La VPN aislada de Google Distributed Cloud (GDC) admite los siguientes algoritmos de cifrado y parámetros de configuración para las puertas de enlace de VPN de intercambio de tráfico.
Orden de la propuesta
La VPN de GDC puede actuar como iniciador o como respuesta a las solicitudes de IKE, según el origen del tráfico cuando se necesita una nueva asociación de seguridad (SA).
Cuando la VPN de GDC inicia una conexión de VPN, propone los algoritmos en el orden que se muestra en las tablas de cifrado compatibles para cada rol de cifrado. La puerta de enlace de VPN de intercambio de tráfico que recibe la propuesta selecciona un algoritmo.
Si la puerta de enlace de VPN de intercambio de tráfico inicia la conexión, la VPN de GDC selecciona un algoritmo de cifrado de la propuesta con el mismo orden que se muestra en la tabla para cada rol de cifrado.
Según el lado con el que inicie o que haya iniciado la respuesta, el algoritmo de cifrado seleccionado puede ser diferente. Por ejemplo, el algoritmo de cifrado seleccionado puede cambiar con el tiempo a medida que se crean asociaciones de seguridad (SA) nuevas durante la rotación de claves.
Evita cambios frecuentes en la selección de cifrado mediante la configuración de la puerta de enlace de VPN de intercambio de tráfico para proponer y aceptar solo un cifrado en cada rol de cifrado. Este algoritmo de cifrado debe ser compatible con la VPN aislada de GDC y tu puerta de enlace de VPN de intercambio de tráfico. No proporciones una lista de algoritmos de cifrado para cada rol de cifrado. Esta práctica recomendada garantiza que ambos lados de tu túnel de VPN aislado de GDC siempre seleccionen el mismo cifrado de IKE durante la negociación de IKE.
Fragmentación IKE
La VPN de GDC admite la fragmentación de IKE, como se describe en el protocolo de fragmentación IKEv2: https://www.rfc-editor.org/rfc/rfc7383.
Para obtener mejores resultados, Google recomienda que habilites la fragmentación de IKE, si aún no está habilitada, en tu puerta de enlace de VPN de intercambio de tráfico.
Si no tienes habilitada la fragmentación de IKE, los paquetes de IKE de GDC a la puerta de enlace de VPN de intercambio de tráfico que sean más grandes que la MTU de la puerta de enlace se descartarán.
Algunos mensajes de IKE no se pueden fragmentar, incluidos los siguientes mensajes:
IKE_SA_INITIKE_SESSION_RESUME
Para obtener más información, consulta la sección Limitaciones en https://www.rfc-editor.org/rfc/rfc7383.
Tablas de algoritmo de cifrado compatibles
Estas tablas de algoritmos de cifrado admitidos proporcionan las reglas para sustituir caracteres o grupos de caracteres durante los procesos de encriptación y desencriptación:
Fase 1
| Función del algoritmo de cifrado | Algoritmo de cifrado | Notas |
|---|---|---|
| Integridad y encriptación |
|
En esta lista el primer número es el tamaño del parámetro ICV en bytes (octetos), y el segundo es la longitud de la clave en bits. Algunos documentos pueden expresar el parámetro ICV (el primer número) en bits (8 se convierte en 64, 12 en 96, y 16 en 128). |
| Función seudoaleatoria (PRF) |
|
Muchos dispositivos no requieren una configuración PRF explícita. |
| Diffie-Hellman (DH) |
|
|
| Vida útil de la fase 1 | 36,000 segundos (10 horas) |
Fase 2
| Función del algoritmo de cifrado | Algoritmo de cifrado | Notas |
|---|---|---|
| Integridad y encriptación |
|
En esta lista el primer número es el tamaño del parámetro ICV en bytes (octetos), y el segundo es la longitud de la clave en bits. Algunos documentos pueden expresar el parámetro ICV (el primer número) en bits (8 se convierte en 64, 12 en 96, y 16 en 128). |
| Función seudoaleatoria (PRF) |
|
Muchos dispositivos no requieren una configuración PRF explícita. |
| Diffie-Hellman (DH) |
|
|
| Vida útil de la fase 2 | 10,800 segundos (3 horas) |
Configura IKE
Puedes configurar IKE en tu puerta de enlace de VPN de intercambio de tráfico para el enrutamiento dinámico, basado en rutas y basado en políticas.
Los túneles de VPN de GDC deben usar IKE v2 para admitir el tráfico IPv6.
Si quieres configurar la puerta de enlace de VPN de intercambio de tráfico y el túnel para IKE, usa los parámetros de la siguiente tabla:
Para IKEv1 y, también, IKEv2
| Configuración | Valor |
|---|---|
| Modo IPsec | Modo de túnel de autenticación y ESP (sitio a sitio) |
| Protocolo de autenticación | psk |
| Secreto compartido | También se conoce como una clave IKE precompartida. Elige una contraseña segura mediante estos lineamientos. La clave precompartida es sensible porque permite el acceso a tu red. |
| Iniciar | auto (si el dispositivo de intercambio de tráfico se interrumpe, debería reiniciar automáticamente la conexión) |
| PFS (confidencialidad directa total) | on |
| DPD (detección de intercambio de tráfico inactivo) | Recomendada: Aggressive. La DPD detecta cuando la VPN se reinicia y usa túneles alternativos para enrutar el tráfico. |
| INITIAL_CONTACT (a veces llamado uniqueids) |
Recomendado: on (a veces llamado restart). Propósito: Detectar reinicios más rápido para reducir el tiempo de inactividad percibido. |
| TSi (Selector de tráfico: iniciador) | Redes de subred: rangos que especifica la marca Redes heredadas: El alcance de la red. |
| TSr (Selector de tráfico: respondedor) | IKEv2: Los rangos de destino de todas las rutas que tienen IKEv1: De manera arbitraria, el rango de destino de una de las rutas que tiene |
| MTU | La unidad de transmisión máxima (MTU) del dispositivo VPN de intercambio de tráfico no debe exceder los 1,460 bytes. Habilita la prefragmentación en tu dispositivo para que los paquetes se fragmenten primero y, luego, se encapsulen. |
Parámetros adicionales solo para IKEv1
| Configuración | Valor |
|---|---|
| IKE/ISAKMP | aes128-sha1-modp1024 |
| ESP | aes128-sha1 |
| Algoritmo de PFS | Grupo 2 (MODP_1024) |