22.1. IPsec
Algoritmos IKE & IPsec
Hay un número de algoritmos utilizados en los procesos de negociación.
El comprender qué hacen estos algoritmos es esencial antes de intentar
configurar los puntos de término VPN, ya que es de gran importancia que ambos
extremos sean capaces de acordar en todas estas configuraciones.
Encriptación IKE & IPsec
El flujo de datos transferido en las conexiones VPN es encriptando utilizando
un plan de encriptación simétrica.
Como es descrito en
enlistados a continuación:
DES
•
3DES
•
Blowfish
•
Twofish
•
CAST-128
•
AES
•
DES es solo incluido para ser interoperable con algunas antiguas implementaciones
VPN. La utilización de DES debe ser evitada siempre que sea posible, ya que este es un
algoritmo antiguo que ya no es considerado como seguro.
Perfect Forward Secrecy (PFS)
Perfect Forward Secrecy (PFS) es una propiedad opcional de las negociaciones IKE.
Cuando es configurado PFS, las claves que protegen la transmisión de datos no son
utilizadas para obtener claves adicionales, y el material de enclave utilizado para crear
las claves de transmisión de datos no son reutilizadas.
PFS puede ser utilizado de dos modos, el primero es PFS en claves, donde un nuevo
intercambio de clave será ejecutado en cada fase-2 de negociación, esto es, un
intercambio Diffie-Hellman para cada negociación SA IPsec. El otro tipo es PFS en
identidades, donde las identidades son además protegidas, borrando la fase-1 SA
cada vez que la fase-2 de negociación ha finalizado, asegurando que no más de una
fase-2 de negociación sea encriptada utilizando la misma clave.
IKE crea una nueva SA para cada SA IPsec necesitada.
20.2.1 Encriptación Simétrica,
Guía de Usuario de los Firewalls D-Link
los firewalls D-Link soportan los algoritmos
217