Configuración de las opciones de IPSec
Internet Protocol Security (IPSec o IPsec) es un conjunto de protocolos para cifrar los datos que se transportan a través de una red, incluidas las redes de Internet. Mientras que SSL solo cifra los datos que se utilizan en una aplicación específica, como un navegador web o una aplicación de e-mail, IPSec cifra todos los paquetes IP o las cargas de los paquetes IP, ofreciendo así un sistema de seguridad más versátil. El IPSec del equipo funciona en modo de transporte, en el que las cargas de los paquetes IP se cifran. Con esta función, el equipo puede conectarse directamente a un ordenador que se encuentre en la misma red privada virtual (VPN). Consulte los requisitos del sistema y configure las opciones necesarias en el ordenador antes de configurar el equipo.
Requisitos del sistema
El protocolo IPSec compatible con el equipo cumple con RFC2401, RFC2402, RFC2406 y RFC4305.
|
Sistema operativo
|
Windows XP/Vista/7/8/Server 2003/Server 2008/Server 2012
|
|
|
Modo de conexión
|
Modo de transporte
|
|
|
Protocolo de intercambio de claves
|
IKEv1 (modo principal)
|
|
|
Método de autenticación
|
Clave precompartida
Firma digital
|
|
|
Algoritmo hash
(y longitud de clave) |
HMAC-SHA1-96
HMAC-SHA2 (256 bits o 384 bits)
|
|
|
Algoritmo de cifrado
(y longitud de clave) |
3DES-CBC
AES-CBC (128 bits, 192 bits o 256 bits)
|
|
|
Grupo/algoritmo de intercambio de claves (y longitud de clave)
|
Diffie-Hellman (DH)
Grupo 1 (768 bits)
Grupo 2 (1.024 bits)
Grupo 14 (2.048 bits)
|
|
|
ESP
|
Algoritmo hash
|
HMAC-SHA1-96
|
|
Algoritmo de cifrado
(y longitud de clave) |
3DES-CBC
AES-CBC (128 bits, 192 bits o 256 bits)
|
|
|
Algoritmo de cifrado/algoritmo hash (y longitud de clave)
|
AES-GCM (128 bits, 192 bits o 256 bits)
|
|
|
AH
|
Algoritmo hash
|
HMAC-SHA1-96
|
|
NOTA
|
Restricciones de las funciones IPSecIPSec admite la comunicación con una dirección de unidifusión (o un único dispositivo).
El equipo no puede utilizar IPSec y DHCPv6 al mismo tiempo.
IPSec no está disponible en las redes en las que está implementado el enmascaramiento de NAT o IP.
Utilización de IPSec con filtro de direcciones IPLas opciones de filtrado de direcciones IP se aplican antes que las directivas de IPSec.
|
Configuración de las opciones de IPSec
Antes de utilizar IPSec en las comunicaciones cifradas, debe registrar las directivas de seguridad (DS). Una directiva de seguridad está formada por los grupos de opciones que se indican a continuación. Es posible registrar hasta 10 directivas. Una vez registradas las directivas, especifique el orden en el que desee aplicarlas.
Selector
El selector define las condiciones de los paquetes IP que se aplicarán a las comunicaciones IPSec. Entre las condiciones disponibles se incluyen las direcciones IP y los números de puerto del equipo y los dispositivos con los que se establecerá la comunicación.
IKE
IKE configura el IKEv1 que se utiliza con el protocolo de intercambio de claves. Tenga en cuenta que las instrucciones varían en función del método de autenticación seleccionado.
[Método de clave precompartida]
Es posible compartir claves de hasta 24 caracteres alfanuméricos con los demás dispositivos. Habilite SSL para la IU remota antes de especificar este método de autenticación (Habilitación de la comunicación cifrada SSL para la IU remota).
Es posible compartir claves de hasta 24 caracteres alfanuméricos con los demás dispositivos. Habilite SSL para la IU remota antes de especificar este método de autenticación (Habilitación de la comunicación cifrada SSL para la IU remota).
[Método de firma digital]
El equipo y el resto de dispositivos se autentican entre sí verificando mutuamente sus firmas digitales. Genere o instale el par de claves de antemano (Configuración de las opciones de los pares de claves y los certificados digitales).
El equipo y el resto de dispositivos se autentican entre sí verificando mutuamente sus firmas digitales. Genere o instale el par de claves de antemano (Configuración de las opciones de los pares de claves y los certificados digitales).
