Share via


Over cryptografische vereisten en Azure VPN-gateways

In dit artikel wordt beschreven hoe u Azure VPN-gateways kunt configureren om te voldoen aan uw cryptografische vereisten voor zowel cross-premises S2S VPN-tunnels als VNet-naar-VNet-verbindingen in Azure.

Over IKEv1 en IKEv2 voor Azure VPN-verbindingen

Normaal gesproken hebben we IKEv1-verbindingen alleen toegestaan voor Basic-SKU's en toegestane IKEv2-verbindingen voor alle andere VPN-gateway-SKU's dan Basic-SKU's. De Basic-SKU's staan slechts 1 verbinding toe en samen met andere beperkingen, zoals prestaties, gebruiken klanten verouderde apparaten die alleen IKEv1-protocollen ondersteunen, hebben beperkte ervaring. Om de ervaring van klanten met BEHULP van IKEv1-protocollen te verbeteren, staan we nu IKEv1-verbindingen toe voor alle VPN-gateway-SKU's, met uitzondering van Basic SKU. Zie VPN Gateway-SKU's voor meer informatie. Houd er rekening mee dat VPN-gateways die IKEv1 gebruiken, mogelijk een nieuwe tunnelverbinding ondervindt tijdens opnieuw versleutelen in de hoofdmodus.

Diagram met IKEv1- en IKEv2-verbindingen met dezelfde gateway.

Wanneer IKEv1- en IKEv2-verbindingen worden toegepast op dezelfde VPN-gateway, wordt de overdracht tussen deze twee verbindingen automatisch ingeschakeld.

Informatie over IPsec- en IKE-beleidsparameters voor Azure VPN-gateways

IPsec- en IKE-protocolstandaard ondersteunt een breed scala aan cryptografische algoritmen in verschillende combinaties. Als u geen specifieke combinatie van cryptografische algoritmen en parameters aanvraagt, gebruiken Azure VPN-gateways een set standaardvoorstellen. De standaardbeleidssets zijn gekozen om de interoperabiliteit te maximaliseren met een breed scala aan VPN-apparaten van derden in standaardconfiguraties. Als gevolg hiervan kunnen de beleidsregels en het aantal voorstellen niet alle mogelijke combinaties van beschikbare cryptografische algoritmen en belangrijke sterke punten behandelen.

Standaardbeleid

Het standaardbeleid dat is ingesteld voor Azure VPN-gateway, wordt vermeld in het artikel: Vpn-apparaten en IPsec-/IKE-parameters voor site-naar-site-VPN-gatewayverbindingen.

Cryptografische vereisten

Voor communicatie waarvoor specifieke cryptografische algoritmen of parameters zijn vereist, meestal vanwege nalevings- of beveiligingsvereisten, kunt u nu hun Azure VPN-gateways configureren voor het gebruik van een aangepast IPsec-/IKE-beleid met specifieke cryptografische algoritmen en sleutelsterkten, in plaats van de standaardbeleidssets van Azure.

Het IKEv2-hoofdmodusbeleid voor Azure VPN-gateways maakt bijvoorbeeld alleen gebruik van Diffie-Hellman Group 2 (1024 bits), terwijl u mogelijk sterkere groepen moet opgeven die moeten worden gebruikt in IKE, zoals groep 14 (2048-bits), groep 24 (2048-bits MODP-groep) of ECP (elliptische curvegroepen) 256 of 384-bits (groep 19 en groep 20, respectievelijk). Vergelijkbare vereisten zijn ook van toepassing op beleidsregels voor snelle IPsec-modus.

Aangepast IPsec-/IKE-beleid met Azure VPN-gateways

Azure VPN-gateways ondersteunen nu per verbinding, aangepast IPsec-/IKE-beleid. Voor een site-naar-site- of VNet-naar-VNet-verbinding kunt u een specifieke combinatie van cryptografische algoritmen voor IPsec en IKE kiezen met de gewenste sleutelsterkte, zoals wordt weergegeven in het volgende voorbeeld:

Diagram met aangepaste beleidsregels per verbinding.

U kunt een IPsec-/IKE-beleid maken en toepassen op een nieuwe of bestaande verbinding.

