Contents

Temas Relacionados

Acerca de los Grupos Diffie-Hellman

Los grupos Diffie-Hellman (DH) determinan la fuerza de la clave usada en el proceso de intercambio de claves. Los miembros de grupos más altos son más seguros, pero se necesita más tiempo para computar la clave.

Fireware admite estos grupos Diffie-Hellman:

  • Grupo DH 1: Grupo de 768 bits
  • Grupo DH 2: Grupo de 1024 bits
  • Grupo DH 5: Grupo de 1536 bits
  • Grupo DH 14: grupo de 2048-bit
  • Grupo DH 15: grupo de 3072-bit
  • Grupo DH 19: grupo de 256-bit de curva elíptica
  • Grupo DH 20: grupo de 384-bit de curva elíptica

Ambos puntos en un intercambio de VPN deben usar el mismo grupo DH, que es negociado durante la Fase 1 del proceso de negociación de IPSec. Cuando define un túnel BOVPN manual, se especifica el grupo Diffie-Hellman como parte de la Fase de creación de una conexión IPSec. Es ahí donde los dos puntos forman un canal seguro y autenticado que pueden usar para comunicar.

Los grupos DH y Perfect Forward Secrecy (PFS)

Además de la Fase 1, también se puede especificar el grupo Diffie-Hellman que se usa en la Fase 2 de una conexión IPSec. La configuración de Fase 2 incluye las configuraciones para una asociación de seguridad (SA), o cómo los paquetes de datos son protegidos cuando pasan entre dos extremos. Se especifica el grupo Diffie-Hellman en la Fase 2 sólo cuando selecciona el Perfect Forward Secrecy (PFS).

PFS vuelve las claves más seguras porque las nuevas claves no están hechas de las claves anteriores. Si una clave está comprometida, las claves de la nueva sesión aún estarán seguras. Cuando especifica un PFS durante la Fase 2, ocurre un intercambio Diffie-Hellman cada vez que una nueva SA es negociada.

El grupo DH que elige para Fase 2 no necesita coincidir con el grupo que elige para la Fase 1.

Cómo Elegir un Grupo Diffie-Hellman

Para túneles VPN de sucursal e interfaces virtuales BOVPN, el grupo DH predeterminado tanto para la Fase 1 como la Fase 2 es el Grupo Diffie-Hellman 14.

Si la velocidad para la iniciación del túnel y el reingreso de la clave no es una preocupación, puede usar un grupo DH superior. La velocidad real de inicialización y de regeneración de clave dependen de diversos factores. Quizás le convenga intentar usar uno de los grupos DH superiores y luego decidir si el tiempo de desempeño más lento es un problema para su red. Si el desempeño no es aceptable, cambie por un grupo DH inferior.

En Fireware v11.12.4 o anterior, el grupo DH predeterminado es el Grupo Diffie-Hellman 2.

Ver también

Configurar los Ajustes de Fase 1 IPSec VPN

Agregar una Transformación de Fase 1

Configurar los Ajustes de Fase 2

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.