AH/ESP
Especifique las opciones de AH/ESP, que se añade a los paquetes durante la comunicación IPSec. AH y ESP pueden utilizarse al mismo tiempo. Asimismo, puede seleccionar si desea habilitar o no PFS para aumentar la seguridad.
1
Inicie la IU remota e inicie sesión en el modo Administrador del Sistema. Inicio de la IU remota
2
Haga clic en [Configuración].
3
Haga clic en [Opciones de seguridad] 
[Opciones de IPSec].
[Opciones de IPSec].
4
Haga clic en [Editar...].
5
Seleccione la casilla de verificación [Usar IPSec] y haga clic en [Aceptar].
Si desea que el equipo solo reciba paquetes que cumplan con una de las directivas de seguridad definidas en los siguientes pasos, desmarque la casilla de verificación [Recibir paquetes fuera de directiva].
6
Haga clic en [Guardar nueva directiva...].
7
Especifique las opciones de la directiva.
|
1
|
En el cuadro de texto [Nombre de directiva], introduzca hasta 24 caracteres alfanuméricos en el nombre que se utilizará para identificar la directiva.
|
|
2
|
Seleccione la casilla de verificación [Activar directiva].
 |
8
Especifique las opciones del selector.
[Dirección local]
Haga clic en el botón de opción del tipo de dirección IP del equipo para aplicar la directiva.
Haga clic en el botón de opción del tipo de dirección IP del equipo para aplicar la directiva.
|
[Todas las direcciones IP]
|
Seleccione esta opción para utilizar IPSec en todos los paquetes IP.
|
|
[Dirección IPv4]
|
Seleccione esta opción para utilizar IPSec en todos los paquetes IP enviados a o desde la dirección IPv4 del equipo.
|
|
[Dirección IPv6]
|
Seleccione esta opción para utilizar IPSec en todos los paquetes IP enviados a o desde la dirección IPv6 del equipo.
|
[Dirección remota]
Haga clic en el botón de opción del tipo de dirección IP de los otros equipos para aplicar la directiva.
Haga clic en el botón de opción del tipo de dirección IP de los otros equipos para aplicar la directiva.
|
[Todas las direcciones IP]
|
Seleccione esta opción para utilizar IPSec en todos los paquetes IP.
|
|
[Todas las direcciones IPv4]
|
Seleccione esta opción para utilizar IPSec en todos los paquetes IP enviados a o desde direcciones IPv4 de otros dispositivos.
|
|
[Todas las direcciones IPv6]
|
Seleccione esta opción para utilizar IPSec en todos los paquetes IP enviados a o desde direcciones IPv6 de otros dispositivos.
|
|
[Configuración manual de IPv4]
|
Seleccione esta opción para especificar una única dirección IPv4 o un rango de direcciones IPv4 para aplicar IPSec. Introduzca la dirección IPv4 (o el rango de direcciones) en el cuadro de texto [Direcciones para establecer manualmente].
|
|
[Configuración manual de IPv6]
|
Seleccione esta opción para especificar una única dirección IPv6 o un rango de direcciones IPv6 para aplicar IPSec. Introduzca la dirección IPv6 (o el rango de direcciones) en el cuadro de texto [Direcciones para establecer manualmente].
|
[Direcciones para establecer manualmente]
Si se selecciona [Configuración manual de IPv4] o [Configuración manual de IPv6] en [Dirección remota], introduzca la dirección IP para aplicar la directiva. También puede introducir un rango de direcciones insertando un guión entre las direcciones.
Si se selecciona [Configuración manual de IPv4] o [Configuración manual de IPv6] en [Dirección remota], introduzca la dirección IP para aplicar la directiva. También puede introducir un rango de direcciones insertando un guión entre las direcciones.
NOTA:
Introducción de direcciones IP
Introducción de direcciones IP
|
Descripción
|
Ejemplo
|
|
|
Introducción de una única dirección
|
IPv4:
Delimite los números con puntos. |
192.168.0.10
|
|
IPv6:
Delimite los caracteres alfanuméricos con dos puntos. |
fe80::10
|
|
|
Especificación de un rango de direcciones
|
Inserte un guión entre las direcciones.
|
192.168.0.10-192.168.0.20
|
|
Especificación de un rango de direcciones con un prefijo (solo IPv6)
|
Introduzca la dirección, seguida de una barra y un número indicando la longitud del prefijo.
|
fe80::1234/64
|
[Opciones de subred]
Cuando especifique de forma manual la dirección IPv4, puede expresar el rango utilizando la máscara de subred. Introduzca la máscara de subred utilizando puntos para delimitar los números (ejemplo:"255.255.255.240").
