Informazioni sui requisiti di crittografia e i gateway VPN di Azure
Questo articolo illustra come configurare i gateway VPN di Azure per soddisfare i requisiti di crittografia per i tunnel VPN S2S cross-premise e le connessioni da rete virtuale a rete virtuale all'interno di Azure.
Informazioni su IKEv1 e IKEv2 per le connessioni VPN di Azure
Tradizionalmente sono consentite connessioni IKEv1 solo per SKU Basic e connessioni IKEv2 consentite per tutti gli SKU del gateway VPN diversi da SKU Basic. Gli SKU Basic consentono solo 1 connessione e oltre ad altre limitazioni, ad esempio le prestazioni, i clienti che usano dispositivi legacy che supportano solo i protocolli IKEv1 hanno un'esperienza limitata. Per migliorare l'esperienza dei clienti che usano i protocolli IKEv1, è ora possibile consentire le connessioni IKEv1 per tutti gli SKU del gateway VPN, ad eccezione dello SKU Basic. Per altre informazioni, vedere GATEWAY VPN SKU. Si noti che i gateway VPN che usano IKEv1 potrebbero riscontrare riconnessioni del tunnel durante i richiavi in modalità principale.
Quando le connessioni IKEv1 e IKEv2 vengono applicate allo stesso gateway VPN, il transito tra queste due connessioni viene abilitato automaticamente.
Informazioni sui parametri dei criteri IPsec e IKE per gateway VPN di Azure
Lo standard di protocollo IPsec e IKE supporta un'ampia gamma di algoritmi di crittografia in varie combinazioni. Se non si richiede una combinazione specifica di algoritmi e parametri di crittografia, i gateway VPN di Azure usano un set di proposte predefinite. I set di criteri predefiniti sono stati scelti per migliorare l'interoperabilità con un'ampia gamma di dispositivi VPN di terze parti in configurazioni predefinite. Di conseguenza, i criteri e il numero di proposte non possono coprire tutte le possibili combinazioni di algoritmi crittografici e punti di forza chiave disponibili.
Criteri predefiniti
Il set di criteri predefinito per il gateway VPN di Azure è elencato nell'articolo Informazioni sui dispositivi VPN e i parametri IPsec/IKE per le connessioni da sito a sito Gateway VPN.
Requisiti per la crittografia
Per le comunicazioni che richiedono algoritmi o parametri di crittografia specifici, in genere a causa di requisiti di conformità o di sicurezza, è ora possibile configurare i gateway VPN di Azure in modo da usare criteri IPsec/IKE personalizzati con algoritmi di crittografia e punti di forza delle chiavi specifici, anziché i set di criteri predefiniti di Azure.
Ad esempio, i criteri della modalità principale IKEv2 per i gateway VPN di Azure usano solo Diffie-Hellman Group 2 (1024 bit), mentre potrebbe essere necessario specificare gruppi più forti da usare in IKE, ad esempio Gruppo 14 (2048 bit), Gruppo 24 (gruppo MODP a 2048 bit) o ECP (gruppi di curve ellittiche) 256 o 384 bit (gruppo 19 e gruppo 20, rispettivamente). Simili requisiti si applicano anche ai criteri IPsec in modalità rapida.
Criteri IPsec/IKE personalizzati con i gateway VPN di Azure
I gateway VPN di Azure ora supportano i criteri IPsec/IKE personalizzati per connessione. Per una connessione da sito a sito o da rete virtuale a rete virtuale, è possibile scegliere una combinazione specifica di algoritmi di crittografia per IPsec e IKE con attendibilità della chiave, come illustrato nell'esempio seguente:
È possibile creare un criterio IPsec/IKE e applicarlo a una connessione nuova o esistente.
Workflow
- Creare reti virtuali, gateway VPN o gateway di rete locali per la topologia di connettività, come descritto in altri documenti sulle procedure.
- Creare un criterio IPsec/IKE.
- È possibile applicare i criteri quando si crea una connessione da sito a sito o da rete virtuale a rete virtuale.
- Se la connessione è già stata creata, è possibile applicare o aggiornare i criteri a una connessione esistente.
