Over cryptografische vereisten en Azure VPN-gateways
In dit artikel wordt beschreven hoe u Azure VPN-gateways kunt configureren om te voldoen aan uw cryptografische vereisten voor zowel cross-premises S2S VPN-tunnels als VNet-naar-VNet-verbindingen in Azure.
Over IKEv1 en IKEv2 voor Azure VPN-verbindingen
Normaal gesproken hebben we IKEv1-verbindingen alleen toegestaan voor Basic-SKU's en toegestane IKEv2-verbindingen voor alle andere VPN-gateway-SKU's dan Basic-SKU's. De Basic-SKU's staan slechts 1 verbinding toe en samen met andere beperkingen, zoals prestaties, gebruiken klanten verouderde apparaten die alleen IKEv1-protocollen ondersteunen, hebben beperkte ervaring. Om de ervaring van klanten met BEHULP van IKEv1-protocollen te verbeteren, staan we nu IKEv1-verbindingen toe voor alle VPN-gateway-SKU's, met uitzondering van Basic SKU. Zie VPN Gateway-SKU's voor meer informatie. Houd er rekening mee dat VPN-gateways die IKEv1 gebruiken, mogelijk een nieuwe tunnelverbinding ondervindt tijdens opnieuw versleutelen in de hoofdmodus.
Wanneer IKEv1- en IKEv2-verbindingen worden toegepast op dezelfde VPN-gateway, wordt de overdracht tussen deze twee verbindingen automatisch ingeschakeld.
Informatie over IPsec- en IKE-beleidsparameters voor Azure VPN-gateways
IPsec- en IKE-protocolstandaard ondersteunt een breed scala aan cryptografische algoritmen in verschillende combinaties. Als u geen specifieke combinatie van cryptografische algoritmen en parameters aanvraagt, gebruiken Azure VPN-gateways een set standaardvoorstellen. De standaardbeleidssets zijn gekozen om de interoperabiliteit te maximaliseren met een breed scala aan VPN-apparaten van derden in standaardconfiguraties. Als gevolg hiervan kunnen de beleidsregels en het aantal voorstellen niet alle mogelijke combinaties van beschikbare cryptografische algoritmen en belangrijke sterke punten behandelen.
Standaardbeleid
Het standaardbeleid dat is ingesteld voor Azure VPN-gateway, wordt vermeld in het artikel: Vpn-apparaten en IPsec-/IKE-parameters voor site-naar-site-VPN-gatewayverbindingen.
Cryptografische vereisten
Voor communicatie waarvoor specifieke cryptografische algoritmen of parameters zijn vereist, meestal vanwege nalevings- of beveiligingsvereisten, kunt u nu hun Azure VPN-gateways configureren voor het gebruik van een aangepast IPsec-/IKE-beleid met specifieke cryptografische algoritmen en sleutelsterkten, in plaats van de standaardbeleidssets van Azure.
Het IKEv2-hoofdmodusbeleid voor Azure VPN-gateways maakt bijvoorbeeld alleen gebruik van Diffie-Hellman Group 2 (1024 bits), terwijl u mogelijk sterkere groepen moet opgeven die moeten worden gebruikt in IKE, zoals groep 14 (2048-bits), groep 24 (2048-bits MODP-groep) of ECP (elliptische curvegroepen) 256 of 384-bits (groep 19 en groep 20, respectievelijk). Vergelijkbare vereisten zijn ook van toepassing op beleidsregels voor snelle IPsec-modus.
Aangepast IPsec-/IKE-beleid met Azure VPN-gateways
Azure VPN-gateways ondersteunen nu per verbinding, aangepast IPsec-/IKE-beleid. Voor een site-naar-site- of VNet-naar-VNet-verbinding kunt u een specifieke combinatie van cryptografische algoritmen voor IPsec en IKE kiezen met de gewenste sleutelsterkte, zoals wordt weergegeven in het volgende voorbeeld:
U kunt een IPsec-/IKE-beleid maken en toepassen op een nieuwe of bestaande verbinding.
Werkstroom
- Maak de virtuele netwerken, VPN-gateways of lokale netwerkgateways voor uw connectiviteitstopologie, zoals beschreven in andere procedures.
- Maak een IPsec-/IKE-beleid.
- U kunt het beleid toepassen wanneer u een S2S- of VNet-naar-VNet-verbinding maakt.
- Als de verbinding al is gemaakt, kunt u het beleid toepassen of bijwerken naar een bestaande verbinding.
