Data Domain: Cifrado y autenticación globales de DD Boost

Summary: En este artículo, se proporciona información sobre la autenticación y el cifrado globales de DD Boost que se toman de la información actualizada más reciente de la documentación de DD OS 7.13 Boost. En esta guía, "sistema PowerProtect DD", "sistema de protección" o, simplemente, "el sistema" hacen referencia a los dispositivos PowerProtect DD que ejecutan DD OS 7.4 o posteriores, y a los sistemas PowerProtect DD anteriores. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

El aumento del cifrado y la autenticación dependen de la compatibilidad del cliente. Revise la información y las tablas que aparecen a continuación.
Puede especificar la configuración de autenticación y cifrado de tres maneras que se describen más adelante en este documento.

Cómo restablecer la seguridad del cifrado global y borrar errores en Dell Data Domain.

Duración: 00:03:32 (hh:mm:ss)
Cuando esté disponible, se puede elegir la configuración de idioma de los subtítulos cerrados (subtítulos) mediante el ícono CC en este reproductor de video.

Cifrado en el acto
El cifrado en el acto permite que las aplicaciones cifren datos de respaldo o restauración en el acto a través de la LAN desde el sistema de protección. Esta característica se incorporó para ofrecer una funcionalidad de transporte de datos más segura.
Cuando se configura, el cliente puede usar TLS para cifrar la sesión entre el cliente y el sistema de protección. El paquete de cifrado específico que se utiliza es el que se indica en la siguiente tabla.

El conjunto de cifrado específico utilizado es ADH-AES256-SHA si se selecciona la opción de cifrado alto o ADHAES128-SHA si se selecciona la opción de cifrado medio .

Cliente de DD Boost 3.3 a 7.0 y 7.5 después de 7.5

  DDOS 7.5 y posteriores
    Cifrado medio Cifrado alto
Cliente de DD Boost 3.3 a 7.0 y DD Boost ANON ADH-AES128-GCM-SHA256 ADH-AES256-GCM-SHA384
Cliente 7.5 y posteriores Certificados unidireccionales o bidireccionales DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

Cliente DD Boost 3.3 a 7.0 y 7.5 después de 7.5 (cont.)

  DDOS 7.4 y anteriores
    Cifrado medio Cifrado alto
Cliente de DD Boost 3.3 a 7.0 y DD Boost ANON ADH-AES128-SHA ADH-AES256--SHA
Cliente 7.5 y posteriores Certificados unidireccionales o bidireccionales DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

Cliente DD Boost 7.1 a 7.4

  DDOS 7.5 y posteriores
Cliente DD Boost 7.1 a 7.4   Cifrado medio Cifrado alto
ANON ADH-AES128-SHA ADH-AES256--SHA
Certificados unidireccionales o bidireccionales DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

Cliente DD Boost 7.1 a 7.4 (cont.)

  DDOS 7.4 y anteriores
Cliente DD Boost 7.1 a 7.4   Cifrado medio Cifrado alto
ANON ADH-AES128- SHA ADH-AES256-- SHA
Certificados unidireccionales o bidireccionales DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

 

Para DDOS 7.12 y versiones posteriores, el modo de autenticación es none y la seguridad del cifrado es media de manera predeterminada para las instalaciones nuevas.

Las opciones globales predeterminadas son compatibles con las versiones anteriores, lo que significa lo siguiente:

  •  No es necesario actualizar la biblioteca de DD Boost. Los clientes y las aplicaciones existentes funcionan de la misma manera con la configuración predeterminada de las nuevas opciones.
  • Los clientes y las aplicaciones que utilizan certificados con seguridad de capa de transporte (TLS) pueden continuar funcionando sin cambios.

Autenticación y cifrado
globalesDD Boost ofrece opciones globales de autenticación y cifrado para proteger los sistemas contra ataques de intermediario (MITM).
Las opciones globales garantizan la protección de los clientes nuevos, pero también permiten configurar diferentes valores para cada cliente. Además, la configuración del cliente solo puede reforzar la seguridad, no reducirla.
La configuración del modo de autenticación global y el nivel de cifrado establece niveles mínimos de autenticación y cifrado. Los intentos de conexión de todos los clientes deben cumplir o superar estos niveles.

