Uso de la comunicación IPsec

Configure el ajuste si su entorno requiere IPsec.

La tecnología IPsec evita la falsificación o filtración de datos basada en el paquete IP utilizando tecnología de cifrado. A medida que IPsec cifra los datos en la capa de red, se garantiza una comunicación segura aunque utilice protocolos en la capa superior o aplicaciones que no admiten el cifrado.

  1. En el modo Administrador, seleccione [Red] - [Ajuste de TCP/IP] - [IPsec] - [Configuración de IPsec] y, a continuación, haga clic en [Aceptar].

  2. Haga clic en [Editar] de [IKEv1] o [IKEv2] en [Configuración IPsec] y, a continuación, configure las siguientes opciones.

    Ajustes

    Descripción

    [Algoritmo de cifrado]

    Seleccione el algoritmo de cifrado para crear una clave común utilizada para la comunicación.

    [Algoritmo de autenticación]

    Seleccione el algoritmo de autenticación para crear una clave común utilizada para la comunicación.

    [Período de validez de la clave de cifrado]

    Especifique el período de validez de una clave común para crear de forma segura una clave común para cifrar las comunicaciones.

    Cuando este periodo caduque, se creará una nueva clave. De este modo se protege la comunicación.

    [Grupo Diffie‑Hellman]

    Seleccione el Grupo Diffie-Hellman.

    [Modo de negociación]

    Seleccione el método para crear de forma segura una clave común utilizada para cifrar comunicaciones.

  3. Desde [SA] en [Configuración IPsec], haga clic en [Tiempo de creación] y registre la asociación de seguridad (SA).

    explicación adicionalPara la SA se pueden registrar hasta 10 grupos.

    Ajustes

    Descripción

    [Nombre]

    Introduzca el nombre de la SA (utilizando de 1 a 10 caracteres, excluyendo ").

    [Modo de cifrado]

    Seleccione el modo de funcionamiento IPsec.

    [Protocolo de seguridad]

    Seleccione un protocolo de seguridad.

    [Método int. claves]

    Seleccione el método de sustitución de claves para crear de forma segura una clave común para cifrar las comunicaciones.

    [Extremo de túnel]

    Introduzca la dirección IP de la pasarela IPsec del miembro.

    Esto es necesario cuando se selecciona [Túnel] en [Modo de cifrado].

    [Tiempo de validez tras establecer SA]

    Introduzca el tiempo de validez de una clave común utilizada para cifrar comunicaciones.

    [Configuración IKE]

    Configure los ajustes IKE utilizados para esta SA.

    Se requiere cuando se ha seleccionado [IKEv1] o [IKEv2] en [Método int. claves].

    [Método de Autenticación]

    Seleccione un método de autenticación.

    [Método de autenticación local]

    Seleccione el método de autenticación de esta máquina cuando se selecciona [IKEv2] en [Método int. claves].

    [Método de autenticación de miembro]

    Seleccione el método de autenticación de miembro cuando se selecciona [IKEv2] en [Método int. claves].

    [Algoritmo de cifrado ESP]

    Si selecciona [ESP] para [Protocolo de seguridad], configure el algoritmo de cifrado ESP.

    [Algoritmo de autenticación ESP]

    Si selecciona [ESP] para [Protocolo de seguridad], configure el algoritmo de autenticación ESP.

    [Algoritmo de autenticación AH]

    Si selecciona [AH] para [Protocolo de seguridad], configure el algoritmo de autenticación AH.

    [Confidenc. directa perf]

    Seleccione esta casilla de verificación si desea aumentar el nivel de IKE.

    Al seleccionar esta casilla de verificación, aumenta el tiempo que se dedica a la comunicación.

    [Grupo Diffie-Hellman(IKEv1)]/[Grupo Diffie-Hellman(IKEv2)]

    Seleccione el Grupo Diffie-Hellman.