Workflow

  1. Maak de virtuele netwerken, VPN-gateways of lokale netwerkgateways voor uw connectiviteitstopologie, zoals beschreven in andere procedures.
  2. Maak een IPsec-/IKE-beleid.
  3. U kunt het beleid toepassen wanneer u een S2S- of VNet-naar-VNet-verbinding maakt.
  4. Als de verbinding al is gemaakt, kunt u het beleid toepassen of bijwerken naar een bestaande verbinding.

Veelgestelde vragen over IPsec-/IKE-beleid

Wordt een aangepast IPsec-/IKE-beleid ondersteund voor alle Azure VPN Gateway-SKU's?

Een aangepast IPsec-/IKE-beleid wordt ondersteund op alle Azure VPN Gateway-SKU's, met uitzondering van de Basic-SKU.

Hoeveel beleidsregels kan ik opgeven voor een verbinding?

U kunt slechts één beleidscombinatie opgeven voor een verbinding.

Kan ik een gedeeltelijk beleid voor een verbinding opgeven (bijvoorbeeld alleen IKE-algoritmen, maar niet IPsec)?

Nee, u moet alle algoritmen en parameters opgeven voor zowel IKE (Main Mode) en IPsec (Quick Mode). Gedeeltelijke beleidsspecificatie is niet toegestaan.

Welke algoritmen en belangrijke sterke punten ondersteunt het aangepaste beleid?

De volgende tabel bevat de ondersteunde cryptografische algoritmen en belangrijke sterke punten die u kunt configureren. U moet voor elk veld een optie selecteren.

IPsec/IKEv2 Opties
IKEv2-versleuteling GCMAES256, GCMAES128, AES256, AES192, AES128
IKEv2-integriteit SHA384, SHA256, SHA1, MD5
DH-groep DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
IPsec-versleuteling GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, geen
IPsec-integriteit GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS-groep PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, geen
Sa-levensduur snelle modus (Optioneel; standaardwaarden indien niet opgegeven)
Seconden (geheel getal; minimaal 300, standaard 27.000)
Kilobytes (geheel getal; minimaal 1.024, standaard 10.2400.000)
Verkeersselector UsePolicyBasedTrafficSelectors ($True of $False, maar optioneel; standaard $False indien niet opgegeven)
Time-out van DPD Seconden (geheel getal; minimaal 9, maximum 3.600, standaard 45)
  • De configuratie van uw on-premises VPN-apparaat moet overeenkomen met of de volgende algoritmen en parameters bevatten die u opgeeft in het Azure IPsec- of IKE-beleid:

    • IKE-versleutelingsalgoritmen (hoofdmodus, fase 1)
    • IKE-integriteitsalgoritmen (hoofdmodus, fase 1)
    • DH-groep (hoofdmodus, fase 1)
    • IPsec-versleutelingsalgoritmen (snelle modus, fase 2)
    • IPsec-integriteitsalgoritmen (snelle modus, fase 2)
    • PFS-groep (snelle modus, fase 2)
    • Verkeersselector (als u gebruikt UsePolicyBasedTrafficSelectors)
    • SA-levensduur (lokale specificaties die niet overeenkomen)
  • Als u GCMAES gebruikt voor het IPsec-versleutelingsalgoritmen, moet u dezelfde GCMAES-algoritme en sleutellengte selecteren voor IPsec-integriteit. Gebruik bijvoorbeeld GCMAES128 voor beide.

  • In de tabel met algoritmen en sleutels:

    • IKE komt overeen met de hoofdmodus of fase 1.
    • IPsec komt overeen met de snelle modus of fase 2.
    • DH-groep specificeert de Diffie-Hellman-groep die wordt gebruikt in de hoofdmodus of fase 1.
    • PFS-groep specificeert de Diffie-Hellman-groep die wordt gebruikt in de snelle modus of fase 2.
  • De SA-levensduur van DE IKE-hoofdmodus is vastgesteld op 28.800 seconden op de Azure VPN-gateways.

  • UsePolicyBasedTrafficSelectors is een optionele parameter voor de verbinding. Als u UsePolicyBasedTrafficSelectors $True instelt op een verbinding, wordt de VPN-gateway geconfigureerd om verbinding te maken met een on-premises VPN-firewall op basis van beleid.

    Als u dit inschakelt UsePolicyBasedTrafficSelectors, moet u ervoor zorgen dat uw VPN-apparaat beschikt over de overeenkomende verkeerskiezers die zijn gedefinieerd met alle combinaties van uw on-premises netwerkvoorvoegsels (lokale netwerkgateway) naar of van de voorvoegsels van het virtuele Azure-netwerk in plaats van any-to-any. De VPN-gateway accepteert elke verkeerskiezer die de externe VPN-gateway voorstelt, ongeacht wat er op de VPN-gateway is geconfigureerd.

