Over cryptografische vereisten en Azure VPN-gateways
In dit artikel wordt beschreven hoe u Azure VPN-gateways kunt configureren om te voldoen aan uw cryptografische vereisten voor zowel cross-premises S2S VPN-tunnels als VNet-naar-VNet-verbindingen in Azure.
Over IKEv1 en IKEv2 voor Azure VPN-verbindingen
Normaal gesproken hebben we IKEv1-verbindingen alleen toegestaan voor Basic-SKU's en toegestane IKEv2-verbindingen voor alle andere VPN-gateway-SKU's dan Basic-SKU's. De Basic-SKU's staan slechts 1 verbinding toe en samen met andere beperkingen, zoals prestaties, gebruiken klanten verouderde apparaten die alleen IKEv1-protocollen ondersteunen, hebben beperkte ervaring. Om de ervaring van klanten met BEHULP van IKEv1-protocollen te verbeteren, staan we nu IKEv1-verbindingen toe voor alle VPN-gateway-SKU's, met uitzondering van Basic SKU. Zie VPN Gateway-SKU's voor meer informatie. Houd er rekening mee dat VPN-gateways die IKEv1 gebruiken, mogelijk een nieuwe tunnelverbinding ondervindt tijdens opnieuw versleutelen in de hoofdmodus.
Wanneer IKEv1- en IKEv2-verbindingen worden toegepast op dezelfde VPN-gateway, wordt de overdracht tussen deze twee verbindingen automatisch ingeschakeld.
Informatie over IPsec- en IKE-beleidsparameters voor Azure VPN-gateways
IPsec- en IKE-protocolstandaard ondersteunt een breed scala aan cryptografische algoritmen in verschillende combinaties. Als u geen specifieke combinatie van cryptografische algoritmen en parameters aanvraagt, gebruiken Azure VPN-gateways een set standaardvoorstellen. De standaardbeleidssets zijn gekozen om de interoperabiliteit te maximaliseren met een breed scala aan VPN-apparaten van derden in standaardconfiguraties. Als gevolg hiervan kunnen de beleidsregels en het aantal voorstellen niet alle mogelijke combinaties van beschikbare cryptografische algoritmen en belangrijke sterke punten behandelen.
Standaardbeleid
Het standaardbeleid dat is ingesteld voor Azure VPN-gateway, wordt vermeld in het artikel: Vpn-apparaten en IPsec-/IKE-parameters voor site-naar-site-VPN-gatewayverbindingen.
Cryptografische vereisten
Voor communicatie waarvoor specifieke cryptografische algoritmen of parameters zijn vereist, meestal vanwege nalevings- of beveiligingsvereisten, kunt u nu hun Azure VPN-gateways configureren voor het gebruik van een aangepast IPsec-/IKE-beleid met specifieke cryptografische algoritmen en sleutelsterkten, in plaats van de standaardbeleidssets van Azure.
Het IKEv2-hoofdmodusbeleid voor Azure VPN-gateways maakt bijvoorbeeld alleen gebruik van Diffie-Hellman Group 2 (1024 bits), terwijl u mogelijk sterkere groepen moet opgeven die moeten worden gebruikt in IKE, zoals groep 14 (2048-bits), groep 24 (2048-bits MODP-groep) of ECP (elliptische curvegroepen) 256 of 384-bits (groep 19 en groep 20, respectievelijk). Vergelijkbare vereisten zijn ook van toepassing op beleidsregels voor snelle IPsec-modus.
Aangepast IPsec-/IKE-beleid met Azure VPN-gateways
Azure VPN-gateways ondersteunen nu per verbinding, aangepast IPsec-/IKE-beleid. Voor een site-naar-site- of VNet-naar-VNet-verbinding kunt u een specifieke combinatie van cryptografische algoritmen voor IPsec en IKE kiezen met de gewenste sleutelsterkte, zoals wordt weergegeven in het volgende voorbeeld:
U kunt een IPsec-/IKE-beleid maken en toepassen op een nieuwe of bestaande verbinding.
Workflow
- Maak de virtuele netwerken, VPN-gateways of lokale netwerkgateways voor uw connectiviteitstopologie, zoals beschreven in andere procedures.
- Maak een IPsec-/IKE-beleid.
- U kunt het beleid toepassen wanneer u een S2S- of VNet-naar-VNet-verbinding maakt.
