Требования к шифрованию и VPN-шлюзы Azure

В этой статье рассказывается, как можно настроить VPN-шлюзы Azure для удовлетворения требований к шифрованию для распределенных VPN-туннелей S2S и подключений между виртуальными сетями в Azure.

Сведения о IKEv1 и IKEv2 для VPN-подключений Azure

Обычно мы разрешаем подключения по протоколу IKEv1 только для SKU уровня "Базовый", а подключения по протоколу IKEv2 — для всех SKU VPN-шлюзов, кроме SKU уровня "Базовый". SKU уровня "Базовый" допускают только 1 подключение, а также имеют другие ограничения, такие как ограниченная производительность; также с ограниченными возможностями сталкиваются клиенты, использующие устаревшие устройства, которые поддерживают только протоколы IKEv1. Чтобы улучшить возможности для клиентов, использующих протоколы IKEv1, мы разрешили подключения IKEv1 для всех SKU VPN-шлюзов, за исключением SKU уровня "Базовый". Дополнительные сведения см. в разделе SKU VPN-шлюзов. Обратите внимание, что VPN-шлюзы с протоколом IKEv1 могут столкнуться с повторным подключением туннеля во время операций переназначения ключа для основного режима.

Подключения IKEv1 и IKEv2 VPN-шлюзов Azure

Если подключения IKEv1 и IKEv2 применяются к одному VPN-шлюзу, транзит между этими двумя подключениями будет включен.

Параметры политики IPsec и IKE для VPN-шлюзов Azure

Стандарт протоколов IPsec и IKE поддерживает широкий набор алгоритмов шифрования в различных сочетаниях. Если не запросить конкретную комбинацию алгоритмов шифрования и параметров, VPN-шлюзы Azure используют набор предложений по умолчанию. Наборы политик по умолчанию были выбраны, чтобы обеспечить максимально эффективное взаимодействие с широким диапазоном VPN-устройств сторонних производителей в конфигурациях по умолчанию. Соответственно, такие политики и количество предложений не могут охватывать все возможные сочетания доступных алгоритмов шифрования и значений длины ключа.

Политика по умолчанию

Набор политик по умолчанию для VPN-шлюза Azure приведен в статье: VPN-устройства и параметры IPsec/IKE для подключений типа "сеть-сеть" через VPN-шлюз.

Требования к шифрованию

Для операций обмена данными, требующих определенные алгоритмы шифрования или параметры (обычно из-за требований к соответствию или к безопасности), вы теперь можете настроить для своих VPN-шлюзов Azure использование настраиваемой политики IPsec/IKE с конкретными алгоритмами шифрования и значениями длины ключа, вместо выбора наборов политик Azure по умолчанию.

Например, политики основного режима IKEv2 для VPN-шлюзов Azure используют только группу Диффи-Хелмана 2 (1024 бит), тогда как вам может потребоваться указать более надежные группы для использования в IKE, такие как группа 14 (2048 бит), группа 24 (группа MODP 2048 бит) или ECP (группы на основе эллиптических кривых) 256 и 384 бит (группы 19 и 20, соответственно). Аналогичные требования также применяются к политикам быстрого режима IPsec.

Пользовательская политика IPsec/IKE с VPN-шлюзами Azure

VPN-шлюзы Azure теперь поддерживают настраиваемые политики IPsec/IKE, задаваемые для отдельных подключений. Для подключения типа "сеть — сеть" или "виртуальная сеть — виртуальная сеть" вы можете выбрать определенное сочетание алгоритмов шифрования IPsec и IKE с требуемой надежностью ключа, как показано в примере ниже:

ipsec-ike-policy

Можно создать политику IPsec/IKE и применить ее к существующему или новому подключению.

Рабочий процесс

  1. Создайте виртуальные сети, VPN-шлюзы или локальные сетевые шлюзы с учетом конкретной топологии подключений, как описано в других практических руководствах.
  2. Создайте политику IPsec/IKE
  3. Вы можете применить политику при создании подключения S2S или подключения между виртуальными сетями.
  4. Если подключение уже создано, можно применить или обновить политику для существующего подключения.

