Configurar las opciones de IPSec

Por medio de IPSec, puede evitar que terceros intercepten los paquetes IP o los manipulen al transportarse por la red IP. Dado que IPSec añade funciones de seguridad a IP, un paquete de protocolos básico para Internet, puede ofrecer seguridad que sea independiente de las aplicaciones o de la configuración de red. Para realizar la comunicación IPSec con este equipo, debe configurar las opciones como los parámetros de la aplicación y el algoritmo para la autenticación y el cifrado. Para poder configurar estas opciones hacen falta privilegios de Administrador.

Habilitar IPSec

Registrar una política


Modo de comunicación Este equipo solo admite el modo de transporte para la comunicación IPSec. Como consecuencia, la autenticación y el cifrado solo se aplican a las partes de datos de los paquetes de IP. Protocolo de intercambio de claves Este equipo es compatible con la versión 1 del Internet Key Exchange (IKEv1), para intercambiar claves sobre la base de la Asociación de seguridad de Internet y el Protocolo de gestión de claves (ISAKMP). Para el método de autenticación, configure el método de clave precompartido o bien el método de firma. Al configurar el método de clave precompartida, tiene que decidir primero una frase de contraseña (clave precompartida), que se utiliza entre el equipo y el interlocutor de la comunicación IPSec. Al configurar el método de firma digital, utilice un certificado de CA y una clave y certificado con formato PKCS#12 para efectuar una autenticación mutua entre el equipo y el interlocutor de la comunicación IPSec. Para obtener más información sobre cómo registrar nuevos certificados de CA o claves/certificados, consulte Registrar una clave y el certificado para comunicación de red. Tenga en cuenta que, para utilizar este método, debe haberse configurado SNTP en el equipo. Configurar opciones de SNTP

Modo de comunicación

Este equipo solo admite el modo de transporte para la comunicación IPSec. Como consecuencia, la autenticación y el cifrado solo se aplican a las partes de datos de los paquetes de IP.

Protocolo de intercambio de claves

Este equipo es compatible con la versión 1 del Internet Key Exchange (IKEv1), para intercambiar claves sobre la base de la Asociación de seguridad de Internet y el Protocolo de gestión de claves (ISAKMP). Para el método de autenticación, configure el método de clave precompartido o bien el método de firma.

Al configurar el método de clave precompartida, tiene que decidir primero una frase de contraseña (clave precompartida), que se utiliza entre el equipo y el interlocutor de la comunicación IPSec.

Al configurar el método de firma digital, utilice un certificado de CA y una clave y certificado con formato PKCS#12 para efectuar una autenticación mutua entre el equipo y el interlocutor de la comunicación IPSec. Para obtener más información sobre cómo registrar nuevos certificados de CA o claves/certificados, consulte Registrar una clave y el certificado para comunicación de red. Tenga en cuenta que, para utilizar este método, debe haberse configurado SNTP en el equipo. Configurar opciones de SNTP


Se utilizará un módulo de cifrado que haya obtenido previamente la certificación FIPS140-2 independientemente de la configuración de [Establecer método de cifrado como FIPS 140-2] para la comunicación IPSec. Para cumplir con FIPS 140-2, debe establecer la longitud de la clave, tanto de DH como RSA, para la comunicación IPSec en 2048 bits o superior para el entorno de red al que pertenezca el equipo. Solo puede especificarse desde el equipo la longitud de la clave para DH. Téngalo en cuenta durante la configuración de su entorno, ya que no hay opciones para la RSA en el equipo. Puede registrar hasta 10 políticas de seguridad.

Se utilizará un módulo de cifrado que haya obtenido previamente la certificación FIPS140-2 independientemente de la configuración de [Establecer método de cifrado como FIPS 140-2] para la comunicación IPSec.

Para cumplir con FIPS 140-2, debe establecer la longitud de la clave, tanto de DH como RSA, para la comunicación IPSec en 2048 bits o superior para el entorno de red al que pertenezca el equipo.

Solo puede especificarse desde el equipo la longitud de la clave para DH.

Téngalo en cuenta durante la configuración de su entorno, ya que no hay opciones para la RSA en el equipo.

Puede registrar hasta 10 políticas de seguridad.

Habilitar IPSec

Inicie la IU remota.Inicio de la IU remota

Haga clic en [Configuración] en la página del portal. Pantalla de la IU remota

Haga clic en [Opciones de red]

[Opciones de IPSec].

Seleccione [Usar IPSec] y haga clic en [Aceptar].

Para recibir solamente paquetes que correspondan a la política de seguridad, seleccione [Rechazar] para [Recibir paquetes fuera de directiva].

Registrar una política

Inicie la IU remota.Inicio de la IU remota

Haga clic en [Configuración] en la página del portal. Pantalla de la IU remota

Haga clic en [Opciones de red]

[Lista de directivas IPSec].

