Требования к шифрованию и VPN-шлюзы Azure

В этой статье рассказывается, как можно настроить VPN-шлюзы Azure для удовлетворения требований к шифрованию для распределенных VPN-туннелей S2S и подключений между виртуальными сетями в Azure.

Сведения о IKEv1 и IKEv2 для VPN-подключений Azure

Обычно мы разрешаем подключения по протоколу IKEv1 только для SKU уровня "Базовый", а подключения по протоколу IKEv2 — для всех SKU VPN-шлюзов, кроме SKU уровня "Базовый". SKU уровня "Базовый" допускают только 1 подключение, а также имеют другие ограничения, такие как ограниченная производительность; также с ограниченными возможностями сталкиваются клиенты, использующие устаревшие устройства, которые поддерживают только протоколы IKEv1. Чтобы улучшить возможности для клиентов, использующих протоколы IKEv1, мы разрешили подключения IKEv1 для всех SKU VPN-шлюзов, за исключением SKU уровня "Базовый". Дополнительные сведения см. в разделе SKU VPN-шлюзов. Обратите внимание, что VPN-шлюзы с протоколом IKEv1 могут столкнуться с повторным подключением туннеля во время операций переназначения ключа для основного режима.

Azure VPN Gateway IKEv1 and IKEv2 connections

Если подключения IKEv1 и IKEv2 применяются к одному VPN-шлюзу, транзит между этими двумя подключениями будет включен.

Параметры политики IPsec и IKE для VPN-шлюзов Azure

Стандарт протоколов IPsec и IKE поддерживает широкий набор алгоритмов шифрования в различных сочетаниях. Если не запросить конкретную комбинацию алгоритмов шифрования и параметров, VPN-шлюзы Azure используют набор предложений по умолчанию. Наборы политик по умолчанию были выбраны, чтобы обеспечить максимально эффективное взаимодействие с широким диапазоном VPN-устройств сторонних производителей в конфигурациях по умолчанию. Соответственно, такие политики и количество предложений не могут охватывать все возможные сочетания доступных алгоритмов шифрования и значений длины ключа.

Политика по умолчанию

Набор политик по умолчанию для VPN-шлюза Azure приведен в статье: VPN-устройства и параметры IPsec/IKE для подключений типа "сеть-сеть" через VPN-шлюз.

Требования к шифрованию

Для операций обмена данными, требующих определенные алгоритмы шифрования или параметры (обычно из-за требований к соответствию или к безопасности), вы теперь можете настроить для своих VPN-шлюзов Azure использование настраиваемой политики IPsec/IKE с конкретными алгоритмами шифрования и значениями длины ключа, вместо выбора наборов политик Azure по умолчанию.

Например, политики основного режима IKEv2 для VPN-шлюзов Azure используют только группу Диффи-Хелмана 2 (1024 бит), тогда как вам может потребоваться указать более надежные группы для использования в IKE, такие как группа 14 (2048 бит), группа 24 (группа MODP 2048 бит) или ECP (группы на основе эллиптических кривых) 256 и 384 бит (группы 19 и 20, соответственно). Аналогичные требования также применяются к политикам быстрого режима IPsec.

Пользовательская политика IPsec/IKE с VPN-шлюзами Azure

VPN-шлюзы Azure теперь поддерживают настраиваемые политики IPsec/IKE, задаваемые для отдельных подключений. Для подключения типа "сеть — сеть" или "виртуальная сеть — виртуальная сеть" вы можете выбрать определенное сочетание алгоритмов шифрования IPsec и IKE с требуемой надежностью ключа, как показано в примере ниже:

ipsec-ike-policy

Можно создать политику IPsec/IKE и применить ее к существующему или новому подключению.

Рабочий процесс

  1. Создайте виртуальные сети, VPN-шлюзы или локальные сетевые шлюзы с учетом конкретной топологии подключений, как описано в других практических руководствах.
  2. Создайте политику IPsec/IKE
  3. Вы можете применить политику при создании подключения S2S или подключения между виртуальными сетями.
  4. Если подключение уже создано, можно применить или обновить политику для существующего подключения.

Часто задаваемые вопросы о политике IPsec/IKE

Поддерживается ли политика IPsec/IKE во всех номерах SKU VPN-шлюзов Azure?

Пользовательская политика IPsec/IKE поддерживается во всех SKU Azure, за исключением SKU "Базовый".

Сколько политик можно указать для подключения?

Можно указать только одну комбинацию политик для каждого подключения.

Можно ли указать частичную политику для подключения (например, только алгоритмы IKE без IPsec)?

