alterações de criptografia do Cloud VPN são implementadas, as preferências do algoritmo do Cloud VPN mudam para que algoritmos de criptografia mais seguros sejam preferidos. A modificação da ordem de criptografia será implementada progressivamente em todos os gateways do Cloud VPN.
A tabela a seguir mostra a ordem atual do algoritmo IKEv2 DH e a nova ordem:
| Ordem atual do algoritmo IKEH2 DH | Nova ordem de algoritmo IKEH2 DH |
|---|---|
| MODP_2048_BIT | CURVE_25519 |
| MODP_2048_224 | ECP_256_BIT |
| MODP_2048_256 | ECP_384_BIT |
| MODP_1536_BIT | ECP_521_BIT |
| MODP_3072_BIT | MODP_3072_BIT |
| MODP_4096_BIT | MODP_4096_BIT |
| MODP_8192_BIT | MODP_6144_BIT |
| MODP_1024_BIT | MODP_8192_BIT |
| MODP_1024_160 | MODP_2048_BIT |
| ECP_256_BIT | MODP_2048_224 |
| ECP_384_BIT | MODP_2048_256 |
| ECP_521_BIT | MODP_1536_BIT |
| CURVE_25519 | MODP_1024_BIT |
A tabela a seguir mostra a ordem atual do algoritmo de função pseudoaleatória IKEv2 e a nova ordem:
| Ordem atual do algoritmo de função pseudoaleatório IKEv2 | Nova ordem do algoritmo de função pseudoaleatória de IKEv2 |
|---|---|
| PRF_AES128_XCBC | PRF_HMAC_SHA2_256 |
| PRF_AES128_CMAC | PRF_HMAC_SHA2_384 |
| PRF_HMAC_SHA1 | PRF_HMAC_SHA2_512 |
| PRF_HMAC_MD5 | PRF_HMAC_SHA1 |
| PRF_HMAC_SHA2_256 | PRF_HMAC_MD5 |
| PRF_HMAC_SHA2_384 | PRF_AES128_CMAC |
| PRF_HMAC_SHA2_512 | PRF_AES128_XCBC |
A tabela a seguir mostra a ordem atual do algoritmo de integridade e a nova ordem:
| Ordem do algoritmo de integridade atual | Nova ordem de algoritmo de integridade |
|---|---|
| AUTH_HMAC_SHA2_256_128 | AUTH_HMAC_SHA2_256_128 |
| AUTH_HMAC_SHA2_384_192 | AUTH_HMAC_SHA2_384_192 |
| AUTH_HMAC_SHA2_512_256 | AUTH_HMAC_SHA2_512_256 |
| AUTH_HMAC_MD5_96 | AUTH_HMAC_SHA1_96 |
| AUTH_HMAC_SHA1_96 | AUTH_HMAC_MD5_96 |
A tabela a seguir mostra a ordem existente do algoritmo de criptografia e a nova ordem do algoritmo:
| Ordem do algoritmo de criptografia atual | Nova ordem do algoritmo de criptografia |
|---|---|
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 192 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 192 |
É possível que o tráfego seja interrompido na conexão do Cloud VPN quando as alterações forem implementadas devido à nova unidade máxima de transmissão de criptografia (MTU, na sigla em inglês). Especificamente, se o dispositivo de mesmo nível escolher um algoritmo diferente do anterior, a interrupção do tráfego poderá ocorrer devido a uma diminuição no tamanho do payload máximo no pacote ESP criptografado. Para mais informações sobre como evitar interrupções no tráfego, consulte Recomendações.
A MTU do payload do Cloud VPN depende da criptografia selecionada. A possível interrupção só afeta o tráfego que usa a capacidade total do payload. Espera-se que qualquer interrupção seja temporária até que a rede se adapte à nova MTU de carga máxima do Cloud VPN.
Configurações obsoletas
O Cloud VPN está descontinuando a compatibilidade com o grupo de algoritmos Diffie-Hellman (DH) 22. Conforme publicado na RFC 8247, o grupo DH 22 não é mais considerado um algoritmo forte nem seguro.
Se sua conexão atualmente usa o grupo de algoritmos DH 22, você enfrentará interrupção de tráfego na conexão do Cloud VPN quando as alterações entrarem em vigor.
Configurações compatíveis
O Cloud VPN já adicionou suporte aos grupos de algoritmos DH 19, 20 e 21.
Se você quiser usar algoritmos dos grupos 19, 20 e 21 do DH, configure seu gateway de VPN de peering para propor e aceitar os algoritmos depois que as alterações entrarem em vigor. No entanto, essa alteração pode interromper o tráfego pela conexão do Cloud VPN.
recomendações
Se você não aplicar o grupo DH 22 e puder tolerar possíveis interrupções temporárias de tráfego durante alterações da MTU, nenhuma outra ação será necessária.
Para evitar interrupções de tráfego, recomendamos que você configure seu gateway de VPN de peering para propor e aceitar apenas uma criptografia compatível para cada papel de criptografia. Um gateway da VPN que propõe e aceita apenas uma criptografia compatível para cada papel não é afetado pela nova ordem de proposta do algoritmo de criptografia do Google.
Após essa alteração, o grupo DH 22 não é mais compatível com o Cloud VPN nos túneis. Se o conjunto de propostas do algoritmo de criptografia não contiver outros grupos de DH compatíveis, seu roteador e o Cloud VPN não poderão estabelecer um túnel de VPN.
Para ver mais informações sobre MTU, consulte Considerações sobre MTU.
Alterações no faturamento
Não há alterações de faturamento para as mudanças de criptografia do Cloud VPN.
Onde conseguir ajuda
Se você tiver dúvidas ou precisar de ajuda, entre em contato com o suporte do Google Cloud.