Configuración de las opciones de IPSec
Internet Protocol Security (IPSec o IPsec) es un conjunto de protocolos para cifrar los datos que se transportan a través de una red, incluidas las redes de Internet. Mientras que TLS solo cifra los datos que se utilizan en una aplicación específica, como un navegador web o una aplicación de e-mail, IPSec cifra todos los paquetes IP o las cargas de los paquetes IP, ofreciendo así un sistema de seguridad más versátil. El IPSec del equipo funciona en modo de transporte, en el que las cargas de los paquetes IP se cifran. Con esta función, el equipo puede conectarse directamente a un ordenador que se encuentre en la misma red privada virtual (VPN). Consulte los requisitos del sistema y configure las opciones necesarias en el ordenador antes de configurar el equipo.
|
|
Utilización de IPSec con filtro de direcciones IPLas opciones de filtrado de direcciones IP se aplican antes que las directivas de IPSec. Especificación de direcciones IP para las opciones de firewall
|
Configuración de las opciones de IPSec
Antes de utilizar IPSec en las comunicaciones cifradas, debe registrar las directivas de seguridad (DS). Una directiva de seguridad está formada por los grupos de opciones que se indican a continuación. Una vez registradas las directivas, especifique el orden en el que desee aplicarlas.
Selector
El selector define las condiciones de los paquetes IP que se aplicarán a las comunicaciones IPSec. Entre las condiciones disponibles se incluyen las direcciones IP y los números de puerto del equipo y los dispositivos con los que se establecerá la comunicación.
IKE
IKE configura el IKEv1 que se utiliza con el protocolo de intercambio de claves. Tenga en cuenta que las instrucciones varían en función del método de autenticación seleccionado.
[Método de clave precompartida (Pre-Shared Key Method)]
Este método de autenticación utiliza una palabra clave común, denominada Clave compartida, para la comunicación entre el equipo y otros dispositivos. Habilite TLS para la IU remota antes de especificar este método de autenticación (Configurar la clave y el certificado para TLS).
Este método de autenticación utiliza una palabra clave común, denominada Clave compartida, para la comunicación entre el equipo y otros dispositivos. Habilite TLS para la IU remota antes de especificar este método de autenticación (Configurar la clave y el certificado para TLS).
[Método de firma digital (Digital Signature Method)]
El equipo y el resto de dispositivos se autentican entre sí verificando mutuamente sus firmas digitales. Genere o instale la clave y el certificado de antemano (Registrar la clave y el certificado para comunicación de red).
El equipo y el resto de dispositivos se autentican entre sí verificando mutuamente sus firmas digitales. Genere o instale la clave y el certificado de antemano (Registrar la clave y el certificado para comunicación de red).
AH/ESP
Especifique las opciones de AH/ESP, que se añade a los paquetes durante la comunicación IPSec. AH y ESP pueden utilizarse al mismo tiempo. Asimismo, puede seleccionar si desea habilitar o no PFS para aumentar la seguridad.
|
|
|
Para obtener más información sobre operaciones básicas que hay que realizar al configurar el equipo desde la IU remota, consulte Configuración de las opciones de menú desde la IU remota.
|
1
Inicie la IU remota e inicie sesión en el Modo de administrador del sistema. Inicio de la IU remota
2
Haga clic en [Configuración (Settings/Registration)] en la página del portal. Pantalla de la IU remota
3
Seleccione [Opciones de red (Network Settings)] 
[Opciones de IPSec (IPSec Settings)].
[Opciones de IPSec (IPSec Settings)].4
Haga clic en [Editar (Edit)].
5
Seleccione la casilla de verificación [Usar IPSec (Use IPSec)] y haga clic en [Aceptar (OK)].
Si desea que el equipo solo reciba paquetes que cumplan con una de las directivas de seguridad definidas en los siguientes pasos, desmarque la casilla de verificación [Recibir paquetes fuera de directiva (Receive Non-Policy Packets)].
6
Haga clic en [Guardar nueva directiva (Register New Policy)].
7
Especifique las opciones de la directiva.
|
1
|
En el cuadro de texto [Nombre de directiva (Policy Name)], introduzca caracteres alfanuméricos en el nombre que se utilizará para identificar la directiva.
|
|
2
|
Seleccione la casilla de verificación [Activar directiva (Enable Policy)].
|
8
Especifique las opciones del selector.
[Dirección local (Local Address)]
Haga clic en el botón de opción del tipo de dirección IP del equipo para aplicar la directiva.
