Sobre requisitos criptográficos e gateways de VPN do Azure
Este artigo discute como você pode configurar gateways de VPN do Azure para satisfazer seus requisitos criptográficos para túneis VPN S2S entre locais e conexões VNet-to-VNet no Azure.
Sobre o IKEv1 e o IKEv2 para conexões VPN do Azure
Tradicionalmente, permitimos conexões IKEv1 apenas para SKUs básicas e permitimos conexões IKEv2 para todas as SKUs de gateway VPN que não sejam SKUs básicas. Os SKUs básicos permitem apenas 1 conexão e, juntamente com outras limitações, como desempenho, os clientes que usam dispositivos legados que suportam apenas protocolos IKEv1 estavam tendo experiência limitada. Para melhorar a experiência dos clientes que usam protocolos IKEv1, agora estamos permitindo conexões IKEv1 para todas as SKUs de gateway VPN, exceto Basic SKU. Para obter mais informações, consulte SKUs de gateway de VPN. Observe que os gateways VPN que usam o IKEv1 podem experimentar reconexões de túnel durante as rechaves do modo Principal.
Quando as conexões IKEv1 e IKEv2 são aplicadas ao mesmo gateway VPN, o trânsito entre essas duas conexões é habilitado automaticamente.
Sobre parâmetros de política IPsec e IKE para gateways de VPN do Azure
A norma de protocolo IPsec e IKE suporta uma vasta gama de algoritmos criptográficos em várias combinações. Se não solicitar uma combinação específica de algoritmos e parâmetros criptográficos, os gateways VPN do Azure utilizam um conjunto de propostas predefinidas. Os conjuntos de políticas predefinidos foram escolhidos para maximizar a interoperabilidade com uma vasta gama de dispositivos VPN de terceiros em configurações predefinidas. Consequentemente, as políticas e o número de propostas não podem abranger todas as combinações possíveis de algoritmos criptográficos disponíveis e de forças de chave.
Política padrão
A política padrão definida para o gateway de VPN do Azure está listada no artigo: Sobre dispositivos VPN e parâmetros IPsec/IKE para conexões de Gateway VPN Site a Site.
Requisitos criptográficos
Para comunicações que exigem algoritmos ou parâmetros criptográficos específicos, normalmente devido a requisitos de conformidade ou segurança, agora você pode configurar seus gateways de VPN do Azure para usar uma política IPsec/IKE personalizada com algoritmos criptográficos específicos e pontos fortes de chave, em vez dos conjuntos de políticas padrão do Azure.
Por exemplo, as políticas de modo principal do IKEv2 para gateways de VPN do Azure utilizam apenas o Grupo Diffie-Hellman 2 (1024 bits), enquanto você pode precisar especificar grupos mais fortes a serem usados no IKE, como Grupo 14 (2048 bits), Grupo 24 (Grupo MODP de 2048 bits) ou ECP (grupos de curva elíptica) 256 ou 384 bits (Grupo 19 e Grupo 20, respetivamente). Requisitos semelhantes também se aplicam às políticas de modo rápido IPsec.
Política IPsec/IKE personalizada com gateways de VPN do Azure
Os gateways de VPN do Azure agora oferecem suporte à política IPsec/IKE personalizada por conexão. Para uma conexão Site-to-Site ou VNet-to-VNet, você pode escolher uma combinação específica de algoritmos criptográficos para IPsec e IKE com a força de chave desejada, conforme mostrado no exemplo a seguir:
Você pode criar uma política IPsec/IKE e aplicar a uma conexão nova ou existente.
Fluxo de Trabalho
- Crie as redes virtuais, gateways VPN ou gateways de rede local para sua topologia de conectividade, conforme descrito em outros documentos de instruções.
- Crie uma política IPsec/IKE.
- Você pode aplicar a política ao criar uma conexão S2S ou VNet-to-VNet.
