הצפנות הנתמכות של IKE

שירות Cloud VPN תומך בהצפנות ובפרמטרים הבאים של הגדרות למכשירי VPN או לשירותי VPN של עמיתים. מערכת Cloud VPN מנהלת משא ומתן אוטומטי על החיבור, כל עוד הצד השני משתמש בהגדרת הצפנה נתמכת של Internet Key Exchange‏ (IKE).

הוראות להגדרה מופיעות במאמר הגדרת שער VPN של עמית.

‫Cloud VPN פועל במצב מנהור IPsec ESP.

ההצפנות הבאות של IKE נתמכות ב-VPN קלאסי וב-HA VPN.

תמיכה בכתובות IPv6 לממשקי שער HA VPN נמצאת בגרסת Preview.

הזמנה של הצעה

‫Cloud VPN יכול לפעול כיוזם או כמשיב לבקשות IKE, בהתאם למקור התנועה כשנדרש שיוך אבטחה חדש.

כש-Cloud VPN יוזם חיבור VPN, הוא מציע את אלגוריתמי ההצפנה שהוגדרו במנהרת Cloud VPN. אם לא הגדרתם את אלגוריתמי ההצפנה, מנהרת Cloud VPN מציעה את אלגוריתמי ההצפנה לפי הסדר שמוצג בטבלאות ההצפנה הנתמכות לכל תפקיד הצפנה. הצד השני שמקבל את ההצעה בוחר אלגוריתם.

אם הצד השכן יוזם את החיבור, שירות Cloud VPN בוחר צופן מההצעה לפי אותו סדר שהוגדר או שמופיע בטבלה לכל תפקיד צופן.

יכול להיות שהצופן שנבחר יהיה שונה, בהתאם לצד שיוזם את החיבור או לצד שמגיב. לדוגמה, יכול להיות שהצופן שנבחר ישתנה עם הזמן כשנוצרים שיוכים חדשים של אבטחה (SA) במהלך רוטציית מפתחות. שינוי בבחירת ההצפנה יכול להשפיע על מאפיינים חשובים של המנהרה, כמו הביצועים או MTU, ולכן מומלץ להשתמש בבחירת הצפנה יציבה. מידע נוסף על MTU זמין במאמר שיקולים לגבי MTU.

כדי למנוע שינויים תכופים בבחירת הצפנה, צריך להגדיר את שער ה-VPN של העמית ואת מנהרת Cloud VPN כך שיציעו ויקבלו רק שיטת הצפנה אחת לכל תפקיד הצפנה. הצופן הזה צריך להיות נתמך גם על ידי Cloud VPN וגם על ידי שער ה-VPN של העמית. אל תספקו רשימה של הצפנות לכל תפקיד הצפנה. השיטה המומלצת הזו מבטיחה שבמהלך משא ומתן של IKE, שני הצדדים של מנהרת Cloud VPN תמיד יבחרו את אותו צופן IKE.

בעזרת Cloud Location Finder תוכלו לזהות את האזורים והאזורים הגיאוגרפיים הקרובים ביותר למיקומים הפיזיים שלכם ברחבי העולם. Google Cloud בעזרת Cloud Location Finder, תוכלו לקבל החלטות מושכלות לגבי Google Cloud האזור שבו כדאי לפרוס את שער Cloud VPN, וכך לשפר את זמן האחזור, המיקום הגיאוגרפי וצריכת האנרגיה של פליטת פחמן. מידע נוסף זמין במאמר בנושא Cloud Location Finder.

במנהרות HA VPN, מגדירים את שתי מנהרות ה-HA VPN בשער ה-VPN של העמית כך שישתמשו באותם ערכים של הצפנה ושל זמן החיים של IKE Phase 2.

פרגמנטציה של IKE

‫Cloud VPN תומך בפיצול של IKE כפי שמתואר בפרוטוקול הפיצול של IKEv2‏ (RFC 7383).

כדי לקבל את התוצאות הטובות ביותר, Google ממליצה להפעיל את פרגמנטציית ה-IKE, אם היא עדיין לא מופעלת, במכשיר ה-VPN של עמיתים.

אם לא הפעלתם פיצול של IKE, מנות IKE מ- Google Cloud אל מכשיר ה-VPN של העמית שגדולות מה-MTU של השער יימחקו.

אי אפשר לפצל חלק מהודעות IKE, כולל ההודעות הבאות:

  • IKE_SA_INIT
  • IKE_SESSION_RESUME

מידע נוסף מופיע בקטע מגבלות ב-RFC 7383.