Haga clic en el botón de opción del tipo de dirección IP del equipo para aplicar la directiva.
|
[Todas las direcciones IP (All IP Addresses)]
|
Seleccione esta opción para utilizar IPSec en todos los paquetes IP.
|
|
[Dirección IPv4 (IPv4 Address)]
|
Seleccione esta opción para utilizar IPSec en todos los paquetes IP enviados a o desde la dirección IPv4 del equipo.
|
|
[Dirección IPv6 (IPv6 Address)]
|
Seleccione esta opción para utilizar IPSec en todos los paquetes IP enviados a o desde la dirección IPv6 del equipo.
|
[Dirección remota (Remote Address)]
Haga clic en el botón de opción del tipo de dirección IP de los otros equipos para aplicar la directiva.
Haga clic en el botón de opción del tipo de dirección IP de los otros equipos para aplicar la directiva.
|
[Todas las direcciones IP (All IP Addresses)]
|
Seleccione esta opción para utilizar IPSec en todos los paquetes IP.
|
|
[Todas las direcciones IPv4 (All IPv4 Addresses)]
|
Seleccione esta opción para utilizar IPSec en todos los paquetes IP enviados a o desde direcciones IPv4 de otros dispositivos.
|
|
[Todas las direcciones IPv6 (All IPv6 Addresses)]
|
Seleccione esta opción para utilizar IPSec en todos los paquetes IP enviados a o desde direcciones IPv6 de otros dispositivos.
|
|
[Opciones manuales de IPv4 (IPv4 Manual Settings)]
|
Seleccione esta opción para especificar una única dirección IPv4 o un rango de direcciones IPv4 para aplicar IPSec. Introduzca la dirección IPv4 (o el rango de direcciones) en el cuadro de texto [Direcciones para establecer manualmente (Addresses to Set Manually)].
|
|
[Opciones manuales de IPv6 (IPv6 Manual Settings)]
|
Seleccione esta opción para especificar una única dirección IPv6 o un rango de direcciones IPv6 para aplicar IPSec. Introduzca la dirección IPv6 (o el rango de direcciones) en el cuadro de texto [Direcciones para establecer manualmente (Addresses to Set Manually)].
|
[Direcciones para establecer manualmente (Addresses to Set Manually)]
Si se selecciona [Opciones manuales de IPv4 (IPv4 Manual Settings)] o [Opciones manuales de IPv6 (IPv6 Manual Settings)] en [Dirección remota (Remote Address)], introduzca la dirección IP para aplicar la directiva. También puede introducir un rango de direcciones insertando un guión entre las direcciones.
Si se selecciona [Opciones manuales de IPv4 (IPv4 Manual Settings)] o [Opciones manuales de IPv6 (IPv6 Manual Settings)] en [Dirección remota (Remote Address)], introduzca la dirección IP para aplicar la directiva. También puede introducir un rango de direcciones insertando un guión entre las direcciones.
Introducción de direcciones IP
|
Descripción
|
Ejemplo
|
|
|
Introducción de una única dirección
|
IPv4:
Delimite los números con puntos. |
192.168.0.10
|
|
IPv6:
Delimite los caracteres alfanuméricos con dos puntos. |
fe80::10
|
|
|
Especificación de un rango de direcciones
|
Inserte un guión entre las direcciones.
|
192.168.0.10-192.168.0.20
|
[Opciones de subred (Subnet Settings)]
Cuando especifique de forma manual la dirección IPv4, puede expresar el rango utilizando la máscara de subred. Introduzca la máscara de subred utilizando puntos para delimitar los números (ejemplo:"255.255.255.240").
Cuando especifique de forma manual la dirección IPv4, puede expresar el rango utilizando la máscara de subred. Introduzca la máscara de subred utilizando puntos para delimitar los números (ejemplo:"255.255.255.240").
[Longitud de prefijo (Prefix Length)]
La especificación de un rango de direcciones IPv6 manualmente también le permitirá especificar el rango utilizando prefijos. Introduzca un rango de 0 a 128 para la longitud del prefijo.
La especificación de un rango de direcciones IPv6 manualmente también le permitirá especificar el rango utilizando prefijos. Introduzca un rango de 0 a 128 para la longitud del prefijo.
[Puerto local (Local Port)]/[Puerto remoto (Remote Port)]
Si desea crear directivas independientes para cada protocolo, como por ejemplo HTTP o WSD, introduzca el número de puerto correcto del protocolo para determinar si desea utilizar IPSec.
