Uso de IPSec

Utilice el protocolo de seguridad de IP (IPSec) para evitar la interceptación y la manipulación de paquetes de IP enviados y recibidos a través de una red de IP. De este modo, se lleva a cabo el cifrado en el nivel de protocolo de IP para garantizar la seguridad sin depender de ninguna aplicación ni configuración de red.

Condiciones aplicables y modos compatibles con IPSec

Paquetes en los que no se aplica IPSec
Paquetes que especifican una dirección de difusión, multidifusión o bucle invertido
Paquetes IKE enviados desde el puerto 500 de UDP
Paquetes de anuncios de vecinos y solicitudes de vecinos de ICMPv6
Modo de funcionamiento del protocolo de intercambio de claves (modo IKE)
El único modo IKE compatible con el equipo es el modo principal que se usa para cifrar paquetes. El modo agresivo no cifrado no es compatible.
Modo de comunicación
El único modo de comunicación compatible con el equipo es el modo de transporte, que cifra únicamente la parte que no es el encabezado IP. El modo de túnel, que cifra todo el paquete IP, no es compatible.
Uso de IPSec junto con el filtrado de direcciones IP
Las opciones de filtrado de direcciones IP se aplican en primer lugar. Configuración del firewall

Configuración de directivas IPSec

Para establecer comunicación IPSec en el equipo, debe crear una directiva IPSec que incluya el rango aplicable y los algoritmos de autenticación y cifrado. La directiva se compone principalmente de los siguientes elementos.
Selector
Especifique los paquetes IP que se aplican a la comunicación IPSec. Además de especificar la dirección IP del equipo y los dispositivos de comunicación, puede especificar sus números de puerto.
IKE
El protocolo de intercambio de claves es compatible con la versión 1 del Internet Key Exchange (IKEv1). Para el método de autenticación, seleccione el método de clave precompartida o bien el método de firma digital.
Método de clave precompartida:
Este método de autenticación utiliza una palabra clave común, denominada «clave compartida», para la comunicación entre el equipo y otros dispositivos.
Método de firma digital:
El equipo y el resto de dispositivos se autentican entre sí verificando mutuamente sus firmas digitales.
ESP/AH
Especifique las opciones de ESP/AH, que es el protocolo que se usa en la comunicación IPSec. AH y ESP pueden utilizarse al mismo tiempo. Utilice la Confidencialidad directa total (PFS) para mayor seguridad.

