Tabla de contenido
Publicidad
218
PFS es con gran consumidor de recursos y tiempo y es generalmente deshabilitado, ya
que no se desea que ninguna clave de encriptación o autentificación sea
comprometida.
Intercambio de clave
IKE intercambia la clave de encriptación simétrica utilizando el protocolo Diffie-Hellman
de intercambio de clave. El nivel de seguridad que éste ofrece es configurable
especificando el grupo Diffie-Hellman(DH).
Los grupos Diffie-Hellman soportados por el VPN D-Link son:
DH grupo 1 (768-bit)
•
DH grupo 2 (1024-bit)
•
DH grupo 5 (1536-bit)
•
La seguridad del intercambio de clave aumenta en la medida que los grupos DH
crecen, así como lo hace el tiempo de los intercambios
NAT Transversal
Un gran problema encontrado por los protocolos IKE e IPsec es la utilización de NAT,
Ya que los protocolos IKE e IPsec no están diseñados para trabajar a través de redes
NATed. Debido a ésto, se ha desarrollado algo denominado como "NAT transversal ".
NAT transversal es un complemento a los protocolos IKE e IPsec que los hace trabajar
cuando son NATed.
En resumen, NAT transversal es dividido en dos partes:
Adición a IKE que deja a los pares IPsec coordinar entre ellos que soportan
•
NAT transversal, y las versiones específicas del proyecto que éstas soportan.
Modificaciones a la encapsulación ESP. Si es utilizado NAT transversal, ESP es
•
encapsulado en UDP, lo cual permite un NATing más flexible.
NAT transversal es solo utilizado si ambos extremos tienen soporte para éste.
con este propósito, NAT transversal espera que VPNs envíe un "vendedor ID" especial,
que diga al otro extremo que sí comprende NAT transversal, y cuáles versiones
específicas del proyecto soporta.
Para detectar la necesidad de utilizar NAT transversal, ambos pares IPsec envían
hashes de sus propias direcciones IP junto con la fuente de puerto UDP utilizado en las
negociaciones IKE. Esta información es utilizada para ver si la dirección IP
Guía de Usuario de los Firewalls D-Link
Capítulo 22. Protocolos & Túneles VPN
Publicidad
Tabla de contenido
