Acerca de los Grupos Diffie-Hellman

Los grupos Diffie-Hellman (DH) determinan la fuerza de la clave usada en el proceso de intercambio de claves. Dentro de un tipo de grupo (MODP o ECP), los números de grupo Diffie-Hellman más altos suelen ser más seguros.

Fireware admite estos grupos Diffie-Hellman:

MODP

  • Grupo Diffie-Hellman 1 (768 bit)
  • Grupo Diffie-Hellman 2 (1024 bit)
  • Grupo Diffie-Hellman 5 (1536 bit)
  • Grupo Diffie-Hellman 14 (2048 bit)
  • Grupo Diffie-Hellman 15 (3072 bit)

ECP

  • Grupo Diffie-Hellman 19 (aleatorio de 256 bits)
  • Grupo Diffie-Hellman 20 (aleatorio de 384 bits)

El rendimiento de Diffie-Hellman puede variar según el modelo de hardware de WatchGuard. Los diferentes modelos están optimizados con diferentes componentes de aceleración criptográfica que impactan el rendimiento criptográfico.

Ambos puntos en un intercambio de VPN deben usar el mismo grupo DH, que es negociado durante la Fase 1 del proceso de negociación de IPSec. Cuando define un túnel BOVPN manual, se especifica el grupo Diffie-Hellman como parte de la Fase de creación de una conexión IPSec. Es ahí donde los dos puntos forman un canal seguro y autenticado que pueden usar para comunicar.

Los grupos DH y Perfect Forward Secrecy (PFS)

Además de la Fase 1, también se puede especificar el grupo Diffie-Hellman que se usa en la Fase 2 de una conexión IPSec. La configuración de Fase 2 incluye las configuraciones para una asociación de seguridad (SA), o cómo los paquetes de datos son protegidos cuando pasan entre dos endpoints. Se especifica el grupo Diffie-Hellman en la Fase 2 sólo cuando selecciona el Perfect Forward Secrecy (PFS).

PFS vuelve las claves más seguras porque las nuevas claves no están hechas de las claves anteriores. Si una clave está comprometida, las claves de la nueva sesión aún estarán seguras. Cuando especifica un PFS durante la Fase 2, ocurre un intercambio Diffie-Hellman cada vez que una nueva SA es negociada.

El grupo DH que elige para Fase 2 no necesita coincidir con el grupo que elige para la Fase 1.

Cómo Elegir un Grupo Diffie-Hellman

Para túneles de VPN de sucursal e interfaces virtuales BOVPN, el grupo DH predeterminado tanto para la Fase 1 como la Fase 2 es el Grupo Diffie-Hellman 14.

Si la velocidad para la iniciación del túnel y el reingreso de la clave no es una preocupación, puede usar un grupo DH superior. La velocidad real de inicialización y de regeneración de clave dependen de diversos factores. Quizás le convenga intentar usar uno de los grupos DH superiores y luego decidir si el tiempo de desempeño más lento es un problema para su red. Si el desempeño no es aceptable, cambie por un grupo DH inferior.

En Fireware v11.12.4 o inferior, el grupo DH predeterminado es el Grupo Diffie-Hellman 2.

Ver También

Configurar los Ajustes de Fase 1 IPSec VPN

Agregar una Transformación de Fase 1

Configuraciones de Fase 2