220
Hashing para Integridad
Para asegurar el mensaje de integridad durante la negociación IKE, algunas
funciones hash son utilizadas por los firewalls D-Link para entregar resúmenes de
mensajes para diferentes métodos de autentificación. El mecanismo de hashing
asegura que los mensajes no modificados llegar al otro extreme de la
transmisión.
Los firewalls D-Link ofrecen las dos funciones hash siguientes:
SHA-1 – 160-bit mensaje resumen.
•
MD5 – 128-bit mensaje resumen, más rápido que SHA-1 pero menos seguro.
•
Clave pre-compartida (PSK)
La clave pre-compartida es uno de los dos métodos de autentificación primarios
soportados por los VPN D-Link. Con la autentificación de la clave pre-compartida,
una clave simétrica idéntica debe ser manualmente configurada en ambos sistemas. La
clave pre-compartida es una frase de paso secreta, normalmente una serie de caracteres
ASCII o un set de números Hexadecimales aleatorios. En los VPN D-Link, el usuario
puede tanto ingresar una contraseña ASCII como utilizar generación de clave aleatoria
automática. Ambos extremos necesitan tener la misma clave definida y la clave
debe ser mantenida en secreto.
La clave pre-compartida es utilizada solo para la autentificación primaria; las dos
entidades negociantes luego generan claves de sesión dinámica compartida para el
SAs IKE y SAs IPsec.
Las ventajas de utilizar PSK son: primero, las claves pre-compartidas no requieren una
Autoridad de Certificación(CA) central ó CAs para tareas de autentificación; segundo ésta
entrega un medio de Autentificación de puntos de término primario, basado en qué, pueden
implementar las futuras negociaciones IKE para claves de sesión dinámica. Las claves de
sesión serán utilizadas por un período de tiempo limitado, donde luego un conjunto nuevo
de claves de sesión son utilizados.
Sin embargo, una cosa que debe ser considerada cuando se utiliza PSK es la
distribución de clave. ¿Cómo son distribuidas las claves pre-compartidas para clientes
VPN remotos y puertas de enlace? Este es un asunto mayor, ya que la seguridad del
sistema PSK está basado en que los PSK se mantengan en secreto. Un PSK debe ser
comprometido de alguna manera, la configuración necesitará ser modificada para utilizar
un nuevo PSK.
Guía de Usuario de los Firewalls D-Link
Capítulo 22. Protocolos & Túneles VPN