Часто задаваемые вопросы о политике IPsec/IKE

Поддерживается ли политика IPsec/IKE во всех номерах SKU VPN-шлюзов Azure?

Пользовательская политика IPsec/IKE поддерживается во всех SKU Azure, за исключением SKU "Базовый".

Сколько политик можно указать для подключения?

Можно указать только одну комбинацию политик для каждого подключения.

Можно ли указать частичную политику для подключения (например, только алгоритмы IKE без IPsec)?

Нет, следует указать все алгоритмы и параметры для IKE (основной режим) и IPsec (быстрый режим). Указать частичную спецификацию политики невозможно.

Какие алгоритмы и уровни стойкости ключей поддерживает настраиваемая политика?

В следующей таблице перечислены поддерживаемые алгоритмы шифрования и надежность ключей, которые можно настроить. Необходимо выбрать один вариант для каждого поля.

IPsec/IKEv2 Параметры
Шифрование IKEv2 GCMAES256, GCMAES128, AES256, AES192, AES128, DES3, DES
Проверка целостности IKEv2 GCMAES256, GCMAES128, SHA384, SHA256, SHA1, MD5
Группа DH DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, нет
Шифрование IPsec GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, нет
Целостность IPsec GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Группа PFS PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, нет
Время существования QM SA (Необязательно — используются значения по умолчанию, если не заданы другие значения.)
Секунды (целое число, минимум 300, по умолчанию — 27 000 с)
Килобайты (целое число, минимум 1024, по умолчанию — 102 400 000 КБ)
Селектор трафика UsePolicyBasedTrafficSelectors** ($True/$False; необязательно — по умолчанию используется значение $False, если не задано другое значение.)
Время ожидания обнаружения неиспользуемых одноранговых узлов (DPD) Секунды (целое число, минимум — 9; максимум — 3600, по умолчанию — 45 секунд)
  • Ваша конфигурация локальных VPN-устройств должна совпадать со следующими алгоритмами и параметрами, указанными в политике Azure IPsec/IKE, или содержать их.

    • алгоритм шифрования IKE (основной режим или фаза 1);
    • алгоритм обеспечения целостности IKE (основной режим или фаза 1);
    • группа DH (основной режим или фаза 1);
    • алгоритм шифрования IKE (основной режим или фаза 2);
    • алгоритм обеспечения целостности IPsec (быстрый режим или фаза 2);
    • группа PFS (быстрый режим или фаза 2);
    • селектор трафика (если используется UsePolicyBasedTrafficSelectors).
    • Время существования SA — это только локальные спецификации, и они не должны совпадать.
  • Если для шифрования IPsec используется алгоритм GCMAES, необходимо указать одинаковую длину алгоритма и ключа для проверки целостности IPsec, например GCMAES128 в обоих случаях.

  • В таблице Алгоритмы и ключи :

    • IKE соответствует основному режиму или этапу 1.
    • IPsec соответствует быстрому режиму или фазе 2;
    • группа DH определяет группу Диффи — Хеллмана, которая используется в основном режиме или фазе 1;
    • Группа PFS указала группу Diffie-Hellmen, используемую в быстром режиме или на этапе 2.
  • Время существования SA основного режима IKE составляет 28 800 секунд на VPN-шлюзах Azure.

  • UsePolicyBasedTrafficSelectors является необязательным параметром для подключения. Если задать для параметра UsePolicyBasedTrafficSelectors значение $True для подключения, это позволит настроить VPN-шлюз Azure, чтобы локально подключаться к брандмауэру VPN на основе политик. Если вы включили параметр PolicyBasedTrafficSelectors, необходимо обеспечить соответствующие селекторы трафика для VPN-устройства, которые определены с помощью всех комбинаций префиксов локальной сети (шлюза локальной сети) с префиксами виртуальной сети Azure, а не разрешать совпадение любого префикса с любым.