Configuración de IPSec

Habilite el uso de IPSec y, a continuación, cree y registre la directiva IPSec. Si se han creado varias directivas, especifique el orden en el que se aplicarán.
En esta sección se describe cómo configurar las opciones desde un ordenador mediante la IU remota.
En el panel de control, seleccione [Menú] en la pantalla [Inicio] y, a continuación, seleccione [Preferencias] para configurar las opciones. Sin embargo, el panel de control solo se puede usar para habilitar o deshabilitar IPSec. [Usar IPSec]
Se necesitan privilegios de Administrador. El equipo debe reiniciarse para aplicar las opciones.
Preparativos necesarios
Conecte el equipo directamente a un ordenador en la misma red privada virtual (VPN) que el equipo. Confirme las condiciones de funcionamiento y finalice la configuración en el ordenador de antemano. IPSec
Prepare lo siguiente conforme al método de autenticación IKE:
Si utiliza el método de clave precompartida, habilite TLS para la comunicación con la IU remota. Uso de TLS
Si utiliza el método de firma digital, prepare la clave y el certificado que se van a usar. Gestión y verificación de una clave y un certificado
Si utiliza PFS, compruebe que PFS está habilitada en el dispositivo de comunicación.
1
Inicie sesión en la IU remota en el modo de Administrador del sistema. Iniciar la IU remota
2
En la página del portal de la IU remota, haga clic en [Configuración]. Página del portal de la IU remota
3
Haga clic en [Opciones de red] [Opciones de IPSec] [Editar].
Aparece la pantalla [Editar opciones de IPSec].
4
Marque la casilla [Usar IPSec] y haga clic en [Aceptar].
Para recibir únicamente paquetes que cumplan la directiva, desmarque la casilla [Recibir paquetes fuera de directiva].
5
Haga clic en [Guardar nueva directiva].
Aparece la pantalla [Guardar nueva directiva de IPSec].
6
En [Opciones de directiva], introduzca el nombre de la directiva y marque la casilla [Activar directiva].
En el nombre de la directiva, introduzca un nombre que permita identificar la directiva utilizando caracteres alfanuméricos de un solo byte.
7
En [Opciones de selección], configure el selector.
[Opciones de dirección local]
Seleccione el tipo de dirección IP del equipo al que se aplica la directiva.
Para aplicar IPSec a todos los paquetes IP, seleccione [Todas las direcciones IP].
Para aplicar IPSec a los paquetes IP enviados y recibidos mediante una dirección IPv4 o IPv6, seleccione [Dirección IPv4] o [Dirección IPv6].
[Opciones de dirección remota]
Seleccione el tipo de dirección IP del dispositivo de comunicación al que se aplica la directiva.
Para aplicar IPSec a todos los paquetes IP, seleccione [Todas las direcciones IP].
Para aplicar IPSec a los paquetes IP enviados y recibidos mediante una dirección IPv4 o IPv6, seleccione [Todas las direcciones IPv4] o [Todas las direcciones IPv6].
Para especificar una dirección IPv4 o IPv6 a la que se aplica IPSec, seleccione [Opciones manuales de IPv4] o [Opciones manuales de IPv6].
[Direcciones para establecer manualmente]
Si se selecciona [Opciones manuales de IPv4] o [Opciones manuales de IPv6], introduzca la dirección IP. También puede especificar un rango de direcciones insertando un guion (-).
Ejemplo de entrada:
Una dirección IPv4
192.168.0.10
Una dirección IPv6
fe80::10
Especificación de un rango
192.168.0.10-192.168.0.20
[Opciones de subred]
Si se selecciona [Opciones manuales de IPv4], puede usar una máscara de subred para especificar el rango de direcciones IPv4.
Ejemplo de entrada:
255.255.255.240
[Longitud de prefijo]
Si se selecciona [Opciones manuales de IPv6], puede usar una longitud de prefijo para especificar el rango de direcciones IPv6. Introduzca la longitud de prefijo con un rango de 0 a 128.
[Opciones de puerto]
Configure el puerto al que se aplica IPSec en [Puerto local] en el equipo y en [Puerto remoto] en el dispositivo de comunicación.
Para aplicar IPSec a todos los números de puerto, seleccione [Todos los puertos].
Para aplicar IPSec a un protocolo específico como HTTP o WSD, seleccione [1 solo puerto] e introduzca el número de puerto del protocolo.
8
En [Opciones de IKE], configure IKE.
[Modo de IKE]
El equipo solo es compatible con el modo principal.
[Método de autenticación]
Seleccione el método de autenticación del equipo.
Si se selecciona [Método de clave precompartida], haga clic en [Opciones de clave compartida] introduzca la cadena que se usará como clave compartida utilizando caracteres alfanuméricos de un solo byte haga clic en [Aceptar].
Si se selecciona [Método de firma digital], haga clic en [Clave y certificado] [Guardar clave prefijada] a la derecha de la clave y el certificado que se usarán.
[Validez]
Introduzca en minutos el periodo válido de la SA de IKE (SA de ISAKMP) que se usará como ruta de comunicación de control.
[Algoritmo de autenticación/cifrado]
Seleccione el algoritmo que se usará para el intercambio de claves.
9
En [Opciones de red IPSec], configure las opciones de la red IPSec.
[Usar PFS]
Marque esta casilla para configurar PFS en la clave de sesión.
[Validez]
Especifique el periodo válido de la SA de IPSec que se usará como ruta de comunicación de control en tiempo, tamaño o ambos.
Si se marca la casilla [Especificar por tiempo], introduzca el periodo válido en minutos.
Si se marca la casilla [Especificar por tamaño], introduzca el periodo válido en megabytes.
Si se seleccionan ambas casillas, se aplica el elemento cuyo valor especificado ocurra primero.
[Algoritmo de autenticación/cifrado]
Marque esta casilla según el encabezado IPSec (ESP y AH) que se usará y su algoritmo.
[Autenticación ESP]
Si se selecciona [ESP], seleccione el algoritmo de autenticación. Para realizar la autenticación ESP, seleccione [SHA1]. De lo contrario, seleccione [No usar].
[Cifrado ESP]
Si se selecciona [ESP], seleccione el algoritmo de cifrado. Si no desea especificar el algoritmo, seleccione [NULO]. Para deshabilitar el cifrado, seleccione [No usar].
[Modo de conexión]
El equipo solo es compatible con el modo de transporte.
10
Haga clic en [Aceptar].
La directiva recién registrada se añade a [Directivas de IPSec guardadas] en la pantalla [Opciones de IPSec].
Si se registran varias directivas
Haga clic en [Subir] o en [Bajar] a la derecha del nombre de directiva para establecer la prioridad. Las directivas de nivel superior tienen prioridad en la comunicación IPSec.
11
Reinicie el equipo. Reiniciar el equipo
Se aplicarán las opciones.
Edición de directivas registradas
Para editar la información registrada, haga clic en el nombre de la directiva que desea editar en [Directivas de IPSec guardadas] en la pantalla [Opciones de IPSec].
8R04-088