Over cryptografische vereisten en Azure VPN-gateways

In dit artikel wordt beschreven hoe u Azure VPN-gateways kunt configureren om te voldoen aan uw cryptografische vereisten voor zowel cross-premises S2S VPN-tunnels als VNet-naar-VNet-verbindingen binnen Azure.

Over IKEv1 en IKEv2 voor Azure VPN-verbindingen

Normaal gesproken zijn IKEv1-verbindingen alleen toegestaan voor Basic-SKU's en ZIJN IKEv2-verbindingen toegestaan voor alle ANDERE VPN-gateway-SKU's dan Basic-SKU's. De Basic-SKU's staan slechts één verbinding toe en naast andere beperkingen, zoals prestaties, hadden klanten die verouderde apparaten gebruiken die alleen IKEv1-protocollen ondersteunen, beperkte ervaring. Om de ervaring van klanten met IKEv1-protocollen te verbeteren, staan we nu IKEv1-verbindingen toe voor alle VPN-gateway-SKU's, met uitzondering van Basic SKU. Zie VPN Gateway SKU's voor meer informatie. Houd er rekening mee dat VPN-gateways die IKEv1 gebruiken, mogelijk te maken hebben met het opnieuw verbinden van de tunnel tijdens het opnieuw versleutelen van de hoofdmodus.

Azure VPN Gateway IKEv1- en IKEv2-verbindingen

Wanneer IKEv1- en IKEv2-verbindingen worden toegepast op dezelfde VPN-gateway, wordt de doorvoer tussen deze twee verbindingen automatisch ingeschakeld.

Over IPsec- en IKE-beleidsparameters voor Azure VPN-gateways

IPsec- en IKE-protocolstandaard ondersteunt een breed scala aan cryptografische algoritmen in verschillende combinaties. Als u geen specifieke combinatie van cryptografische algoritmen en parameters aanvraagt, gebruiken Azure VPN-gateways een set standaardvoorstellen. De standaardbeleidssets zijn gekozen om de interoperabiliteit met een breed scala aan VPN-apparaten van derden in standaardconfiguraties te maximaliseren. Als gevolg hiervan kunnen de beleidsregels en het aantal voorstellen niet alle mogelijke combinaties van beschikbare cryptografische algoritmen en belangrijke sterke punten omvatten.

Standaardbeleid

Het standaardbeleid dat is ingesteld voor Azure VPN-gateway wordt vermeld in het artikel: Over VPN-apparaten en IPsec-/IKE-parameters voor site-naar-site-VPN Gateway-verbindingen.

Cryptografische vereisten

Voor communicatie waarvoor specifieke cryptografische algoritmen of parameters zijn vereist, meestal vanwege nalevings- of beveiligingsvereisten, kunt u hun Azure VPN-gateways nu configureren voor het gebruik van een aangepast IPsec-/IKE-beleid met specifieke cryptografische algoritmen en belangrijke sterke punten, in plaats van de standaardbeleidssets van Azure.

Bijvoorbeeld: De IKEv2-hoofdmodusbeleidsregels voor Azure VPN-gateways maken alleen gebruik van Diffie-Hellman Groep 2 (1024 bits), terwijl u mogelijk sterkere groepen moet opgeven die moeten worden gebruikt in IKE, zoals Groep 14 (2048-bits), Groep 24 (2048-bits MODP-groep) of ECP (elliptische curvegroepen) 256- of 384-bits (groep 19 en groep 20, respectievelijk). Vergelijkbare vereisten zijn ook van toepassing op beleidsregels voor snelle IPsec-modus.

Aangepast IPsec-/IKE-beleid met Azure VPN-gateways

Azure VPN-gateways bieden nu ondersteuning voor aangepast IPsec-/IKE-beleid per verbinding. Voor een site-naar-site- of VNet-naar-VNet-verbinding kunt u een specifieke combinatie van cryptografische algoritmen voor IPsec en IKE kiezen met de gewenste sleutelsterkte, zoals wordt weergegeven in het volgende voorbeeld:

ipsec-ike-policy

U kunt een IPsec-/IKE-beleid maken en toepassen op een nieuwe of bestaande verbinding.

