Temas Relacionados
Acerca de los Algoritmos y Protocolos de IPSec
IPSec es un conjunto de servicios basado en criptografía y protocolos de seguridad que protegen la comunicación entre dispositivos que envían tráfico por una red no confiable. Como IPSec está construido a partir de un conjunto de protocolos y algoritmos conocidos, puede crear una VPN IPSec entre su Firebox y muchos otros dispositivos o extremos basados en la nube que admiten esos protocolos estándares.
Algoritmos de Cifrado
- DES (Estándar de Cifrado de Datos) — Usa una encryption key (clave cifrada) con una extensión de 56 bits. Ese es el más débil de los tres algoritmos.
- 3DES (Triple-DES) — Un algoritmo de cifrado basado en DES que utiliza el DES para cifrar los datos tres veces.
- AES (Estándar de Cifrado Avanzado) — El algoritmo de cifrado más fuerte que existe. Fireware puede utilizar encryption key de AES de los siguientes largos: 128, 192, o 256 bits.
Algoritmos de Autenticación
Los algoritmos de autenticación verifican la integridad y autenticidad de los datos de un mensaje. Fireware admite tres algoritmos de autenticación:
HMAC-MD5 (Código de Autentificación de Mensaje Hash — Algoritmo de Resumen de Mensaje 5)
MD5 produce un resumen de mensaje de 128 bits (16 bytes), que lo hace más rápido que SHA1 o SHA2. Éste es el algoritmo menos seguro.
HMAC-SHA1 (Código de Autentificación de Mensaje Hash — Secure Hash Algorithm 1)
SHA1 produce un resumen de mensaje de 160 bits (20 bytes). Aunque sea más lento que el MD5, ese archivo más grande es más fuerte contra los ataques de fuerza bruta.
HMAC-SHA2 (Código de Autentificación de Mensaje Hash — Secure Hash Algorithm 2)
Fireware v11.8 y posterior admite tres variantes de SHA2 con diferentes largos de resumen de mensaje.
- SHA2-256 — produce un resumen de mensaje de 256 bits (32 bytes)
- SHA2-384 — produce un resumen de mensaje de 384 bits (48 bytes)
- SHA2-512 — produce un resumen de mensaje de 512 bits (64 bytes)
SHA2 es más fuerte que SHA1 o MD5.
SHA-2 no es compatible con dispositivos XTM
Modo Galois/Contador (GCM)
GCM (Modo Galois/Contador) es un algoritmo de cifrado autenticado conocido por su seguridad, eficiencia y rendimiento. La autenticación y el encryption (cifrado) se producen simultáneamente. Si especifica AES-GCM en su configuración de BOVPN o interfaz virtual BOVPN, es posible que vea incrementos en el rendimiento de los Firebox sin un chip criptográfico de hardware. Esto incluye a los modelos Firebox T55 y T70.
Fireware v12.2 o posterior admite AES-GCM para interfaces virtuales IPSec BOVPN y BOVPN. Puede especificar estas opciones:
- AES-GCM (128 bits)
- AES-GCM (192 bits)
- AES-GCM (256 bits)
Fase 1
AES-GCM es admitido como una transformación de Fase 1 para IKEv2. No se admite IKEv1.
Fase 2
AES-GCM es admitido como una propuesta de Fase 2 para ESP (Carga de Seguridad de Encapsulación). AES-GCM no es admitido para AH (Encabezado de Autenticación).
AES-GCM utiliza un Valor de Comprobación de Integridad (ICV) para verificar la integridad de los datos. Fireware admite un Valor de Comprobación de Integridad de 16 bytes (ICV). Otras longitudes de ICV no son admitidas.
GCM es requerido por NSA Suite B, un estándar criptográfico especificado por el gobierno de los Estados Unidos.
Para obtener más información sobre AES-GCM en IPSec ESP, consulte RFC 4106.
AES-GCM no es admitido para Mobile VPN with IPSec.
Protocolo IKE
IKE (Intercambio de Claves de Internet) es un protocolo utilizado para configurar asociaciones de seguridad para IPSec. Esas asociaciones de seguridad establecen secretos de sesión compartidos a partir de los cuales se derivan las claves para el cifrado de datos en túnel. También se usa el IKE para autenticar los dos puntos de IPSec. Fireware admite IKEv1 e IKEv2 en la configuración de la puerta de enlace BOVPN o la interfaz virtual BOVPN.
- IKEv1 está definido en RFC 2409.
- IKEv1 está definido en RFC 7296.
IKEv2 requiere Fireware v11.11.2 o superior.
Algoritmo de Intercambio de Clave Diffie-Hellman
El algoritmo de intercambio de clave Diffie-Hellman (DH) es un método usado para que una clave de cifrado compartida esté disponible a dos entidades sin el intercambio de la clave. La clave de cifrado para los dos dispositivos es usada como una clave simétrica para encriptar datos. Solamente las dos partes involucradas en el intercambio de clave DH pueden deducir la clave compartida, y la clave nunca es enviada por cable.
Un grupo de clave Diffie-Hellman es un grupo de números enteros usados para el intercambio de claves Diffie-Hellman. Fireware puede usar grupos DH 1, 2, 5, 14, 15, 19 y 20.
Para obtener más información, consulte Acerca de los Grupos Diffie-Hellman.
AH
Definido en RFC 2402, el AH (Encabezado de Autenticación) es un protocolo que puede usar en las negociaciones de VPN de Fase 2 de BOVPN manual. Para proporcionar seguridad, el AH agrega la información de la autenticación al datagrama de IP. La mayoría de los túneles VPN no usan AH porque no ofrece cifrado.
ESP
Definido en RFC 2406, el ESP (Carga de Seguridad de Encapsulación) ofrece autenticación y cifrado de datos. El ESP toma la carga original de un paquete de datos y la reemplaza por datos cifrados. Añade verificaciones de integridad para asegurar que los datos no sean alterados en tránsito y que vienen de un origen adecuado. Recomendamos que utilice ESP en las negociaciones de Fase 2 de BOVPN dado que ESP es más seguro que AH. El Mobile VPN with IPSec siempre usa ESP.