Veelgestelde vragen over IPsec-/IKE-beleid
Wordt het aangepaste beleid voor IPsec/IKE op alle Azure VPN Gateway-SKU's ondersteund?
Aangepast IPsec-/IKE-beleid wordt ondersteund in alle Azure-SKU's, behalve Basic.
Hoeveel beleidsregels kan ik opgeven voor een verbinding?
U kunt maar één beleidscombinatie opgeven voor een bepaalde verbinding.
Kan ik een gedeeltelijk beleid opgeven voor een verbinding? (Bijvoorbeeld alleen IKE-algoritmen, maar geen IPsec-algoritmen)
Nee, u moet alle algoritmen en parameters opgeven voor zowel IKE (Main Mode) en IPsec (Quick Mode). Gedeeltelijke beleidsspecificatie is niet toegestaan.
Wat zijn de algoritmen en belangrijkste sterke punten die in het aangepaste beleid worden ondersteund?
De volgende tabel bevat de ondersteunde cryptografische algoritmen en belangrijke sterke punten die u kunt configureren. U moet voor elk veld een optie selecteren.
| IPsec/IKEv2 | Opties |
|---|---|
| IKEv2-versleuteling | GCMAES256, GCMAES128, AES256, AES192, AES128 |
| IKEv2-integriteit | SHA384, SHA256, SHA1, MD5 |
| DH-groep | DHGroup24, ECP384, ECP256, DHGroup14, DHGroup2048, DHGroup2, DHGroup1, None |
| IPsec-versleuteling | GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, geen |
| IPsec-integriteit | GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5 |
| PFS-groep | PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, geen |
| QM SA-levensduur | (Optioneel: standaardwaarden worden gebruikt indien niet opgegeven) Seconden (geheel getal; min. 300 /standaard 27000 seconden) KB (geheel getal; min. 1024/standaard 102400000 KB) |
| Verkeersselector | UsePolicyBasedTrafficSelectors** ($True/$False; Optioneel, standaard $False indien niet opgegeven) |
| Time-out van DPD | Seconden (geheel getal: min. 9/max. 3600; standaard 45 seconden) |
De configuratie van uw on-premises VPN-apparaat moet overeenkomen met of de volgende algoritmen en parameters bevatten die u in het Azure IPsec/IKE-beleid opgeeft:
- IKE-versleutelingsalgoritmen (hoofdmodus/fase 1)
- IKE-integriteitsalgoritmen (hoofdmodus/fase 1)
- DH-groep (hoofdmodus / fase 1)
- IPsec-versleutelingsalgoritmen (snelle modus/fase 2)
- IPsec-integriteitsalgoritmen (snelle modus/fase 2)
- PFS-groep (snelle modus/ fase 2)
- Verkeersselector (als UsePolicyBasedTrafficSelectors wordt gebruikt)
- De SA-levensduur is alleen lokale specificaties en hoeft niet overeen te komen.
Als GCMAES wordt gebruikt als voor IPsec-versleutelingsalgoritmen, moet u dezelfde GCMAES-algoritme en sleutellengte voor IPsec-integriteit selecteren; Gebruik bijvoorbeeld GCMAES128 voor beide.
In de tabel Algoritmen en sleutels :
- IKE komt overeen met de hoofdmodus of fase 1.
- IPsec komt overeen met de snelle modus of fase 2.
- DH Group specificeert de Diffie-Hellman Group die wordt gebruikt in de hoofdmodus of fase 1.
- PFS-groep heeft de Diffie-Hellman-groep opgegeven die wordt gebruikt in de snelle modus of fase 2.
De SA-levensduur van DE IKE-hoofdmodus is vastgesteld op 28.800 seconden op de Azure VPN-gateways.
UsePolicyBasedTrafficSelectors is een optionele parameter voor de verbinding. Als u UsePolicyBasedTrafficSelectors instelt op $True op een verbinding, wordt de Azure VPN-gateway geconfigureerd om on-premises verbinding te maken met op beleid gebaseerde VPN-firewall. Als u PolicyBasedTrafficSelectors inschakelt, moet u ervoor zorgen dat uw VPN-apparaat beschikt over de overeenkomende verkeersselectors die zijn gedefinieerd met alle combinaties van uw on-premises netwerkvoorvoegsels (lokale netwerkgateway) naar/van de voorvoegsels van het virtuele Azure-netwerk in plaats van any-to-any. De Azure VPN-gateway accepteert elke verkeerskiezer die wordt voorgesteld door de externe VPN-gateway, ongeacht wat is geconfigureerd op de Azure VPN-gateway.