Werkstroom

  1. Maak de virtuele netwerken, VPN-gateways of lokale netwerkgateways voor uw connectiviteitstopologie, zoals beschreven in andere instructiedocumenten
  2. Een IPsec-/IKE-beleid maken
  3. U kunt het beleid toepassen wanneer u een S2S- of VNet-naar-VNet-verbinding maakt
  4. Als de verbinding al is gemaakt, kunt u het beleid toepassen of bijwerken naar een bestaande verbinding

Veelgestelde vragen over IPsec-/IKE-beleid

Wordt het aangepaste beleid voor IPsec/IKE op alle Azure VPN Gateway-SKU's ondersteund?

Aangepast IPsec-/IKE-beleid wordt ondersteund in alle Azure-SKU's, behalve Basic.

Hoeveel beleidsregels kan ik opgeven voor een verbinding?

U kunt slechts één beleidscombinatie opgeven voor een bepaalde verbinding.

Kan ik een gedeeltelijk beleid opgeven voor een verbinding? (Bijvoorbeeld alleen IKE-algoritmen, maar geen IPsec-algoritmen)

Nee, u moet alle algoritmen en parameters opgeven voor zowel IKE (Main Mode) en IPsec (Quick Mode). Gedeeltelijke beleidsspecificatie is niet toegestaan.

Wat zijn de algoritmen en belangrijkste sterke punten die in het aangepaste beleid worden ondersteund?

De volgende tabel bevat de ondersteunde cryptografische algoritmen en belangrijke sterke punten die u kunt configureren. U moet voor elk veld een optie selecteren.

IPsec/IKEv2 Opties
IKEv2-versleuteling GCMAES256, GCMAES128, AES256, AES192, AES128, DES3, DES
IKEv2-integriteit GCMAES256, GCMAES128, SHA384, SHA256, SHA1, MD5
DH-groep DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None
IPsec-versleuteling GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, geen
IPsec-integriteit GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
PFS-groep PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, geen
QM SA-levensduur (Optioneel: standaardwaarden worden gebruikt als deze niet zijn opgegeven)
Seconden (geheel getal; min. 300 /standaard 27000 seconden)
KB (geheel getal; min. 1024/standaard 102400000 KB)
Verkeersselector UsePolicyBasedTrafficSelectors** ($True/$False; Optioneel, standaard $False indien niet opgegeven)
DPD-time-out Seconden (geheel getal: min. 9/max. 3600; standaard 45 seconden)
  • De configuratie van uw on-premises VPN-apparaat moet overeenkomen met of de volgende algoritmen en parameters bevatten die u in het Azure IPsec/IKE-beleid opgeeft:

    • IKE-versleutelingsalgoritmen (hoofdmodus/fase 1)
    • IKE-integriteitsalgoritmen (hoofdmodus/fase 1)
    • DH-groep (hoofdmodus/ fase 1)
    • IPsec-versleutelingsalgoritmen (snelle modus/fase 2)
    • IPsec-integriteitsalgoritmen (snelle modus/fase 2)
    • PFS-groep (snelle modus/fase 2)
    • Traffic Selector (als UsePolicyBasedTrafficSelectors wordt gebruikt)
    • De SA-levensduur is alleen lokale specificaties en hoeft niet overeen te komen.
  • Als GCMAES wordt gebruikt als voor IPsec-versleutelingsalgoritmen, moet u hetzelfde GCMAES-algoritme en dezelfde sleutellengte selecteren voor IPsec-integriteit; bijvoorbeeld GCMAES128 gebruiken voor beide.

  • In de tabel Algoritmen en sleutels :

    • IKE komt overeen met de hoofdmodus of fase 1.
    • IPsec komt overeen met snelle modus of fase 2.
    • DH-groep geeft de Diffie-Hellmen groep die wordt gebruikt in de hoofdmodus of fase 1.
    • PFS-groep heeft de Diffie-Hellmen groep opgegeven die wordt gebruikt in de snelle modus of fase 2.
  • De SA-levensduur van de IKE-hoofdmodus is vastgesteld op 28.800 seconden op de Azure VPN-gateways.

  • UsePolicyBasedTrafficSelectors is een optionele parameter voor de verbinding. Als u UsePolicyBasedTrafficSelectors instelt op $True op een verbinding, wordt de Azure VPN-gateway geconfigureerd om on-premises verbinding te maken met een op beleid gebaseerde VPN-firewall. Als u PolicyBasedTrafficSelectors inschakelt, moet u ervoor zorgen dat op uw VPN-apparaat de overeenkomende verkeersselectors zijn gedefinieerd met alle combinaties van de voorvoegsels van uw on-premises netwerk (lokale netwerkgateway) naar/van de voorvoegsels van het virtuele Azure-netwerk, in plaats van any-to-any.