    Als uw lokale netwerkvoorvoegsels bijvoorbeeld 10.1.0.0/16 en 10.2.0.0/16 zijn, en de voorvoegsels van uw virtuele netwerk 192.168.0.0/16 en 172.16.0.0/16, moet u de volgende verkeersselectoren opgeven:

    • 10.1.0.0/16 <===> 192.168.0.0/16
    • 10.1.0.0/16 <===> 172.16.0.0/16
    • 10.2.0.0/16 <===> 192.168.0.0/16
    • 10.2.0.0/16 <===> 172.16.0.0/16

    Zie Een VPN-gateway verbinden met meerdere on-premises op beleid gebaseerde VPN-apparaten voor meer informatie over op beleid gebaseerde verkeerskiezers.

  • Als u de time-out instelt op kortere perioden, wordt IKE agressief opnieuw versleuteld. De verbinding kan in sommige gevallen worden verbroken. Deze situatie is mogelijk niet wenselijk als uw on-premises locaties verder weg liggen van de Azure-regio waar de VPN-gateway zich bevindt, of als de fysieke koppelingsvoorwaarde pakketverlies kan veroorzaken. Over het algemeen wordt u aangeraden de time-out in te stellen op 30 tot 45 seconden.

Zie Een VPN-gateway verbinden met meerdere on-premises op beleid gebaseerde VPN-apparaten voor meer informatie.

Welke Diffie-Hellman-groepen ondersteunt het aangepaste beleid?

De volgende tabel bevat de bijbehorende Diffie-Hellman-groepen die door het aangepaste beleid worden ondersteund:

Diffie-Hellman-groep DHGroup PFSGroup Sleutellengte
1 DHGroup1 PFS1 768-bits MODP
2 DHGroup2 PFS2 1024-bits MODP
14 DHGroup14
DHGroup2048
PFS2048 2048-bits MODP
19 ECP256 ECP256 256-bits ECP
20 ECP384 ECP384 384-bits ECP
24 DHGroup24 PFS24 2048-bits MODP

Raadpleeg RFC3526 en RFC5114 voor meer informatie.

Vervangt het aangepaste beleid de standaard-IPsec-/IKE-beleidssets voor VPN-gateways?

Ja. Nadat u een aangepast beleid voor een verbinding hebt opgegeven, gebruikt Azure VPN Gateway alleen dat beleid voor de verbinding, zowel als IKE-initiator als IKE-responder.

Als ik een aangepast beleid voor IPsec/IKE verwijder, wordt de verbinding dan onbeveiligd?

Nee, IPsec/IKE helpt de verbinding nog steeds te beveiligen. Nadat u het aangepaste beleid uit een verbinding hebt verwijderd, wordt de VPN-gateway teruggezet naar de standaardlijst met IPsec-/IKE-voorstellen en wordt de IKE-handshake opnieuw gestart met uw on-premises VPN-apparaat.

Kan het toevoegen of bijwerken van een beleid voor IPsec/IKE mijn VPN-verbinding verstoren?

Ja. Dit kan leiden tot een kleine onderbreking (een paar seconden) omdat de VPN-gateway de bestaande verbinding scheurt en de IKE-handshake opnieuw start om de IPsec-tunnel opnieuw tot stand te laten komen met de nieuwe cryptografische algoritmen en parameters. Zorg ervoor dat uw on-premises VPN-apparaat ook is geconfigureerd met de overeenkomende algoritmen en belangrijke sterke punten om de onderbreking te minimaliseren.

Kan ik verschillende beleidsregels voor verschillende verbindingen gebruiken?

Ja. Er wordt een aangepast beleid toegepast per verbinding. U kunt verschillende IPsec/IKE-beleidsregels toepassen op verschillende verbindingen.

U kunt ook aangepaste beleidsregels toepassen op een subset van verbindingen. Voor de resterende verbindingen worden de standaard IPsec/IKE-beleidssets voor Azure toegepast.

Kan ik een aangepast beleid gebruiken voor VNet-naar-VNet-verbindingen?

Ja. U kunt een aangepast beleid toepassen op zowel cross-premises IPsec-verbindingen als VNet-naar-VNet-verbindingen.

