Informace o kryptografických požadavcích a branách Azure VPN
Tento článek popisuje, jak nakonfigurovat brány Azure VPN tak, aby vyhovovaly vašim kryptografickým požadavkům pro tunely S2S VPN mezi různými místy i připojení typu VNet-to-VNet v Rámci Azure.
Informace o připojeních IKEv1 a IKEv2 pro připojení Azure VPN
Tradičně jsme povolili připojení IKEv1 jenom pro základní SKU a povolili jsme připojení IKEv2 pro všechna SKU brány VPN jiné než základní skladové položky. Skladové položky Basic umožňují pouze 1 připojení a spolu s dalšími omezeními, jako je výkon, zákazníci používající starší zařízení, která podporují pouze protokoly IKEv1, měly omezené prostředí. Abychom vylepšili prostředí zákazníků používajících protokoly IKEv1, povolujeme teď připojení IKEv1 pro všechny skladové položky brány VPN s výjimkou skladové položky Basic. Další informace najdete v tématu SKU služby VPN Gateway. Upozorňujeme, že brány VPN používající IKEv1 se můžou během opětovného klíče hlavního režimu znovu připojit k tunelu.
Když se připojení IKEv1 a IKEv2 použijí na stejnou bránu VPN, přenos mezi těmito dvěma připojeními se automaticky dá použít.
Parametry zásad IPsec a IKE pro brány Azure VPN
Standard protokolu IPsec a IKE podporuje širokou škálu kryptografických algoritmů v různých kombinacích. Pokud si nevyžádáte konkrétní kombinaci kryptografických algoritmů a parametrů, brány Azure VPN gateway používají sadu výchozích návrhů. Výchozí sady zásad se rozhodly maximalizovat interoperabilitu s širokou škálou zařízení VPN třetích stran ve výchozích konfiguracích. V důsledku toho zásady a počet návrhů nemohou pokrýt všechny možné kombinace dostupných kryptografických algoritmů a silných stránek klíčů.
Výchozí zásady
Výchozí sada zásad pro službu Azure VPN Gateway je uvedená v článku: Informace o zařízeních VPN a parametrech IPsec/IKE pro připojení typu Site-to-Site vpn Gateway.
Kryptografické požadavky
Pro komunikaci, která vyžaduje konkrétní kryptografické algoritmy nebo parametry, obvykle kvůli požadavkům na dodržování předpisů nebo zabezpečení, teď můžete nakonfigurovat brány Azure VPN tak, aby používaly vlastní zásady IPsec/IKE s konkrétními kryptografickými algoritmy a sílami klíčů, a ne s výchozími sadami zásad Azure.
Například zásady hlavního režimu IKEv2 pro brány Azure VPN využívají pouze diffie-Hellman Group 2 (1024 bitů), zatímco možná budete muset zadat silnější skupiny, které se mají použít v protokolu IKE, například skupina 14 (2048bitová verze), skupina 24 (2048bitová skupina MODP) nebo ECP (skupiny se třemi tečkami) 256 nebo 384 bitů (skupina 19 a skupina 20, v uvedeném pořadí). Podobné požadavky platí i pro zásady rychlého režimu IPsec.
Vlastní zásady IPsec/IKE s využitím bran Azure VPN
Brány Azure VPN teď podporují jednotlivé připojení a vlastní zásady IPsec/IKE. Pro připojení typu Site-to-Site nebo VNet-to-VNet můžete zvolit konkrétní kombinaci kryptografických algoritmů pro protokol IPsec a IKE s požadovanou silou klíče, jak je znázorněno v následujícím příkladu:
Můžete vytvořit zásadu IPsec/IKE a použít ji pro nové nebo existující připojení.
Workflow
- Vytvořte virtuální sítě, brány VPN nebo brány místní sítě pro topologii připojení, jak je popsáno v dalších dokumentech s postupy.
- Vytvořte zásadu IPsec/IKE.
- Zásady můžete použít při vytváření připojení typu S2S nebo VNet-to-VNet.
- Pokud je připojení již vytvořené, můžete zásadu použít nebo aktualizovat na existující připojení.