    Als uw lokale netwerkvoorvoegsels bijvoorbeeld 10.1.0.0/16 en 10.2.0.0/16 zijn, en de voorvoegsels van uw virtuele netwerk 192.168.0.0/16 en 172.16.0.0/16, moet u de volgende verkeersselectoren opgeven:

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    Zie Connect multiple on-premises policy-based VPN devices (Meerdere on-premises, op beleid gebaseerde VPN-apparaten verbinden) voor meer informatie over op beleid gebaseerde verkeerskiezers.

  • DPD-time-out: de standaardwaarde is 45 seconden op Azure VPN-gateways. Als u de time-out instelt op kortere perioden, wordt IKE agressiever opnieuw versleuteld, waardoor de verbinding in sommige gevallen lijkt te zijn verbroken. Dit is mogelijk niet wenselijk als uw on-premises locaties verder verwijderd zijn van de Azure-regio waar de VPN-gateway zich bevindt, of als de fysieke koppeling kan leiden tot pakketverlies. De algemene aanbeveling is om de time-out in te stellen tussen 30 en 45 seconden.

Zie Connect multiple on-premises policy-based VPN devices (Verbinding maken met meerdere on-premises, op beleid gebaseerde VPN-apparaten) voor meer informatie.

Welke Diffie-Hellman-groepen worden ondersteund?

De volgende tabel bevat de bijbehorende Diffie-Hellman groepen die worden ondersteund door het aangepaste beleid:

Diffie-Hellman-groep DHGroup PFSGroup Sleutellengte
1 DHGroup1 PFS1 768-bits MODP
2 DHGroup2 PFS2 1024-bits MODP
14 DHGroup14
DHGroup2048
PFS2048 2048-bits MODP
19 ECP256 ECP256 256-bits ECP
20 ECP384 ECP384 384-bits ECP
24 DHGroup24 PFS24 2048-bits MODP

Raadpleeg RFC3526 en RFC5114 voor meer informatie.

Vervangt het aangepaste beleid de standaard IPsec/IKE-beleidssets voor Azure VPN-gateways?

Ja, zodra een aangepast beleid is opgegeven voor een verbinding, gebruikt de Azure VPN-gateway alleen het beleid op de verbinding, zowel als IKE-initiator als IKE-beantwoorder.

Als ik een aangepast beleid voor IPsec/IKE verwijder, wordt de verbinding dan onbeveiligd?

Nee, de verbinding wordt nog steeds beveiligd met IPsec/IKE. Wanneer u het aangepaste beleid van een verbinding verwijdert, wordt de Azure VPN-gateway teruggezet naar de standaardlijst met IPsec/IKE-voorstellen en wordt de IKE-handshake opnieuw gestart met uw on-premises VPN-apparaat.

Kan het toevoegen of bijwerken van een beleid voor IPsec/IKE mijn VPN-verbinding verstoren?

Ja, dit kan tot een onderbreking van een paar seconden leiden, omdat de Azure VPN-gateway de bestaande verbinding verbreekt en de IKE-handshake opnieuw start om de IPsec-tunnel opnieuw in te stellen met de nieuwe cryptografische algoritmen en parameters. Zorg ervoor dat uw on-premises VPN-apparaat met dezelfde algoritmen en sleutelsterkten wordt geconfigureerd om de onderbreking te minimaliseren.

Kan ik verschillende beleidsregels voor verschillende verbindingen gebruiken?

Ja. Aangepast beleid wordt per verbinding toegepast. U kunt verschillende IPsec/IKE-beleidsregels toepassen op verschillende verbindingen. U kunt ook aangepaste beleidsregels toepassen op een subset van verbindingen. Voor de resterende verbindingen worden de standaard IPsec/IKE-beleidssets voor Azure toegepast.

Kan ik het aangepaste beleid ook voor een VNet-naar-VNet-verbinding gebruiken?

Ja, u kunt een aangepast beleid toepassen op zowel cross-premises IPsec-verbindingen als VNet-naar-VNet-verbindingen.

Moet ik hetzelfde beleid opgeven voor beide VNet-naar-VNet-verbindingsresources?