Cuando especifique de forma manual la dirección IPv4, puede expresar el rango utilizando la máscara de subred. Introduzca la máscara de subred utilizando puntos para delimitar los números (ejemplo:"255.255.255.240").
[Puerto local]/[Puerto remoto]
Si desea crear directivas independientes para cada protocolo, como por ejemplo HTTP o SMTP, introduzca el número de puerto correcto del protocolo para determinar si desea utilizar IPSec.
Si desea crear directivas independientes para cada protocolo, como por ejemplo HTTP o SMTP, introduzca el número de puerto correcto del protocolo para determinar si desea utilizar IPSec.
IMPORTANTE:
IPSec no se aplica a los siguientes paquetes
IPSec no se aplica a los siguientes paquetes
Paquetes de bucle invertido, difusión y multidifusión
Paquetes IKE (utilizando UDP en el puerto 500)
Paquetes de anuncios de vecinos y solicitudes de vecinos de ICMPv6
9
Especifique las opciones de IKE.
[Modo IKE]
Se mostrará el modo utilizado para el protocolo de intercambio de claves. El equipo admite el modo principal, no el modo intenso.
Se mostrará el modo utilizado para el protocolo de intercambio de claves. El equipo admite el modo principal, no el modo intenso.
[Método de autenticación]
Seleccione [Método de clave precompartida] o [Método de firma digital] como método utilizado para autenticar el equipo. Debe habilitar SSL para la IU remota antes de seleccionar [Método de clave precompartida] (Habilitación de la comunicación cifrada SSL para la IU remota). Debe generar o instalar un par de claves antes de seleccionar [Método de firma digital] (Configuración de las opciones de los pares de claves y los certificados digitales).
Seleccione [Método de clave precompartida] o [Método de firma digital] como método utilizado para autenticar el equipo. Debe habilitar SSL para la IU remota antes de seleccionar [Método de clave precompartida] (Habilitación de la comunicación cifrada SSL para la IU remota). Debe generar o instalar un par de claves antes de seleccionar [Método de firma digital] (Configuración de las opciones de los pares de claves y los certificados digitales).
[Valido para]
Especifique cuánto tiempo durará la sesión de la SA de IKE (SA de ISAKMP). Introduzca el tiempo en minutos.
Especifique cuánto tiempo durará la sesión de la SA de IKE (SA de ISAKMP). Introduzca el tiempo en minutos.
[Autenticación]/[Cifrado]/[Grupo DH]
Seleccione un algoritmo en la lista desplegable. Todos los algoritmos se utilizan en el intercambio de claves.
Seleccione un algoritmo en la lista desplegable. Todos los algoritmos se utilizan en el intercambio de claves.
|
[Autenticación]
|
Seleccione el algoritmo hash.
|
|
[Cifrado]
|
Seleccione el algoritmo de cifrado.
|
|
[Grupo DH]
|
Seleccione el grupo Diffie-Hellman, que determina la longitud de clave.
|
Utilización de una clave precompartida para la autenticación
|
1
|
Haga clic en el botón de opción [Método de clave precompartida] de [Método de autenticación] y, a continuación, haga clic en [Opciones de clave compartida...].
|
|
2
|
Introduzca hasta 24 caracteres alfanuméricos para la clave precompartida y haga clic en [Aceptar].
 |
|
3
|
Especifique las opciones [Valido para] y [Autenticación]/[Cifrado]/[Grupo DH].
|
Utilización de un par de claves y certificados de CA preinstalados para la autenticación
|
1
|
Haga clic en el botón de opción [Método de firma digital] de [Método de autenticación] y, a continuación, haga clic en [Clave y certificado...].
|
|
2
|
Haga clic en [Guardar clave prefijada] en la parte derecha del par de claves que desee utilizar.
 NOTA:
Visualización de los detalles de un par de claves o un certificado Puede consultar los detalles del certificado o verificar el certificado haciendo clic en el vínculo de texto correspondiente que aparece debajo de [Nombre de clave], o el icono del certificado. Verificación de los pares de claves y los certificados digitales
|
|
3
|
Especifique las opciones [Valido para] y [Autenticación]/[Cifrado]/[Grupo DH].
|
10
Especifique las opciones de la red IPSec.