טבלאות הצפנה נתמכות

בקטעים הבאים מפורטים הצפנים הנתמכים ב-Cloud VPN.

הצפנות של IKEv2 שמשתמשות ב-AEAD

ההצפנות הבאות משתמשות בהצפנה מאומתת עם נתונים משויכים (AEAD).

שלב 1

תפקיד הצפנה שם ההצפנה ערך ההגדרה
(תלוי אותיות רישיות)		 הערות
הצפנה ויושרה
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256

ברשימה הזו, המספר הראשון הוא הגודל של פרמטר ה-ICV בבייט (אוקטט), והמספר השני הוא אורך המפתח בביטים.

במסמכים מסוימים, פרמטר ה-ICV (המספר הראשון) מצוין בביטים (8 הופך ל-64, ‏ 12 הופך ל-96 ו-16 הופך ל-128).
פונקציה פסאודו-אקראית (PRF)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
 במכשירים רבים לא נדרשת הגדרה מפורשת של PRF.
‫Diffie-Hellman‏ (DH)
  • modp_2048 (קבוצה 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Group 5)
  • modp_3072 (קבוצה 15)
  • modp_4096 (Group 16)
  • modp_8192 (קבוצה 18)
  • modp_1024 (קבוצה 2)
  • modp_1024_160 (modp_1024s160)
  • ‫ecp_256 (קבוצה 19)
  • ‫ecp_384 (קבוצה 20)
  • ecp_521 (קבוצה 21)
  • curve_25519 (Group 31)
  • Group-14
  • modp-2048-224
  • modp-2048-256
  • Group-5
  • Group-15
  • Group-16
  • Group-18
  • Group-2
  • modp-1024-160
  • Group-19
  • Group-20
  • Group-21
  • Group-31
 הצפנת modp_8192 לא נתמכת בשערי HA VPN עם ממשקי IPv6 ‏ (gatewayIpVersion=IPv6).
משך החיים של שלב 1 ‫36,000 שניות (10 שעות)

שלב 2

תפקיד הצפנה שם ההצפנה ערך ההגדרה
(תלוי אותיות רישיות)		 הערות
הצפנה ויושרה
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192

המספר הראשון בכל אלגוריתם הוא הגודל של פרמטר ה-ICV בבייט (אוקטט), והמספר השני הוא אורך המפתח שלו בביטים. במסמכים מסוימים, יכול להיות שפרמטר ה-ICV (המספר הראשון) יצוין בביטים (8 הופך ל-64,‏ 12 הופך ל-96,‏ 16 הופך ל-128).
אלגוריתם PFS (חובה)
  • modp_2048 (קבוצה 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Group 5)
  • modp_3072 (קבוצה 15)
  • modp_4096 (Group 16)
  • modp_8192 (קבוצה 18)
  • modp_1024 (קבוצה 2)
  • modp_1024_160 (modp_1024s160)
  • ‫ecp_256 (קבוצה 19)
  • ‫ecp_384 (קבוצה 20)
  • ecp_521 (קבוצה 21)
  • curve_25519 (Group 31)
  • Group-14
  • modp-2048-224
  • modp-2048-256
  • Group-5
  • Group-15
  • Group-16
  • Group-18
  • Group-2
  • modp-1024-160
  • Group-19
  • Group-20
  • Group-21
  • Group-31
 הצפנת modp_8192 לא נתמכת בשערי HA VPN עם ממשקי IPv6 ‏ (gatewayIpVersion=IPv6).
‫Diffie-Hellman‏ (DH) פרטים נוספים מופיעים בקטע 'שלב 1'. פרטים נוספים מופיעים בקטע 'שלב 1'. אם שער ה-VPN שלכם דורש הגדרות DH לשלב 2, צריך להשתמש באותן הגדרות שבהן השתמשתם לשלב 1.
משך החיים של שלב 2 ‫10,800 שניות (3 שעות)

הצפנות IKEv2 שלא משתמשות ב-AEAD

שלב 1

תפקיד הצפנה שם ההצפנה ערך ההגדרה
(תלוי אותיות רישיות)		 הערות
הצפנה
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
יושרה
  • AES-XCBC-96
  • AES-CMAC-96
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
  • AES-XCBC-96
  • AES-CMAC-96
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256

