Le VPN air-gapped Google Distributed Cloud (GDC) est compatible avec les algorithmes de chiffrement et les paramètres de configuration ci-dessous pour les passerelles VPN de pairs.
Ordre de proposition
GDC VPN peut agir en tant qu'initiateur ou répondeur pour les requêtes IKE en fonction de l'origine du trafic lorsqu'une nouvelle association de sécurité est nécessaire.
Lorsqu'il établit une connexion VPN, GDC VPN propose les algorithmes dans l'ordre indiqué dans les tables d'algorithmes de chiffrement compatibles pour chaque rôle de chiffrement. La passerelle VPN de pairs recevant la proposition sélectionne un algorithme.
Si la passerelle VPN de pairs initialise la connexion, GDC VPN sélectionne un algorithme de chiffrement de la proposition en utilisant le même ordre que celui affiché dans le tableau pour chaque rôle de chiffrement.
Selon l'initiateur ou le répondeur, l'algorithme de chiffrement sélectionné peut être différent. Par exemple, l'algorithme de chiffrement sélectionné peut même changer au fil du temps, à mesure que de nouvelles associations de sécurité (SA) sont créées lors de la rotation des clés.
Pour éviter les modifications fréquentes dans le processus de sélection d'algorithmes de chiffrement, configurez votre passerelle VPN de pairs de sorte qu'elle ne propose qu'un algorithme de chiffrement pour chaque rôle de chiffrement. Cet algorithme de chiffrement doit être compatible avec le VPN isolé de GDC et avec votre passerelle VPN de pairs. Ne fournissez pas de liste d'algorithmes de chiffrement pour chaque rôle de chiffrement. Cette bonne pratique garantit que les deux côtés de votre tunnel VPN isolé GDC sélectionnent toujours le même algorithme de chiffrement IKE lors de la négociation IKE.
Fragmentation IKE
GDC VPN est compatible avec la fragmentation IKE, comme décrit par le protocole de fragmentation IKEv2 : https://www.rfc-editor.org/rfc/rfc7383.
Pour de meilleurs résultats, Google vous recommande d'activer la fragmentation IKE, si elle n'est pas déjà activée, sur votre passerelle VPN homologue.
Si la fragmentation IKE n'est pas activée, les paquets IKE de GDC vers la passerelle VPN homologue dont la taille est supérieure à la MTU de passerelle sont supprimés.
Certains messages IKE ne peuvent pas être fragmentés, dont les messages suivants :
IKE_SA_INITIKE_SESSION_RESUME
Pour en savoir plus, consultez la section "Limitations" de la page https://www.rfc-editor.org/rfc/rfc7383.
Tables d'algorithme de chiffrement compatibles
Ces tables d'algorithme de chiffrement compatibles fournissent les règles de substitution de caractères ou de groupes de caractères lors des processus de chiffrement et de déchiffrement :
Phase 1
| Rôle de l'algorithme de chiffrement | Algorithme de chiffrement | Remarques |
|---|---|---|
| Chiffrement et intégrité |
|
Dans cette liste, le premier nombre correspond à la taille du paramètre ICV en octets et le second à la longueur de la clé en bits. Dans certains documents, le paramètre ICV (le premier nombre) peut être exprimé en bits plutôt qu'en octets (8 octets deviennent 64 bits, 12 octets deviennent 96 bits et 16 octets deviennent 128 bits). |
| Fonction pseudo-aléatoire (PRF, Pseudo-Random Function) |
|
De nombreux appareils ne requièrent pas de paramètre PRF explicite. |
| Diffie-Hellman (DH) |
|
|
| Durée de vie de la phase 1 | 36 000 secondes (10 heures) |
Phase 2
| Rôle de l'algorithme de chiffrement | Algorithme de chiffrement | Remarques |
|---|---|---|
| Chiffrement et intégrité |
|
Dans cette liste, le premier nombre correspond à la taille du paramètre ICV en octets et le second à la longueur de la clé en bits. Dans certains documents, le paramètre ICV (le premier nombre) peut être exprimé en bits plutôt qu'en octets (8 octets deviennent 64 bits, 12 octets deviennent 96 bits et 16 octets deviennent 128 bits). |
| Fonction pseudo-aléatoire (PRF, Pseudo-Random Function) |
|
De nombreux appareils ne requièrent pas de paramètre PRF explicite. |
| Diffie-Hellman (DH) |
|
|
| Durée de vie de la phase 2 | 10 800 secondes (3 heures) |
Configurer IKE
Vous pouvez configurer IKE sur votre passerelle VPN de pairs pour le routage dynamique, basé sur des routes et basé sur des règles.
Les tunnels VPN GDC doivent utiliser IKE v2 pour accepter le trafic IPv6.
Pour configurer le tunnel et la passerelle VPN de pairs pour IKE, utilisez les paramètres indiqués dans le tableau suivant :
Pour IKEv1 et IKEv2
| Paramètre | Valeur |
|---|---|
| Mode IPsec | Mode tunnel ESP+Auth (de site à site) |
| Protocole d'authentification | psk |
| Clé secrète partagée | Également appelée clé prépartagée IKE. Choisissez un mot de passe sécurisé en suivant ces consignes. La clé pré-partagée est sensible, car elle permet d'accéder à votre réseau. |
| Démarrer | auto (en cas de perte de connexion de l'appareil pair, il devrait automatiquement redémarrer la connexion) |
| PFS (Perfect Forward Secrecy) | on |
| DPD (Dead Peer Detection) | Option recommandée : Aggressive. DPD détecte le redémarrage du VPN et utilise un autre tunnel pour acheminer le trafic. |
| INITIAL_CONTACT (parfois appelé uniqueids) |
Option recommandée : on (parfois appelée restart). Objectif : détecter les redémarrages plus rapidement afin de réduire les temps d'arrêt apparents. |
| TSi (Traffic Selector – Initiator) | Réseaux de sous-réseaux : plages spécifiées par l'option Anciens réseaux : plage du réseau. |
| TSr (Traffic Selector – Responder) | IKEv2 : valeur correspondant aux plages de destination de toutes les routes dont l'option IKEv1 : valeur correspondant arbitrairement à la plage de destination de l'une des routes dont l'option |
| MTU | L'unité de transmission maximale (MTU) de l'appareil de VPN pair ne doit pas dépasser 1 460 octets. Activez la préfragmentation sur votre appareil afin que les paquets soient d'abord fragmentés, puis encapsulés. |
Autres paramètres applicables à IKEv1 uniquement
| Paramètre | Valeur |
|---|---|
| IKE/ISAKMP | aes128-sha1-modp1024 |
| ESP | aes128-sha1 |
| Algorithme PFS | Groupe 2 (MODP_1024) |