Нет, следует указать все алгоритмы и параметры для IKE (основной режим) и IPsec (быстрый режим). Указать частичную спецификацию политики невозможно.

Какие алгоритмы и уровни стойкости ключей поддерживает настраиваемая политика?

В таблице ниже перечислены поддерживаемые алгоритмы шифрования и уровни стойкости ключей, которые могут настроить клиенты. Необходимо выбрать один вариант для каждого поля.

IPsec/IKEv2 Параметры
Шифрование IKEv2 GCMAES256, GCMAES128, AES256, AES192, AES128, DES3, DES
Проверка целостности IKEv2 GCMAES256, GCMAES128, SHA384, SHA256, SHA1, MD5
Группа DH DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, нет
Шифрование IPsec GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, нет
Целостность IPsec GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Группа PFS PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, нет
Время существования QM SA Секунды (целое число, минимум 300, по умолчанию — 27 000 с)
Килобайты (целое число, минимум 1024, по умолчанию — 102 400 000 КБ)
Селектор трафика UsePolicyBasedTrafficSelectors ($True/$False; по умолчанию — $False)

Важно!

  • DHGroup2048 и PFS2048 — это такие же группы, как и группа Диффи-Хелмана 14 в протоколе IKE и IPsec PFS. Полное сопоставление см. в разделе о группах Диффи — Хелмана.
  • В алгоритмах GCMAES необходимо указать одинаковую длину ключа и алгоритма для шифрования и целостности данных IPsec.
  • Время существования SA основного режима IKEv2 составляет 28 800 секунд на VPN-шлюзах Azure.
  • Время существования QM SA указывать необязательно. Если эти значения не указаны, по умолчанию используются значения 27 000 с (7,5 ч) и 102 400 000 КБ (102 ГБ).
  • UsePolicyBasedTrafficSelector — это необязательный параметр при подключении. Чтобы получить информацию о параметре UsePolicyBasedTrafficSelectors, см. следующий вопрос и ответ.

Должны ли политика VPN-шлюза Azure и мои конфигурации локальных VPN-устройств полностью совпадать?

Ваша конфигурация локальных VPN-устройств должна совпадать со следующими алгоритмами и параметрами, указанными в политике Azure IPsec/IKE, или содержать их.

  • Алгоритм шифрования IKE
  • Алгоритм проверки целостности IKE
  • Группа DH
  • Алгоритм шифрования IPsec
  • Алгоритм проверки целостности IPsec
  • Группа PFS
  • Селектор трафика ( * )

Время существования SA определяется исключительно локальными спецификациями, и эти значения не обязаны совпадать.

Если вы включили параметр UsePolicyBasedTrafficSelectors, необходимо обеспечить соответствующие селекторы трафика для VPN-устройства, которые определены с помощью всех комбинаций префиксов локальной сети (шлюза локальной сети) с префиксами виртуальной сети Azure, а не разрешать совпадение любого префикса с любым. Например, если префиксы локальной сети — 10.1.0.0/16 и 10.2.0.0/16, а префиксы виртуальной сети — 192.168.0.0/16 и 172.16.0.0/16, необходимо указать следующие селекторы трафика:

  • 10.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/16

Дополнительные сведения см. в статье Подключение VPN-шлюзов Azure к нескольким локальным VPN-устройствам на основе политики с помощью PowerShell.

Поддерживаемые группы Диффи-Хелмана

В таблице ниже перечислены поддерживаемые группы Диффи-Хелмана для протокола IKE (DHGroup) и IPsec (PFSGroup).

Группа Диффи-Хелмана DHGroup PFSGroup Длина ключа
1 DHGroup1 PFS1 MODP (768 бит)
2 DHGroup2 PFS2 MODP (1024 бит)
14 DHGroup14
DHGroup2048
PFS2048 MODP (2048 бит)
19 ECP256 ECP256 ECP (256 бит)
20 ECP384 ECP384 ECP (384 бит)
24 DHGroup24 PFS24 MODP (2048 бит)

Дополнительные сведения см. на страницах RFC 3526 и RFC 5114.

Заменяет ли настраиваемая политика стандартные наборы политик IPsec/IKE для VPN-шлюзов Azure?

Да, когда настраиваемая политика будет указана для подключения, VPN-шлюз Azure будет использовать только политику для подключения как инициатор IKE и отвечающее устройство IKE.

Если удалить настраиваемую политику IPsec/IKE, подключение становится незащищенным?