Ja. Een VNet-naar-VNet-tunnel bestaat uit twee verbindingsresources in Azure, één voor elke richting. Zorg dat beide verbindingsresources hetzelfde beleid hebben, anders kan de VNet-naar-VNet-verbinding niet tot stand worden gebracht.

Wat is de standaard time-outwaarde voor DPD? Kan ik een andere time-out voor DPD opgeven?

De standaard time-out voor DPD is 45 seconden. U kunt een andere DPD-time-outwaarde opgeven voor elke IPsec- of VNet-naar-VNet-verbinding, van 9 seconden tot 3600 seconden.

Notitie

De standaardwaarde is 45 seconden voor Azure VPN-gateways. Als u de time-out instelt op kortere perioden, wordt IKE agressiever opnieuw versleuteld, waardoor de verbinding in sommige gevallen lijkt te zijn verbroken. Dit is mogelijk niet wenselijk als uw on-premises locaties verder verwijderd zijn van de Azure-regio waar de VPN-gateway zich bevindt, of wanneer de fysieke koppeling kan leiden tot pakketverlies. De algemene aanbeveling is om de time-out in te stellen tussen 30 en 45 seconden.

Werkt een aangepast IPsec/IKE-beleid op een ExpressRoute-verbinding?

Nee. IPsec/IKE-beleid werkt alleen op S2S-VPN- en VNet-naar-VNet-verbindingen via de Azure VPN-gateways.

Hoe maak ik verbindingen met IKEv1- of IKEv2-protocoltypen?

IKEv1-verbindingen kunnen worden gemaakt op alle RouteBased VPN-type SKU's, met uitzondering van de Basic, Standard en andere verouderde SKU's. U kunt een verbindingsprotocol opgeven van IKEv1 of IKEv2 wanneer u een verbinding maakt. Als u geen verbindingsprotocoltype opgeeft, wordt IKEv2 gebruikt als standaardoptie, indien van toepassing. Raadpleeg de documentatie voor PowerShell-cmdlets voor meer informatie. Voor SKY-typen en IKEv1-/IKEv2-ondersteuning, raadpleegt u Gateways verbinden met op beleid gebaseerde VPN-apparaten.

Is transit tussen IKEv1- en IKEv2-verbindingen toegestaan?

Ja. Doorvoer tussen IKEv1- en IKEv2-verbindingen wordt ondersteund.

Kan ik een IKEv1-site-naar-site-verbindingen hebben in het VPN-type Basic SKU of RouteBased?

Nee. De Basic-SKU biedt hier geen ondersteuning voor.

Kan ik het verbindingsprotocoltype wijzigen nadat de verbinding is gemaakt (IKEv1 naar IKEv2 en vice versa)?

Nee. Zodra de verbinding is gemaakt, kunnen IKEv1/IKEv2-protocollen niet meer worden gewijzigd. U moet een verbinding verwijderen en een nieuwe maken met het gewenste protocoltype.

Waarom wordt mijn IKEv1-verbinding regelmatig opnieuw verbonden?

Als uw statische routering of op route gebaseerde IKEv1-verbinding met routineintervallen wordt verbroken, komt dit waarschijnlijk doordat VPN-gateways geen ondersteuning bieden voor in-place hersleuteling. Wanneer de hoofdmodus opnieuw wordt versleuteld, wordt de verbinding met uw IKEv1-tunnels verbroken en duurt het maximaal 5 seconden om opnieuw verbinding te maken. De time-outwaarde voor de onderhandeling in de hoofdmodus bepaalt de frequentie van opnieuw versleutelen. Als u wilt voorkomen dat deze opnieuw verbinding maken, kunt u overschakelen naar IKEv2, dat ondersteuning biedt voor in-place hersleuteling.

Als uw verbinding op willekeurige momenten opnieuw verbinding maakt, volgt u onze gids voor probleemoplossing.

Waar vind ik configuratie-informatie en -stappen?

Zie de volgende artikelen voor meer informatie en configuratiestappen.

Volgende stappen

Zie IPsec-/IKE-beleid configureren voor stapsgewijze instructies voor het configureren van aangepast IPsec-/IKE-beleid voor een verbinding.

Zie ook Meerdere op beleid gebaseerde VPN-apparaten verbinden voor meer informatie over de optie UsePolicyBasedTrafficSelectors.