Ayuda

FichaSeguridad/VPN
TnelVPN

Seleccionarentradadeltnel
Seleccionaruntnelparaconfigurar.
Crearbotn
Hagaclicenestebotnparacrearunnuevotnel.
BotnEliminar
Hagaclicenestebotnparaborrartodoslosajustesparaeltnel
seleccionado.
ResumenButton
Alhacerclicenestebotnsemuestralaconfiguracinyelestadode
todoslostneleshabilitados.
IPSecVPNTnel
CompruebeelHabilitaropcinparahabilitarestetnel.
TnelNombre
Introduzcaunnombreparaestetnel,como"OficinadeLondres".

GrupoSecure
Local

GrupoSecureLocal
SeleccioneelusuariolocalLAN(s)quepuedenutilizarestetnelVPN.
EstopuedeserunanicadireccinIPosubred.Tengaencuentaqueel
GrupodeSeguridadLocaldebecoincidirremotoGruposegurodela
puertadeenlaceremota.
IP
IntroduzcaladireccinIPdelaredlocal.
Mscara
Siseseleccionalaopcindesubred,introduzcalamscarapara
determinarlasdireccionesIPdelaredlocal.

GrupoRemoto
Seguro

GrupoRemotoSeguro
SeleccioneelusuarioLANremota(s)detrsdelapuertadeenlace
remotaquepuedeutilizarestetnelVPN.Estopuedeserunadireccin
IPnica,unasubred,ocualquierdireccin.Si"Cualquier"est
ajustado,lapuertadeenlaceactacomorespondedoryacepta
solicitudesdecualquierusuarioremoto.TengaencuentaqueelGrupo
remotosegurodebecoincidirGrupoSecurelocaldelapuertadeenlace
remota.
IP
IntroduzcaladireccinIPenlaredremota.
Mscara
Siseseleccionalaopcindesubred,introduzcalamscarapara
determinarlasdireccionesIPenlaredremota.

RemotoSecure
Gateway

RemotoSecureGateway
Seleccionelaopcindeseada,IPDir.,TodooFQDN.Silapuertade
enlaceremotatieneunadireccinIPdinmica,seleccioneCualquiero
FQDN.SiCualquieraestseleccionado,entonceslapasarela
aceptarsolicitudesdecualquierdireccinIP.FQDNSiFQDNest
seleccionada,introduzcaelnombrededominiodelapuertadeenlace
remota,porloquelapuertadeenlacepuedelocalizarunadireccinIP
actualutilizandoDDNS.

IP
LadireccinIPenestecampodebecoincidirconelpblico(WANo
Internet)ladireccinIPdelapuertadeenlaceremotaenelotroextremo
deestetnel.
Administracinde
claves

Clavemtododeintercambio
Eldispositivoescompatibletantoconlaadministracindeclaves
automticaymanual.Cuandoseseleccionalagestinautomticade
claves,losprotocolosdeInternetKeyExchange(IKE)seutilizanpara
negociarmaterialclaveparalaasociacindeseguridad(SA).Sise
seleccionalagestinmanualdeclaves,nosenecesitalanegociacin
declaves.Bsicamente,lagestinmanualdeclavesseutilizaen
pequeosentornosestticosoparasolucionarproblemas.Tengaen
cuentaqueambosladosdebenutilizarelmismomtododegestinde
claves.

Auto(IKE)
deadministracin
declaves

Encriptacin
Elmtododecifradodeterminalalongituddelaclaveutilizadapara
cifrar/descifrarlospaquetesESP.Observequeambosladosdeben
utilizarelmismomtodo.
Autenticacin
Elmtododeautenticacinautenticalospaquetesdecargade
seguridadencapsuladora(ESP).SeleccioneMD5oSHA.Observeque
ambaspartes(puntosfinalesVPN)debenutilizarelmismomtodo.
MD5:Unalgoritmohashunidireccionalqueproduceun128bit
digerir
SHA:Unalgoritmohashunidireccionalqueproduceun160bit
digerir
PerfectForwardSecrecy(PFS):
SiPFSesthabilitada,IKEFase2negociacingenerarnuevomaterial
claveparaelcifradodeltrficoIPyautenticacin.Tengaencuentaque
ambaspartesdebenhaberhabilitadolaSSP.
PreSharedKey
IKEutilizalaPreSharedKeyparaautenticarelinterlocutorIKEremoto.
Ambosvaloresdecarcteryhexadecimalsonaceptableseneste
campo,porejemplo,"MY_@123"o"0x4d795f40313233".Tengaen
cuentaqueambosladosdebenutilizarlamismaclavepreviamente
compartida.
LifetimeKey:
EstecampoespecificaeltiempodevidadelaclaveIKEgenera.Siel
tiempoexpira,unanuevaclavesevolveranegociardeforma
automtica.ElLifetimeKeypuedevariarde300a100millones
segundos.Laduracinpredeterminadaesde3600segundos.

