Data Domain: cifrado y autenticación globales de DD Boost
Summary: En este artículo, se proporciona información sobre la autenticación y el cifrado globales de DD Boost, obtenida de la información más recientemente actualizada de la documentación de DDOS 7.13 Boost. En esta guía, "sistema PowerProtect DD", "sistema de protección" o, simplemente, "el sistema" hacen referencia a los dispositivos PowerProtect DD que ejecutan DD OS 7.4 o posteriores, y a los sistemas PowerProtect DD anteriores. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
El aumento del cifrado y la autenticación depende de la compatibilidad del cliente; revise la información y la tabla a continuación.
Puede especificar la configuración de autenticación y cifrado en tres maneras, descritas más adelante en este documento.
Cifrado en el acto
El cifrado en el acto permite que las aplicaciones cifren datos de respaldo o restauración en el acto a través de la LAN desde el sistema de protección. Esta característica se incorporó para ofrecer una funcionalidad de transporte de datos más segura.
Cuando se configura, el cliente puede usar TLS para cifrar la sesión entre el cliente y el sistema de protección. El paquete de cifrado específico que se utiliza es el que se indica en la siguiente tabla.
NOTA: El paquete de cifrado específico que se utiliza es ADH-AES256-SHA si se selecciona la opción de cifrado alto, o ADHAES128-SHA si se selecciona la opción de cifrado medio.
Cliente de DD Boost 3.3 a 7.0 y 7.5 después de 7.5
| DDOS 7.5 y posteriores | |||
|---|---|---|---|
| Cifrado medio | Cifrado alto | ||
| Cliente de DD Boost 3.3 a 7.0 y DD Boost | ANON | ADH-AES128-GCM-SHA256 | ADH-AES256-GCM-SHA384 |
| Cliente 7.5 y posteriores | Certificados unidireccionales o bidireccionales | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 |
Cliente DD Boost 3.3 a 7.0 y 7.5 después de 7.5 (cont.)
| DDOS 7.4 y anteriores | |||
|---|---|---|---|
| Cifrado medio | Cifrado alto | ||
| Cliente de DD Boost 3.3 a 7.0 y DD Boost | ANON | ADH-AES128-SHA | ADH-AES256--SHA |
| Cliente 7.5 y posteriores | Certificados unidireccionales o bidireccionales | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA |
Cliente DD Boost 7.1 a 7.4
| DDOS 7.5 y posteriores | |||
|---|---|---|---|
| Cliente DD Boost 7.1 a 7.4 | Cifrado medio | Cifrado alto | |
| ANON | ADH-AES128-SHA | ADH-AES256--SHA | |
| Certificados unidireccionales o bidireccionales | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 | |
Cliente DD Boost 7.1 a 7.4 (cont.)
| DDOS 7.4 y anteriores | |||
|---|---|---|---|
| Cliente DD Boost 7.1 a 7.4 | Cifrado medio | Cifrado alto | |
| ANON | ADH-AES128- SHA | ADH-AES256-- SHA | |
| Certificados unidireccionales o bidireccionales | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA | |
Autenticación y cifrado globales
DD Boost ofrece opciones globales de autenticación y cifrado para proteger el sistema contra ataques con intermediario (MITM).
Las opciones globales garantizan la protección de los clientes nuevos, pero también permiten configurar diferentes valores para cada cliente. Además, la configuración del cliente solo puede reforzar la seguridad, no reducirla.
La configuración del modo de autenticación global y el nivel de cifrado establece niveles mínimos de autenticación y cifrado. Los intentos de conexión de todos los clientes deben cumplir o superar estos niveles.
NOTA: Estas medidas no están habilitadas de forma predeterminada; debe cambiar la configuración manualmente.
Las opciones globales predeterminadas son compatibles con las versiones anteriores, lo que significa lo siguiente:
- No es necesario actualizar la biblioteca de DD Boost.
Los clientes y las aplicaciones existentes funcionan de la misma manera con la configuración predeterminada de las nuevas opciones. - No hay ningún impacto en el rendimiento porque no hay cifrado extra.
- Los clientes y las aplicaciones que utilizan certificados con seguridad de capa de transporte (TLS) pueden continuar funcionando sin cambios.
NOTA: Si la configuración global es diferente de la configuración predeterminada, es posible que se deban actualizar los clientes existentes.
Métodos de configuración de la autenticación y el cifrado
Puede especificar la configuración de autenticación y cifrado de tres maneras.
- Solicitud de conexión
Se realiza mediante la API ddp_connect_with_config en la aplicación del cliente. - Configuración por cliente
Se realiza mediante los comandos de la CLI en el sistema de protección. - Configuración global
Se realiza mediante los comandos de la CLI en el sistema de protección.
Si se establecen valores globales y por cliente, se aplica la configuración más segura o más alta. Se rechaza cualquier cliente que intente conectarse con una configuración de cifrado o autenticación más débil.
Configuración de autenticación y cifrado
Puede considerar varios factores a la hora de decidir la configuración de autenticación y cifrado. Sin embargo, se recomienda elegir siempre la configuración máxima disponible para obtener la máxima seguridad.