Haga clic en [Guardar nueva directiva IPSec].

Establezca una política.

[Nombre de directiva]

Introduzca un nombre para identificar la política.

[Directiva sí/no]

Seleccione [Sí] para habilitar la política registrada.

[Permitir solo 256 bits de longitud de clave AES]

Seleccione esta casilla de verificación para restringir la longitud de la clave del método de cifrado AES a 256 bits y cumplir con los estándares de autenticación CC.

Configure los parámetros de la aplicación IPSec.

Haga clic en [Opciones de selección].

Especifique la dirección IP a la que aplicar la directiva IPSec.

Especifique la dirección IP de este equipo en [Dirección local] y especifique la dirección IP del interlocutor de la comunicación en [Dirección remota].

[Todas las direcciones IP]	IPSec se aplica a todos los paquetes IP enviados y recibidos.
[Dirección IPv4]	IPSec se aplica a paquetes IP enviados y recibidos de la dirección IPv4 de este equipo.
[Dirección IPv6]	IPSec se aplica a paquetes IP enviados y recibidos de la dirección IPv6 de este equipo.
[Todas las direcciones IPv4]	IPSec se aplica a paquetes IP enviados y recibidos de la dirección IPv4 del interlocutor de la comunicación.
[Todas las direcciones IPv6]	IPSec se aplica a paquetes IP enviados y recibidos de la dirección IPv6 del interlocutor de la comunicación.
[Configuración manual de IPv4]	Especifique la dirección IPv4 a la que aplicar IPSec. Seleccione [Dirección única] para introducir una dirección IPv4 individual. Seleccione [Rango de direcciones] para especificar un rango de direcciones IPv4. Introduzca una dirección aparte para [Primera dirección] y [Última dirección]. Seleccione [Opciones de subred] para especificar un intervalo de direcciones IPv4 mediante una máscara de subred. Introduzca valores separados para [Primera dirección] y [Opciones de subred].
[Configuración manual de IPv6]	Especifique la dirección IPv6 a la que aplicar IPSec. Seleccione [Dirección única] para introducir una dirección IPv6 individual. Seleccione [Rango de direcciones] para especificar un rango de direcciones IPv6. Introduzca una dirección aparte para [Primera dirección] y [Última dirección]. Seleccione [Prefijo de direcciones] para especificar un intervalo de direcciones IPv6 mediante un prefijo. Introduzca valores separados para [Primera dirección] y [Longitud de prefijo].

Especifique el puerto al que aplicar IPSec.

Seleccione [Especificar por n.º de puerto] para utilizar los números de puerto al especificar los puertos a los que se aplica IPSec. Seleccione [Todos los puertos] para aplicar IPSec a todos los números de puerto. Para aplicar IPSec a un número de puerto concreto, seleccione [Puerto único] e introduzca el número de puerto. Especifique el puerto de este equipo en [Puerto local] y especifique el puerto del interlocutor de la comunicación en [Puerto remoto].

Para especificar los puertos a los que se aplicará IPSec por nombre de servicio, seleccione [Especificar por nombre de servicio] y seleccione los servicios a usar.

Haga clic en [Aceptar].

Configure las opciones de autenticación y cifrado.

Haga clic en [Opciones de IKE].

Configure las opciones necesarias.

[Modo IKE]

Seleccione el modo de funcionamiento para el protocolo de intercambio de claves. La seguridad mejora si selecciona [Principal] porque la propia sesión IKE está cifrada, pero la velocidad de la sesión en más lenta que con [Agresivo], que no cifra toda la sesión.

[Validez]

Configure el periodo de caducidad para la SA de IKE generada.

[Método de autenticación]

Seleccione uno de los métodos de autenticación descritos a continuación.

[Método de clave precompartida]	Establezca la misma frase de contraseña (clave precompartida) que se ha configurado para el interlocutor de la comunicación. Seleccione [Opciones de clave compartida], introduzca la cadena de caracteres para utilizar como clave compartida y pulse [Aceptar].
[Método de firma digital]	Configure la clave y el certificado a utilizar para la autenticación mutua con el interlocutor de la comunicación. Haga clic en [Clave y certificado] y haga clic en [Usar] para la clave que se usará.

[Algoritmo de autenticación/cifrado]

Seleccione [Auto] o [Configuración manual] para configurar cómo especificar el algoritmo de autenticación y cifrado para IKE fase 1. Si selecciona [Auto], se configura automáticamente un algoritmo que puede ser utilizado por este equipo y el interlocutor de la comunicación. Si desea especificar un algoritmo concreto, seleccione [Configuración manual] y configure las opciones a continuación.

[Autenticación]	Seleccione el algoritmo hash.
[Cifrado]	Seleccione el algoritmo de cifrado.
[Grupo DH]	Seleccione el grupo para el método de intercambio de claves Diffie-Hellman para configurar la longitud de la clave.