Estas medidas no están habilitadas de forma predeterminada; La configuración se debe cambiar manualmente.

Las opciones globales predeterminadas son compatibles con las versiones anteriores, lo que significa lo siguiente:

  • No es necesario actualizar la biblioteca de DD Boost.
    Todos los clientes y las aplicaciones existentes funcionan de la misma manera con la configuración predeterminada de las nuevas opciones.
  • No hay ningún impacto en el rendimiento porque no hay cifrado extra.
  • Los clientes y las aplicaciones que utilizan certificados con seguridad de capa de transporte (TLS) pueden continuar funcionando sin cambios.
    Si la configuración global es diferente de la configuración predeterminada, es posible que se deban actualizar los clientes existentes.

Métodos de configuración de la autenticación y el cifrado
Puede especificar la configuración de autenticación y cifrado de tres maneras.

  • Solicitud
    de conexión Esto se hace mediante el uso de la función ddp_connect_with_config API en la aplicación cliente.
  • Configuración
    por cliente Esto se hace mediante los comandos de la CLI en el sistema de protección.
  • Esto
    se hace mediante los comandos de la CLI en el sistema de protección.

Si se establecen valores globales y por cliente, se aplica la configuración más segura o más alta. Se rechaza cualquier cliente que intente conectarse con una configuración de cifrado o autenticación más débil.

Configuración de autenticación y cifrado
Puede considerar varios factores a la hora de decidir la configuración de autenticación y cifrado. Sin embargo, se recomienda elegir siempre la configuración máxima disponible para obtener la máxima seguridad.
La máxima seguridad afecta el rendimiento. Si tiene un entorno controlado en el que no se requiere la máxima seguridad, es posible que le convenga utilizar otros ajustes.

Configuración global
La configuración global determina los niveles mínimos de autenticación y cifrado. Los intentos de conexión que no cumplen con estos criterios fallan.

Configuración por cliente
Si la configuración se define por cliente, la configuración que elija debe coincidir o ser mayor que la configuración de autenticación máxima por cliente y la configuración de autenticación global máxima.
Ejemplo:

  • Si un cliente está configurado para requerir two-way password authentication y la configuración de autenticación global es two-way TLS, a continuación, two-way TLS Se debe utilizar la autenticación.
  • Si el cliente está configurado con el ajuste de autenticación two-way TLS y el escenario global es two-way passwords, a continuación, two-way TLS debe ser utilizado.

Valores especificados por el llamador
Si los valores especificados por el llamador son inferiores a la configuración global o por cliente, no se permite la conexión. Sin embargo, si los valores especificados por el autor de la llamada son mayores que los ajustes globales o por cliente, la conexión se establece con los valores especificados por el autor de la llamada.
Por ejemplo, si el autor de la llamada especifica two-way-password Pero el valor global o por cliente es two-way, el intento de conexión falla. Sin embargo, si la persona que llama especificó two-way Y los valores globales y por cliente son los siguientes: two-way-password, two-way Se utiliza la autenticación.

Opciones de autenticación y cifrado
Puede seleccionar una de las tres configuraciones permitidas para la configuración global y de autenticación y cifrado.
Para la configuración por cliente, se permiten cinco configuraciones de autenticación y tres configuraciones de cifrado (la misma configuración de cifrado que la configuración global).

Los valores de autenticación y cifrado deben establecerse simultáneamente debido a las dependencias.

Opciones globales de autenticación y cifrado
Tiene una variedad de opciones con las opciones global-authentication-mode y global-encryption-strength.

Configuración de autenticación
En la siguiente lista, se clasifican los valores de autenticación del más débil al más fuerte:

  1. none
    No es seguro; Esta es la configuración predeterminada.

