כדי לספק הגדרות ברירת מחדל משופרות לאבטחה, אנחנו משיקים שינויים ב-Cloud VPN בסדר ברירת המחדל של הצפנות IKE, כך ש-Cloud VPN יעדיף קודם אלגוריתמים של הצפנה מאובטחת יותר.
בנוסף, Google מפסיקה את התמיכה בקבוצה 22 של אלגוריתם DH. מידע נוסף מופיע במאמר הגדרות שהוצאו משימוש.
אם סדר ברירת המחדל החדש של אלגוריתמי ההצפנה גורם לבחירה חדשה של הצפנה ולשינוי מפתח, השינויים האלה עלולים לשבש את התנועה בחיבור Cloud VPN.
בהמשך המאמר מוסבר איך לתכנן ולהטמיע את השינויים בהצפנה של ה-VPN.
שינוי בהזמנה
כש-Cloud VPN יוזם חיבור VPN, נבחר צופן כמו שמתואר במסמכי Cloud VPN לפי הסדר בטבלאות הצפנים הנתמכים.
בשלב הזה, הצפנים לא מסודרים לפי רמת האבטחה. חלק מהאלגוריתמים ברמת אבטחה נמוכה מופיעים לפני אלגוריתמים ברמת אבטחה גבוהה יותר. אחרי שמיישמים שינויים בהצפנה של Cloud VPN, ההעדפות של האלגוריתם של Cloud VPN משתנות כך שאלגוריתמים של הצפנה מאובטחת יותר מקבלים עדיפות. אנחנו מתכננים להשיק בהדרגה את השינוי בסדר ההצפנה בכל שערי Cloud VPN שלנו.
בטבלה הבאה מוצג הסדר הקיים של אלגוריתם IKEv2 DH והסדר החדש:
| סדר קיים של אלגוריתם IKEv2 DH | סדר חדש של אלגוריתם IKEv2 DH |
|---|---|
| MODP_2048_BIT | CURVE_25519 |
| MODP_2048_224 | ECP_256_BIT |
| MODP_2048_256 | ECP_384_BIT |
| MODP_1536_BIT | ECP_521_BIT |
| MODP_3072_BIT | MODP_3072_BIT |
| MODP_4096_BIT | MODP_4096_BIT |
| MODP_8192_BIT | MODP_6144_BIT |
| MODP_1024_BIT | MODP_8192_BIT |
| MODP_1024_160 | MODP_2048_BIT |
| ECP_256_BIT | MODP_2048_224 |
| ECP_384_BIT | MODP_2048_256 |
| ECP_521_BIT | MODP_1536_BIT |
| CURVE_25519 | MODP_1024_BIT |
בטבלה הבאה מוצג הסדר הקיים של האלגוריתם של פונקציית פסאודו-אקראיות IKEv2 והסדר החדש:
| הסדר של אלגוריתם הפונקציה הפסאודו-אקראית הקיים של IKEv2 | סדר האלגוריתמים של פונקציה פסאודו-אקראית חדשה של IKEv2 |
|---|---|
| PRF_AES128_XCBC | PRF_HMAC_SHA2_256 |
| PRF_AES128_CMAC | PRF_HMAC_SHA2_384 |
| PRF_HMAC_SHA1 | PRF_HMAC_SHA2_512 |
| PRF_HMAC_MD5 | PRF_HMAC_SHA1 |
| PRF_HMAC_SHA2_256 | PRF_HMAC_MD5 |
| PRF_HMAC_SHA2_384 | PRF_AES128_CMAC |
| PRF_HMAC_SHA2_512 | PRF_AES128_XCBC |
בטבלה הבאה מוצג סדר האלגוריתמים הקיים של שלמות הנתונים והסדר החדש:
| סדר קיים של אלגוריתמים לשמירה על יושרה | סדר חדש של אלגוריתמים לשמירה על שלמות הנתונים |
|---|---|
| AUTH_HMAC_SHA2_256_128 | AUTH_HMAC_SHA2_256_128 |
| AUTH_HMAC_SHA2_384_192 | AUTH_HMAC_SHA2_384_192 |
