Opciones de IPSec
IPSec es un protocolo que garantiza la seguridad de los paquetes IP enviados y recibidos sobre una red IP protegiéndolos de las amenazas de robo, modificación y suplantación de personalidad. IPSec se aplica a paquetes TCP, UDP (User Datagram Protocol) e ICMP (Internet Control Message Protocol). La razón de que IPSec sea superior a otros protocolos de seguridad es que añade funciones de seguridad a IP, el protocolo básico de Internet, sin depender del software de aplicación ni de la configuración de la red.
Esta sección describe el procedimiento para crear una directiva de seguridad para establecer las comunicaciones IPSec, desde el panel de control del equipo. Una directiva de seguridad guarda las opciones de IPSec, tales como los paquetes que procesa IPSec y el algoritmo de autenticación y cifrado que se utiliza. A la conexión lógica establecida para el tráfico mediante negociaciones según una directiva de seguridad de IPSec se la denomina IPSec SA (Security Association).
Las características de IPSec que utiliza el equipo son las siguientes.
Modo de comunicación
Como el protocolo IPSec del equipo sólo es compatible con el modo de transporte, la autenticación y el cifrado sólo se aplican a la parte de datos de los paquetes IP.
Método de autenticación y cifrado
Debe establecerse para el equipo al menos uno de los siguientes métodos. Sin embargo, no es posible establecer ambos métodos al mismo tiempo.
AH (Authentication Header)
Es un protocolo que certifica la autenticidad mediante la detección de modificaciones en los datos comunicados, incluida la cabecera IP. Los datos comunicados no se cifran.
ESP (Encapsulating Security Payload)
Es un protocolo que ofrece confidencialidad mediante el cifrado, al tiempo que certifica la integridad y autenticidad de únicamente la parte de carga de los datos comunicados.
Protocolo de intercambio de claves
Admite IKEv1 (Internet Key Exchange versión 1) para el intercambio de claves en base al protocolo ISAKMP (Internet Security Association and Key Management Protocol). IKE incluye dos fases; en la fase 1 se crea la SA que se utiliza para IKE (IKE SA) y en la fase 2 se crea la SA que se utiliza para IPSec (IPSec SA).
Para establecer la autenticación con el método de clave precompartida, es necesario decidir previamente la clave precompartida, que es una palabra clave que utilizan ambos equipos para enviar y recibir datos. Utilice el panel de control del equipo para establecer la misma clave precompartida que en el destino con el fin de poder llevar a cabo comunicaciones IPSec y autenticación con el método de clave precompartida.
Para seleccionar la autenticación mediante firma digital, deberá haberse registrado un certificado CA (certificado X.509) para la autenticación bilateral del destino de IPSec. Para información acerca de cómo instalar el archivo de certificado CA mediante el IU remoto, consulte
"Instalar un archivo de certificado de CA". Para conocer las instrucciones acerca de cómo guardar el archivo de certificado CA instalado, consulte
"Guardar/editar un archivo de certificado de CA".
A continuación se indican los tipos de par de claves y de certificado que se pueden utilizar para la autenticación con el método de firma digital.
Algoritmo RSA (Rivest Shamir Adleman)
Par de claves con formato PKCS#12
IMPORTANTE
|
Si desea registrar varias directivas de seguridad al establecer el modo Principal y el método de autenticación de clave precompartida en la pantalla Opciones de IKE, se aplicarán las siguientes restricciones.
Clave del método de clave precompartida: al especificar varias direcciones IP remotas a las que deberá aplicarse una directiva de seguridad, todas las claves compartidas de dicha directiva de seguridad serán idénticas (no es el caso si se especifica una única dirección).
Prioridad: al especificar varias direcciones IP remotas a las que deberá aplicarse una directiva de seguridad, la prioridad de dicha directiva de seguridad será inferior a la de las directivas de seguridad para las que se haya especificado una única dirección.
|