- Als de verbinding al is gemaakt, kunt u het beleid toepassen of bijwerken naar een bestaande verbinding.
Veelgestelde vragen over IPsec-/IKE-beleid
Wordt een aangepast IPsec-/IKE-beleid ondersteund voor alle Azure VPN Gateway-SKU's?
Een aangepast IPsec-/IKE-beleid wordt ondersteund op alle Azure VPN Gateway-SKU's, met uitzondering van de Basic-SKU.
Hoeveel beleidsregels kan ik opgeven voor een verbinding?
U kunt slechts één beleidscombinatie opgeven voor een verbinding.
Kan ik een gedeeltelijk beleid voor een verbinding opgeven (bijvoorbeeld alleen IKE-algoritmen, maar niet IPsec)?
Nee, u moet alle algoritmen en parameters opgeven voor zowel IKE (Main Mode) en IPsec (Quick Mode). Gedeeltelijke beleidsspecificatie is niet toegestaan.
Welke algoritmen en belangrijke sterke punten ondersteunt het aangepaste beleid?
De volgende tabel bevat de ondersteunde cryptografische algoritmen en belangrijke sterke punten die u kunt configureren. U moet voor elk veld een optie selecteren.
| IPsec/IKEv2 | Opties |
|---|---|
| IKEv2-versleuteling | GCMAES256, GCMAES128, AES256, AES192, AES128 |
| IKEv2-integriteit | SHA384, SHA256, SHA1, MD5 |
| DH-groep | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
| IPsec-versleuteling | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, geen |
| IPsec-integriteit | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| PFS-groep | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, geen |
| Sa-levensduur snelle modus | (Optioneel; standaardwaarden indien niet opgegeven) Seconden (geheel getal; minimaal 300, standaard 27.000) Kilobytes (geheel getal; minimaal 1.024, standaard 10.2400.000) |
| Verkeersselector | UsePolicyBasedTrafficSelectors ($True of $False, maar optioneel; standaard $False indien niet opgegeven) |
| Time-out van DPD | Seconden (geheel getal; minimaal 9, maximum 3.600, standaard 45) |
De configuratie van uw on-premises VPN-apparaat moet overeenkomen met of de volgende algoritmen en parameters bevatten die u opgeeft in het Azure IPsec- of IKE-beleid:
- IKE-versleutelingsalgoritmen (hoofdmodus, fase 1)
- IKE-integriteitsalgoritmen (hoofdmodus, fase 1)
- DH-groep (hoofdmodus, fase 1)
- IPsec-versleutelingsalgoritmen (snelle modus, fase 2)
- IPsec-integriteitsalgoritmen (snelle modus, fase 2)
- PFS-groep (snelle modus, fase 2)
- Verkeersselector (als u gebruikt
UsePolicyBasedTrafficSelectors) - SA-levensduur (lokale specificaties die niet overeenkomen)
Als u GCMAES gebruikt voor het IPsec-versleutelingsalgoritmen, moet u dezelfde GCMAES-algoritme en sleutellengte selecteren voor IPsec-integriteit. Gebruik bijvoorbeeld GCMAES128 voor beide.
In de tabel met algoritmen en sleutels:
- IKE komt overeen met de hoofdmodus of fase 1.
- IPsec komt overeen met de snelle modus of fase 2.
- DH-groep specificeert de Diffie-Hellman-groep die wordt gebruikt in de hoofdmodus of fase 1.
- PFS-groep specificeert de Diffie-Hellman-groep die wordt gebruikt in de snelle modus of fase 2.
De SA-levensduur van DE IKE-hoofdmodus is vastgesteld op 28.800 seconden op de Azure VPN-gateways.
UsePolicyBasedTrafficSelectorsis een optionele parameter voor de verbinding. Als uUsePolicyBasedTrafficSelectors$Trueinstelt op een verbinding, wordt de VPN-gateway geconfigureerd om verbinding te maken met een on-premises VPN-firewall op basis van beleid.Als u dit inschakelt
UsePolicyBasedTrafficSelectors, moet u ervoor zorgen dat uw VPN-apparaat beschikt over de overeenkomende verkeerskiezers die zijn gedefinieerd met alle combinaties van uw on-premises netwerkvoorvoegsels (lokale netwerkgateway) naar of van de voorvoegsels van het virtuele Azure-netwerk in plaats van any-to-any. De VPN-gateway accepteert elke verkeerskiezer die de externe VPN-gateway voorstelt, ongeacht wat er op de VPN-gateway is geconfigureerd.Als uw lokale netwerkvoorvoegsels bijvoorbeeld 10.1.0.0/16 en 10.2.0.0/16 zijn, en de voorvoegsels van uw virtuele netwerk 192.168.0.0/16 en 172.16.0.0/16, moet u de volgende verkeersselectoren opgeven:
- 10.1.0.0/16 <===> 192.168.0.0/16
- 10.1.0.0/16 <===> 172.16.0.0/16
- 10.2.0.0/16 <===> 192.168.0.0/16
- 10.2.0.0/16 <===> 172.16.0.0/16
Zie Een VPN-gateway verbinden met meerdere on-premises op beleid gebaseerde VPN-apparaten voor meer informatie over op beleid gebaseerde verkeerskiezers.