Nejčastější dotazy k zásadám IPsec/IKE
Jsou vlastní zásady IPsec/IKE podporovány ve všech skladových jednotkách (SKU) služby Azure VPN Gateway?
Vlastní zásady IPsec/IKE se podporují u všech skladových položek Azure s výjimkou skladové položky Basic.
Kolik zásad můžu zadat pro jedno připojení?
Pro jedno připojení můžete zadat pouze jednu kombinaci zásad.
Můžu pro připojení zadat částečné zásady? (například pouze algoritmy IKE, ale ne IPsec)
Ne, musíte zadat všechny algoritmy a parametry pro protokol IKE (hlavní režim) i protokol IPsec (rychlý režim). Částečná specifikace zásad není povolená.
Jaké algoritmy a síly klíče jsou podporované ve vlastních zásadách?
Následující tabulka uvádí podporované kryptografické algoritmy a silné stránky klíčů, které můžete nakonfigurovat. Pro každé pole musíte vybrat jednu možnost.
| IPsec/IKEv2 | Možnosti |
|---|---|
| Šifrování protokolem IKEv2 | GCMAES256, GCMAES128, AES256, AES192, AES128 |
| Integrita protokolu IKEv2 | SHA384, SHA256, SHA1, MD5 |
| Skupina DH | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
| Šifrování protokolem IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Žádné |
| Integrita protokolu IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| Skupina PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Žádná |
| Doba života přidružení zabezpečení v rychlém režimu | (Volitelné: Výchozí hodnoty se použijí, pokud nejsou zadané) Sekundy (integer; min. 300 / výchozí hodnota 27 000 sekund) Kilobajty (integer; min. 1024 / výchozí hodnota 102 400 000 kilobajtů) |
| Selektor provozu | UsePolicyBasedTrafficSelectors** ($True/$False; Nepovinný výchozí $False, pokud není zadaný) |
| Časový limit DPD | Sekundy (celé číslo: min. 9/max. 3600; výchozí 45 sekund) |
Konfigurace vašeho místního zařízení VPN musí odpovídat zásadám brány Azure VPN Gateway nebo musí obsahovat následující algoritmy a parametry, které zadáte v zásadách IPsec/IKE Azure:
- Šifrovací algoritmus IKE (hlavní režim / fáze 1)
- Algoritmus integrity protokolu IKE (hlavní režim / fáze 1)
- DH Group (hlavní režim / fáze 1)
- Šifrovací algoritmus IPsec (rychlý režim / fáze 2)
- Algoritmus integrity protokolu IPsec (rychlý režim / fáze 2)
- Skupina PFS (rychlý režim / fáze 2)
- Selektor provozu (pokud se používá UsePolicyBasedTrafficSelectors)
- Životnosti přidružení služby jsou pouze místní specifikace a nemusí se shodovat.
Pokud se GCMAES používá jako u šifrovacího algoritmu IPsec, musíte pro integritu protokolu IPsec vybrat stejný algoritmus a délku klíče GCMAES; Například použití GCMAES128 pro oba.
V tabulce Algoritmy a klíče :
- IKE odpovídá hlavnímu režimu nebo fázi 1.
- Protokol IPsec odpovídá rychlému režimu nebo fázi 2.
- Skupina DH určuje skupinu Diffie-Hellman použitou v hlavním režimu nebo fázi 1.
- Skupina PFS určila skupinu Diffie-Hellman použitou v rychlém režimu nebo fázi 2.
Životnost přidružení zabezpečení hlavního režimu IKE je u bran Azure VPN opravena na 28 800 sekund.
UsePolicyBasedTrafficSelectors je volitelný parametr připojení. Pokud nastavíte UsePolicyBasedTrafficSelectors tak, aby $True na připojení, nakonfiguruje bránu Azure VPN Gateway tak, aby se připojila k místní bráně VPN založené na zásadách. Pokud povolíte PolicyBasedTrafficSelectors, musíte zajistit, aby vaše zařízení VPN má odpovídající selektory provozu definované všemi kombinacemi předpon místní sítě (brány místní sítě) z předpon virtuální sítě Azure místo předpon typu any-to-any. Brána Azure VPN gateway přijímá jakýkoli výběr provozu, který navrhuje vzdálená brána VPN bez ohledu na to, co je nakonfigurované ve službě Azure VPN Gateway.