  2. anonymous
    Esta opción no es segura contra ataques MITM.
    Los datos en transferencia se cifran.

  3. one-way
    Este método requiere el uso de certificados.
    Esto no es seguro contra ataques MITM.
    Los datos en transferencia se cifran.

  4. two-way-password
    Esta opción es segura contra ataques MITM.
    Los datos en transferencia se cifran.

  5. two-way
    Esta opción requiere el usuario de certificados.
    Esta es la opción más segura y está protegida contra ataques MITM.
    Los datos en transferencia se cifran.

Tenga en cuenta que anonymous y one-way solo se permiten para la configuración por cliente, no para la configuración global.

Configuración de cifrado
En la siguiente lista, se clasifican los valores de cifrado del más débil al más fuerte:

  1. none
    No es seguro; Esta es la configuración predeterminada.
    Solo se puede especificar si la autenticación es "none".

  2. medium
    Emplea AES 128 y SHA-1

  3. high
    Emplea AES 256 y SHA-1

Ambas opciones medium y high emplee SHA-1 según la versión del cliente y el modo de autenticación. Consulte la tabla Cifrado en transferencia para obtener más información.

Autenticación global
Las tres opciones de modo de autenticación global ofrecen diferentes niveles de protección y compatibilidad con versiones anteriores.
Los valores de cifrado y autenticación globales solo se pueden establecer a través de comandos de la interfaz de línea de comandos (CLI) en el servidor de DD Boost. Los comandos de la CLI que se utilizan para configurar estos valores se describen en las siguientes secciones.

ninguno

ddboost option set global-authentication-mode none
global-encryption-strength none

Esta es la opción menos segura, pero la más compatible con versiones anteriores.
Puede seleccionar none si su sistema tiene requisitos de rendimiento cruciales y no necesita protección contra ataques MITM.
El sistema puede funcionar de la misma manera que antes sin sufrir ninguna degradación del rendimiento debido a TLS.
Si selecciona una configuración diferente para la autenticación que none, la configuración de cifrado no puede ser none.

Contraseña bidireccional

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

El método two-way password realiza la autenticación bidireccional mediante TLS con autenticación de clave previamente compartida (PSK). Tanto el cliente como el sistema de protección se autentican con las contraseñas previamente establecidas. Cuando se selecciona esta opción, se cifran todos los datos y mensajes entre el cliente y el sistema de protección.
Esta es la única opción segura disponible con DD Boost for OpenStorage, y brinda protección completa contra ataques con intermediario (MITM).
La seguridad del cifrado debe ser media o alta.
La autenticación "two-way password" es única porque es el único método seguro contra MITM y se puede realizar sin que el llamador la especifique.

Bidireccional

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Esta es la opción más segura.
La opción "two-way" emplea TLS con certificados. La autenticación "two-way" se logra mediante certificados proporcionados por la aplicación.
Esta configuración es compatible con el uso existente de certificados. Configuración de autenticación global en two-way Requiere que todas las aplicaciones que se conectan al sistema de protección admitan y suministren certificados.
Cualquier aplicación que no admita certificados y que no especifique autenticación bidireccional y proporcione certificados a través de ddp_connect_with_config Falla la API.

La opción de autenticación "two-way" no está disponible con DD Boost for OpenStorage. Si el modo de autenticación global está configurado en two-way, todas las aplicaciones OST fallan.

Escenarios de compatibilidad con versiones anteriores
Cliente más antiguo y sistema de protección nuevo
En este caso, una aplicación que utiliza una biblioteca de Boost se emplea con DDOS 6.1 o posterior. En este escenario, el cliente no puede realizar la autenticación "two-way-password", lo que tiene las siguientes consecuencias:

  • Cualquier configuración de autenticación global se debe establecer en none o two-way Dado que el cliente no puede realizar two-way-password Autenticación.
    La configuración de autenticación por cliente puede ser cualquier valor, excepto two-way-password por la misma razón.
  • Cualquier configuración global o por cliente "two-way-password" hace que las aplicaciones con bibliotecas de clientes más antiguas fallen.
  • El nuevo sistema de protección brinda soporte a los protocolos de conexión existentes para clientes antiguos.