Нет, подключение будет по-прежнему защищено с помощью IPsec/IKE. После удаления настраиваемой политики из подключения VPN-шлюз Azure вернется к списку предложений IPsec/IKE по умолчанию и возобновит подтверждение IKE для локального VPN-устройства.

Прерывается ли VPN-подключение при добавлении или обновлении политики IPsec/IKE?

Да, это может привести к небольшому прерыванию работы (на несколько секунд), так как VPN-шлюз Azure будет прерывать существующее подключение и повторно запускать подтверждение IKE, чтобы повторно настроить туннель IPsec с новыми алгоритмами и параметрами шифрования. Чтобы минимизировать длительность прерывания, настройте для локального VPN-устройства совпадающие алгоритмы и уровни стойкости ключей.

Можно ли использовать разные политики для разных подключений?

Да. Настраиваемая политика применяется на уровне подключения. Можно создавать и применять разные политики IPsec/IKE для разных подключений. Можно также применять настраиваемые политики к подмножеству подключений. Оставшиеся подключения используют стандартные наборы политик IPsec/IKE Azure.

Можно ли также использовать настраиваемую политику для подключения между виртуальными сетями?

Да, настраиваемую политику можно применять для подключений IPsec между локальными или виртуальными сетями.

Нужно ли указывать одну и ту же политику для обоих ресурсов при подключении между виртуальными сетями?

Да. Туннель подключения между виртуальными сетями состоит из двух ресурсов Azure: для каждого направления используется один ресурс. Обоим ресурсам подключения следует назначить одну и ту же политику, иначе подключение между виртуальными сетями не будет установлено.

Какое значение времени ожидания DPD по умолчанию? Можно ли указать другое время ожидания DPD?

Время ожидания DPD по умолчанию составляет 45 секунд. Можно указать другое значение времени ожидания DPD для каждого подключения IPsec или виртуальной сети в диапазоне от 9 до 3600 секунд.

Работает ли настраиваемая политика IPsec/IKE для подключения ExpressRoute?

Нет. Политика IPsec/IKE работает только для VPN-подключений типа "сеть — сеть" или "виртуальная сеть — виртуальная сеть" через VPN-шлюзы Azure.

Как создавать подключения с типом протокола IKEv1 или IKEv2?

Подключения IKEv1 можно создавать во всех SKU с VPN типа RouteBased, кроме SKU уровня "Базовый" и "Стандартный" и других устаревших SKU. При создании подключения можно указать тип протокола IKEv1 или IKEv2. Если тип протокола не указан, по умолчанию используется тип IKEv2 (там, где это применимо). Дополнительные сведения см. в документации по командлетам PowerShell. Сведения о типах SKU и поддержке протоколов IKEv1 и IKEv2 см. в статье о подключении шлюзов к VPN-устройствам на базе политик.

Можно ли перейти с подключения IKEv1 на IKEv2 и обратно?

Да. Переход между типами подключений IKEv1 и IKEv2 поддерживается.

Можно ли использовать межсайтовые подключения IKEv1 на SKU категории "Базовый" с VPN типа RouteBased?

Нет. Ценовая категория "Базовый" не поддерживает эту возможность.

Можно ли сменить тип протокола после создания подключения (с IKEv1 на IKEv2 или обратно)?

Нет. Изменить тип протокола IKEv1 или IKEv2 после создания подключения невозможно. Вам потребуется удалить и снова создать подключение с протоколом нужного типа.

Почему подключение IKEv1 часто теряется и восстанавливается?

Если подключение IKEv1 со статической маршрутизацией или на основе маршрутов отключается через регулярные интервалы, это может быть связано с тем, что VPN-шлюзы не поддерживают переназначение ключей без отключения. Когда выполняется переназначение ключей для основного режима, туннели IKEv1 будут отключены и подключены снова, что может потребовать до 5 секунд. Значение времени ожидания для согласования основного режима определяет частоту переназначения ключей. Чтобы предотвратить такие повторные подключения, переключитесь на использование протокола IKEv2, который поддерживает переназначение ключей без отключения.

Если подключение отключается через случайные промежутки времени, обратитесь к руководству по устранению неполадок.

Где можно найти дополнительные сведения о конфигурации для IPsec?

См. статью Настройка политики IPsec/IKE для подключений "сеть — сеть" или "виртуальная сеть — виртуальная сеть".

Дальнейшие действия

Пошаговые инструкции по настройке пользовательской политики IPsec/IKE для подключения см. в статье о настройке политики IPsec/IKE.

Дополнительные сведения о параметре UsePolicyBasedTrafficSelectors см. в статье Connect multiple policy-based VPN devices (Подключение нескольких VPN-устройств на основе политик).