- Se a conexão já estiver criada, você poderá aplicar ou atualizar a política para uma conexão existente.
Perguntas frequentes sobre a política de IPsec/IKE
Há suporte para uma política IPsec/IKE personalizada em todas as SKUs do Gateway de VPN do Azure?
Uma política IPsec/IKE personalizada é suportada em todas as SKUs do Gateway de VPN do Azure, exceto a SKU Básica.
Quantas políticas posso especificar numa ligação?
Você pode especificar apenas uma combinação de política para uma conexão.
Posso especificar uma política parcial em uma conexão (por exemplo, apenas algoritmos IKE, mas não IPsec)?
Não, tem de especificar todos os parâmetros e algoritmos de IKE (modo principal) e IPsec (modo rápido). A especificação parcial da política não é permitida.
Quais algoritmos e principais pontos fortes a política personalizada suporta?
A tabela a seguir lista os algoritmos criptográficos suportados e os pontos fortes das chaves que você pode configurar. Tem de selecionar uma opção para cada campo.
IPsec/IKEv2 | Opções |
---|---|
Encriptação IKEv2 | GCMAES256, GCMAES128, AES256, AES192, AES128 |
Integridade do IKEv2 | SHA384, SHA256, SHA1, MD5 |
Grupo DH | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, Nenhum |
Criptografia IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Nenhum |
Integridade IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
Grupo PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Nenhum |
Vida útil do Modo Rápido SA | (Opcional; valores padrão se não especificados) Segundos (inteiro; mínimo 300, padrão 27.000) Kilobytes (inteiro; mínimo 1.024, padrão 10.2400.000) |
Seletor de tráfego | UsePolicyBasedTrafficSelectors $True ( ou $False , mas opcional; padrão $False se não especificado) |
Tempo limite do DPD | Segundos (inteiro; mínimo 9, máximo 3.600, padrão 45) |
Sua configuração de dispositivo VPN local deve corresponder ou conter os seguintes algoritmos e parâmetros especificados na política IPsec ou IKE do Azure:
- Algoritmo de encriptação IKE (Modo Principal, Fase 1)
- Algoritmo de integridade IKE (Modo Principal, Fase 1)
- Grupo DH (Modo Principal, Fase 1)
- Algoritmo de encriptação IPsec (Modo Rápido, Fase 2)
- Algoritmo de integridade IPsec (Modo Rápido, Fase 2)
- Grupo PFS (Modo Rápido, Fase 2)
- Seletor de tráfego (se você usar
UsePolicyBasedTrafficSelectors
) - Tempo de vida da SA (especificações locais que não precisam corresponder)
Se você usar GCMAES para o algoritmo de criptografia IPsec, deverá selecionar o mesmo algoritmo GCMAES e o mesmo comprimento de chave para integridade IPsec. Por exemplo, use GCMAES128 para ambos.
Na tabela de algoritmos e chaves:
- O IKE corresponde ao Modo Principal ou à Fase 1.
- IPsec corresponde ao Modo Rápido ou Fase 2.
- O grupo DH especifica o grupo Diffie-Hellman usado no Modo Principal ou na Fase 1.
- O grupo PFS especifica o grupo Diffie-Hellman usado no Modo Rápido ou na Fase 2.
O tempo de vida da SA do Modo Principal IKE é fixado em 28.800 segundos nos gateways de VPN do Azure.