Si desea crear directivas independientes para cada protocolo, como por ejemplo HTTP o WSD, introduzca el número de puerto correcto del protocolo para determinar si desea utilizar IPSec.
IPSec no se aplica a los siguientes paquetes
Paquetes de bucle invertido, difusión y multidifusión
Paquetes IKE (utilizando UDP en el puerto 500)
Paquetes de anuncios de vecinos y solicitudes de vecinos de ICMPv6
9
Especifique las opciones de IKE.
[Modo de IKE (IKE Mode)]
Se mostrará el modo utilizado para el protocolo de intercambio de claves. El equipo admite el modo principal, no el modo intenso.
Se mostrará el modo utilizado para el protocolo de intercambio de claves. El equipo admite el modo principal, no el modo intenso.
[Método de autenticación (Authentication Method)]
Selecione [Método de clave precompartida (Pre-Shared Key Method)] o [Método de firma digital (Digital Signature Method)] como método utilizado para autenticar el equipo. Debe habilitar TLS para la IU remota antes de seleccionar [Método de clave precompartida (Pre-Shared Key Method)]. Debe generar o instalar la clave y el certificado antes de seleccionar [Método de firma digital (Digital Signature Method)]. Configurar la clave y el certificado para TLS
Selecione [Método de clave precompartida (Pre-Shared Key Method)] o [Método de firma digital (Digital Signature Method)] como método utilizado para autenticar el equipo. Debe habilitar TLS para la IU remota antes de seleccionar [Método de clave precompartida (Pre-Shared Key Method)]. Debe generar o instalar la clave y el certificado antes de seleccionar [Método de firma digital (Digital Signature Method)]. Configurar la clave y el certificado para TLS
[Válida durante (Valid for)]
Especifique cuánto tiempo durará la sesión de la SA de IKE (SA de ISAKMP). Introduzca el tiempo en minutos.
Especifique cuánto tiempo durará la sesión de la SA de IKE (SA de ISAKMP). Introduzca el tiempo en minutos.
[Autenticación (Authentication)]/[Cifrado (Encryption)]/[Grupo DH (DH Group)]
Seleccione un algoritmo en la lista desplegable. Todos los algoritmos se utilizan en el intercambio de claves.
Seleccione un algoritmo en la lista desplegable. Todos los algoritmos se utilizan en el intercambio de claves.
|
[Autenticación (Authentication)]
|
Seleccione el algoritmo hash.
|
|
[Cifrado (Encryption)]
|
Seleccione el algoritmo de cifrado.
|
|
[Grupo DH (DH Group)]
|
Seleccione el grupo Diffie-Hellman, que determina la longitud de clave.
|
Autenticar un equipo utilizando una clave precompartida
|
1
|
Haga clic en el botón de opción [Método de clave precompartida (Pre-Shared Key Method)] de [Método de autenticación (Authentication Method)] y, a continuación, haga clic en [Opciones de clave compartida (Shared Key Settings)].
|
|
2
|
Introduzca caracteres alfanuméricos para la clave precompartida y haga clic en [Aceptar (OK)].
|
|
3
|
Especifique las opciones [Válida durante (Valid for)] y [Autenticación (Authentication)]/[Cifrado (Encryption)]/[Grupo DH (DH Group)].
|
Autenticar un equipo utilizando el método de firma digital
|
1
|
Haga clic en el botón de opción [Método de firma digital (Digital Signature Method)] de [Método de autenticación (Authentication Method)] y, a continuación, haga clic en [Clave y certificado (Key and Certificate)].
|
|
2
|
Haga clic en [Guardar clave prefijada (Register Default Key)] en la parte derecha de la clave y el certificado que desee utilizar.
Visualización de los detalles de un certificado
Puede consultar los detalles del certificado o verificar el certificado haciendo clic en el vínculo de texto correspondiente que aparece debajo de [Nombre de clave (Key Name)] o en el icono del certificado.
|
|
3
|
Especifique las opciones [Válida durante (Valid for)] y [Autenticación (Authentication)]/[Cifrado (Encryption)]/[Grupo DH (DH Group)].
|
10
Especifique las opciones de la red IPSec.
[Usar PFS (Use PFS)]
Seleccione la casilla de verificación para habilitar la confidencialidad directa total (PFS) de las claves de las sesiones IPSec. Al habilitar PFS mejora la seguridad a medida que aumenta la carga de comunicación. Asegúrese de que PFS también esté habilitado para los otros dispositivos.