    [Configuración de la clave manual]

    Al utilizar un dispositivo que no admite el intercambio automático de claves utilizando IKE, configure cada parámetro manualmente.

    Será necesario cuando se haya seleccionado [Clave manual] en [Método int. claves].

    [Algoritmo de cifrado]

    Seleccione el algoritmo que se va a utilizar para el cifrado.

    [Algoritmo de autenticación]

    Seleccione el algoritmo que se va a utilizar para la autenticación.

    [Índice SA]

    Especifique el índice de parámetros de seguridad SA que se van a añadir al encabezado de IPsec.

    [Cifrado de clave común]

    Especifique la clave común utilizada para el cifrado.

    Puede especificar diferentes claves comunes respectivamente para enviar y recibir.

    [Autenticación de clave común]

    Especifique la clave común utilizada para la autenticación.

    Puede especificar diferentes claves comunes respectivamente para enviar y recibir.

  4. Desde [Miembro] en [Configuración IPsec], haga clic en [Tiempo de creación] y registre los miembros de esta máquina.

    explicación adicionalPueden registrarse hasta 10 miembros.

    Ajustes

    Descripción

    [Nombre]

    Introduzca el nombre de miembro (utilizando de 1 a 10 caracteres, excluyendo ").

    [Configurar dirección de IP]

    Especifique la dirección IP del miembro.

    [Texto de clave precompartida]

    Introduzca el texto de clave precompartida que se va a compartir con el miembro.

    • [ASCII]: introduzca el texto de clave precompartida utilizando caracteres ASCII (hasta 128).

    • [HEX]: introduzca el texto de clave precompartida utilizando caracteres hexadecimales (hasta 256).

    Especifique el mismo texto que el del miembro.

    [Texto ID-clave]

    Introduzca la Clave-ID que se va a especificar para la Clave precompartida (utilizando 128 caracteres como máximo).

  5. Desde [Especificación de protocolo] en [Configuración IPsec], haga clic en [Tiempo de creación] y especifique el protocolo utilizado para la comunicación IPsec.

    explicación adicionalSe pueden especificar hasta 10 protocolos.

    Ajustes

    Descripción

    [Nombre]

    Introduzca el nombre del protocolo (utilizando de 1 a 10 caracteres, excluyendo ").

    [Config. de la identificación del protocolo]

    Seleccione un protocolo utilizado para la comunicación IPsec.

    [Número puerto]

    Si se ha seleccionado [TCP] o [UDP] en [Config. de la identificación del protocolo], especifique el número de puerto utilizado para la comunicación IPsec.

    [Tipo mensaje ICMP]

    Seleccione el tipo de mensaje ICMP cuando se selecciona [ICMP] en [Config. de la identificación del protocolo].

    • [Solicitud/ respuesta eco]: especifique un mensaje ICMP para respuesta o solicitud de eco.

    • [Ninguna]: no especifica el tipo de mensaje ICMP.

    [Tipo mensaje ICMPv6]

    Seleccione el tipo de mensaje ICMP cuando se selecciona [ICMPv6] en [Config. de la identificación del protocolo].

    • [Solicitud/ respuesta eco]: especifique un mensaje ICMP para respuesta o solicitud de eco.

    • [Ninguna]: no especifica el tipo de mensaje ICMP.

  6. En el modo Administrador, seleccione [Red] - [Ajuste de TCP/IP] - [IPsec] - [Config. del uso de IPsec] y, a continuación, haga clic en [Aceptar].

  7. En [Config. del uso de IPsec], configure los siguientes ajustes.

    Ajustes

    Descripción

    [IPsec]

    Seleccione [Act.] para utilizar el IPsec.

    [Dead Peer Detection (detección de miembros "muertos")]

    Si no se puede confirmar una respuesta del miembro en un período determinado, se elimina la SA con el miembro.

    Seleccione el tiempo transcurrido antes de enviar información de confirmación de supervivencia al miembro que no ha respondido.