La máxima seguridad afecta el rendimiento. Si tiene un entorno controlado en el que no se requiere la máxima seguridad, es posible que le convenga utilizar otros ajustes.
Configuración global
La configuración global determina los niveles mínimos de autenticación y cifrado. Los intentos de conexión que no cumplen con estos criterios fallan.
Configuración por cliente
Si la configuración se define por cliente, la configuración que elija debe coincidir o ser mayor que la configuración de autenticación máxima por cliente y la configuración de autenticación global máxima.
Ejemplo:
- Si un cliente está configurado para requerir la autenticación "two-way password" y la configuración de autenticación global es "two-way TLS", se debe utilizar la autenticación "two-way TLS".
- Si el cliente está configurado con la configuración de autenticación "two-way TLS" y la configuración global es "two-way password", se debe utilizar "two-way TLS".
Valores especificados por el llamador
Si los valores especificados por el llamador son inferiores a la configuración global o por cliente, no se permite la conexión. Sin embargo, si los valores especificados por el llamador son mayores que los ajustes globales o por cliente, la conexión se establece con los valores especificados por el llamador.
Por ejemplo, si el llamador especifica "two-way password", pero el valor global o por cliente es "two-way", el intento de conexión falla. Sin embargo, si el llamador especificó "two-way" y los valores global y por cliente son "two-way-password", se utiliza la autenticación "two-way".
Opciones de autenticación y cifrado
Puede seleccionar una de las tres configuraciones permitidas para la configuración global y de autenticación y cifrado.
Para la configuración por cliente, se permiten cinco configuraciones de autenticación y tres configuraciones de cifrado (la misma configuración de cifrado que la configuración global).
NOTA: Los valores de autenticación y cifrado deben establecerse simultáneamente debido a las dependencias.
Opciones globales de autenticación y cifrado
Tiene una variedad de opciones con las opciones global-authentication-mode y global-encryption-strength.
Configuración de autenticación
En la siguiente lista, se clasifican los valores de autenticación del más débil al más fuerte:
-
none
No es seguro; esta es la configuración predeterminada. -
anonymous
Esta opción no es segura contra ataques MITM.Los datos en el acto se cifran.
-
one-way
Este método requiere el uso de certificados.
Esta opción no es segura contra ataques MITM.
Los datos en el acto se cifran. -
two-way password
Esta opción es segura contra ataques MITM.
Los datos en el acto se cifran. -
two-way
Esta opción requiere el uso de certificados.
Esta es la opción más segura y está protegida contra ataques MITM.
Los datos en el acto se cifran.
Nota: "anonymous" y "one-way" solo se permiten para la configuración por cliente, no para la configuración global.
Configuración de cifrado
En la siguiente lista, se clasifican los valores de cifrado del más débil al más fuerte:
-
none
No es seguro; esta es la configuración predeterminada.
Solo se puede especificar si el valor de autenticación es "none". -
medium
Emplea AES 128 y SHA-1. -
high
Emplea AES 256 y SHA-1.
NOTA: Tanto medium como high emplean SHA-1 según la versión del cliente y el modo de autenticación. Consulte la tabla en Cifrado en el acto para obtener más detalles.
Autenticación global
Las tres opciones de modo de autenticación global ofrecen diferentes niveles de protección y compatibilidad con versiones anteriores.
Los valores de cifrado y autenticación globales solo se pueden establecer a través de comandos de la interfaz de línea de comandos (CLI) en el servidor de DD Boost. Los comandos de la CLI que se utilizan para configurar estos valores se describen en las siguientes secciones.
Ninguno
ddboost option set global-authentication-mode none global-encryption-strength none
"none" es la opción menos segura, pero la más compatible con versiones anteriores.
Puede seleccionar "none" si el sistema tiene requisitos de rendimiento cruciales y no necesita protección contra ataques MITM.
El sistema puede funcionar de la misma manera que antes sin sufrir ninguna degradación del rendimiento debido a TLS.
Cuando la autenticación se configura en "none", el cifrado se debe establecer en "none". Si selecciona una configuración diferente de "none" para la autenticación, la configuración de cifrado no puede ser "none".
Two-way password
ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}
El método two-way password realiza la autenticación bidireccional mediante TLS con autenticación de clave previamente compartida (PSK). Tanto el cliente como el sistema de protección se autentican con las contraseñas previamente establecidas. Cuando se selecciona esta opción, se cifran todos los datos y mensajes entre el cliente y el sistema de protección.
Esta es la única opción segura disponible con DD Boost for OpenStorage, y brinda protección completa contra ataques con intermediario (MITM).
La seguridad del cifrado debe ser media o alta.
La autenticación "two-way password" es única porque es el único método seguro contra MITM y se puede realizar sin que el llamador la especifique.
Two-way
ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}
Esta es la opción más segura.
La opción "two-way" emplea TLS con certificados. La autenticación "two-way" se logra mediante certificados proporcionados por la aplicación.