Domande frequenti sui criteri IPsec/IKE
I criteri IPsec/IKE personalizzati sono supportati in tutti gli SKU del gateway VPN di Azure?
I criteri IPsec/IKE personalizzati sono supportati in tutti gli SKU di Azure ad eccezione dello SKU Basic.
Quanti criteri è possibile specificare per una connessione?
Per una determinata connessione è possibile specificare una sola combinazione di criteri.
Per una connessione è possibile specificare criteri parziali, ad esempio solo algoritmi IKE, ma non IPsec?
No. È necessario specificare tutti gli algoritmi e i parametri sia per IKE (modalità principale) che per IPsec (modalità rapida). La specifica parziale dei criteri non è consentita.
Quali algoritmi e tipi di attendibilità della chiave sono supportati nei criteri personalizzati?
La tabella seguente elenca gli algoritmi di crittografia supportati e i punti di forza della chiave che è possibile configurare. È necessario selezionare un'opzione per ogni campo.
| IPsec/IKEv2 | Opzioni |
|---|---|
| Crittografia IKEv2 | GCMAES256, GCMAES128, AES256, AES192, AES128 |
| Integrità IKEv2 | SHA384, SHA256, SHA1, MD5 |
| Gruppo DH | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
| Crittografia IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None |
| Integrità IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| Gruppo PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None |
| Durata associazione di sicurezza in modalità rapida | (Facoltativo: se non diversamente specificato, vengono usati i valori predefiniti) Secondi (intero; min. 300/valore predefinito di 27000 secondi) Kilobyte (intero; min 1024/valore predefinito di 102400000 KB) |
| Selettore di traffico | UsePolicyBasedTrafficSelectors** ($True/$False; Optional, $False predefinito, se non diversamente specificato) |
| Timeout DPD | Secondi (numero intero: min. 9/max. 3600; valore predefinito 45 secondi) |
La configurazione del dispositivo VPN locale deve contenere o corrispondere agli algoritmi e ai parametri seguenti specificati nei criteri IPsec/IKE di Azure:
- Algoritmo di crittografia IKE (modalità principale / fase 1)
- Algoritmo di integrità IKE (modalità principale / fase 1)
- Gruppo DH (modalità principale / fase 1)
- Algoritmo di crittografia IPsec (modalità rapida / fase 2)
- Algoritmo di integrità IPsec (modalità rapida / fase 2)
- Gruppo PFS (modalità rapida / fase 2)
- Selettore di traffico, se viene usato UsePolicyBasedTrafficSelectors
- Le durate sa sono solo specifiche locali e non devono corrispondere.
Se GCMAES viene usato come per l'algoritmo di crittografia IPsec, è necessario selezionare lo stesso algoritmo GCMAES e la stessa lunghezza della chiave per l'integrità IPsec; ad esempio, usando GCMAES128 per entrambi.
Nella tabella Algoritmi e chiavi :
- IKE corrisponde alla modalità principale o alla fase 1.
- IPsec corrisponde alla modalità rapida o alla fase 2.
- Il gruppo DH specifica il gruppo Diffie-Hellman usato nella modalità principale o nella fase 1.
- Il gruppo PFS ha specificato il gruppo Diffie-Hellman usato in modalità rapida o fase 2.
La durata della sicurezza della modalità principale IKE è fissa a 28.800 secondi nei gateway VPN di Azure.
'UsePolicyBasedTrafficSelectors' è un parametro facoltativo nella connessione. Se si imposta UsePolicyBasedTrafficSelectors su $True in una connessione, il gateway VPN di Azure verrà configurato per connettersi al firewall VPN basato su criteri in locale. Se si abilita PolicyBasedTrafficSelectors, è necessario verificare che i selettori di traffico corrispondenti siano definiti nel dispositivo VPN con tutte le combinazioni dei prefissi della rete locale (gateway di rete locale) da/verso i prefissi della rete virtuale di Azure, anziché any-to-any. Il gateway VPN di Azure accetta qualsiasi selettore di traffico proposto dal gateway VPN remoto indipendentemente da ciò che è configurato nel gateway VPN di Azure.