| AUTH_HMAC_SHA2_512_256 | AUTH_HMAC_SHA2_512_256 |
| AUTH_HMAC_MD5_96 | AUTH_HMAC_SHA1_96 |
| AUTH_HMAC_SHA1_96 | AUTH_HMAC_MD5_96 |
בטבלה הבאה מוצג הסדר הקיים של אלגוריתמי ההצפנה והסדר החדש של האלגוריתמים:
| סדר אלגוריתמי ההצפנה הקיימים | סדר חדש של אלגוריתמי הצפנה |
|---|---|
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 192 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 192 |
יכול להיות שתהיה הפרעה בתעבורה בחיבור Cloud VPN כשמיישמים את השינויים, בגלל יחידת השידור המקסימלית (MTU) החדשה של ההצפנה. באופן ספציפי, אם מכשיר העמית בוחר אלגוריתם שונה מזה שהוא בחר בעבר, יכול להתרחש שיבוש בתנועה בגלל ירידה בגודל המטען הייעודי המקסימלי בחבילת ESP המוצפנת. מידע נוסף על מניעת שיבושים בתנועה זמין במאמר המלצות.
ה-MTU של מטען הייעודי (payload) ב-Cloud VPN תלוי בצופן שנבחר. השיבוש הפוטנציאלי משפיע רק על תנועה שמשתמשת בקיבולת המטען המלאה. שיבושים צפויים להיות זמניים עד שהרשת תותאם לערך ה-MTU החדש של מטען ייעודי (payload) ב-Cloud VPN.
הגדרות שהוצאו משימוש
שירות Cloud VPN מפסיק את התמיכה באלגוריתם Diffie-Hellman (DH) מקבוצה 22. כפי שפורסם ב-RFC 8247, קבוצת DH 22 כבר לא נחשבת לאלגוריתם חזק או בטוח.
אם החיבור שלכם משתמש כרגע בקבוצת אלגוריתם DH 22, תהיה הפרעה בתעבורה בחיבור Cloud VPN כשהשינויים ייכנסו לתוקף.
הגדרות נתמכות
בעבר, הוספנו ל-Cloud VPN תמיכה בקבוצות אלגוריתמים של DH 19, 20 ו-21.
אם רוצים להשתמש באלגוריתמים מקבוצות האלגוריתמים של DH 19, 20 ו-21, אפשר להגדיר את שער ה-VPN של העמית כדי להציע ולקבל את האלגוריתמים אחרי שהשינויים ייכנסו לתוקף. עם זאת, ביצוע השינוי הזה עלול לשבש את התנועה בחיבור Cloud VPN.
המלצות
אם אתם לא אוכפים את קבוצת DH 22 ואתם יכולים לסבול שיבושים זמניים פוטנציאליים בתנועה במהלך שינויים ב-MTU, לא נדרשת פעולה נוספת.
כדי למנוע שיבושים בתנועה, מומלץ להגדיר את שער ה-VPN של העמית כך שיציע ויקבל רק צופן נתמך אחד לכל תפקיד צופן. שער VPN שמציע ומקבל רק צופן נתמך אחד לכל תפקיד צופן לא מושפע מסדר ההצעה החדש של אלגוריתם הצפנה של Google.
אחרי השינוי הזה, Cloud VPN לא תומך יותר בקבוצת DH 22 למנהרות קיימות. אם קבוצת ההצעות של אלגוריתם ההצפנה לא מכילה קבוצות DH נתמכות אחרות, הנתב ו-Cloud VPN לא יוכלו ליצור מנהרת VPN.
מידע נוסף על MTU זמין במאמר שיקולים לגבי MTU.
שינויים בחיוב
אין שינויים בחיוב בעקבות שינויים בהצפנה של Cloud VPN.
איפה אפשר לקבל עזרה
בכל שאלה או בקשת עזרה, אפשר לפנות אל צוות התמיכה של Google Cloud.