    Например, если префиксы локальной сети — 10.1.0.0/16 и 10.2.0.0/16, а префиксы виртуальной сети — 192.168.0.0/16 и 172.16.0.0/16, необходимо указать следующие селекторы трафика:

    • 10.1.0.0/16 <====> 192.168.0.0/16
    • 10.1.0.0/16 <====> 172.16.0.0/16
    • 10.2.0.0/16 <====> 192.168.0.0/16
    • 10.2.0.0/16 <====> 172.16.0.0/16

    Дополнительные сведения о селекторах трафика на основе политик см. в статье Подключение VPN-шлюзов Azure к нескольким локальным VPN-устройствам на основе политики с помощью PowerShell.

  • Время ожидания обнаружения неиспользуемых одноранговых узлов (DPD). Значение по умолчанию — 45 секунд на VPN-шлюзах Azure. Установка более короткого времени ожидания приведет к более агрессивному переназначению ключей IKE, в результате чего в некоторых экземплярах может наблюдаться разрыв подключения. Это может оказаться нежелательным, если ваши локальные расположения находятся далеко от региона Azure, где размещен VPN-шлюз, или если ненадлежащее состояние физической связи может приводить к потере пакетов. Общая рекомендация заключается в установке времени ожидания в диапазоне от 30 до 45 секунд.

Дополнительные сведения см. в статье Подключение VPN-шлюзов Azure к нескольким локальным VPN-устройствам на основе политики с помощью PowerShell.

Поддерживаемые группы Диффи-Хелмана

В следующей таблице перечислены соответствующие группы Diffie-Hellman, поддерживаемые настраиваемой политикой.

Группа Диффи-Хелмана DHGroup PFSGroup Длина ключа
1 DHGroup1 PFS1 MODP (768 бит)
2 DHGroup2 PFS2 MODP (1024 бит)
14 DHGroup14
DHGroup2048
PFS2048 MODP (2048 бит)
19 ECP256 ECP256 ECP (256 бит)
20 ECP384 ECP384 ECP (384 бит)
24 DHGroup24 PFS24 MODP (2048 бит)

Дополнительные сведения см. в статье о группе RFC3526 и RFC5114.

Заменяет ли настраиваемая политика стандартные наборы политик IPsec/IKE для VPN-шлюзов Azure?

Да, когда настраиваемая политика будет указана для подключения, VPN-шлюз Azure будет использовать только политику для подключения как инициатор IKE и отвечающее устройство IKE.

Если удалить настраиваемую политику IPsec/IKE, подключение становится незащищенным?

Нет, подключение будет по-прежнему защищено с помощью IPsec/IKE. После удаления настраиваемой политики из подключения VPN-шлюз Azure вернется к списку предложений IPsec/IKE по умолчанию и возобновит подтверждение IKE для локального VPN-устройства.

Прерывается ли VPN-подключение при добавлении или обновлении политики IPsec/IKE?

Да, это может привести к небольшому прерыванию работы (на несколько секунд), так как VPN-шлюз Azure будет прерывать существующее подключение и повторно запускать подтверждение IKE, чтобы повторно настроить туннель IPsec с новыми алгоритмами и параметрами шифрования. Чтобы минимизировать длительность прерывания, настройте для локального VPN-устройства совпадающие алгоритмы и уровни стойкости ключей.

Можно ли использовать разные политики для разных подключений?

Да. Настраиваемая политика применяется на уровне подключения. Можно создавать и применять разные политики IPsec/IKE для разных подключений. Можно также применять настраиваемые политики к подмножеству подключений. Оставшиеся подключения используют стандартные наборы политик IPsec/IKE Azure.

Можно ли также использовать настраиваемую политику для подключения между виртуальными сетями?

Да, настраиваемую политику можно применять для подключений IPsec между локальными или виртуальными сетями.