    [Cookies]

    Seleccione si se debe activar la defensa utilizando Cookies contra los ataques de denegación de servicio.

    [Ajustes Pase ICMP]

    Seleccione si se debe aplicar IPsec al Protocolo de mensajes de control de Internet (ICMP).

    Seleccione [Activar] para permitir que los paquetes ICMP pasen sin aplicar IPsec al ICMP.

    [Ajustes Pase ICMPv6]

    Seleccione si se debe aplicar IPsec al Protocolo de mensajes de control de Internet para IPv6 (ICMPv6).

    Seleccione [Activar] para permitir que los paquetes ICMPv6 pasen sin aplicar IPsec al ICMPv6.

    [acción predeterminado]

    Seleccione una acción que se debe realizar si los ajustes no cumplen la [Política IPsec] mientras se ha activado la comunicación IPsec.

    Seleccione [Denegar] para descartar los paquetes IP que no cumplan los ajustes de la [Política IPsec].

    [Configuración del nivel de verificación de certificados]

    Para verificar el certificado, seleccione los elementos que se deben comprobar.

    Si selecciona [Confirmar] en cada elemento, el certificado se verificará para cada elemento.

    [Periodo de validez]

    Confirma si el certificado todavía es válido.

    [Confirmar] es la opción predeterminada.

    [Utilización de las teclas]

    Confirma si el certificado se utiliza para el fin previsto aprobado por el emisor de dicho certificado.

    [No confirmar] es la opción predeterminada.

    [Cadena]

    Confirma si hay un problema en la cadena de certificados (ruta de certificados).

    La cadena es validada consultando los certificados externos gestionados en esta máquina.

    [No confirmar] es la opción predeterminada.

    [Confirmación de la fecha de caducidad]

    Confirma si el certificado ha caducado.

    Confirma la caducidad del certificado en el siguiente orden.

    • Servicio OCSP (Online Certificate Status Protocol)

    • CRL (Certificate Revocation List)

    [No confirmar] es la opción predeterminada.

  8. Desde [Política IPsec] en [Config. del uso de IPsec], haga clic en [Tiempo de creación] y, a continuación, configure las siguientes opciones.

    explicación adicionalLas condiciones de los paquetes IP se pueden especificar para que pasen o se permitan los paquetes IP que cumplan cada una de las condiciones.

    Ajustes

    Descripción

    [Nombre]

    Introduzca el nombre de la Política IPsec (utilizando de 1 a 10 caracteres, excluyendo ").

    [Miembro]

    Seleccione un ajuste de miembro.

    Seleccione el ajuste de aquellos que están registrados en [Miembro] en [Configuración IPsec].

    [Especificación de protocolo]

    Seleccione un protocolo.

    Seleccione el ajuste de aquellos que están registrados en [Especificación de protocolo] en [Configuración IPsec].

    [Configuración IPsec]

    Seleccione un ajuste de miembro.

    Seleccione el ajuste de aquellos que están registrados en [SA] en [Configuración IPsec].

    [Sentido de la comunicación]

    Seleccione una dirección de la comunicación IPsec.

    [acción]

    Seleccione una acción que se debe llevar a cabo para los paquetes IP que cumplen las condiciones de [Miembro], [Especificación de protocolo] y [Sentido de la comunicación].

    • [Protegido]: protege los paquetes IP que cumplen las condiciones.

    • [Permitir]: no protege los paquetes IP que cumplen las condiciones.

    • [Denegar]: descarta los paquetes IP que cumplen las condiciones.

    • [Cancelar]: rechaza los paquetes IP que cumplen las condiciones.

  9. En el modo Administrador, seleccione [Red] - [Config de TCP/IP] - [IPsec] - [Verific. de la comunicación] y, a continuación, compruebe que se puede establecer con normalidad una conexión con un miembro mediante el ajuste especificado.

    explicación adicionalIntroduzca la dirección IP del miembro en [Dirección IP] y, a continuación, haga clic en [Verif de conexión].