[Usar PFS]
Seleccione la casilla de verificación para habilitar la confidencialidad directa total (PFS) de las claves de las sesiones IPSec. Al habilitar PFS mejora la seguridad a medida que aumenta la carga de comunicación. Asegúrese de que PFS también esté habilitado para los otros dispositivos.
Seleccione la casilla de verificación para habilitar la confidencialidad directa total (PFS) de las claves de las sesiones IPSec. Al habilitar PFS mejora la seguridad a medida que aumenta la carga de comunicación. Asegúrese de que PFS también esté habilitado para los otros dispositivos.
[Especificar por tiempo]/[Especificar por tamaño]
Configure las condiciones para finalizar una sesión de SA de IPSec. SA de IPSec se utiliza como túnel de comunicación. Seleccione alguna de las casillas de verificación o ambas según corresponda. Si selecciona ambas, la sesión de SA de IPSec finalizará cuando se cumpla alguna de las condiciones.
Configure las condiciones para finalizar una sesión de SA de IPSec. SA de IPSec se utiliza como túnel de comunicación. Seleccione alguna de las casillas de verificación o ambas según corresponda. Si selecciona ambas, la sesión de SA de IPSec finalizará cuando se cumpla alguna de las condiciones.
|
[Especificar por tiempo]
|
Introduzca un periodo de tiempo en minutos para especificar cuánto dura una sesión.
|
|
[Especificar por tamaño]
|
Introduzca un tamaño en megabytes para especificar cuántos datos pueden transportarse en una sesión.
|
[Seleccionar algoritmo]
Seleccione las casillas de verificación [ESP], [ESP (AES-GCM)] o [AH (SHA1)] en función del encabezado IPSec y el algoritmo utilizados. AES-GCM es un algoritmo tanto de autenticación como de cifrado. Si se selecciona [ESP], seleccione también algoritmos de autenticación y cifrado en las listas desplegables [Autenticación ESP] y [Cifrado ESP].
Seleccione las casillas de verificación [ESP], [ESP (AES-GCM)] o [AH (SHA1)] en función del encabezado IPSec y el algoritmo utilizados. AES-GCM es un algoritmo tanto de autenticación como de cifrado. Si se selecciona [ESP], seleccione también algoritmos de autenticación y cifrado en las listas desplegables [Autenticación ESP] y [Cifrado ESP].
|
[Autenticación ESP]
|
Para habilitar la autenticación ESP, seleccione [SHA1] para el algoritmo hash. Seleccione [No usar] si desea deshabilitar la autenticación ESP.
|
|
[Cifrado ESP]
|
Seleccione el algoritmo de cifrado de ESP. Puede seleccionar [NULO] si no desea especificar el algoritmo, o seleccionar [No usar] si desea deshabilitar el cifrado ESP.
|
[Modo de conexión]
Se muestra el modo de conexión de IPSec. El equipo admite el modo de transporte, en el que las cargas de los paquetes IP están cifradas. El modo de túnel, en el que todos los paquetes IP (encabezados y cargas) están encapsulados, no está disponible.
Se muestra el modo de conexión de IPSec. El equipo admite el modo de transporte, en el que las cargas de los paquetes IP están cifradas. El modo de túnel, en el que todos los paquetes IP (encabezados y cargas) están encapsulados, no está disponible.
11
Haga clic en [Aceptar].
Si debe registrar una directiva de seguridad adicional, vuelva al paso 6.
12
Ordene las directivas que aparecen en [Directivas de IPSec guardadas].
Las directivas se aplican desde la que se encuentra en la posición más elevada hasta la que se encuentra en la posición más baja. Haga clic en [Subir] o [Bajar] para subir o bajar una directiva.
NOTA:
Edición de una directiva
Haga clic en el vínculo de texto correspondiente que aparece debajo de [Nbr.directiva] para ir a la pantalla de edición.
Edición de una directiva
Haga clic en el vínculo de texto correspondiente que aparece debajo de [Nbr.directiva] para ir a la pantalla de edición.
Eliminación de una directiva
Haga clic en [Eliminar] en la parte derecha del nombre de la directiva que desee eliminar haga clic en [Aceptar].
haga clic en [Aceptar].13
Reinicie el equipo.
Apague el equipo, espere al menos 10 segundos y vuelva a encenderlo.
|
NOTA
|
|
Puede activar o desactivar la comunicación IPSec en
 . Usar IPSec |