Seleccione la casilla de verificación para habilitar la confidencialidad directa total (PFS) de las claves de las sesiones IPSec. Al habilitar PFS mejora la seguridad a medida que aumenta la carga de comunicación. Asegúrese de que PFS también esté habilitado para los otros dispositivos.
[Especificar por tiempo (Specify by Time)]/[Especificar por tamaño (Specify by Size)]
Configure las condiciones para finalizar una sesión de SA de IPSec. SA de IPSec se utiliza como túnel de comunicación. Seleccione alguna de las casillas de verificación o ambas según corresponda. Si selecciona ambas, la sesión de SA de IPSec finalizará cuando se cumpla alguna de las condiciones.
Configure las condiciones para finalizar una sesión de SA de IPSec. SA de IPSec se utiliza como túnel de comunicación. Seleccione alguna de las casillas de verificación o ambas según corresponda. Si selecciona ambas, la sesión de SA de IPSec finalizará cuando se cumpla alguna de las condiciones.
|
[Especificar por tiempo (Specify by Time)]
|
Introduzca un periodo de tiempo en minutos para especificar cuánto dura una sesión.
|
|
[Especificar por tamaño (Specify by Size)]
|
Introduzca un tamaño en megabytes para especificar cuántos datos pueden transportarse en una sesión.
|
[Seleccionar algoritmo (Select Algorithm)]
Seleccione las casillas de verificación [ESP (ESP)], [ESP (AES-GCM) (ESP (AES-GCM))] o [AH (SHA1) (AH (SHA1))] en función del encabezado IPSec y el algoritmo utilizados. AES-GCM es un algoritmo tanto de autenticación como de cifrado. Si se selecciona [ESP (ESP)], seleccione también algoritmos de autenticación y cifrado en las listas desplegables [Autenticación ESP (ESP Authentication)] y [Cifrado ESP (ESP Encryption)].
Seleccione las casillas de verificación [ESP (ESP)], [ESP (AES-GCM) (ESP (AES-GCM))] o [AH (SHA1) (AH (SHA1))] en función del encabezado IPSec y el algoritmo utilizados. AES-GCM es un algoritmo tanto de autenticación como de cifrado. Si se selecciona [ESP (ESP)], seleccione también algoritmos de autenticación y cifrado en las listas desplegables [Autenticación ESP (ESP Authentication)] y [Cifrado ESP (ESP Encryption)].
|
[Autenticación ESP (ESP Authentication)]
|
Para habilitar la autenticación ESP, seleccione [SHA1 (SHA1)] para el algoritmo hash. Seleccione [No usar (Do Not Use)] si desea deshabilitar la autenticación ESP.
|
|
[Cifrado ESP (ESP Encryption)]
|
Seleccione el algoritmo de cifrado de ESP. Puede seleccionar [NULO (NULL)] si no desea especificar el algoritmo, o seleccionar [No usar (Do Not Use)] si desea deshabilitar el cifrado ESP.
|
[Modo de conexión (Connection Mode)]
Se muestra el modo de conexión de IPSec. El equipo admite el modo de transporte, en el que las cargas de los paquetes IP están cifradas. El modo de túnel, en el que todos los paquetes IP (encabezados y cargas) están encapsulados, no está disponible.
Se muestra el modo de conexión de IPSec. El equipo admite el modo de transporte, en el que las cargas de los paquetes IP están cifradas. El modo de túnel, en el que todos los paquetes IP (encabezados y cargas) están encapsulados, no está disponible.
11
Haga clic en [Aceptar (OK)].
Si debe registrar una directiva de seguridad adicional, vuelva al paso 6.
12
Ordene las directivas que aparecen en [Directivas de IPSec guardadas (Registered IPSec Policies)].
Las directivas se aplican desde la que se encuentra en la posición más elevada hasta la que se encuentra en la posición más baja. Haga clic en [Subir (Up)] o [Bajar (Down)] para subir o bajar una directiva.
Edición de una directiva
Haga clic en el vínculo de texto correspondiente que aparece debajo de [Nombre de directiva (Policy Name)] para la pantalla de edición.
Eliminación de una directiva
Haga clic en [Eliminar (Delete)] en la parte derecha del nombre de la directiva que desee eliminar haga clic en [Aceptar (OK)].
haga clic en [Aceptar (OK)].13
Reinicie el equipo.
Apague el equipo, espere al menos 10 segundos y vuelva a encenderlo.
|
|
Uso del panel de controlTambién podrá habilitar o deshabilitar la comunicación IPSec desde <Menú (Menu)> en la pantalla Inicio (Home). <Usar IPSec (Use IPSec)>
|