Uso de la comunicación IPsec
Configure el ajuste si su entorno requiere IPsec.
La tecnología IPsec evita la falsificación o filtración de datos basada en el paquete IP utilizando tecnología de cifrado. A medida que IPsec cifra los datos en la capa de red, se garantiza una comunicación segura aunque utilice protocolos en la capa superior o aplicaciones que no admiten el cifrado.
Seleccione [Red] - [Config de TCP/IP] - [IPsec] - [Configuración de IPsec] en modo administrador de Web Connection (o en [Utilidades] - [Administrador] de la máquina) y haga clic en [OK].
Haga clic en [Editar] de [IKEv1] o [IKEv2] en [Configuración IPsec] y, a continuación, configure las siguientes opciones.
Configuración
Descripción
[Algoritmo de cifrado]
Seleccione el algoritmo de cifrado para crear una clave común utilizada para la comunicación.
[Algoritmo de autenticación]
Seleccione el algoritmo de autenticación para crear una clave común utilizada para la comunicación.
[Período de validez de la clave de cifrado]
Especifique el período de validez de una clave común para crear de forma segura una clave común para cifrar las comunicaciones (predeterminado: [28800] s).
Cuando este periodo caduque, se creará una nueva clave. De este modo se protege la comunicación.
[Grupo Diffie‑Hellman]
Seleccione el grupo Diffie-Hellman (predeterminado: [Grupo 2]).
[Modo de negociación]
Seleccione el modo de negociación (predeterminado: [Modo principal]). Esta opción no está disponible en [IKEv2].
Desde [SA] en [Configuración IPsec], haga clic en [Registro] y registre la asociación de seguridad (SA).
Para la SA se pueden registrar hasta 10 grupos.
Configuración
Descripción
[Nombre]
Introduzca el nombre de la SA (utilizando de 1 a 10 caracteres, excluyendo ").
[Modo de cifrado]
Seleccione el modo de operación IPsec (predeterminado: [Transporte]).
[Protocolo de seguridad]
Seleccione un protocolo de seguridad.
[Método int. claves]
Seleccione el método de sustitución de claves para crear de forma segura una clave común para cifrar las comunicaciones (predeterminado: [IKEv1]).
[Extremo de túnel]
Si se selecciona [Túnel] en [Modo de cifrado], introduzca la dirección IP de la pasarela IPsec que se utilice como miembro.
[Tiempo de validez tras establecer SA]
Introduzca el tiempo de validez de una clave común utilizada para cifrar comunicaciones (predeterminado: [3600] s).
[Configuración IKE]
Configure los ajustes IKE utilizados para esta SA. Se requiere cuando se ha seleccionado [IKEv1] o [IKEv2] en [Método int. claves].
[Método de Autenticación]: seleccione el método de autenticación.
[Método de autenticación local]: seleccione el método de autenticación de la máquina cuando se selecciona [IKEv2] en [Método int. claves].
[Método de autenticación de miembro]: seleccione el método de autenticación de miembro cuando se selecciona [IKEv2] en [Método int. claves].
[ESN]: para aplicar la numeración extendida de secuencia de 64 bits, asigne a esta opción el valor ON.
[Repita la detección.]: para activar la defensa de repetición, asigne a esta opción el valor ON.
[Algoritmo de cifrado ESP]: si se selecciona [ESP] en [Protocolo de seguridad], debe configurar el algoritmo de cifrado ESP.
[Algoritmo de autenticación ESP]: si se selecciona [ESP] en [Protocolo de seguridad], debe configurar el algoritmo de autenticación ESP.
[Algoritmo de autenticación AH]: si se selecciona [AH] en [Protocolo de seguridad], debe configurar el algoritmo de autenticación AH.
[Confidencialidad directa total]: para aumentar la intensidad IKE, asigne a esta opción el valor ON. Al asignar el valor ON aumenta el tiempo dedicado a la comunicación.
Desde [Miembro] en [Configuración IPsec], haga clic en [Registro] y registre los miembros de esta máquina.
Pueden registrarse hasta 10 miembros.
Configuración
Descripción
[Miembro]
Para registrar un miembro, asigne a esta opción el valor ON (predeterminado: OFF).
[Nombre]
Introduzca el nombre de miembro (utilizando de 1 a 10 caracteres, excluyendo ").
[Configurar dirección de IP]
Seleccione el método para especificar la dirección de miembro. Especifique la dirección IP del miembro en función del método seleccionado.
[Texto de clave precompartida]
Introduzca el texto de clave precompartida que se vaya a compartir con un miembro utilizando hasta 128 caracteres ASCII o hasta 256 caracteres hexadecimales.
Especifique el mismo texto que el del miembro.
[Texto ID-clave]
Introduzca la Clave-ID que se va a especificar para la Clave precompartida (utilizando 128 bytes como máximo).
Desde [Config. protocolo] en [Configuración de IPsec], haga clic en [Registro] y especifique el protocolo utilizado para la comunicación IPsec.
Se pueden especificar hasta 10 protocolos.
Configuración
Descripción
[Especificación de protocolo]
Para registrar la configuración de protocolo, asigne a esta opción el valor ON (predeterminado: OFF).