Als uw lokale netwerkvoorvoegsels bijvoorbeeld 10.1.0.0/16 en 10.2.0.0/16 zijn, en de voorvoegsels van uw virtuele netwerk 192.168.0.0/16 en 172.16.0.0/16, moet u de volgende verkeersselectoren opgeven:
- 10.1.0.0/16 <===> 192.168.0.0/16
- 10.1.0.0/16 <===> 172.16.0.0/16
- 10.2.0.0/16 <===> 192.168.0.0/16
- 10.2.0.0/16 <===> 172.16.0.0/16
Zie Verbinding maken meerdere on-premises op beleid gebaseerde VPN-apparaten voor meer informatie over verkeerkiezers op basis van beleid.
DPD-time-out: de standaardwaarde is 45 seconden op Azure VPN-gateways. Als u de time-out instelt op kortere perioden, wordt IKE agressief opnieuw versleuteld, waardoor de verbinding in sommige gevallen wordt verbroken. Dit is mogelijk niet wenselijk als uw on-premises locaties verder weg zijn van de Azure-regio waar de VPN-gateway zich bevindt, of als de fysieke koppelingsvoorwaarde pakketverlies kan veroorzaken. De algemene aanbeveling is om de time-out tussen 30 en 45 seconden in te stellen.
Zie Connect multiple on-premises policy-based VPN devices (Verbinding maken met meerdere on-premises, op beleid gebaseerde VPN-apparaten) voor meer informatie.
Welke Diffie-Hellman-groepen worden ondersteund?
De volgende tabel bevat de bijbehorende Diffie-Hellman-groepen die worden ondersteund door het aangepaste beleid:
| Diffie-Hellman-groep | DHGroup | PFSGroup | Sleutellengte |
|---|---|---|---|
| 1 | DHGroup1 | PFS1 | 768-bits MODP |
| 2 | DHGroup2 | PFS2 | 1024-bits MODP |
| 14 | DHGroup14 DHGroup2048 |
PFS2048 | 2048-bits MODP |
| 19 | ECP256 | ECP256 | 256-bits ECP |
| 20 | ECP384 | ECP384 | 384-bits ECP |
| 24 | DHGroup24 | PFS24 | 2048-bits MODP |
Raadpleeg RFC3526 en RFC5114 voor meer informatie.
Vervangt het aangepaste beleid de standaard IPsec/IKE-beleidssets voor Azure VPN-gateways?
Ja, zodra een aangepast beleid is opgegeven voor een verbinding, gebruikt de Azure VPN-gateway alleen het beleid op de verbinding, zowel als IKE-initiator als IKE-beantwoorder.
Als ik een aangepast beleid voor IPsec/IKE verwijder, wordt de verbinding dan onbeveiligd?
Nee, de verbinding wordt nog steeds beveiligd met IPsec/IKE. Wanneer u het aangepaste beleid van een verbinding verwijdert, wordt de Azure VPN-gateway teruggezet naar de standaardlijst met IPsec/IKE-voorstellen en wordt de IKE-handshake opnieuw gestart met uw on-premises VPN-apparaat.
Kan het toevoegen of bijwerken van een beleid voor IPsec/IKE mijn VPN-verbinding verstoren?
Ja, dit kan tot een onderbreking van een paar seconden leiden, omdat de Azure VPN-gateway de bestaande verbinding verbreekt en de IKE-handshake opnieuw start om de IPsec-tunnel opnieuw in te stellen met de nieuwe cryptografische algoritmen en parameters. Zorg ervoor dat uw on-premises VPN-apparaat met dezelfde algoritmen en sleutelsterkten wordt geconfigureerd om de onderbreking te minimaliseren.
Kan ik verschillende beleidsregels voor verschillende verbindingen gebruiken?
Ja. Aangepast beleid wordt per verbinding toegepast. U kunt verschillende IPsec/IKE-beleidsregels toepassen op verschillende verbindingen. U kunt ook aangepaste beleidsregels toepassen op een subset van verbindingen. Voor de resterende verbindingen worden de standaard IPsec/IKE-beleidssets voor Azure toegepast.
Kan ik het aangepaste beleid ook voor een VNet-naar-VNet-verbinding gebruiken?
Ja, u kunt een aangepast beleid toepassen op zowel cross-premises IPsec-verbindingen als VNet-naar-VNet-verbindingen.
Moet ik hetzelfde beleid opgeven voor beide VNet-naar-VNet-verbindingsresources?