Нужно ли указывать одну и ту же политику для обоих ресурсов при подключении между виртуальными сетями?

Да. Туннель подключения между виртуальными сетями состоит из двух ресурсов Azure: для каждого направления используется один ресурс. Обоим ресурсам подключения следует назначить одну и ту же политику, иначе подключение между виртуальными сетями не будет установлено.

Какое значение времени ожидания DPD по умолчанию? Можно ли указать другое время ожидания DPD?

Время ожидания DPD по умолчанию составляет 45 секунд. Вы можете указать другое значение времени ожидания DPD для каждого подключения IPsec или подключения типа "виртуальная сеть — виртуальная сеть" от 9 до 3600 секунд.

Примечание

Значение по умолчанию — 45 секунд для VPN-шлюзов Azure. Установка более короткого времени ожидания приведет к более агрессивному переназначению ключей IKE, в результате чего в некоторых экземплярах может наблюдаться разрыв подключения. Это может быть нежелательно, если локальные расположения находятся дальше от региона Azure, в котором находится VPN-шлюз, или если состояние физического канала может привести к потере пакетов. Общей рекомендацией является установка времени ожидания от 30 до 45 секунд.

Работает ли настраиваемая политика IPsec/IKE для подключения ExpressRoute?

Нет. Политика IPsec/IKE работает только для VPN-подключений типа "сеть — сеть" или "виртуальная сеть — виртуальная сеть" через VPN-шлюзы Azure.

Как создавать подключения с типом протокола IKEv1 или IKEv2?

Подключения IKEv1 можно создавать во всех SKU с VPN типа RouteBased, кроме SKU уровня "Базовый" и "Стандартный" и других устаревших SKU. При создании подключения можно указать тип протокола IKEv1 или IKEv2. Если тип протокола не указан, по умолчанию используется тип IKEv2 (там, где это применимо). Дополнительные сведения см. в документации по командлетам PowerShell. Сведения о типах SKU и поддержке протоколов IKEv1 и IKEv2 см. в статье о подключении шлюзов к VPN-устройствам на базе политик.

Можно ли перейти с подключения IKEv1 на IKEv2 и обратно?

Да. Переход между типами подключений IKEv1 и IKEv2 поддерживается.

Можно ли использовать межсайтовые подключения IKEv1 на SKU категории "Базовый" с VPN типа RouteBased?

Нет. Ценовая категория "Базовый" не поддерживает эту возможность.

Можно ли сменить тип протокола после создания подключения (с IKEv1 на IKEv2 или обратно)?

Нет. Изменить тип протокола IKEv1 или IKEv2 после создания подключения невозможно. Вам потребуется удалить и снова создать подключение с протоколом нужного типа.

Почему подключение IKEv1 часто теряется и восстанавливается?

Если подключение IKEv1 со статической маршрутизацией или на основе маршрутов отключается через регулярные интервалы, это может быть связано с тем, что VPN-шлюзы не поддерживают переназначение ключей без отключения. Когда выполняется переназначение ключей для основного режима, туннели IKEv1 будут отключены и подключены снова, что может потребовать до 5 секунд. Значение времени ожидания для согласования основного режима определяет частоту переназначения ключей. Чтобы предотвратить такие повторные подключения, переключитесь на использование протокола IKEv2, который поддерживает переназначение ключей без отключения.

Если подключение отключается через случайные промежутки времени, обратитесь к руководству по устранению неполадок.

Где можно найти сведения о конфигурации и шаги?

Дополнительные сведения и действия по настройке см. в следующих статьях.

Дальнейшие действия

Пошаговые инструкции по настройке пользовательской политики IPsec/IKE для подключения см. в статье о настройке политики IPsec/IKE.

Дополнительные сведения о параметре UsePolicyBasedTrafficSelectors см. в статье Connect multiple policy-based VPN devices (Подключение нескольких VPN-устройств на основе политик).