Sobre requisitos criptográficos e gateways de VPN do Azure
Este artigo discute como você pode configurar gateways de VPN do Azure para satisfazer seus requisitos criptográficos para túneis VPN S2S entre locais e conexões VNet-to-VNet no Azure.
Sobre o IKEv1 e o IKEv2 para conexões VPN do Azure
Tradicionalmente, permitimos conexões IKEv1 apenas para SKUs básicas e permitimos conexões IKEv2 para todas as SKUs de gateway VPN que não sejam SKUs básicas. Os SKUs básicos permitem apenas 1 conexão e, juntamente com outras limitações, como desempenho, os clientes que usam dispositivos legados que suportam apenas protocolos IKEv1 estavam tendo experiência limitada. Para melhorar a experiência dos clientes que usam protocolos IKEv1, agora estamos permitindo conexões IKEv1 para todas as SKUs de gateway VPN, exceto Basic SKU. Para obter mais informações, consulte SKUs de gateway de VPN. Observe que os gateways VPN que usam o IKEv1 podem experimentar reconexões de túnel durante as rechaves do modo Principal.
Quando as conexões IKEv1 e IKEv2 são aplicadas ao mesmo gateway VPN, o trânsito entre essas duas conexões é habilitado automaticamente.
Sobre parâmetros de política IPsec e IKE para gateways de VPN do Azure
O padrão de protocolo IPsec e IKE suporta uma ampla gama de algoritmos criptográficos em várias combinações. Se você não solicitar uma combinação específica de algoritmos e parâmetros criptográficos, os gateways de VPN do Azure usarão um conjunto de propostas padrão. Os conjuntos de políticas padrão foram escolhidos para maximizar a interoperabilidade com uma ampla gama de dispositivos VPN de terceiros em configurações padrão. Como resultado, as políticas e o número de propostas não podem cobrir todas as combinações possíveis de algoritmos criptográficos disponíveis e pontos fortes-chave.
Política padrão
A política padrão definida para o gateway de VPN do Azure está listada no artigo: Sobre dispositivos VPN e parâmetros IPsec/IKE para conexões de Gateway VPN Site a Site.
Requisitos criptográficos
Para comunicações que exigem algoritmos ou parâmetros criptográficos específicos, normalmente devido a requisitos de conformidade ou segurança, agora você pode configurar seus gateways de VPN do Azure para usar uma política IPsec/IKE personalizada com algoritmos criptográficos específicos e pontos fortes de chave, em vez dos conjuntos de políticas padrão do Azure.
Por exemplo, as políticas de modo principal do IKEv2 para gateways de VPN do Azure utilizam apenas o Grupo Diffie-Hellman 2 (1024 bits), enquanto você pode precisar especificar grupos mais fortes a serem usados no IKE, como Grupo 14 (2048 bits), Grupo 24 (Grupo MODP de 2048 bits) ou ECP (grupos de curva elíptica) 256 ou 384 bits (Grupo 19 e Grupo 20, respetivamente). Requisitos semelhantes também se aplicam às políticas de modo rápido IPsec.
Política IPsec/IKE personalizada com gateways de VPN do Azure
Os gateways de VPN do Azure agora oferecem suporte à política IPsec/IKE personalizada por conexão. Para uma conexão Site-to-Site ou VNet-to-VNet, você pode escolher uma combinação específica de algoritmos criptográficos para IPsec e IKE com a força de chave desejada, conforme mostrado no exemplo a seguir:
Você pode criar uma política IPsec/IKE e aplicar a uma conexão nova ou existente.
Fluxo de trabalho
- Crie as redes virtuais, gateways VPN ou gateways de rede local para sua topologia de conectividade, conforme descrito em outros documentos de instruções.
- Crie uma política IPsec/IKE.
- Você pode aplicar a política ao criar uma conexão S2S ou VNet-to-VNet.
- Se a conexão já estiver criada, você poderá aplicar ou atualizar a política para uma conexão existente.