יכול להיות שבמסמכי התיעוד של שער ה-VPN המקומי שלכם ישתמשו בשם קצת שונה לאלגוריתם. לדוגמה, יכול להיות ש-HMAC-SHA2-512-256 יופיע כ-SHA2-512 או כ-SHA-512, בלי מספר האורך של הקיטום ומידע מיותר אחר.
פונקציה פסאודו-אקראית (PRF)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
 במכשירים רבים לא נדרשת הגדרה מפורשת של PRF.
‫Diffie-Hellman‏ (DH)
  • modp_2048 (קבוצה 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Group 5)
  • modp_3072 (קבוצה 15)
  • modp_4096 (Group 16)
  • modp_8192 (קבוצה 18)
  • modp_1024 (קבוצה 2)
  • modp_1024_160 (modp_1024s160)
  • ‫ecp_256 (קבוצה 19)
  • ‫ecp_384 (קבוצה 20)
  • ecp_521 (קבוצה 21)
  • curve_25519 (Group 31)
  • Group-14
  • modp-2048-224
  • modp-2048-256
  • Group-5
  • Group-15
  • Group-16
  • Group-18
  • Group-2
  • modp-1024-160
  • Group-19
  • Group-20
  • Group-21
  • Group-31
 הצפנת modp_8192 לא נתמכת בשערי HA VPN עם ממשקי IPv6 ‏ (gatewayIpVersion=IPv6).
משך החיים של שלב 1 ‫36,000 שניות (10 שעות)

שלב 2

תפקיד הצפנה שם ההצפנה ערך ההגדרה
(תלוי אותיות רישיות)		 הערות
הצפנה
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
יושרה
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96

יכול להיות שבמסמכי התיעוד של שער ה-VPN המקומי שלכם ישתמשו בשם קצת שונה לאלגוריתם. לדוגמה, יכול להיות ש-HMAC-SHA2-512-256 יופיע כ-SHA2-512 או כ-SHA-512, בלי מספר האורך של הקיטוע ומידע מיותר אחר.
אלגוריתם PFS (חובה)
  • modp_2048 (קבוצה 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Group 5)
  • modp_3072 (קבוצה 15)
  • modp_4096 (Group 16)
  • modp_8192 (קבוצה 18)
  • modp_1024 (קבוצה 2)
  • modp_1024_160 (modp_1024s160)
  • ‫ecp_256 (קבוצה 19)
  • ‫ecp_384 (קבוצה 20)
  • ecp_521 (קבוצה 21)
  • curve_25519 (Group 31)
  • Group-14
  • modp-2048-224
  • modp-2048-256
  • Group-5
  • Group-15
  • Group-16
  • Group-18
  • Group-2
  • modp-1024-160
  • Group-19
  • Group-20
  • Group-21
  • Group-31
 הצפנת modp_8192 לא נתמכת בשערי HA VPN עם ממשקי IPv6 ‏ (gatewayIpVersion=IPv6).
‫Diffie-Hellman‏ (DH) פרטים נוספים מופיעים בקטע 'שלב 1'. פרטים נוספים מופיעים בקטע 'שלב 1'. אם שער ה-VPN שלכם דורש הגדרות DH לשלב 2, צריך להשתמש באותן הגדרות שבהן השתמשתם לשלב 1.
משך החיים של שלב 2 ‫10,800 שניות (3 שעות)

הצפנות של IKEv1

שלב 1

תפקיד הצפנה הצפנה
הצפנה AES-CBC-128
יושרה HMAC-SHA1-96
פונקציה פסאודו-אקראית (PRF)1 PRF-SHA1-96
‫Diffie-Hellman‏ (DH) modp_1024 (קבוצה 2)
משך החיים של שלב 1 ‫36,600 שניות (10 שעות ו-10 דקות)

1מידע נוסף על PRF ב-IKEv1 זמין ב-RFC 2409.

שלב 2

תפקיד הצפנה הצפנה
הצפנה AES-CBC-128
יושרה HMAC-SHA1-96
אלגוריתם PFS (חובה) modp_1024 (קבוצה 2)
‫Diffie-Hellman‏ (DH) אם אתם צריכים לציין DH לשער ה-VPN, תשתמשו באותה הגדרה שבה השתמשתם בשלב 1.
משך החיים של שלב 2 ‫10,800 שניות (3 שעות)

המאמרים הבאים

  • כדי לקרוא על המושגים הבסיסיים של Cloud VPN, אפשר לעיין בסקירה הכללית של Cloud VPN.
  • כדי לעזור לכם לפתור בעיות נפוצות שאתם עלולים להיתקל בהן כשאתם משתמשים ב-Cloud VPN, תוכלו לעיין במאמר בנושא פתרון בעיות.