Esta configuración es compatible con el uso existente de certificados. La configuración de la autenticación global en "two-way" requiere que todas las aplicaciones que se conectan al sistema de protección brinden soporte y suministren certificados.
Cualquier aplicación que no brinde soporte a certificados y que no especifique la autenticación "two-way" y proporcione certificados a través de la API ddp_connect_with_config fallará.
NOTA: La opción de autenticación "two-way" no está disponible con DD Boost for OpenStorage. Si el modo de autenticación global se establece en "two-way", todas las aplicaciones de OST fallarán.
Escenarios de compatibilidad con versiones anteriores
Cliente más antiguo y sistema de protección nuevo
En este caso, una aplicación que utiliza una biblioteca de Boost se emplea con DDOS 6.1 o posterior. En este escenario, el cliente no puede realizar la autenticación "two-way-password", lo que tiene las siguientes consecuencias:
- Cualquier configuración de autenticación global se debe establecer en "none" o "two-way", ya que el cliente no puede realizar la autenticación "two-way-password".
Por el mismo motivo, la configuración de autenticación por cliente puede ser cualquier valor, excepto "two-way-password". - Cualquier configuración global o por cliente "two-way-password" hace que las aplicaciones con bibliotecas de clientes más antiguas fallen.
- El nuevo sistema de protección brinda soporte a los protocolos de conexión existentes para clientes antiguos.
Cliente nuevo y sistema de protección más antiguo
El sistema de protección más antiguo no puede realizar la autenticación "two-way-password", lo que tiene las siguientes consecuencias:
- No hay ninguna configuración de cifrado o autenticación global.
- La configuración de autenticación del sistema de protección por cliente no puede ser "two-way-password".
- El cliente intentará primero utilizar el nuevo protocolo de conexión o RPC; en caso de falla, el cliente vuelve al protocolo anterior.
- El cliente puede conectarse con otros métodos de autenticación, excepto "two-way-password".
Ejemplos de configuración de cifrado y autenticaciónEn las siguientes tablas, se muestran ejemplos en los que la configuración se especifica mediante llamadas, ajustes por cliente y ajustes globales, y si esa configuración puede realizarse correctamente.
En estos ejemplos, se supone que tiene una conexión de cliente DD Boost a un sistema de protección con DDOS 6.1 o posterior. Estos ejemplos no se aplican a ninguna de las situaciones descritas en "Escenarios de compatibilidad con versiones anteriores".
NOTA: Si la configuración global o por cliente requiere autenticación "two-way", el llamador debe especificarlo y proporcionar los certificados necesarios.
Un ajuste
| Especificación de llamada | Configuración por cliente | Configuración global | Valores utilizados |
|---|---|---|---|
| Ninguno | Ninguno | Ninguno | ÉXITO Autenticación: none Cifrado: none |
| Autenticación: two-way-password Cifrado: medium |
Ninguno | Ninguno | ÉXITO Autenticación: two-way-password Cifrado: medium |
| Ninguno | Autenticación: two-way-password Cifrado: medium |
Ninguno | ÉXITO Autenticación: two-way-password Cifrado: medium |
| Ninguno | Ninguno | Autenticación: two-way-password Cifrado: medium | ÉXITO Autenticación: two-way-password Cifrado: medium |
| Ninguno | Ninguno | Autenticación: two-way Cifrado: high |
FALLA Se requieren two-way y high. El cliente debe especificar un ajuste "two-way" y proporcionar certificados. |
| Autenticación: two-way Cifrado: high | Ninguno | Ninguno | ÉXITO Autenticación: two-way Cifrado: high |
Ajustes múltiples
| Especificación de llamada | Configuración por cliente | Configuración global | Valores utilizados |
|---|---|---|---|
| Autenticación: two-way Cifrado: medium |
Ninguno | Autenticación: two-way Cifrado: high |
FALLA Se requieren two-way y high. |
| Ninguno | Autenticación: two-way Cifrado: high |
Autenticación: two-way-password Cifrado: medium |
FALLA Se requieren two-way y high. El cliente debe especificar un ajuste "two-way" y proporcionar certificados. |
| Autenticación: two-way Cifrado: high |
Autenticación: two-way-password Cifrado: high |
Autenticación: two-way Cifrado: medium |
ÉXITO Autenticación: two-way Cifrado: high |
| Ninguno | Autenticación: two-way-password Cifrado: medium |
Autenticación: two-way Cifrado: medium |
FALLA Se requieren two-way y medium. El cliente debe especificar un ajuste "two-way" y proporcionar certificados. |
| Autenticación: two-way Cifrado: high |
Autenticación: two-way Cifrado: medium |
Autenticación: two-way Cifrado: medium |
ÉXITO Autenticación: two-way Cifrado: high |
Additional Information
Data Domain: El modo de autenticación predeterminado para los clientes de DD Boost no proporciona cifrado por cable.
Data Domain: administración de certificados para DD Boost
Affected Products
Data DomainArticle Properties
Article Number: 000222809
Article Type: How To
Last Modified: 05 Aug 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.