Perguntas frequentes sobre a política de IPsec/IKE
A política de IPsec/IKE personalizado é suportada em todos os SKU de Gateway de VPN do Azure?
A política IPsec/IKE personalizada é suportada em todas as SKUs do Azure, exceto a SKU Básica.
Quantas políticas posso especificar numa ligação?
Só pode especificar uma combinação de políticas para uma determinada ligação.
Posso especificar uma política parcial numa ligação? (por exemplo, apenas os algoritmos de IKE, mas não IPsec)
Não, tem de especificar todos os parâmetros e algoritmos de IKE (modo principal) e IPsec (modo rápido). A especificação parcial da política não é permitida.
Quais são os algoritmos e os principais pontos fortes suportados na política personalizada?
A tabela a seguir lista os algoritmos criptográficos suportados e os pontos fortes das chaves que você pode configurar. Tem de selecionar uma opção para cada campo.
| IPsec/IKEv2 | Opções |
|---|---|
| Encriptação IKEv2 | GCMAES256, GCMAES128, AES256, AES192, AES128 |
| Integridade do IKEv2 | SHA384, SHA256, SHA1, MD5 |
| Grupo DH | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, Nenhum |
| Encriptação do IPsec | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Nenhum |
| Integridade do IPsec | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| Grupo PFS | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Nenhum |
| Duração de SA QM | (Opcional: os valores padrão são usados se não forem especificados) Segundos (número inteiro; mín. 300 /predefinição de 27000 segundos) KBytes (número inteiro; mín. 1024 /predefinição de 102400000 KBytes) |
| Seletor de tráfego | UsePolicyBasedTrafficSelectors** ($True/$False; Opcional, padrão $False se não especificado) |
| Tempo limite do DPD | Segundos (inteiro: min. 9/máx. 3600; padrão 45 segundos) |
A configuração de dispositivo VPN local deve corresponder ou deve conter os seguintes algoritmos e parâmetros que especificar na política de IPsec/IKE do Azure:
- Algoritmo de encriptação IKE (Modo Principal / Fase 1)
- Algoritmo de integridade IKE (Modo Principal / Fase 1)
- Grupo DH (Modo Principal / Fase 1)
- Algoritmo de encriptação IPsec (Modo Rápido / Fase 2)
- Algoritmo de integridade IPsec (Modo Rápido / Fase 2)
- Grupo PFS (Modo Rápido / Fase 2)
- Seletor de tráfego (se UsePolicyBasedTrafficSelectors for usado)
- Os tempos de vida da SA são apenas especificações locais e não precisam corresponder.
Se o GCMAES for usado como para o algoritmo de criptografia IPsec, você deverá selecionar o mesmo algoritmo GCMAES e o comprimento da chave para integridade IPsec; por exemplo, usando GCMAES128 para ambos.
Na tabela Algoritmos e chaves:
- O IKE corresponde ao Modo Principal ou à Fase 1.
- IPsec corresponde ao Modo Rápido ou Fase 2.
- O Grupo DH especifica o Grupo Diffie-Hellman usado no Modo Principal ou na Fase 1.
- O Grupo PFS especificou o Grupo Diffie-Hellman usado no Modo Rápido ou na Fase 2.
O tempo de vida da SA do Modo Principal IKE é fixado em 28.800 segundos nos gateways de VPN do Azure.
'UsePolicyBasedTrafficSelectors' é um parâmetro opcional na conexão. Se você definir UsePolicyBasedTrafficSelectors para $True em uma conexão, ele configurará o gateway de VPN do Azure para se conectar ao firewall VPN baseado em política localmente. Se você habilitar PolicyBasedTrafficSelectors, precisará garantir que seu dispositivo VPN tenha os seletores de tráfego correspondentes definidos com todas as combinações de seus prefixos de rede local (gateway de rede local) de/para os prefixos de rede virtual do Azure, em vez de qualquer para qualquer. O gateway de VPN do Azure aceita qualquer seletor de tráfego proposto pelo gateway de VPN remoto, independentemente do que está configurado no gateway de VPN do Azure.