Manual

Algoritmodecifrado

deadministracin
declaves

Elmtododecifradodeterminalalongituddelaclaveutilizadapara
cifrar/descifrarlospaquetesESP.Observequeambosladosdeben
utilizarelmismomtodo.
ClaveDeEncriptacin
Estecampoespecificaunaclaveutilizadaparacifrarydescifrarel
trficoIP.Ambosvaloresdecarcteryhexadecimalsonaceptablesen
estecampo.Tengaencuentaqueambosladosdebenutilizarlamisma
clavedecifrado.
Algoritmodeautenticacin

Elmtododeautenticacinautenticalospaquetesdecargade
seguridadencapsuladora(ESP).SeleccioneMD5oSHA.Observeque
ambaspartes(puntosfinalesVPN)debenutilizarelmismomtodo.
MD5:Unalgoritmohashunidireccionalqueproduceun128bit
digerir
SHA:Unalgoritmohashunidireccionalqueproduceun160bit
digerir
Clavedeautenticacin
EstecampoespecificaunaclaveutilizadaparaautenticareltrficoIP.
Ambosvaloresdecarcteryhexadecimalsonaceptableseneste
campo.Tengaencuentaqueambosladosdebenutilizarlamismaclave
deautenticacin.
InboundSPI/OutboundSPI
Elndicedeparmetrosdeseguridad(SPI)serealizaenlacabecera
ESP.EstopermitequeelreceptorparaseleccionarlaSA,envirtuddel
cualsedebeprocesarunpaquete.ElSPIesunvalorde32bits.Ambos
valoresdecimalesyhexadecimalessonaceptables.porejemplo,
"987654321"o"0x3ade68b1".Cadatneldebetenerunanicaentraday
salidaSPISPI.NohaydostnelescompartenelmismoSPI.Tengaen
cuentaqueelSPIentrantedebecoincidirconeldelapuertadeenlace
remotaOutboundSPI,yviceversa.
Estado
Botones

Estecampomuestraelestadodelaconexinparaeltnel
seleccionado.Elestadoesbienconectadoodesconectado.
Conecte
Hagaclicenestebotnparaestablecerunaconexinparala
corrientetnelVPN.Siharealizadoalgncambio,hagaclicen
Guardarconfiguracinparaaplicarprimeroloscambios.
Desconectar
Hagaclicenestebotnpararomperunaconexinparala
corrientetnelVPN.
Verregistro
HagaclicenestebotnparaverelregistrodeVPN,quemuestra
losdetallesdecadatnelestablecido.
Configuracinavanzada
SielmtododeintercambiodeclavesesAuto(IKE),estebotn
permiteaccederaajustesadicionalesrelacionadosconIKE.
Hagaclicenestebotnsilapuertadeenlacenoescapazde
estableceruntnelVPNalapuertadeenlaceremota,y
asegresedequelaconfiguracinavanzadacoincideconlosde
lapuertadeenlaceremota.

ConfiguracinavanzadaTnelVPN

Fase1

ModoDeOperacin
SeleccioneelmtodoapropiadoparaelterminalVPNremoto.
Principal:Elmodoprincipalesmslentoperomsseguro.
Agresivo:Elmodoagresivoesmsrpidoperomenosseguro.
IdentidadLocal
Seleccionelaopcindeseadaparaquecoincidaconelajusteenelotro
extremodeestetnelIdentidadremoto.
DireccinIPLocal:SuWAN(Internet)ladireccinIP
Nombre:Sunombrededominio
Identidadremoto
Seleccionelaopcindeseadaparaquecoincidaconlaconfiguracinde
laidentidadlocalenelotroextremodeestetnel.
DireccinIPLocal:WAN(Internet)ladireccinIPdelterminal
VPNremoto
Nombre:ElnombrededominiodelterminalVPNremoto.
Encriptacin
EsteeselalgoritmodecifradoutilizadoparaelIKESA.Sedebe
coincidirconelvalorutilizadoenelotroextremodeltnel.
Autenticacin
EsteeselalgoritmodeautenticacinutilizadoparalaIKESA.Sedebe
coincidirconelvalorutilizadoenelotroextremodeltnel.
MD5:Unalgoritmohashunidireccionalqueproduceun128bit
digerir
SHA:Unalgoritmohashunidireccionalqueproduceun160bit
digerir
Grupo
Elajustedegrupodeterminaeltamaodebitsutilizadoenelintercambio
IKE.Estevalordebecoincidirconelvalorutilizadoenelotroextremode
estetnel.
LifetimeKey
EstodeterminaelintervalodetiempoantesdelaIKESAexpira.(Ser
automticamenterestablecersesiesnecesario.)Elusodeuncorto
perododetiempoaumentalaseguridadperotambindegradael
rendimiento.AunqueelcursodelavidaKeysemideensegundos,es
comnelusodeunperododetiempomslargoqueunahora(3600
segundos)durantelavidatilSA.

Fase2

Encriptacin
EsteeselalgoritmodecifradoutilizadoparalaSAIPSec.Estsituado
enlaprincipalesVPNpantalla.
Autenticacin
EsteeselalgoritmodeautenticacinutilizadoparalaSAIPSec.Est
situadoenlaprincipalVPNpantalla.
PFS
Siseactiva,laSSPofrecemayorseguridad.Estsituadoenlaprincipal

esVPNpantalla.
Grupo
Elajustedegrupodeterminaeltamaodebitsutilizadoenelintercambio
deIPSec.Estevalordebecoincidirconelvalorutilizadoenelotro
extremodeestetnel.
LifetimeKey
EstodeterminaelintervalodetiempoantesdequeelIPSecSAexpira.
(Serautomticamenterestablecersesiesnecesario.)Elusodeun
cortoperododetiempoaumentalaseguridadperotambindegradael
rendimiento.AunqueelcursodelavidaKeysemideensegundos,es
comnelusodeunperododetiempomslargoqueunahora(3600
segundos)durantelavidatilSA.
HagaclicenelGuardarconfiguracinbotnparaaplicarloscambiosolaCancelChanges
botnparacancelar.

Cerrar

Impresin