Se i prefissi della rete locale sono 10.1.0.0/16 e 10.2.0.0/16 e i prefissi della rete virtuale sono 192.168.0.0/16 e 172.16.0.0/16, ad esempio, è necessario specificare i selettori di traffico seguenti:
- 10.1.0.0/16 <===> 192.168.0.0/16
- 10.1.0.0/16 <===> 172.16.0.0/16
- 10.2.0.0/16 <===> 192.168.0.0/16
- 10.2.0.0/16 <===> 172.16.0.0/16
Per altre informazioni sui selettori di traffico basati su criteri, vedere Connettere più dispositivi VPN basati su criteri locali.
Timeout DPD: il valore predefinito è 45 secondi nei gateway VPN di Azure. Se si imposta il timeout su periodi più brevi, IKE verrà reimpostata in modo più aggressivo, causando la disconnessione della connessione in alcune istanze. Ciò potrebbe non essere utile se le posizioni locali sono più lontane dall'area di Azure in cui risiede il gateway VPN o la condizione di collegamento fisico potrebbe comportare una perdita di pacchetti. La raccomandazione generale consiste nell'impostare il timeout compreso tra 30 e 45 secondi.
Per altre informazioni, vedere Connettere più dispositivi VPN basati su criteri locali.
Quali gruppi Diffie-Hellman sono supportati?
La tabella seguente elenca i gruppi Diffie-Hellman corrispondenti supportati dai criteri personalizzati:
| Gruppo Diffie-Hellman | DHGroup | PFSGroup | Lunghezza chiave |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | MODP a 768 bit |
| 2 | DHGroup2 | PFS2 | MODP a 1024 bit |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | MODP a 2048 bit |
| 19 | ECP256 | ECP256 | ECP a 256 bit |
| 20 | ECP384 | ECP384 | ECP a 384 bit |
| 24 | DHGroup24 | PFS24 | MODP a 2048 bit |
Per altre informazioni, vedere RFC3526 e RFC5114.
I criteri personalizzati sostituiscono i set di criteri IPsec/IKE predefiniti per i gateway VPN di Azure?
Sì. Quando per una connessione vengono specificati criteri personalizzati, il gateway VPN di Azure userà solo tali criteri per la connessione, sia come iniziatore IKE che come risponditore IKE.
Se si rimuovono i criteri IPsec/IKE personalizzati, la connessione diventa non protetta?
No. La connessione sarà comunque protetta tramite IPsec/IKE. Dopo la rimozione dei criteri personalizzati da una connessione, il gateway VPN di Azure ripristina l'elenco predefinito delle proposte IPsec/IKE e riavvia nuovamente l'handshake IKE con il dispositivo VPN locale.
L'aggiunta o l'aggiornamento di criteri IPsec/IKE determinerà un'interruzione della connessione VPN?
Sì. Potrebbe causare una breve interruzione di alcuni secondi perché il gateway VPN di Azure chiude la connessione esistente e riavvia l'handshake IKE per ristabilire il tunnel IPsec con i nuovi algoritmi di crittografia e i nuovi parametri. Per ridurre al minimo l'interruzione, verificare che il dispositivo VPN locale sia configurato anche con gli algoritmi e i tipi di attendibilità della chiave corrispondenti.
È possibile usare criteri diversi per connessioni diverse?
Sì. I criteri personalizzati vengono applicati in base alla connessione. È possibile creare e applicare criteri IPsec/IKE diversi per connessioni diverse. Si possono anche applicare criteri personalizzati a un sottoinsieme di connessioni. Le connessioni rimanenti usano i set di criteri IPsec/IKE predefiniti di Azure.
È possibile usare criteri personalizzati anche per una connessione da rete virtuale a rete virtuale?
Sì. È possibile applicare criteri personalizzati sia a connessioni cross-premise IPsec che a connessioni da rete virtuale a rete virtuale.
È necessario specificare gli stessi criteri per entrambe le risorse di connessione da rete virtuale a rete virtuale?