UsePolicyBasedTrafficSelectors
é um parâmetro opcional na conexão. Se você definirUsePolicyBasedTrafficSelectors
como$True
em uma conexão, ele configurará o gateway VPN para se conectar a um firewall VPN local baseado em política.Se você habilitar
UsePolicyBasedTrafficSelectors
o , verifique se seu dispositivo VPN tem os seletores de tráfego correspondentes definidos com todas as combinações de seus prefixos de rede local (gateway de rede local) de ou para os prefixos de rede virtual do Azure, em vez de qualquer para qualquer. O gateway VPN aceita qualquer seletor de tráfego que o gateway VPN remoto proponha, independentemente do que está configurado no gateway VPN.Por exemplo, se os prefixos de rede local são 10.1.0.0/16 e 10.2.0.0/16, e os prefixos de rede virtual são 192.168.0.0/16 e 172.16.0.0/16, tem de especificar os seletores de tráfego seguintes:
- 10.1.0.0/16 <====> 192.168.0.0/16
- 10.1.0.0/16 <====> 172.16.0.0/16
- 10.2.0.0/16 <====> 192.168.0.0/16
- 10.2.0.0/16 <====> 172.16.0.0/16
Para obter mais informações sobre seletores de tráfego baseados em políticas, consulte Conectar um gateway VPN a vários dispositivos VPN locais baseados em políticas.
Definir o tempo limite para períodos mais curtos faz com que o IKE volte a chavear de forma mais agressiva. A conexão pode então parecer desconectada em alguns casos. Essa situação pode não ser desejável se seus locais locais estiverem mais distantes da região do Azure onde o gateway VPN reside ou se a condição de link físico puder incorrer em perda de pacotes. Geralmente, recomendamos que você defina o tempo limite entre 30 e 45 segundos.
Para obter mais informações, consulte Conectar um gateway VPN a vários dispositivos VPN locais baseados em políticas.
Quais grupos Diffie-Hellman a política personalizada suporta?
A tabela a seguir lista os grupos Diffie-Hellman correspondentes suportados pela política personalizada:
Grupo Diffie-Hellman | DHGroup | PFSGroup | Comprimento da chave |
---|---|---|---|
1 | DHGroup1 | PFS1 | MODP de 768 bits |
2 | DHGroup2 | PFS2 | MODP de 1024 bits |
14 | DHGroup14 DHGroup2048 |
PFS2048 | MODP de 2048 bits |
19 | ECP256 | ECP256 | ECP de 256 bits |
20 | ECP384 | ECP384 | ECP de 384 bits |
24 | DHGroup24 | PFS24 | MODP de 2048 bits |
Para obter mais informações, consulte RFC3526 e RFC5114.
A política personalizada substitui os conjuntos de políticas IPsec/IKE padrão para gateways VPN?
Sim. Depois de especificar uma política personalizada em uma conexão, o Gateway de VPN do Azure usa apenas essa política na conexão, como iniciador IKE e respondente IKE.
Se remover uma política de IPsec/IKE personalizada, a ligação torna-se desprotegida?
Não, o IPsec/IKE ainda ajuda a proteger a ligação. Depois de remover a política personalizada de uma conexão, o gateway VPN reverte para a lista padrão de propostas IPsec/IKE e reinicia o handshake IKE com seu dispositivo VPN local.
Adicionar ou atualizar uma política de IPsec/IKE pode atrapalhar a minha ligação VPN?
Sim. Isso pode causar uma pequena interrupção (alguns segundos) à medida que o gateway VPN derruba a conexão existente e reinicia o handshake IKE para restabelecer o túnel IPsec com os novos algoritmos e parâmetros criptográficos. Certifique-se de que seu dispositivo VPN local também esteja configurado com os algoritmos correspondentes e os principais pontos fortes para minimizar a interrupção.
Posso usar políticas diferentes em ligações diferentes?
Sim. Uma política personalizada é aplicada por conexão. Pode criar e aplicar diferentes políticas de IPsec/IKE em diferentes ligações.
Também pode optar por aplicar políticas personalizadas num subconjunto de ligações. As restantes utilizam os conjuntos de políticas predefinidas de IPsec/IKE do Azure.
Posso usar uma política personalizada em conexões VNet-to-VNet?
Sim. Você pode aplicar uma política personalizada em conexões IPsec entre locais e conexões VNet-to-VNet.
É necessário especificar a mesma política em ambos os recursos de ligação de VNet para VNet?