Ja. Een VNet-naar-VNet-tunnel bestaat uit twee verbindingsresources in Azure, één voor elke richting. Zorg dat beide verbindingsresources hetzelfde beleid hebben, anders kan de VNet-naar-VNet-verbinding niet tot stand worden gebracht.
Wat is de standaard time-outwaarde voor DPD? Kan ik een andere time-out voor DPD opgeven?
De standaard time-out voor DPD is 45 seconden. U kunt een andere DPD-time-outwaarde opgeven voor elke IPsec- of VNet-naar-VNet-verbinding, van 9 seconden tot 3600 seconden.
Notitie
De standaardwaarde is 45 seconden op Azure VPN-gateways. Als u de time-out instelt op kortere perioden, wordt IKE agressief opnieuw versleuteld, waardoor de verbinding in sommige gevallen wordt verbroken. Dit is mogelijk niet wenselijk als uw on-premises locaties verder weg liggen van de Azure-regio waar de VPN-gateway zich bevindt, of wanneer de fysieke koppelingsvoorwaarde pakketverlies kan veroorzaken. De algemene aanbeveling is om de time-out tussen 30 en 45 seconden in te stellen.
Werkt een aangepast IPsec/IKE-beleid op een ExpressRoute-verbinding?
Nee IPsec/IKE-beleid werkt alleen op S2S-VPN- en VNet-naar-VNet-verbindingen via de Azure VPN-gateways.
Hoe maak ik verbindingen met IKEv1- of IKEv2-protocoltypen?
IKEv1-verbindingen kunnen worden gemaakt op alle RouteBased VPN-type SKU's, met uitzondering van de Basic, Standard en andere verouderde SKU's. U kunt een verbindingsprotocol opgeven van IKEv1 of IKEv2 wanneer u een verbinding maakt. Als u geen verbindingsprotocoltype opgeeft, wordt IKEv2 indien van toepassing gebruikt als standaardoptie. Raadpleeg de documentatie voor PowerShell-cmdlets voor meer informatie. Voor SKY-typen en IKEv1-/IKEv2-ondersteuning, raadpleegt u Gateways verbinden met op beleid gebaseerde VPN-apparaten.
Is transit tussen IKEv1- en IKEv2-verbindingen toegestaan?
Ja. Doorvoer tussen IKEv1- en IKEv2-verbindingen wordt ondersteund.
Kan ik een IKEv1-site-naar-site-verbindingen hebben in het VPN-type Basic SKU of RouteBased?
Nee De Basic-SKU biedt geen ondersteuning voor dit.
Kan ik het verbindingsprotocoltype wijzigen nadat de verbinding is gemaakt (IKEv1 naar IKEv2 en vice versa)?
Nee Zodra de verbinding is gemaakt, kunnen DE PROTOCOLLEN IKEv1/IKEv2 niet meer worden gewijzigd. U moet een verbinding verwijderen en een nieuwe maken met het gewenste protocoltype.
Waarom maakt mijn IKEv1-verbinding vaak opnieuw verbinding?
Als uw statische routering of routegebaseerde IKEv1-verbinding met routineintervallen wordt verbroken, is dit waarschijnlijk het gevolg van VPN-gateways die geen in-place hersleutels ondersteunen. Wanneer de hoofdmodus opnieuw wordt versleuteld, worden uw IKEv1-tunnels verbroken en duurt het maximaal 5 seconden om opnieuw verbinding te maken. De time-outwaarde van de hoofdmodusonderhandeling bepaalt de frequentie van opnieuw versleutelen. Als u wilt voorkomen dat deze opnieuw verbinding maken, kunt u overschakelen naar IKEv2, dat ondersteuning biedt voor in-place hersleutels.
Als uw verbinding willekeurig opnieuw verbinding maakt, volgt u onze gids voor probleemoplossing.
Waar vind ik configuratie-informatie en -stappen?
Zie de volgende artikelen voor meer informatie en configuratiestappen.
- IPsec-/IKE-beleid configureren voor S2S- of VNet-naar-VNet-verbindingen - Azure Portal
- IPsec-/IKE-beleid configureren voor S2S- of VNet-naar-VNet-verbindingen - Azure PowerShell
Volgende stappen
Zie IPsec-/IKE-beleid configureren voor stapsgewijze instructies voor het configureren van aangepast IPsec-/IKE-beleid voor een verbinding.
Zie ook Verbinding maken meerdere op beleid gebaseerde VPN-apparaten voor meer informatie over de optie UsePolicyBasedTrafficSelectors.