Cliente nuevo y sistema
de protección antiguoEl sistema de protección antiguo no puede funcionar two-way-password autenticación, que tiene las siguientes ramificaciones:

  • No hay ninguna configuración de cifrado o autenticación global.
  • El ajuste de autenticación del sistema de protección por cliente no puede ser two-way password.
  • El cliente intentará primero utilizar el nuevo protocolo de conexión o RPC. En caso de falla, el cliente vuelve al protocolo anterior.
  • El cliente se puede conectar con otros métodos de autenticación, excepto two-way-password.

Ejemplos
de configuración de cifrado y autenticaciónEn las siguientes tablas, se muestran ejemplos en los que la configuración se especifica mediante llamadas, configuración por cliente y configuración global, y si esa configuración puede realizarse correctamente.
En estos ejemplos, se supone que tiene una conexión de cliente de DD Boost a un sistema de protección con DDOS 6.1 o posterior. Estos ejemplos no se aplican a ninguna de las situaciones descritas en "Escenarios de compatibilidad con versiones anteriores".

Si la configuración global o por cliente requiere autenticación "two-way", el llamador debe especificarlo y proporcionar los certificados necesarios.

Un ajuste

Especificación de llamada Configuración por cliente Configuración global Valores utilizados
Ninguno Ninguno Ninguno ÉXITO
Autenticación: ninguno
Cifrado: ninguno
Autenticación: contraseña
bidireccional Cifrado: medio		 Ninguno Ninguno ÉXITO
Autenticación: contraseña
bidireccional Cifrado: medio
Ninguno Autenticación: contraseña
bidireccional Cifrado: medio		 Ninguno ÉXITO
Autenticación: contraseña
bidireccional Cifrado: medio
Ninguno Ninguno Autenticación: two-way-password Cifrado: medium ÉXITO
Autenticación: contraseña
bidireccional Cifrado: medio
Ninguno Ninguno Autenticación: bidireccional
Cifrado: alto		 FALLA
Se requieren two-way y high.
El cliente debe especificar un bidireccional y proporcionar certificados.
Autenticación: two-way Cifrado: high Ninguno Ninguno ÉXITO
Autenticación: bidireccional
Cifrado: alto

Ajustes múltiples

Especificación de llamada Configuración por cliente Configuración global Valores utilizados
Autenticación: bidireccional
Cifrado: medio		 Ninguno Autenticación: bidireccional
Cifrado: alto		 FALLA Se requieren two-way y high.
Ninguno Autenticación: bidireccional
Cifrado: alto		 Autenticación: contraseña
bidireccional Cifrado: medio		 FALLA Se requieren two-way y high.
El cliente debe especificar un bidireccional y proporcionar certificados.
Autenticación: bidireccional
Cifrado: alto		 Autenticación: contraseña
bidireccional Cifrado: alto		 Autenticación: bidireccional
Cifrado: medio		 ÉXITO Autenticación: bidireccional
Cifrado: alto
Ninguno Autenticación: contraseña
bidireccional Cifrado: medio		 Autenticación: bidireccional
Cifrado: medio		 FALLA Se requieren two-way y medium.
El cliente debe especificar un bidireccional y proporcionar certificados.
Autenticación: bidireccional
Cifrado: alto		 Autenticación: bidireccional
Cifrado: medio		 Autenticación: bidireccional
Cifrado: medio		 ÉXITO Autenticación: bidireccional
Cifrado: alto

 

Additional Information

Data Domain: El modo de autenticación predeterminado para los clientes de DD Boost no proporciona cifrado por cable.
Data Domain: administración de certificados para DD Boost

 

Affected Products

Data Domain
Article Properties
Article Number: 000222809
Article Type: How To
Last Modified: 25 آذار 2026
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.