Por exemplo, se os prefixos de rede local são 10.1.0.0/16 e 10.2.0.0/16, e os prefixos de rede virtual são 192.168.0.0/16 e 172.16.0.0/16, tem de especificar os seletores de tráfego seguintes:
- 10.1.0.0/16 ====> 192.168.0.0/16 <
- 10.1.0.0/16 ====> 172.16.0.0/16 <
- 10.2.0.0/16 ====> 192.168.0.0/16 <
- 10.2.0.0/16 ====> 172.16.0.0/16 <
Para obter mais informações sobre seletores de tráfego baseados em políticas, consulte Conectar vários dispositivos VPN locais baseados em políticas.
Tempo limite do DPD - O valor padrão é 45 segundos nos gateways de VPN do Azure. Definir o tempo limite para períodos mais curtos fará com que o IKE rechaveie de forma mais agressiva, fazendo com que a conexão pareça estar desconectada em alguns casos. Isso pode não ser desejável se seus locais locais estiverem mais distantes da região do Azure onde o gateway VPN reside ou se a condição de link físico puder incorrer em perda de pacote. A recomendação geral é definir o tempo limite entre 30 a 45 segundos.
Para obter mais informações, veja Connect multiple on-premises policy-based VPN devices (Ligar vários dispositivos VPN baseados em políticas no local).
Que Grupos de Diffie-Hellman são suportados?
A tabela a seguir lista os grupos Diffie-Hellman correspondentes suportados pela política personalizada:
| Grupo Diffie-Hellman | DHGroup | PFSGroup | Comprimento da chave |
|---|---|---|---|
| 5 | DHGroup1 | PFS1 | MODP de 768 bits |
| 2 | DHGroup2 | PFS2 | MODP de 1024 bits |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | MODP de 2048 bits |
| 19 | ECP256 | ECP256 | ECP de 256 bits |
| 20 | ECP384 | ECP384 | ECP de 384 bits |
| 24 | DHGroup24 | PFS24 | MODP de 2048 bits |
Consulte RFC3526 e RFC5114 para obter mais detalhes.
A política personalizada substitui os conjuntos de políticas predefinidos de IPsec/IKE para gateways de VPN do Azure?
Sim, quando uma política personalizada é especificada numa ligação, o gateway de VPN do Azure só irá usar a política na ligação, como iniciador IKE e dispositivo de resposta IKE.
Se remover uma política de IPsec/IKE personalizada, a ligação torna-se desprotegida?
Não, a ligação ainda estará protegida pelo IPsec/IKE. Quando remove a política personalizada de uma ligação, o gateway de VPN do Azure reverte para a lista predefinida de propostas de IPsec/IKE e reinicia o handshake IKE novamente com o dispositivo VPN local.
Adicionar ou atualizar uma política de IPsec/IKE pode atrapalhar a minha ligação VPN?
Sim, pode causar uma pequena interrupção (alguns segundos), pois o gateway de VPN do Azure quebra a ligação existente e reinicia o handshake IKE para restabelecer o túnel IPsec com os novos parâmetros e algoritmos criptográficos. Verifique se o dispositivo VPN local também é configurado com os algoritmos correspondentes e os principais pontos fortes para minimizar a interrupção.
Posso usar políticas diferentes em ligações diferentes?
Sim. A política personalizada é aplicada consoante a ligação. Pode criar e aplicar diferentes políticas de IPsec/IKE em diferentes ligações. Também pode optar por aplicar políticas personalizadas num subconjunto de ligações. As restantes utilizam os conjuntos de políticas predefinidas de IPsec/IKE do Azure.
Também posso usar a política personalizada na ligação de VNet para VNet?
Sim, pode aplicar a política personalizada em ligações entre locais de IPsec ou em ligações VNet para VNet.