Als u de time-out instelt op kortere perioden, wordt IKE agressief opnieuw versleuteld. De verbinding kan in sommige gevallen worden verbroken. Deze situatie is mogelijk niet wenselijk als uw on-premises locaties verder weg liggen van de Azure-regio waar de VPN-gateway zich bevindt, of als de fysieke koppelingsvoorwaarde pakketverlies kan veroorzaken. Over het algemeen wordt u aangeraden de time-out in te stellen op 30 tot 45 seconden.
Zie Een VPN-gateway verbinden met meerdere on-premises op beleid gebaseerde VPN-apparaten voor meer informatie.
Welke Diffie-Hellman-groepen ondersteunt het aangepaste beleid?
De volgende tabel bevat de bijbehorende Diffie-Hellman-groepen die door het aangepaste beleid worden ondersteund:
| Diffie-Hellman-groep | DHGroup | PFSGroup | Sleutellengte |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768-bits MODP |
| 2 | DHGroup2 | PFS2 | 1024-bits MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048-bits MODP |
| 19 | ECP256 | ECP256 | 256-bits ECP |
| 20 | ECP384 | ECP384 | 384-bits ECP |
| 24 | DHGroup24 | PFS24 | 2048-bits MODP |
Raadpleeg RFC3526 en RFC5114 voor meer informatie.
Vervangt het aangepaste beleid de standaard-IPsec-/IKE-beleidssets voor VPN-gateways?
Ja. Nadat u een aangepast beleid voor een verbinding hebt opgegeven, gebruikt Azure VPN Gateway alleen dat beleid voor de verbinding, zowel als IKE-initiator als IKE-responder.
Als ik een aangepast beleid voor IPsec/IKE verwijder, wordt de verbinding dan onbeveiligd?
Nee, IPsec/IKE helpt de verbinding nog steeds te beveiligen. Nadat u het aangepaste beleid uit een verbinding hebt verwijderd, wordt de VPN-gateway teruggezet naar de standaardlijst met IPsec-/IKE-voorstellen en wordt de IKE-handshake opnieuw gestart met uw on-premises VPN-apparaat.
Kan het toevoegen of bijwerken van een beleid voor IPsec/IKE mijn VPN-verbinding verstoren?
Ja. Dit kan leiden tot een kleine onderbreking (een paar seconden) omdat de VPN-gateway de bestaande verbinding scheurt en de IKE-handshake opnieuw start om de IPsec-tunnel opnieuw tot stand te laten komen met de nieuwe cryptografische algoritmen en parameters. Zorg ervoor dat uw on-premises VPN-apparaat ook is geconfigureerd met de overeenkomende algoritmen en belangrijke sterke punten om de onderbreking te minimaliseren.
Kan ik verschillende beleidsregels voor verschillende verbindingen gebruiken?
Ja. Er wordt een aangepast beleid toegepast per verbinding. U kunt verschillende IPsec/IKE-beleidsregels toepassen op verschillende verbindingen.
U kunt ook aangepaste beleidsregels toepassen op een subset van verbindingen. Voor de resterende verbindingen worden de standaard IPsec/IKE-beleidssets voor Azure toegepast.
Kan ik een aangepast beleid gebruiken voor VNet-naar-VNet-verbindingen?
Ja. U kunt een aangepast beleid toepassen op zowel cross-premises IPsec-verbindingen als VNet-naar-VNet-verbindingen.
Moet ik hetzelfde beleid opgeven voor beide VNet-naar-VNet-verbindingsresources?