Haga clic en [Aceptar].


Cuando [Modo IKE] está establecido en [Principal] en la pantalla [IKE] y [Método de autenticación] está establecido en [Método de clave precompartida], se aplicarán las siguientes restricciones al registrar varias políticas de seguridad. Clave del método de clave precompartida: al especificar varias direcciones IP a las que se aplica una política de seguridad, todas las claves compartidas con esa política de seguridad son idénticas (esto no se aplica cuando se especifica una sola dirección). Prioridad: al especificar varias direcciones IP a las que se aplica una política de seguridad, la prioridad de esa política de seguridad está por debajo de las políticas de seguridad para las cuales se ha especificado una sola dirección.

Cuando [Modo IKE] está establecido en [Principal] en la pantalla [IKE] y [Método de autenticación] está establecido en [Método de clave precompartida], se aplicarán las siguientes restricciones al registrar varias políticas de seguridad.

Clave del método de clave precompartida: al especificar varias direcciones IP a las que se aplica una política de seguridad, todas las claves compartidas con esa política de seguridad son idénticas (esto no se aplica cuando se especifica una sola dirección).

Prioridad: al especificar varias direcciones IP a las que se aplica una política de seguridad, la prioridad de esa política de seguridad está por debajo de las políticas de seguridad para las cuales se ha especificado una sola dirección.

Configure las opciones de comunicación IPSec.

Haga clic en [Opciones de red IPSec].

Configure las opciones necesarias.

[Validez]

Configure el periodo de caducidad para la SA de IPSec generada. Recuerde configurar [Período] o [Tamaño]. Si configura ambas opciones, se aplicará la opción cuyo valor se alcance primero.

[PFS]

Si selecciona [Usar PFS], se aumenta la confidencialidad de la clave de cifrado pero la velocidad de comunicación es más lenta. Además, la función Confidencialidad directa total (PFS) debe estar habilitada en el dispositivo del interlocutor de la comunicación.

[Algoritmo de autenticación/cifrado]

Seleccione [Auto] o [Configuración manual] para configurar cómo especificar el algoritmo de autenticación y cifrado para IKE fase 2. Si selecciona [Auto], se configura automáticamente el algoritmo de autenticación y cifrado ESP. Si desea especificar un método de autenticación concreto, seleccione [Configuración manual] y seleccione uno de los métodos de comunicación siguientes.

[ESP]	Se lleva a cabo la autenticación y el cifrado. Seleccione el algoritmo para [Autenticación ESP] y [Cifrado ESP]. Seleccione [NULO] si no desea configurar el algoritmo de autenticación y cifrado.
[ESP (AES-GCM)]	AES-GCM se emplea como algoritmo ESP, y se lleva a acabo la autenticación y el cifrado.
[AH (SHA1)]	Se lleva a cabo la autenticación pero los datos no se cifran. SHA1 se utiliza como algoritmo.

Haga clic en [Aceptar].

Habilite las directivas registradas y consulte el orden de prioridad.

Las políticas se aplican en el orden en que se listan, empezando por arriba. Si desea cambiar el orden de prioridad, seleccione una política de la lista y haga clic en [Elevar prioridad] o [Reducir prioridad].


Gestionar directivas IPSec Puede editar las directivas en la pantalla que aparece en el paso 4. Para editar los detalles de una política, haga clic en el nombre de la política en la lista. Para deshabilitar una política, haga clic en el nombre de la política en la lista seleccione [No] para [Directiva sí/no] haga clic en [Aceptar]. Para eliminar una política, selecciónela en la lista haga clic en [Eliminar] [Aceptar]. Uso del panel de control También puede activar o desactivar la comunicación IPSec desde <Establecer> en la pantalla <Inicio>. <Opciones de IPSec> Importación por lotes/Exportación por lotes Esta opción puede importarse/exportarse con modelos que admitan la importación de lotes de esta opción. Importación/exportación de datos de configuración Esta opción se incluye en [Información básica de configuración] en las exportaciones por lotes. Importar/exportar todas las opciones

Gestionar directivas IPSec

Puede editar las directivas en la pantalla que aparece en el paso 4.

Para editar los detalles de una política, haga clic en el nombre de la política en la lista.

Para deshabilitar una política, haga clic en el nombre de la política en la lista

seleccione [No] para [Directiva sí/no]

haga clic en [Aceptar].

Para eliminar una política, selecciónela en la lista

haga clic en [Eliminar]

[Aceptar].

Uso del panel de control

También puede activar o desactivar la comunicación IPSec desde <Establecer> en la pantalla <Inicio>. <Opciones de IPSec>

Importación por lotes/Exportación por lotes

Esta opción puede importarse/exportarse con modelos que admitan la importación de lotes de esta opción. Importación/exportación de datos de configuración

Esta opción se incluye en [Información básica de configuración] en las exportaciones por lotes. Importar/exportar todas las opciones