Unterstützte IKE-Chiffren

Das Air-Gap-VPN von Google Distributed Cloud (GDC) unterstützt die folgenden Chiffren und Konfigurationsparameter für Peer-VPN-Gateways.

Angebot für einen Auftrag

GDC VPN kann je nach Ursprung des Traffics als Initiator oder Antwortdienst für IKE-Anfragen fungieren, wenn eine neue Sicherheitsverknüpfung (SA) benötigt wird.

Wenn GDC VPN eine VPN-Verbindung initiiert, schlägt GDC VPN die Algorithmen für jede Chiffrerolle in der Reihenfolge vor, die in den unterstützten Chiffretabellen angezeigt wird. Das Peer-VPN-Gateway, das das Angebot empfängt, wählt einen Algorithmus aus.

Wenn das Peer-VPN-Gateway die Verbindung initiiert, wählt GDC VPN eine Chiffre aus dem Vorschlag aus. Dazu verwendet es für jede Chiffrerolle die gleiche Reihenfolge wie in der Tabelle.

Je nachdem, welche Seite der Initiator oder der Antwortende ist, kann die gewählte Chiffre unterschiedlich sein. Beispielsweise kann sich die ausgewählte Chiffre im Laufe der Zeit ändern, wenn neue Sicherheitsverknüpfungen (Security Associations, SAs) während der Schlüsselrotation erstellt werden.

Um häufige Änderungen bei der Chiffreauswahl zu verhindern, konfigurieren Sie Ihr Peer-VPN-Gateway so, dass nur eine Chiffre für jede Chiffrerolle vorgeschlagen und akzeptiert wird. Diese Chiffre muss von GDC Air-Gapped VPN und Ihrem Peer-VPN-Gateway unterstützt werden. Geben Sie nicht für jede Chiffrerolle eine Liste von Chiffren an. Mit dieser Best Practice wird sichergestellt, dass beide Seiten Ihres GDC-VPN-Tunnels ohne Internetverbindung während der IKE-Verhandlung immer dieselbe IKE-Chiffre auswählen.

IKE-Fragmentierung

GDC VPN unterstützt die IKE-Fragmentierung gemäß dem IKEv2-Fragmentierungsprotokoll: https://www.rfc-editor.org/rfc/rfc7383.

Für optimale Ergebnisse empfiehlt Google, die IKE-Fragmentierung auf Ihrem Peer-VPN-Gateway zu aktivieren, sofern sie nicht bereits aktiviert ist.

Wenn die IKE-Fragmentierung nicht aktiviert ist, werden IKE-Pakete vom GDC zum Peer-VPN-Gateway, die größer als die Gateway-MTU sind, verworfen.

Einige IKE-Nachrichten können nicht fragmentiert werden, darunter die folgenden:

  • IKE_SA_INIT
  • IKE_SESSION_RESUME

Weitere Informationen finden Sie im Abschnitt „Limitations“ unter https://www.rfc-editor.org/rfc/rfc7383.

Unterstützte Chiffretabellen

Diese unterstützten Chiffretabellen enthalten die Regeln für das Ersetzen von Zeichen oder Zeichengruppen während der Verschlüsselung und Entschlüsselung:

Phase 1

Verschlüsselungszweck Cipher Hinweise
Verschlüsselung und Integrität
  • AES-GCM-16-256

In dieser Liste ist die erste Zahl die Größe des ICV-Parameters in Byte (Oktetts) und die zweite die Schlüssellänge in Bits.

In einigen Dokumenten wird der ICV-Parameter (die erste Zahl) in Bits angegeben. Aus 8 wird dann 64, aus 12 wird 96 und aus 16 wird 128.
Pseudozufallsfunktion (PRF)
  • PRF-HMAC-SHA2-512
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-256
 Auf vielen Geräten ist keine explizite PRF-Einstellung erforderlich.
Diffie-Hellman (DH)
  • MODP-4096
  • MODP-3072
  • MODP-2048
  • MODP-1536
Lifetime Phase 1 36.000 Sekunden (10 Stunden)

Phase 2

Verschlüsselungszweck Cipher Hinweise
Verschlüsselung und Integrität
  • AES-GCM-16-256

In dieser Liste ist die erste Zahl die Größe des ICV-Parameters in Byte (Oktetts) und die zweite die Schlüssellänge in Bits.

In einigen Dokumenten wird der ICV-Parameter (die erste Zahl) in Bits angegeben. Aus 8 wird dann 64, aus 12 wird 96 und aus 16 wird 128.
Pseudozufallsfunktion (PRF)
  • PRF-HMAC-SHA2-512
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-256
 Auf vielen Geräten ist keine explizite PRF-Einstellung erforderlich.
Diffie-Hellman (DH)
  • MODP-4096
  • MODP-3072
  • MODP-2048
  • MODP-1536
Lifetime Phase 2 10.800 Sekunden (3 Stunden)

IKE konfigurieren

Sie können IKE auf dem Peer-VPN-Gateway für dynamisches, routenbasiertes und richtlinienbasiertes Routing konfigurieren.

GDC-VPN-Tunnel müssen IKE v2 verwenden, um IPv6-Traffic zu unterstützen.

Mit den Parametern in der folgenden Tabelle konfigurieren Sie das Peer-VPN-Gateway und den Tunnel für IKE:

Für IKEv1 und IKEv2

Einstellung Wert
IPsec-Modus ESP+Auth-Tunnel-Modus (standortübergreifend)
Auth-Protokoll psk
Gemeinsames Secret Wird auch als vorinstallierter IKE-Schlüssel bezeichnet. Wählen Sie anhand dieser Richtlinien ein starkes Passwort aus. Der vorinstallierte Schlüssel ist vertraulich, da er Zugriff auf Ihr Netzwerk gewährt.
Start auto (Nach einer Trennung der Verbindung zum Peer-Gerät wird die Verbindung automatisch neu gestartet).
PFS (Perfect Forward Secrecy) on
DPD (Dead Peer Detection) Empfohlen: Aggressive. DPD erkennt, wenn das VPN neu gestartet wird, und verwendet alternative Tunnel zur Weiterleitung des Traffics.
INITIAL_CONTACT
(manchmal auch uniqueids genannt)		 Empfohlen: on (manchmal auch restart genannt). Zweck: Neustarts erkennen, um Ausfallzeiten zu reduzieren.
TSi (Traffic Selector – Initiator)

Subnetz-Netzwerke: Die mit dem Flag --local-traffic-selector festgelegten Bereiche. Wenn --local-traffic-selector nicht festgelegt ist, weil sich das VPN in einem VPC-Netzwerk im automatischen Modus befindet und nur das Subnetz des Gateways ankündigt, wird dieser Subnetzbereich verwendet.

Alte Netzwerke: Der Bereich des Netzwerks.
TSr (Traffic Selector – Responder)

IKEv2: die Zielbereiche aller Routen, für die --next-hop-vpn-tunnel auf diesen Tunnel eingestellt ist.

IKEv1: beliebig; der Zielbereich einer der Routen, für die --next-hop-vpn-tunnel auf diesen Tunnel eingestellt ist.
MTU Die maximale Übertragungseinheit (Maximum Transmission Unit, MTU) des Peer-VPN-Geräts darf maximal 1.460 Byte groß sein. Aktivieren Sie die Vorfragmentierung auf Ihrem Gerät, damit Pakete zuerst fragmentiert und dann gekapselt werden.

Zusätzliche Parameter nur für IKEv1

Einstellung Wert
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS-Algorithmus Gruppe 2 (MODP_1024)