Mejoras en el intercambio de claves VPN en iOS 9.3, OS X 10.11.4 y Server 5.1
iOS 9.3, OS X 10.11.4 y Server 5.1 incluyen soporte para los nuevos grupos de intercambio de claves Diffie-Hellman, para mejorar la seguridad de las conexiones VPN.
Estas versiones incluyen soporte para los grupos 14 y 5 de Diffie-Hellman (DH) para L2TP sobre IPSec y para el grupo 14 de Diffie-Hellman para Cisco IPSec. Las nuevas propuestas de intercambio de claves compatibles son las siguientes:
Grupo DH | 14 | 14 | 14 | 14 | 5 | 5 | 5 |
Algoritmo de encriptación | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 |
Algoritmo de hash | SHA256 | SHA1 | MD5 | SHA512 | SHA256 | SHA1 | MD5 |
Versiones anteriores de iOS, OS X y Server compatibles con el grupo DH 2 (solamente) para L2TP sobre IPSec. Las versiones anteriores de iOS también eran compatibles con los grupos DH 5 y 2 para Cisco IPSec, con el grupo DH 2 para el modo agresivo.
El grupo DH 2 aún es compatible pero tiene la prioridad más baja al momento de encontrar una propuesta que coincida. Tanto L2TP sobre IPSec como Cisco IPSec ahora son compatibles con los grupos DH 14, 5, 2, en ese orden de preferencia. Para el modo agresivo, el cliente VPN primero tratará con el grupo DH 14 y, si este falla, tratará nuevamente con el grupo DH 2. Apple recomienda el uso del grupo 14 o del grupo 5, ya que estos brindan un mayor nivel de seguridad que el grupo 2, el cual puede ser vulnerable a la intrusión.