Ja. Een VNet-naar-VNet-tunnel bestaat uit twee verbindingsresources in Azure, één voor elke richting. Zorg ervoor dat beide verbindingsbronnen hetzelfde beleid hebben. Anders wordt de VNet-naar-VNet-verbinding niet tot stand gebracht.
Wat is de standaard time-outwaarde voor DPD? Kan ik een andere time-out voor DPD opgeven?
De standaardtime-out voor DPD is 45 seconden op VPN-gateways. U kunt een andere DPD-time-outwaarde opgeven voor elke IPsec- of VNet-naar-VNet-verbinding, van 9 seconden tot 3.600 seconden.
Notitie
Als u de time-out instelt op kortere perioden, wordt IKE agressief opnieuw versleuteld. De verbinding kan in sommige gevallen worden verbroken. Deze situatie is mogelijk niet wenselijk als uw on-premises locaties verder weg liggen van de Azure-regio waar de VPN-gateway zich bevindt, of als de fysieke koppelingsvoorwaarde pakketverlies kan veroorzaken. Over het algemeen wordt u aangeraden de time-out in te stellen op 30 tot 45 seconden.
Werkt een aangepast IPsec-/IKE-beleid voor ExpressRoute-verbindingen?
Nee Een IPsec-/IKE-beleid werkt alleen op S2S VPN- en VNet-naar-VNet-verbindingen via de VPN-gateways.
Hoe kan ik verbindingen maken met het protocoltype IKEv1 of IKEv2?
U kunt IKEv1-verbindingen maken op alle op route gebaseerde VPN-type-SKU's, behalve de Basic SKU, Standard SKU en andere eerdere SKU's.
U kunt een verbindingsprotocol opgeven van IKEv1 of IKEv2 wanneer u een verbinding maakt. Als u geen verbindingsprotocoltype opgeeft, wordt IKEv2 indien van toepassing gebruikt als standaardoptie. Zie de documentatie voor de Azure PowerShell-cmdlet voor meer informatie.
Zie Een VPN-gateway verbinden met meerdere on-premises op beleid gebaseerde VPN-apparaten voor meer informatie over SKU-typen en ondersteuning voor IKEv1 en IKEv2.
Is transit tussen IKEv1- en IKEv2-verbindingen toegestaan?
Ja.
Kan ik IKEv1-site-naar-site-verbindingen hebben op de Basic-SKU voor het op route gebaseerde VPN-type?
Nee De Basic-SKU biedt geen ondersteuning voor deze configuratie.
Kan ik het verbindingsprotocoltype wijzigen nadat de verbinding is gemaakt (IKEv1 naar IKEv2 en vice versa)?
Nee Nadat u de verbinding hebt gemaakt, kunt u de PROTOCOLLEN IKEv1 en IKEv2 niet meer wijzigen. U moet een nieuwe verbinding met het gewenste protocoltype verwijderen en opnieuw maken.
Waarom maakt mijn IKEv1-verbinding vaak opnieuw verbinding?
Als uw statische routering of op route gebaseerde IKEv1-verbinding met routineintervallen wordt verbroken, komt dit waarschijnlijk doordat uw VPN-gateways geen ondersteuning bieden voor in-place hersleutels. Wanneer de hoofdmodus opnieuw wordt versleuteld, wordt de verbinding met uw IKEv1-tunnels verbroken en duurt het maximaal 5 seconden om opnieuw verbinding te maken. De time-outwaarde van de main mode-onderhandeling bepaalt de frequentie van opnieuw versleutelen. Als u wilt voorkomen dat deze opnieuw verbinding maken, kunt u overschakelen naar IKEv2, dat ondersteuning biedt voor in-place hersleutels.
Als uw verbinding op willekeurige momenten opnieuw verbinding maakt, volgt u de gids voor probleemoplossing.
Waar vind ik meer informatie en stappen voor configuratie?
Zie de volgende artikelen:
- Aangepast IPsec-/IKE-verbindingsbeleid configureren voor S2S VPN en VNet-naar-VNet: Azure Portal
- Aangepast IPsec/IKE-beleid configureren voor S2S VPN-verbindingen en VNet-naar-VNet: PowerShell
Volgende stappen
Zie IPsec-/IKE-beleid configureren voor stapsgewijze instructies voor het configureren van aangepast IPsec-/IKE-beleid voor een verbinding.
Zie ook Meerdere op beleid gebaseerde VPN-apparaten verbinden voor meer informatie over de optie UsePolicyBasedTrafficSelectors.