Moet ik hetzelfde beleid opgeven voor beide VNet-naar-VNet-verbindingsresources?

Ja. Een VNet-naar-VNet-tunnel bestaat uit twee verbindingsresources in Azure, één voor elke richting. Zorg ervoor dat beide verbindingsbronnen hetzelfde beleid hebben. Anders wordt de VNet-naar-VNet-verbinding niet tot stand gebracht.

Wat is de standaard time-outwaarde voor DPD? Kan ik een andere time-out voor DPD opgeven?

De standaardtime-out voor DPD is 45 seconden op VPN-gateways. U kunt een andere DPD-time-outwaarde opgeven voor elke IPsec- of VNet-naar-VNet-verbinding, van 9 seconden tot 3.600 seconden.

Notitie

Als u de time-out instelt op kortere perioden, wordt IKE agressief opnieuw versleuteld. De verbinding kan in sommige gevallen worden verbroken. Deze situatie is mogelijk niet wenselijk als uw on-premises locaties verder weg liggen van de Azure-regio waar de VPN-gateway zich bevindt, of als de fysieke koppelingsvoorwaarde pakketverlies kan veroorzaken. Over het algemeen wordt u aangeraden de time-out in te stellen op 30 tot 45 seconden.

Werkt een aangepast IPsec-/IKE-beleid voor ExpressRoute-verbindingen?

Nee Een IPsec-/IKE-beleid werkt alleen op S2S VPN- en VNet-naar-VNet-verbindingen via de VPN-gateways.

Hoe kan ik verbindingen maken met het protocoltype IKEv1 of IKEv2?

U kunt IKEv1-verbindingen maken op alle op route gebaseerde VPN-type-SKU's, behalve de Basic SKU, Standard SKU en andere eerdere SKU's.

U kunt een verbindingsprotocol opgeven van IKEv1 of IKEv2 wanneer u een verbinding maakt. Als u geen verbindingsprotocoltype opgeeft, wordt IKEv2 indien van toepassing gebruikt als standaardoptie. Zie de documentatie voor de Azure PowerShell-cmdlet voor meer informatie.

Zie Een VPN-gateway verbinden met meerdere on-premises op beleid gebaseerde VPN-apparaten voor meer informatie over SKU-typen en ondersteuning voor IKEv1 en IKEv2.

Is transit tussen IKEv1- en IKEv2-verbindingen toegestaan?

Ja.

Kan ik IKEv1-site-naar-site-verbindingen hebben op de Basic-SKU voor het op route gebaseerde VPN-type?

Nee De Basic-SKU biedt geen ondersteuning voor deze configuratie.

Kan ik het verbindingsprotocoltype wijzigen nadat de verbinding is gemaakt (IKEv1 naar IKEv2 en vice versa)?

Nee Nadat u de verbinding hebt gemaakt, kunt u de PROTOCOLLEN IKEv1 en IKEv2 niet meer wijzigen. U moet een nieuwe verbinding met het gewenste protocoltype verwijderen en opnieuw maken.

Waarom maakt mijn IKEv1-verbinding vaak opnieuw verbinding?

Als uw statische routering of op route gebaseerde IKEv1-verbinding met routineintervallen wordt verbroken, komt dit waarschijnlijk doordat uw VPN-gateways geen ondersteuning bieden voor in-place hersleutels. Wanneer de hoofdmodus opnieuw wordt versleuteld, wordt de verbinding met uw IKEv1-tunnels verbroken en duurt het maximaal 5 seconden om opnieuw verbinding te maken. De time-outwaarde van de main mode-onderhandeling bepaalt de frequentie van opnieuw versleutelen. Als u wilt voorkomen dat deze opnieuw verbinding maken, kunt u overschakelen naar IKEv2, dat ondersteuning biedt voor in-place hersleutels.

Als uw verbinding op willekeurige momenten opnieuw verbinding maakt, volgt u de gids voor probleemoplossing.

Waar vind ik meer informatie en stappen voor configuratie?

Zie de volgende artikelen:

Volgende stappen

Zie IPsec-/IKE-beleid configureren voor stapsgewijze instructies voor het configureren van aangepast IPsec-/IKE-beleid voor een verbinding.

Zie ook Meerdere op beleid gebaseerde VPN-apparaten verbinden voor meer informatie over de optie UsePolicyBasedTrafficSelectors.