サポートされている IKE の暗号

Google Distributed Cloud(GDC)エアギャップ VPN は、ピア VPN ゲートウェイ用の次の暗号と構成パラメータをサポートしています。

プロポーザル オーダー

GDC VPN は、新しい Security Associations(SA)が必要な場合に、トラフィックの送信元に応じて IKE リクエストの開始側または応答者として機能します。

GDC VPN が VPN 接続を開始すると、GDC VPN は暗号の役割ごとにサポートされている暗号テーブルに示す順序でアルゴリズムを提案します。提案を受け取るピア VPN ゲートウェイは、アルゴリズムを選択します。

ピア VPN ゲートウェイが接続を開始すると、GDC VPN は暗号の役割ごとにテーブルに示された順序に従って、提案から暗号を選択します。

開始側と応答者のどちら側かによって、選択した暗号が異なる場合があります。たとえば、鍵のローテーション中に新しい Security Associations(SA)が作成されると、選択した暗号が時間とともに変化することがあります。

暗号の選択が頻繁に変更されないように、暗号の役割ごとに 1 つの暗号のみを提案して受け入れるようにピア VPN ゲートウェイを構成します。この暗号は、GDC エアギャップ VPN とピア VPN ゲートウェイの両方でサポートされている必要があります。暗号の役割ごとに暗号のリストを指定しないでください。このベスト プラクティスにより、GDC エアギャップ VPN トンネルの両側で、IKE ネゴシエーション中に常に同じ IKE 暗号が選択されます。

IKE の断片化

GDC VPN は、IKEv2 断片化プロトコル(https://www.rfc-editor.org/rfc/rfc7383)に記述されている IKE 断片化をサポートしています。

最適な結果を得るため、ピア VPN ゲートウェイで IKE の断片化をまだ有効にしていない場合は、有効にすることをおすすめします。

IKE の断片化を有効にしていない場合、GDC からピア VPN ゲートウェイへの IKE パケットがゲートウェイ MTU を超えると、パケットが破棄されます。

次のメッセージなど、一部の IKE メッセージは断片化できません。

  • IKE_SA_INIT
  • IKE_SESSION_RESUME

詳細については、https://www.rfc-editor.org/rfc/rfc7383 の制限事項セクションをご覧ください。

サポートされている暗号テーブル

サポートされている暗号テーブルには、暗号化と復号のプロセスで文字または文字グループを置換するルールが用意されています。

フェーズ 1

暗号の役割 暗号
暗号化と整合性
  • AES-GCM-16-256

このリストで、最初の数値は ICV パラメータのサイズのバイト(オクテット)数で、2 番目の数値はキー長のビット数です。

一部のドキュメントでは、ICV パラメータ(最初の数値)はバイトの代わりにビットで表されます(8 は 64、12 は 96、16 は 128 になります)。
擬似ランダム関数(PRF)
  • PRF-HMAC-SHA2-512
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-256
 多くのデバイスでは、PRF を明示的に設定する必要はありません。
Diffie-Hellman(DH)
  • MODP-4096
  • MODP-3072
  • MODP-2048
  • MODP-1536
フェーズ 1 のライフタイム 36,000 秒(10 時間)

フェーズ 2

暗号の役割 暗号
暗号化と整合性
  • AES-GCM-16-256

このリストで、最初の数値は ICV パラメータのサイズのバイト(オクテット)数で、2 番目の数値はキー長のビット数です。

一部のドキュメントでは、ICV パラメータ(最初の数値)はバイトの代わりにビットで表されます(8 は 64、12 は 96、16 は 128 になります)。
擬似ランダム関数(PRF)
  • PRF-HMAC-SHA2-512
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-256
 多くのデバイスでは、PRF を明示的に設定する必要はありません。
Diffie-Hellman(DH)
  • MODP-4096
  • MODP-3072
  • MODP-2048
  • MODP-1536
フェーズ 2 のライフタイム 10,800 秒(3 時間)

IKE を構成する

ピア VPN ゲートウェイで、動的、ルートベース、ポリシーベースのルーティング用に IKE を構成できます。

GDC VPN トンネルは、IPv6 トラフィックをサポートするために IKE v2 を使用する必要があります。

ピア VPN ゲートウェイと IKE のトンネルを構成するには、次の表のパラメータを使用します。

IKEv1 と IKEv2 の共通のパラメータ

設定
IPsec Mode ESP+Auth トンネルモード(サイト間)
Auth Protocol psk
Shared Secret IKE 事前共有キーとも呼ばれます。これらのガイドラインに従って強力なパスワードを選択してください。事前共有キーはネットワークへのアクセスを許可するため、取り扱いには十分に注意してください。
Start auto(ピアデバイスが切断された場合、自動的に再接続する必要があります)
PFS(Perfect Forward Secrecy) on
DPD(Dead Peer Detection) 推奨: Aggressive。VPN が再起動されてトラフィックが別のトンネルを使用してルーティングされたことを検出します。
INITIAL_CONTACT
uniqueids ともいいます)		 推奨: onrestart ともいいます)。目的: ダウンタイムを少なくできるように、再起動を迅速に検出します。
TSi(Traffic Selector - Initiator)

サブネット ネットワーク: --local-traffic-selector フラグで指定された範囲です。VPN が自動モードの VPC ネットワークにあり、ゲートウェイのサブネットしか通知しないために --local-traffic-selector が指定されていない場合、そのサブネット範囲が使用されます。

レガシー ネットワーク: ネットワークの範囲。
TSr(Traffic Selector - Responder)

IKEv2: --next-hop-vpn-tunnel がこのトンネルに設定されたすべてのルートの送信先の範囲です。

IKEv1: --next-hop-vpn-tunnel がこのトンネルに設定されたいずれかのルートの送信先の範囲です(任意)。
MTU ピア VPN デバイスの最大伝送単位(MTU)は 1,460 バイト以下にする必要があります。パケットが断片化されてから暗号化されるように、デバイスで事前分割化を有効にします。

IKEv1 のみの追加パラメータ

設定
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS Algorithm Group 2(MODP_1024