Configuración de las opciones de IPSec

Internet Protocol Security (IPSec o IPsec) es un conjunto de protocolos para cifrar los datos que se transportan a través de una red, incluidas las redes de Internet. Mientras que TLS solo cifra los datos que se utilizan en una aplicación específica, como un navegador web o una aplicación de e-mail, IPSec cifra todos los paquetes IP o las cargas de los paquetes IP, ofreciendo así un sistema de seguridad más versátil. El IPSec del equipo funciona en modo de transporte, en el que las cargas de los paquetes IP se cifran. Con esta función, el equipo puede conectarse directamente a un ordenador que se encuentre en la misma red privada virtual (VPN). Consulte los requisitos del sistema y configure las opciones necesarias en el ordenador antes de configurar el equipo. Funciones de gestión
 
Utilización de IPSec con filtro de direcciones IP
Las opciones de IPSec se aplican antes que las opciones de filtrado de direcciones IP durante la recepción de paquetes, mientras que durante la transmisión de paquetes las opciones de dirección IP se aplican antes que las opciones de IPSec. Especificación de direcciones IP para las reglas de firewall

Registrar políticas de seguridad

Para utilizar IPSec para comunicación cifrada, debe registrar las directivas de seguridad (DS) antes de habilitar las opciones de IPSec (Habilitar la comunicación IPSec). Una directiva de seguridad está formada por los grupos de opciones que se indican a continuación. Puede registrar varias directivas según una combinación de la dirección IP y el número de puerto. Una vez registradas las directivas, especifique el orden en el que desee aplicarlas.
Selector
El selector define las condiciones de los paquetes IP que se aplicarán a las comunicaciones IPSec. Entre las condiciones disponibles se incluyen las direcciones IP y los números de puerto del equipo y los dispositivos con los que se establecerá la comunicación.
IKE
IKE configura el IKEv1 que se utiliza con el protocolo de intercambio de claves. Tenga en cuenta que las instrucciones varían en función del método de autenticación seleccionado.
[Método de clave precompartida]
Es posible compartir claves de caracteres alfanuméricos con los demás dispositivos. Habilite antes TLS para la IU remota (Utilizar TLS para comunicaciones cifradas).
[Método de firma digital]
El equipo y el resto de dispositivos se autentican entre sí verificando mutuamente sus firmas digitales. Tenga un par de claves listo para utilizar (Utilización de certificados digitales y pares de claves de CA).
Configurar protocolos y opciones
Especifique las opciones de ESP y AH, que se añaden a los paquetes durante la comunicación IPSec. ESP y AH no pueden utilizarse al mismo tiempo. Asimismo, puede seleccionar si desea habilitar o no PFS para aumentar la seguridad.
1
Inicie la IU remota e inicie una sesión en modo de administración. Inicio de la IU remota
2
Haga clic en [Configuración].
3
Haga clic en [Seguridad]  [Opciones de IPSec].
4
Haga clic en [Lista de directivas IPSec].
5
Haga clic en [Guardar directiva IPSec].
6
Introduzca un nombre de directiva en [Nombre de directiva], y seleccione la casilla de verificación [Activar directiva].
[Nombre de directiva]
Introduzca caracteres alfanuméricos en un nombre que se utilizará para identificar la directiva.
[Activar directiva]
Seleccione la casilla de verificación para habilitar la directiva. Si no la utiliza, quite la marca de la casilla de verificación.
7
Especifique las opciones del selector.
[Dirección local]
Seleccione el tipo de dirección IP del equipo para aplicar la directiva de la lista siguiente.
[Todas las direcciones IP]
Seleccione esta opción para utilizar IPSec en todos los paquetes IP.
[Dirección IPv4]
Seleccione esta opción para utilizar IPSec en todos los paquetes IP enviados a o desde la dirección IPv4 del equipo.
[Dirección IPv6]
Seleccione esta opción para utilizar IPSec en todos los paquetes IP enviados a o desde la dirección IPv6 del equipo.
[Opciones manuales IPv4]
Seleccione esta opción para especificar una única dirección IPv4 o un rango de direcciones IPv4 para aplicar IPSec.Introduzca la dirección IPv4 (o el rango de direcciones) en el cuadro de texto [Direcciones para ajustar manualmente].
[Opciones manuales IPv6]
Seleccione esta opción para especificar una única dirección IPv6 o un rango de direcciones IPv6 para aplicar IPSec.Introduzca la dirección IPv6 (o el rango de direcciones) en el cuadro de texto [Direcciones para ajustar manualmente].
[Direcciones para ajustar manualmente]
Si se selecciona [Opciones manuales IPv4] o [Opciones manuales IPv6] en [Dirección local], introduzca la dirección IP para aplicar la directiva.
[Opciones de subred]
Cuando especifique de forma manual las direcciones IPv4, puede expresar el rango utilizando la máscara de subred. Introduzca la máscara de subred utilizando puntos para delimitar los números (ejemplo:"255.255.255.240").
[Dirección remota]
Seleccione el tipo de dirección IP de los demás dispositivos para aplicar la directiva de la lista siguiente.
[Todas las direcciones IP]
Seleccione esta opción para utilizar IPSec en todos los paquetes IP.
[Todas las direcciones IPv4]
Seleccione esta opción para utilizar IPSec en todos los paquetes IP enviados a o desde una dirección IPv4.
[Todas las direcciones IPv6]
Seleccione esta opción para utilizar IPSec en todos los paquetes IP enviados a o desde una dirección IPv6.
[Opciones manuales IPv4]
Seleccione esta opción para especificar una única dirección IPv4 o un rango de direcciones IPv4 para aplicar IPSec.Introduzca la dirección IPv4 (o el rango de direcciones) en el cuadro de texto [Direcciones para ajustar manualmente].
[Opciones manuales IPv6]
Seleccione esta opción para especificar una única dirección IPv6 o un rango de direcciones IPv6 para aplicar IPSec.Introduzca la dirección IPv6 (o el rango de direcciones) en el cuadro de texto [Direcciones para ajustar manualmente].
[Direcciones para ajustar manualmente]
Si se selecciona [Opciones manuales IPv4] o [Opciones manuales IPv6] en [Dirección remota], introduzca la dirección IP para aplicar la directiva.
[Opciones de subred]
Cuando especifique de forma manual las direcciones IPv4, puede expresar el rango utilizando la máscara de subred. Introduzca la máscara de subred utilizando puntos para delimitar los números (ejemplo:"255.255.255.240").
[Puerto local]/[Puerto remoto]
Si desea crear directivas independientes para cada protocolo, como por ejemplo HTTP o SMTP, introduzca el número de puerto correcto del protocolo para determinar si desea utilizar IPSec.
IPSec no se aplica a los paquetes que tienen una dirección de multidifusión o difusión especificada.
8
Especifique las opciones de IKE.
[Modo IKE]
Se mostrará el modo utilizado para el protocolo de intercambio de claves. En principio, seleccione el modo principal.
Seleccione el modo agresivo si la dirección IP no es fija. Tenga en cuenta que la seguridad en el modo agresivo es inferior a la del modo principal.
[Método de AUT.]
Seleccione [Método de clave precompartida] o [Método de firma digital] como método empleado al autenticar el equipo.
Si se selecciona el modo agresivo en [Modo IKE], la opción [Método de clave precompartida] no cifra la clave compartida.
[Algoritmo de autenticación/cifrado]
Para configurar automáticamente el algoritmo que se utiliza para el intercambio de claves, seleccione la casilla de verificación [Automático]. Si selecciona la casilla de verificación, el algoritmo se configura como se muestra a continuación.
[Autenticación]
[SHA1 y MD5]
[Cifrado]
[3DES-CBC y AES-CBC]
[Grupo DH]
[Grupo 2 (1024)]
Para configurar manualmente el algoritmo, quite la marca de la casilla de verificación y seleccione el algoritmo.
[Autenticación]
Seleccione el algoritmo hash.
[Cifrado]
Seleccione el algoritmo de cifrado.
[Grupo DH]
Seleccione el grupo Diffie-Hellman, que determina la longitud de clave.
Usar [Método de clave precompartida] para autenticación
1
Seleccione [Método de clave precompartida] en [Método de AUT.] y haga clic en [Opciones de clave compartida].
2
Introduzca caracteres alfanuméricos para la clave precompartida y haga clic en [Aceptar].
Usar [Método de firma digital] para autenticación
1
Seleccione [Método de firma digital] en [Método de AUT.] y haga clic en [Clave y certificado].
2
Seleccione el par de claves que desea utilizar y haga clic en [Opciones de clave prefijada].
Ver los detalles de un par de claves o un certificado
Puede consultar los detalles del certificado o verificar el certificado haciendo clic en el vínculo de texto correspondiente que aparece debajo de [Nombre de clave] o en el icono del certificado. Verificación de los pares de claves y los certificados digitales
9
Especifique las opciones de la red IPSec.
[Usar PFS]
Seleccione la casilla de verificación para habilitar la confidencialidad directa total (PFS) de las claves de las sesiones IPSec. Al habilitar PFS mejora la seguridad a medida que aumenta la carga de comunicación. Asegúrese de que PFS también esté habilitado para los otros dispositivos. Si no utiliza PFS, quite la marca de la casilla de verificación.
[Validez]
Especifique durante cuánto tiempo se utiliza SA como túnel de comunicación. Seleccione la casilla de verificación [Especificar por tiempo] o [Especificar por tamaño], o bien ambas, según proceda. Si selecciona ambas casillas de verificación, la sesión de SA de IPSec finalizará cuando se haya cumplido alguna de las condiciones.
[Especificar por tiempo]
Introduzca un periodo de tiempo en minutos para especificar cuánto dura una sesión. El tiempo indicado se aplica a la SA de IPSec y a la SA de IKE.
[Especificar por tamaño]
Introduzca un tamaño en megabytes para especificar cuántos datos pueden transportarse en una sesión. El tamaño indicado se aplica únicamente a la SA de IPSec.
Si ha seleccionado solo la casilla de verificación [Especificar por tamaño]
La validez de SA de IKE no se puede especificar por tamaño, así que se aplica el valor inicial (480 minutos) de [Especificar por tiempo].
[Algoritmo de autenticación/cifrado]
Seleccione el protocolo y el algoritmo a utilizar para la comunicación IPSec.
Configurar automáticamente la conexión
Seleccione [Automático].
[Autenticación ESP]
ESP se habilita y el algoritmo de autenticación se configura como [SHA1 y MD5].
[Cifrado ESP]
ESP se habilita y el algoritmo de cifrado se configura como [3DES-CBC y AES-CBC].
Uso de ESP
Escoja [ESP] y seleccione el algoritmo de autenticación y el algoritmo de cifrado.
[Autenticación ESP]
Seleccione el algoritmo hash para utilizar para la autenticación de ESP.
[Cifrado ESP]
Seleccione el algoritmo de cifrado para ESP.
Uso de AH
Escoja [AH] y seleccione el algoritmo hash para utilizar para la autenticación de AH desde [Autenticación AH].
[Modo de conexión]
Se muestra el modo de conexión de IPSec. El equipo admite el modo de transporte, en el que las cargas de los paquetes IP están cifradas. El modo de túnel, en el que todos los paquetes IP (encabezados y cargas) están encapsulados, no está disponible.
10
Haga clic en [Aceptar].
Si tiene que registrar una directiva de seguridad adicional, vuelva al paso 5.
11
Ordene las directivas que aparecen en [Lista de directivas IPSec].
Las directivas se aplican desde la que se encuentra en la posición más elevada hasta la que se encuentra en la posición más baja. Haga clic en [Elevar prioridad] o [Reducir prioridad] para subir o bajar una directiva.
Editar una directiva
Puede hacer clic en el enlace de texto debajo de [Nombre de directiva] para editar las opciones.
Eliminar una directiva
Haga clic en [Eliminar] en la parte derecha de la directiva que desee eliminar.
12
Apague y vuelva a encender.
Haga clic en [Control de dispositivo], seleccione [Reinicio por hardware] y luego haga clic en [Ejecutar].
Las opciones se habilitarán después de apagar y volver a encender.

Habilitar la comunicación IPSec

Al acabar de registrar las directivas de seguridad, habilite la comunicación IPSec.
1
Inicie la IU remota e inicie una sesión en modo de administración. Inicio de la IU remota
2
Haga clic en [Configuración].
3
Haga clic en [Seguridad]  [Opciones de IPSec].
4
Haga clic en [Editar].
5
Seleccione la casilla de verificación [Usar IPSec] y haga clic en [Aceptar].
[Usar IPSec]
Si utiliza IPPSec en el equipo, seleccione la casilla de verificación. Si no lo usa, quite la marca de la casilla de verificación.
[Permitir recibir paquetes fuera de directiva]
Si selecciona la casilla de verificación al utilizar IPSec, los paquetes que no están disponibles para las directivas registradas también se envían/reciben. Para deshabilitar el envío/recepción de paquetes no disponibles para las directivas, quite la marca de la casilla de verificación.
6
Apague y vuelva a encender.
Haga clic en [Control de dispositivo], seleccione [Reinicio por hardware] y luego haga clic en [Ejecutar].
Las opciones se habilitarán después de apagar y volver a encender.
Uso del panel de control
También puede habilitar o deshabilitar la comunicación IPSec desde el menú de configuración del panel de control. IPSec
6000-03Y