É necessário especificar a mesma política em ambos os recursos de ligação de VNet para VNet?
Sim. Um túnel de VNet para VNet consiste em dois recursos de ligação no Azure, uma para cada direção. Confirme que os recursos de ligação têm a mesma política, senão a ligação VNet para VNet não é estabelecida.
Qual é o valor padrão de tempo limite do DPD? Posso especificar um tempo limite de DPD diferente?
O tempo limite padrão do DPD é de 45 segundos. Você pode especificar um valor de tempo limite DPD diferente em cada conexão IPsec ou VNet-to-VNet, de 9 segundos a 3600 segundos.
Nota
O valor padrão é 45 segundos nos gateways de VPN do Azure. Definir o tempo limite para períodos mais curtos fará com que o IKE rechaveie de forma mais agressiva, fazendo com que a conexão pareça estar desconectada em alguns casos. Isso pode não ser desejável se seus locais locais estiverem mais distantes da região do Azure onde o gateway de VPN reside ou quando a condição de link físico puder incorrer em perda de pacote. A recomendação geral é definir o tempo limite entre 30 e 45 segundos.
A política de IPsec/IKE personalizada funciona na ligação do ExpressRoute?
Não A política de IPsec/IKE só funciona em ligações VPN S2S e VNet para VNet por meio de gateways de VPN do Azure.
Como faço para criar conexões com o tipo de protocolo IKEv1 ou IKEv2?
As conexões IKEv1 podem ser criadas em todas as SKUs do tipo VPN RouteBased, exceto a SKU Básica, a SKU Padrão e outras SKUs herdadas. Você pode especificar um tipo de protocolo de conexão de IKEv1 ou IKEv2 ao criar conexões. Se você não especificar um tipo de protocolo de conexão, o IKEv2 será usado como opção padrão quando aplicável. Para obter mais informações, consulte a documentação do cmdlet do PowerShell. Para tipos de SKU e suporte a IKEv1/IKEv2, consulte Conectar gateways a dispositivos VPN baseados em políticas.
É permitido o trânsito entre as ligações IKEv1 e IKEv2?
Sim. O trânsito entre conexões IKEv1 e IKEv2 é suportado.
Posso ter conexões IKEv1 site a site em SKUs básicas do tipo RouteBased VPN?
Não O Basic SKU não suporta isso.
Posso alterar o tipo de protocolo de conexão depois que a conexão é criada (IKEv1 para IKEv2 e vice-versa)?
Não Depois que a conexão é criada, os protocolos IKEv1/IKEv2 não podem ser alterados. Você deve excluir e recriar uma nova conexão com o tipo de protocolo desejado.
Porque é que a minha ligação IKEv1 se religa frequentemente?
Se o seu roteamento estático ou conexão IKEv1 baseada em rota estiver se desconectando em intervalos de rotina, é provável que isso se deva aos gateways VPN não suportarem rechaves in-loco. Quando o modo principal está a ser rechaveado, os túneis IKEv1 desligam-se e demoram até 5 segundos a voltar a ligar. O valor do tempo limite de negociação do modo principal determina a frequência das rechaves. Para evitar essas reconexões, você pode alternar para usar o IKEv2, que suporta rechaves in-loco.
Se a sua ligação estiver a voltar a ligar-se em momentos aleatórios, siga o nosso guia de resolução de problemas.
Onde posso encontrar informações e etapas de configuração?
Consulte os seguintes artigos para obter mais informações e etapas de configuração.
- Configurar a política IPsec/IKE para conexões S2S ou VNet-to-VNet - Portal do Azure
- Configurar a política IPsec/IKE para conexões S2S ou VNet-to-VNet - Azure PowerShell
Próximos passos
Consulte Configurar política IPsec/IKE para obter instruções passo a passo sobre como configurar a política IPsec/IKE personalizada em uma conexão.
Consulte também Conectar vários dispositivos VPN baseados em políticas para saber mais sobre a opção UsePolicyBasedTrafficSelectors.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários