Configuración de las opciones de IPSec

Internet Protocol Security (IPSec o IPsec) es un conjunto de protocolos para cifrar los datos que se transportan a través de una red, incluidas las redes de Internet. Mientras que TLS solo cifra los datos que se utilizan en una aplicación específica, como un navegador web o una aplicación de e-mail, IPSec cifra todos los paquetes IP o las cargas de los paquetes IP, ofreciendo así un sistema de seguridad más versátil. El IPSec del equipo funciona en modo de transporte, en el que las cargas de los paquetes IP se cifran. Con esta función, el equipo puede conectarse directamente a un ordenador que se encuentre en la misma red privada virtual (VPN). Consulte los requisitos del sistema (Funciones de gestión) y configure las opciones necesarias en el ordenador antes de configurar el equipo.
Utilización de IPSec con filtro de direcciones IP
Las opciones de filtrado de direcciones IP se aplican antes que las directivas de IPSec. Especificación de direcciones IP para las opciones de firewall

Configuración de las opciones de IPSec

Antes de utilizar IPSec en las comunicaciones cifradas, debe registrar las directivas de seguridad (DS). Una directiva de seguridad está formada por los grupos de opciones que se indican a continuación. Una vez registradas las directivas, especifique el orden en el que desee aplicarlas.
Selector
El selector define las condiciones de los paquetes IP que se aplicarán a las comunicaciones IPSec. Entre las condiciones disponibles se incluyen las direcciones IP y los números de puerto del equipo y los dispositivos con los que se establecerá la comunicación.
IKE
IKE configura el IKEv1 que se utiliza con el protocolo de intercambio de claves. Tenga en cuenta que las instrucciones varían en función del método de autenticación seleccionado.
[Método de clave precompartida]
Este método de autenticación utiliza una palabra clave común, denominada Clave compartida, para la comunicación entre el equipo y otros dispositivos. Habilite TLS para la IU Remota antes de especificar este método de autenticación (Configurar la clave y el certificado para TLS).
[Método de firma digital]
El equipo y el resto de dispositivos se autentican entre sí verificando mutuamente sus firmas digitales. Genere o instale la clave y el certificado de antemano (Registrar la clave y el certificado para comunicación de red).
AH/ESP
Especifique las opciones de AH/ESP, que se añade a los paquetes durante la comunicación IPSec. AH y ESP pueden utilizarse al mismo tiempo. Asimismo, puede seleccionar si desea habilitar o no PFS para aumentar la seguridad.
 
Para obtener más información sobre operaciones básicas que hay que realizar al configurar el equipo desde la IU remota, consulte Configuración de las opciones de menú desde la IU remota.
1
Inicie la IU remota e inicie sesión en el Modo de administrador del sistema. Inicio de la IU remota
2
Haga clic en [Configuración] en la página del portal. Pantalla de la IU remota
3
Seleccione [Opciones de red]  [Opciones de IPSec].
4
Haga clic en [Editar].
5
Seleccione la casilla de verificación [Usar IPSec] y haga clic en [Aceptar].
Si desea que el equipo solo reciba paquetes que cumplan con una de las directivas de seguridad definidas en los siguientes pasos, desmarque la casilla de verificación [Recibir paquetes fuera de directiva].
6
Haga clic en [Guardar nueva directiva].
7
Especifique las opciones de la directiva.
1
En el cuadro de texto [Nombre de directiva], introduzca caracteres alfanuméricos en el nombre que se utilizará para identificar la directiva.
2
Seleccione la casilla de verificación [Activar directiva].
8
Especifique las Opciones de selección.
[Dirección local]
Haga clic en el botón de opción del tipo de dirección IP del equipo para aplicar la directiva.
[Todas las direcciones IP]
Seleccione esta opción para utilizar IPSec en todos los paquetes IP.
[Dirección IPv4]
Seleccione esta opción para utilizar IPSec en todos los paquetes IP enviados a o desde la dirección IPv4 del equipo.
[Dirección IPv6]
Seleccione esta opción para utilizar IPSec en todos los paquetes IP enviados a o desde la dirección IPv6 del equipo.
[Dirección remota]
Haga clic en el botón de opción del tipo de dirección IP de los otros equipos para aplicar la directiva.
[Todas las direcciones IP]
Seleccione esta opción para utilizar IPSec en todos los paquetes IP.
[Todas las direcciones IPv4]
Seleccione esta opción para utilizar IPSec en todos los paquetes IP enviados a o desde direcciones IPv4 de otros dispositivos.
[Todas las direcciones IPv6]
Seleccione esta opción para utilizar IPSec en todos los paquetes IP enviados a o desde direcciones IPv6 de otros dispositivos.
[Opciones manuales de IPv4]
Seleccione esta opción para especificar una única dirección IPv4 o un rango de direcciones IPv4 para aplicar IPSec.Introduzca la dirección IPv4 (o el rango de direcciones) en el cuadro de texto [Direcciones para establecer manualmente].
[Opciones manuales de IPv6]
Seleccione esta opción para especificar una única dirección IPv6 o un rango de direcciones IPv6 para aplicar IPSec.Introduzca la dirección IPv6 (o el rango de direcciones) en el cuadro de texto [Direcciones para establecer manualmente].
[Direcciones para establecer manualmente]
Si se selecciona [Opciones manuales de IPv4] o [Opciones manuales de IPv6] en [Dirección remota], introduzca la dirección IP para aplicar la directiva. También puede introducir un rango de direcciones insertando un guión entre las direcciones.
Introducción de direcciones IP
Descripción
Ejemplo
Introducción de una única dirección
IPv4:
Delimite los números con puntos.
192.168.0.10
IPv6:
Delimite los caracteres alfanuméricos con dos puntos.
fe80::10
Especificación de un rango de direcciones
Inserte un guión entre las direcciones.
192.168.0.10-192.168.0.20
[Opciones de subred]
Cuando especifique de forma manual la dirección IPv4, puede expresar el rango utilizando la máscara de subred. Introduzca la máscara de subred utilizando puntos para delimitar los números (ejemplo:"255.255.255.240").
[Longitud de prefijo]
La especificación de un rango de direcciones IPv6 manualmente también le permitirá especificar el rango utilizando prefijos. Introduzca un rango de 0 a 128 para la longitud del prefijo.
[Puerto local]/[Puerto remoto]
Si desea crear directivas independientes para cada protocolo, por ejemplo HTTP o WSD, haga clic en el botón de selección [1 solo puerto] e introduzca el número de puerto correcto del protocolo para determinar si desea utilizar IPSec.
IPSec no se aplica a los siguientes paquetes
Paquetes de bucle invertido, difusión y multidifusión
Paquetes IKE (utilizando UDP en el puerto 500)
Paquetes de anuncios de vecinos y solicitudes de vecinos de ICMPv6
9
Especifique las opciones de IKE.
[Modo de IKE]
Se mostrará el modo utilizado para el protocolo de intercambio de claves. El equipo admite el modo principal, no el modo intenso.
[Método de autenticación]
Seleccione [Método de clave precompartida] o [Método de firma digital] como método utilizado para autenticar el equipo. Debe habilitar TLS para la IU Remota antes de seleccionar [Método de clave precompartida]. Debe generar o instalar la clave y el certificado antes de seleccionar [Método de firma digital]. Configurar la clave y el certificado para TLS
[Válida durante]
Especifique cuánto tiempo durará la sesión de la SA de IKE (SA de ISAKMP). Introduzca el tiempo en minutos.
[Autenticación]/[Cifrado]/[Grupo DH]
Seleccione un algoritmo en la lista desplegable. Todos los algoritmos se utilizan en el intercambio de claves.
[Autenticación]
Seleccione el algoritmo hash.
[Cifrado]
Seleccione el algoritmo de cifrado.
[Grupo DH]
Seleccione el grupo Diffie-Hellman, que determina la longitud de clave.
 Autenticar un equipo utilizando una clave precompartida
1
Haga clic en el botón de opción [Método de clave precompartida] de [Método de autenticación] y, a continuación, haga clic en [Opciones de clave compartida].
2
Introduzca caracteres alfanuméricos para la clave precompartida y haga clic en [Aceptar].
3
Especifique las opciones [Válida durante] y [Autenticación]/[Cifrado]/[Grupo DH].
 Autenticar un equipo utilizando el método de firma digital
1
Haga clic en el botón de opción [Método de firma digital] de [Método de autenticación] y, a continuación, haga clic en [Clave y certificado].
2
Haga clic en [Guardar clave prefijada] en la parte derecha de la clave y el certificado que desee utilizar.
Visualización de los detalles de un certificado
Puede consultar los detalles del certificado o verificar el certificado haciendo clic en el vínculo de texto correspondiente que aparece debajo de [Nombre de clave] o en el icono del certificado.
3
Especifique las opciones [Válida durante] y [Autenticación]/[Cifrado]/[Grupo DH].
10
Especifique las opciones de la red IPSec.
[Usar PFS]
Seleccione la casilla de verificación para habilitar la confidencialidad directa total (PFS) de las claves de las sesiones IPSec. Al habilitar PFS mejora la seguridad a medida que aumenta la carga de comunicación. Asegúrese de que PFS también esté habilitado para los otros dispositivos.
[Especificar por tiempo]/[Especificar por tamaño]
Configure las condiciones para finalizar una sesión de SA de IPSec. SA de IPSec se utiliza como túnel de comunicación. Seleccione alguna de las casillas de verificación o ambas según corresponda. Si selecciona ambas, la sesión de SA de IPSec finalizará cuando se cumpla alguna de las condiciones.
[Especificar por tiempo]
Introduzca un periodo de tiempo en minutos para especificar cuánto dura una sesión.
[Especificar por tamaño]
Introduzca un tamaño en megabytes para especificar cuántos datos pueden transportarse en una sesión.
[Seleccionar algoritmo]
Seleccione las casillas de verificación [ESP], [ESP (AES-GCM)] o [AH (SHA1)] en función del encabezado IPSec y el algoritmo utilizados. AES-GCM es un algoritmo tanto de autenticación como de cifrado. Si se selecciona [ESP], seleccione también algoritmos de autenticación y cifrado en las listas desplegables [Autenticación ESP] y [Cifrado ESP].
[Autenticación ESP]
Para habilitar la autenticación ESP, seleccione [SHA1] para el algoritmo hash. Seleccione [No usar] si desea deshabilitar la autenticación ESP.
[Cifrado ESP]
Seleccione el algoritmo de cifrado de ESP. Puede seleccionar [NULO] si no desea especificar el algoritmo, o seleccionar [No usar] si desea deshabilitar el cifrado ESP.
[Modo de conexión]
Se muestra el modo de conexión de IPSec. El equipo admite el modo de transporte, en el que las cargas de los paquetes IP están cifradas. El modo de túnel, en el que todos los paquetes IP (encabezados y cargas) están encapsulados, no está disponible.
11
Haga clic en [Aceptar].
Si debe registrar una directiva de seguridad adicional, vuelva al paso 6.
12
Ordene las directivas que aparecen en [Directivas de IPSec guardadas].
Las directivas se aplican desde la que se encuentra en la posición más elevada hasta la que se encuentra en la posición más baja. Haga clic en [Subir] o [Bajar] para subir o bajar una directiva.
Edición de una directiva
Haga clic en el vínculo de texto correspondiente que aparece debajo de [Nombre de directiva] para la pantalla de edición.
Eliminación de una directiva
Haga clic en [Eliminar] en la parte derecha del nombre de la directiva que desee eliminar  haga clic en [Aceptar].
 
13
Reinicie el equipo. Reiniciar el equipo
Uso del panel de control
También podrá habilitar o deshabilitar la comunicación IPSec desde <Menú> en la pantalla Inicio. <Usar IPSec>
82US-07L