Například pokud jsou předpony vaší místní sítě 10.1.0.0/16 a 10.2.0.0/16 a předpony vaší virtuální sítě jsou 192.168.0.0/16 a 172.16.0.0/16, je potřeba zadat následující selektory provozu:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
Další informace o selektorech provozu založených na zásadách najdete v tématu Připojení několika místních zařízení VPN založených na zásadách.
Časový limit DPD – Výchozí hodnota je 45 sekund v branách Azure VPN. Nastavení časového limitu na kratší období způsobí, že se protokol IKE znovu vytvoří agresivněji, což způsobí, že se připojení v některých případech odpojí. To nemusí být žádoucí, pokud jsou vaše místní umístění daleko od oblasti Azure, ve které se nachází brána VPN, nebo může dojít ke ztrátě paketů. Obecným doporučením je nastavit časový limit mezi 30 až 45 sekund.
Další informace najdete v článku Připojení několika místních zařízení VPN založených na zásadách.
Které skupiny Diffie-Hellman jsou podporovány?
Následující tabulka uvádí odpovídající skupiny Diffie-Hellman podporované vlastní zásadou:
| Skupina Diffie-Hellman | DHGroup | PFSGroup | Délka klíče |
|---|---|---|---|
| 0 | DHGroup1 | PFS1 | 768bitová skupina MODP |
| 2 | DHGroup2 | PFS2 | 1024bitová skupina MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048bitová skupina MODP |
| 19 | ECP256 | ECP256 | 256bitová skupina ECP |
| 20 | ECP384 | ECP384 | 384bitová skupina ECP |
| 24 | DHGroup24 | PFS24 | 2048bitová skupina MODP |
Další podrobnosti najdete v článcích týkajících se RFC3526 a RFC5114.
Nahrazují vlastní zásady výchozí sady zásad IPsec/IKE pro brány Azure VPN Gateway?
Ano, jakmile jsou pro připojení zadány vlastní zásady, brána Azure VPN Gateway bude používat pouze zásady pro připojení, a to jako iniciátor IKE i jako respondér IKE.
Pokud odeberu vlastní zásady IPsec/IKE, stane se připojení nechráněným?
Ne, připojení bude i nadále chráněno protokolem IPsec/IKE. Jakmile z připojení odeberete vlastní zásady, brána Azure VPN Gateway se vrátí k výchozímu seznamu návrhů IPsec/IKE a znovu spustí metodu handshake protokolu IKE s vaším místním zařízením VPN.
Přerušilo by přidání nebo aktualizace zásad IPsec/IKE připojení VPN?
Ano, mohlo by dojít ke krátkému přerušení (několik sekund), protože brána Azure VPN Gateway přeruší stávající připojení a znovu spustí metodu handshake protokolu IKE pro opětovné vytvoření tunelu IPsec s využitím nových kryptografických algoritmů a parametrů. Pokud chcete přerušení minimalizovat, ujistěte se, že vaše místní zařízení VPN je také nakonfigurováno s odpovídajícími algoritmy a silami klíče.
Můžou se pro různá připojení použít různé zásady?
Ano. Vlastní zásady se aplikují na jednotlivá připojení. Pro různá připojení můžete vytvořit a použít různé zásady IPsec/IKE. Můžete také použít vlastní zásady pro podmnožinu připojení. Zbývající připojení budou používat výchozí sady zásad IPsec/IKE Azure.
Dají se vlastní zásady použít také pro připojení typu VNet-to-VNet?
Ano, vlastní zásady můžete použít pro připojení IPsec mezi různými místy i pro připojení typu VNet-to-VNet.
Je nutné zadat stejné zásady pro oba prostředky připojení typu VNet-to-VNet?