[Nombre]
Introduzca el nombre de grupo con el protocolo especificado (utilizando entre 1 y 10 caracteres, excepto ").
[Config. de la identificación del protocolo]
Seleccione el protocolo utilizado para la comunicación IPsec (predeterminado: [Sin selección]).
[Número de puerto]
Si se ha seleccionado [TCP] o [UDP] en [Config. de la identificación del protocolo], especifique el número de puerto utilizado para la comunicación IPsec.
[Tipo mensaje ICMP]
Especifique el tipo de mensaje ICMP cuando se selecciona [ICMP] en [Config. de la identificación del protocolo].
[Tipo mensaje ICMPv6]
Especifique el tipo de mensaje ICMP cuando se selecciona [ICMPv6] en [Config. de la identificación del protocolo].
Seleccione [Red] - [Config de TCP/IP] - [IPsec] - [Config. del uso de IPsec] en modo administrador de Web Connection (o en [Utilidades] - [Administrador] de la máquina) y haga clic en [OK].
En [Config. del uso de IPsec], configure los siguientes ajustes.
Configuración
Descripción
[IPsec]
Para utilizar IPsec, asigne a esta opción el valor ON (predeterminado: OFF).
[Dead Peer Detection (detección de miembros "muertos")]
Si no se puede confirmar una respuesta del miembro en un período determinado, se elimina la SA con el miembro. Seleccione el tiempo transcurrido antes de enviar información de confirmación de supervivencia al miembro que no ha respondido (predeterminado: [15] s).
[Cookies]
Seleccione si se debe activar la defensa utilizando Cookies contra los ataques de denegación de servicio (predeterminado: [Desactivar]).
[Ajustes Pase ICMP]
Seleccione si se debe aplicar IPsec al Protocolo de mensajes de control de Internet (ICMP) (predeterminado: [Desactivar]). Seleccione [Activar] para permitir que los paquetes ICMP pasen sin aplicar IPsec al ICMP.
[Ajustes Pase ICMPv6]
Seleccione si se debe aplicar IPsec al Protocolo de mensajes de control de Internet para IPv6 (ICMPv6) (predeterminado: [Desactivar]). Seleccione [Activar] para permitir que los paquetes ICMPv6 pasen sin aplicar IPsec al ICMPv6.
[acción predeterminado]
Seleccione la acción que debe realizarse si los ajustes no cumplen la [Política IPsec] cuando está activada la comunicación IPsec (predeterminado: [Permitir]). Seleccione [Denegar] para descartar los paquetes IP que no cumplan los ajustes de la [Política IPsec].
[Configuración del nivel de verificación de certificados]
Para verificar el certificado, seleccione los elementos que se deben comprobar.
[Fecha de caducidad]: permite confirmar si el certificado se encuentra dentro del período de validez (predeterminado: ON).
[Uso de claves]: permite confirmar si el certificado se utiliza para el fin previsto aprobado por el emisor de dicho certificado (predeterminado: OFF).
[Cadena]: permite confirmar si hay algún problema en la cadena del certificado (ruta del certificado) (predeterminado: OFF). La cadena es validada consultando los certificados externos gestionados en esta máquina.
[Confirmación de la fecha de caducidad]: permite confirmar si el certificado ha caducado (predeterminado: OFF). La confirmación de la fecha de caducidad se realiza en el orden de servicio OCSP (Online Certificate Status Protocol) y, a continuación, CRL (Certificate Revocation List).
En [Política IPsec] en [Config. del uso de IPsec], haga clic en [Registro] y después defina los ajustes siguientes.
Las condiciones de los paquetes IP se pueden especificar para que pasen o se permitan los paquetes IP que cumplan cada una de las condiciones.
Configuración
Descripción
[Política IPsec]
Seleccione si se debe utilizar la política IPsec (predeterminado: [OFF]).
[Nombre]
Introduzca el nombre de la Política IPsec (utilizando de 1 a 10 caracteres, excluyendo ").
[Miembro]
Seleccione un ajuste de miembro. Seleccione el ajuste de aquellos que están registrados en [Miembro] en [Configuración IPsec].
[Especificación de protocolo]
Seleccione un protocolo. Seleccione el ajuste de aquellos que están registrados en [Especificación de protocolo] en [Configuración IPsec].
[Configuración IPsec]
Seleccione una configuración SA. Seleccione el ajuste de aquellos que están registrados en [SA] en [Configuración IPsec].
[Sentido de la comunicación]
Seleccione una dirección de la comunicación IPsec.
[acción]
Seleccione la operación para el paquete IP que cumpla la condición especificada.
[Protegido]: protege los paquetes IP que cumplen las condiciones.
[Permitir]: no protege los paquetes IP que cumplen las condiciones.
[Denegar]: descarta los paquetes IP que cumplen las condiciones.
[Cancelar]: rechaza los paquetes IP que cumplen las condiciones.
Seleccione [IPsec] - [Verific. de la comunicación] y después compruebe que es posible establecer normalmente una comunicación con un miembro mediante el ajuste definido.
Introduzca la dirección IP del miembro en [Dirección IP] y, a continuación, haga clic en [Verif de conexión].