Sim. Um túnel de VNet para VNet consiste em dois recursos de ligação no Azure, uma para cada direção. Verifique se ambos os recursos de conexão têm a mesma política. Caso contrário, a conexão VNet-to-VNet não será estabelecida.
Qual é o valor padrão de tempo limite do DPD? Posso especificar um tempo limite de DPD diferente?
O tempo limite padrão do DPD é de 45 segundos em gateways VPN. Você pode especificar um valor de tempo limite DPD diferente em cada conexão IPsec ou VNet-to-VNet, de 9 segundos a 3.600 segundos.
Nota
Definir o tempo limite para períodos mais curtos faz com que o IKE volte a chavear de forma mais agressiva. A conexão pode então parecer desconectada em alguns casos. Essa situação pode não ser desejável se seus locais locais estiverem mais distantes da região do Azure onde o gateway VPN reside ou se a condição de link físico puder incorrer em perda de pacotes. Geralmente, recomendamos que você defina o tempo limite entre 30 e 45 segundos.
Uma política IPsec/IKE personalizada funciona em conexões de Rota Expressa?
N.º Uma política IPsec/IKE funciona apenas em conexões S2S VPN e VNet-to-VNet por meio dos gateways VPN.
Como faço para criar conexões com o tipo de protocolo IKEv1 ou IKEv2?
Você pode criar conexões IKEv1 em todas as SKUs do tipo VPN baseadas em rota, exceto a SKU básica, a SKU padrão e outras SKUs anteriores.
Você pode especificar um tipo de protocolo de conexão de IKEv1 ou IKEv2 ao criar conexões. Se você não especificar um tipo de protocolo de conexão, o IKEv2 será usado como opção padrão quando aplicável. Para obter mais informações, consulte a documentação do cmdlet do Azure PowerShell.
Para obter informações sobre tipos de SKU e suporte para IKEv1 e IKEv2, consulte Conectar um gateway VPN a vários dispositivos VPN locais baseados em políticas.
É permitido o trânsito entre as ligações IKEv1 e IKEv2?
Sim.
Posso ter conexões IKEv1 site a site na SKU básica para o tipo de VPN baseada em rota?
N.º O Basic SKU não suporta essa configuração.
Posso alterar o tipo de protocolo de conexão depois que a conexão é criada (IKEv1 para IKEv2 e vice-versa)?
N.º Depois de criar a conexão, não é possível alterar os protocolos IKEv1 e IKEv2. Você deve excluir e recriar uma nova conexão com o tipo de protocolo desejado.
Porque é que a minha ligação IKEv1 se religa frequentemente?
Se o seu roteamento estático ou conexão IKEv1 baseada em rota estiver se desconectando em intervalos de rotina, é provável que seus gateways VPN não suportem rechaves in-loco. Quando o Modo Principal está a ser rechaveado, os túneis IKEv1 desligam-se e demoram até 5 segundos a voltar a ligar. O valor do tempo limite de negociação do Modo Principal determina a frequência das rechaves. Para evitar essas reconexões, você pode alternar para usar o IKEv2, que suporta rechaves in-loco.
Se a sua ligação estiver a voltar a ligar-se em momentos aleatórios, siga o guia de resolução de problemas.
Onde posso encontrar mais informações e etapas de configuração?
Consulte os seguintes artigos:
- Configurar políticas de conexão IPsec/IKE personalizadas para VPN S2S e VNet-to-VNet: portal do Azure
- Configurar políticas de ligação IPsec/IKE personalizadas para VPN S2S e VNet-to-VNet: PowerShell
Próximos passos
Consulte Configurar política IPsec/IKE para obter instruções passo a passo sobre como configurar a política IPsec/IKE personalizada em uma conexão.
Consulte também Conectar vários dispositivos VPN baseados em políticas para saber mais sobre a opção UsePolicyBasedTrafficSelectors.