Sì. Un tunnel da rete virtuale a rete virtuale è costituito da due risorse di connessione di Azure, una per ogni direzione. Verificare che entrambe le risorse di connessione abbiano gli stessi criteri. In caso contrario, la connessione da rete virtuale a rete virtuale non verrà stabilita.
Qual è il valore predefinito di timeout DPD? È possibile specificare un timeout DPD diverso?
Il timeout DPD predefinito è di 45 secondi. È possibile specificare un valore di timeout DPD diverso per ogni connessione IPsec o da rete virtuale a rete virtuale, da 9 secondi a 3600 secondi.
Nota
Il valore predefinito è 45 secondi nei gateway VPN di Azure. Se si imposta il timeout su periodi più brevi, IKE verrà reimpostata in modo più aggressivo, causando la disconnessione della connessione in alcune istanze. Ciò potrebbe non essere utile se le posizioni locali sono più lontane dall'area di Azure in cui risiede il gateway VPN o quando la condizione del collegamento fisico potrebbe causare una perdita di pacchetti. La raccomandazione generale consiste nell'impostare il timeout compreso tra 30 e 45 secondi.
I criteri IPsec/IKE personalizzati funzionano in una connessione ExpressRoute?
No. I criteri IPsec/IKE funzionano solo in connessioni VPN da sito a sito e da rete virtuale a rete virtuale tramite gateway VPN di Azure.
Come si creano le connessioni con il tipo di protocollo IKEv1 o IKEv2?
Le connessioni IKEv1 possono essere create in tutti gli SKU di tipo VPN RouteBased, ad eccezione dello SKU Basic, dello SKU Standard e di altri SKU legacy. È possibile specificare un tipo di protocollo di connessione IKEv1 o IKEv2 durante la creazione delle connessioni. Se non si specifica un tipo di protocollo di connessione, IKEv2 viene usato come opzione predefinita, se applicabile. Per altre informazioni, vedere la documentazione sui cmdlet di PowerShell. Per i tipi di SKU e il supporto di IKEv1/IKEv2, vedere Connettere gateway a dispositivi VPN basati su criteri.
Il transito tra connessioni IKEv1 e IKEv2 è consentito?
Sì. Il transito tra le connessioni IKEv1 e IKEv2 è supportato.
È possibile avere connessioni IKEv1 da sito a sito per gli SKU Basic di tipo VPN RouteBased?
No. Lo SKU Basic non supporta questa operazione.
È possibile modificare il tipo di protocollo di connessione dopo la creazione della connessione (da IKEv1 a IKEv2 e viceversa)?
No. Dopo aver creato la connessione, non è possibile modificare i protocolli IKEv1/IKEv2. È necessario eliminare la connessione e ricrearne una nuova con il tipo di protocollo desiderato.
Perché la connessione IKEv1 viene riconnessa di frequente?
Se la connessione IKEv1 basata su routing statico o route viene disconnessa a intervalli di routine, è probabile che i gateway VPN non supportino le chiavi sul posto. Quando la modalità Main viene reimpostata, i tunnel IKEv1 si disconnettono e richiedono fino a 5 secondi per riconnettersi. Il valore di timeout della negoziazione in modalità principale determina la frequenza di reimpostazione delle chiavi. Per impedire queste riconnessioni, è possibile passare all'uso di IKEv2, che supporta le chiavi sul posto.
Se la connessione viene riconnessa in momenti casuali, seguire la guida alla risoluzione dei problemi.
Dove è possibile trovare informazioni e passaggi di configurazione?
Per altre informazioni e procedure di configurazione, vedere gli articoli seguenti.
- Configurare i criteri IPsec/IKE per connessioni da sito a sito o da rete virtuale a rete virtuale - portale di Azure
- Configurare i criteri IPsec/IKE per connessioni da sito a sito o da rete virtuale a rete virtuale - Azure PowerShell
Passaggi successivi
Vedere Configurare i criteri IPsec/IKE per istruzioni dettagliate sulla configurazione dei criteri IPsec/IKE personalizzato su una connessione.
Vedere anche Connettere più dispositivi VPN basati su criteri per altre informazioni sull'opzione UsePolicyBasedTrafficSelectors.