Temas Relacionados
Agregar una Transformación de Fase 1
Se puede definir un túnel para ofrecer a un punto más de un conjunto de transformación para negociación. Por ejemplo, un conjunto de transformaciones puede incluir [SHA2-256]-[AES256]-[DF14] ([método de autenticación]-[método de cifrado]-[grupo de claves]) y una segunda transformación puede incluir [SHA1]-[AES128]-[DF2], con las transformaciones [SHA2-256]-[AES256]-[DF14] definidas como el conjunto de prioridad más alta. Cuando se crea el túnel, el Firebox puede utilizar [SHA2-256]-[AES256]-[DF14] o [SHA1]-[AES128]-[DF2] para que coincida con el conjunto de transformaciones del otro extremo de la VPN. Puede agregar un máximo de nueve conjuntos de transformaciones.
Para obtener más información acerca de estas opciones, consulte Acerca de los Algoritmos y Protocolos de IPSec.
SHA-2 no se admite en dispositivos XTM
Puede configurar un BOVPN para usar IKEv1 o IKEv2. IKEv2 es admitido en el sistema operativo Fireware v11.11.2 y superior.
- Para un BOVPN que usa IKEv1, debe especificar el Modo Principal en las configuraciones de Fase 1 para usar transformaciones múltiples.
- Para un BOVPN que usa IKEv2, las transformaciones de fase 1 se comparten para todas las puertas de enlace IKEv2 que tienen al menos una puerta de enlace remota con una dirección IP dinámica. Para obtener más información, consulte Configurar los Ajustes Compartidos de IKEv2.
- Al agregar o editar una puerta de enlace, en la página Puerta de enlace, seleccione la pestaña Configuraciones de Fase 1.
- Si la puerta de enlace usa IKEv2 y tiene una puerta de enlace remota con una dirección de IP dinámica, la BOVPN usa los ajustes de Fase 1 compartidos y la lista de transformación de la Fase 1 no aparece en la pestaña Ajustes de la Fase 1. Para editar la configuración compartida, seleccione VPN > Configuraciones Compartidad de IKEv2.
- En la sección Transformar configuraciones, haga clic en Agregar.
Aparece el cuadro de diálogo Configuraciones de Transformación.
- Desde la lista desplegable Autenticación, seleccione SHA1, SHA2-256, SHA2-384, SHA2-512 o MD5 como método de autenticación. ¡Consejo!Recomendamos las variantes SHA-2 ya que son más fuertes que SHA-1 y MD5.
- En la lista desplegable Cifrado seleccione AES (128 bits), AES (192 bits), AES (256 bits), DES o 3DES como el tipo de cifrado. ¡Consejo!Recomendamos el cifrado AES. Para un mejor rendimiento, elija AES (128 bits). Para el cifrado más fuerte, elija AES (256 bits). No recomendamos usar DES o 3DES.
- Para cambiar la duración de SA (asociación de seguridad), ingrese un número en el cuadro de texto Duración de SA y seleccione Hora o Minuto desde la lista desplegable adyacente. La duración de SA debe ser un número menor que 596,523 horas o 37,791,394 minutos.
- Desde la lista desplegable Grupo de claves, seleccione Grupo Diffie-Hellman 1, 2, 5, 14, 15, 19 o 20.
Los grupos Diffie-Hellman determinan la fuerza de la clave maestra usada en el proceso de intercambio de claves. Cuanto más alto es el número del grupo, mayor es la seguridad, pero se requiere más tiempo para hacer las claves. Para obtener más información, consulte Acerca de los Grupos Diffie-Hellman. - Haga clic en Aceptar.
Transformar aparece en la página Nueva puerta de enlace en la lista de Configuraciones de Transformación. Se pueden agregar hasta nueve conjuntos de transformaciones. - Repita los pasos 2 a 6 para agregar más transformaciones. El conjunto de transformaciones en la parte superior de la lista es usado primero.
- Para cambiar la prioridad de un conjunto de transformaciones, seleccione el conjunto de transformaciones y haga clic en Arriba o Abajo.
- Haga clic en Aceptar.
- En el cuadro de diálogo Nueva puerta de enlace, seleccione la pestaña Configuraciones de Fase 1.
- Si la puerta de enlace usa IKEv2 y tiene al menos una puerta de enlace remota con una dirección IP dinámica, la BOVPN usa configuraciones de Fase 1 compartidas. Para editarlas, seleccione la pestaña Configuraciones Compartidas.
También puede seleccionar VPN > Configuraciones Compartidas de IKEv2 para editar estas configuraciones compartidas. - En la sección Transformar configuraciones, haga clic en Agregar.
Aparece el cuadro de diálogo Transformación de Fase 1.
- Desde la lista desplegable Autenticación, seleccione SHA1, SHA2-256, SHA2-384, SHA2-512 o MD5 como método de autenticación. ¡Consejo!Recomendamos las variantes SHA-2 ya que son más fuertes que SHA-1 y MD5.
- En la lista desplegable Cifrado seleccione AES (128 bits), AES (192 bits), AES (256 bits), DES o 3DES como el tipo de cifrado. ¡Consejo!Recomendamos el cifrado AES. Para un mejor rendimiento, elija AES (128 bits). Para el cifrado más fuerte, elija AES (256 bits). No recomendamos usar DES o 3DES.
- Para cambiar la duración de SA (asociación de seguridad), ingrese un número en el cuadro de texto Duración de SA y seleccione Hora o Minuto desde la lista desplegable adyacente. La duración de SA debe ser un número menor que 596,523 horas o 37,791,394 minutos.
- Desde la lista desplegable Grupo de claves, seleccione Grupo Diffie-Hellman 1, 2, 5, 14, 15, 19 o 20.
Los grupos Diffie-Hellman determinan la fuerza de la clave maestra usada en el proceso de intercambio de claves. Cuanto más alto es el número del grupo, mayor es la seguridad, pero se requiere más tiempo para hacer las claves. Para obtener más información, consulte Acerca de los Grupos Diffie-Hellman. - Haga clic en Aceptar.
Transformar aparece en el cuadro de diálogo Nueva Puerta de Enlace en la lista Configuraciones de Transformación. Se pueden agregar hasta nueve conjuntos de transformaciones. - Repita los pasos 2 a 6 para agregar más transformaciones. El conjunto de transformaciones en la parte superior de la lista es usado primero.
- Para cambiar la prioridad de un conjunto de transformaciones, seleccione el conjunto de transformaciones y haga clic en Arriba o Abajo.
- Haga clic en Aceptar.
Vea también
Configurar los Ajustes de Fase 1 IPSec VPN
Configurar Puertas de Enlace BOVPN Manuales
Definir los Extremos de la Puerta de Enlace para una Puerta de Enlace BOVPN