Ano. Tunel typu VNet-to-VNet se skládá ze dvou prostředků připojení v Azure (jeden pro každý směr). Zajistěte, aby oba prostředky připojení měly stejné zásady, jinak se připojení typu VNet-to-VNet nevytvoří.
Jaká je výchozí hodnota časového limitu DPD? Můžu zadat jiný časový limit DPD?
Výchozí časový limit DPD je 45 sekund. Pro každé připojení IPsec nebo VNet-to-VNet můžete zadat jinou hodnotu časového limitu DPD od 9 sekund do 3600 sekund.
Poznámka:
Výchozí hodnota je 45 sekund ve službě Azure VPN Gateway. Nastavení časového limitu na kratší období způsobí, že se protokol IKE znovu vytvoří agresivněji, což způsobí, že se připojení v některých případech odpojí. To nemusí být žádoucí, pokud jsou vaše místní umístění vzdálená od oblasti Azure, ve které se nachází brána VPN, nebo když může dojít ke ztrátě paketů. Obecně se doporučuje nastavit časový limit mezi 30 a 45 sekund.
Fungují zásady IPsec/IKE na připojení ExpressRoute?
Ne. Zásady IPsec/IKE fungují pouze na připojeních VPN typu Site-to-Site a VNet-to-VNet prostřednictvím bran Azure VPN Gateway.
Návody vytvoření připojení s typem protokolu IKEv1 nebo IKEv2?
Připojení IKEv1 je možné vytvořit ve všech skladových posílaných úrovních typu VPN typu RouteBased s výjimkou skladových položek Basic, skladové položky Standard a dalších starších skladových položek. Při vytváření připojení můžete zadat typ protokolu připojení IKEv1 nebo IKEv2. Pokud nezadáte typ protokolu připojení, použije se IKEv2 jako výchozí možnost, pokud je to možné. Další informace najdete v dokumentaci k rutinám PowerShellu. Informace o typech skladových položek a podpoře IKEv1/IKEv2 najdete v tématu Připojení brány pro zařízení VPN založená na zásadách.
Je povolena doprava mezi připojeními IKEv1 a IKEv2?
Ano. Podporuje se přenos mezi připojeními IKEv1 a IKEv2.
Můžu mít připojení site-to-site IKEv1 u základních skladových položek typu SÍTĚ VPN typu RouteBased?
Ne. Skladová položka Basic tuto položku nepodporuje.
Můžu po vytvoření připojení změnit typ protokolu připojení (IKEv1 na IKEv2 a naopak)?
Ne. Po vytvoření připojení není možné změnit protokoly IKEv1/IKEv2. Musíte odstranit a znovu vytvořit nové připojení s požadovaným typem protokolu.
Proč se připojení IKEv1 často znovu připojuje?
Pokud se připojení IKEv1 založené na statickém směrování nebo směrování odpojí v pravidelných intervalech, je pravděpodobné, že brány VPN nepodporují místní klíče. Při opětovném vytvoření klíče hlavního režimu se tunely IKEv1 odpojí a opětovné připojení trvá až 5 sekund. Hodnota časového limitu vyjednávání hlavního režimu určuje frekvenci opakovaných klíčů. Pokud chcete těmto opětovným připojením zabránit, můžete přepnout na příkaz IKEv2, který podporuje místní klíče.
Pokud se připojení znovu připojuje náhodně, postupujte podle našeho průvodce odstraňováním potíží.
Kde najdu informace o konfiguraci a kroky?
Další informace a kroky konfigurace najdete v následujících článcích.
- Konfigurace zásad IPsec/IKE pro připojení typu S2S nebo VNet-to-VNet – Azure Portal
- Konfigurace zásad IPsec/IKE pro připojení typu S2S nebo VNet-to-VNet – Azure PowerShell
Další kroky
Podrobné pokyny ke konfiguraci vlastních zásad IPsec/IKE pro připojení najdete v tématu Konfigurace zásad IPsec/IKE.
Další informace o možnosti UsePolicyBasedTrafficSelectors najdete také v Připojení několika zařízeních VPN založených na zásadách.