Contents

Temas Relacionados

Agregar una Propuesta de Fase 2

Puede configurar un túnel para ofrecer a un par más de una propuesta para la Fase 2 de IKE. Por ejemplo, podría especificar [ESP]-[AES256]-[SHA2-256] en una propuesta y [ESP]-[AES128]-[SHA1] en una segunda propuesta. Cuando el tráfico pasa por el túnel, la asociación de seguridad puede usar o el [ESP]-[AES256]-[SHA2-256] o el [ESP]-[AES128]-[SHA1] para que coincida con las configuraciones de transformación en el par. Para obtener más información acerca de estas opciones, consulte Acerca de los Algoritmos y Protocolos de IPSec.

Puede agregar hasta un máximo de ocho propuestas a una configuración de túnel. El túnel usa las propuestas configuradas en el orden en que se enumeran en la configuración del túnel.

Hay seis propuestas Fase 2 preconfiguradas, que no son editables. Los nombres siguen el formato <Tipo>-<Autenticación>-<Encryption (Cifrado)>. Para las seis, el ajuste Forzar Caducidad de Clave por Tiempo está establecido en 8 horas.

Una propuesta de Fase 2 puede usar el protocolo ESP (Carga de seguridad de encapsulación) o AH (Encabezado de Autenticación). Recomendamos que use el ESP. Las diferencias entre ESP y AH son:

  • El ESP es una autenticación con cifrado.
  • El AH es sólo una autenticación. La autenticación de ESP no incluye la protección del encabezado de IP, mientras que el AH sí lo incluye.
  • El puerto de transferencia IPSec soporta ESP, pero no AH. Si planea usar la función de puerto de transferencia de IPSec, debe especificar el ESP como el método de propuesta. Para obtener más información acerca del paso a través de IPSec, consulte, Acerca de los Ajustes de VPN Global.

Crear una nueva propuesta de Fase 2

Para crear una nueva propuesta Fase 2 en Fireware Web UI o en Policy Manager:

  1. Seleccione VPN > Propuestas de Fase 2.
  2. Haga clic en Agregar.
  1. Configure los ajustes tal como se describe en la siguiente sección.
  2. En el cuadro de texto Nombre, ingrese un nombre para la propuesta nueva.
  3. (Opcional) En el cuadro de texto Descripción, ingrese una descripción para identificar esta propuesta.
  4. En la lista desplegable Tipo, seleccione ESP o AH.
  5. Desde la lista desplegable Autenticación, seleccione el método de autenticación.
    Las opciones son Ninguno, MD5, SHA1, SHA2-256, SHA2-384 y SHA2-512, que se enumeran en orden desde la menos segura hasta la más segura. ¡Consejo!Recomendamos las variantes SHA-2 ya que son más fuertes que SHA-1 y MD5.

SHA-2 no se admite en dispositivos XTM 21, 22, 23, 505, 510, 520, 530, 515, 525, 535, 545, 810, 820, 830, 1050 y 2050. La aceleración criptográfica de hardware en esos modelos no es compatible con SHA-2. Todos los otros modelos admiten SHA-2.

  1. Si seleccionó ESP en la lista desplegable Tipo, en la lista desplegable Cifrado seleccione el método de cifrado.
    Las opciones son: DES, 3DES, y AES (128-bit), AES (192-bit) o AES (256-bit), que están enumeradas en orden de menor a mayor seguridad. ¡Consejo!Recomendamos el cifrado AES. Para un mejor rendimiento, elija AES (128 bits). Para el cifrado más fuerte, elija AES (256  bits). No recomendamos usar DES o 3DES.
  2. Para hacer que los extremos de puerta de enlace generen e intercambien nuevas claves después de un tiempo o tráfico determinados, establezca la configuración en la sección Forzar Caducidad de Clave.
    • Seleccione la casilla de selección Tiempo para que caduque la clave luego de una cantidad de tiempo. Ingrese o seleccione la cantidad de tiempo que debe pasar para forzar la caducidad de la clave.
    • Seleccione la casilla de selección Tráfico para que caduque la clave luego de una cantidad de tráfico. Ingrese o seleccione el número de kilobytes de tráfico que deben pasar para forzar la caducidad de la clave. El valor debe ser un mínimo de 24576 kilobytes. En Fireware Web UI, si lo configura a un valor inferior, automáticamente se configura a 24576 al guardar la propuesta.
    • Si las opciones Forzar caducidad de clave están deshabilitadas, el intervalo de caducidad de la clave se establece en 8 horas.

La función Forzar Caducidad de Clave para Tráfico no está habilitada por defecto. Esto proporciona una mejor interoperabilidad VPN con dispositivos de terceros.

Editar o Clonar una propuesta

Puede editar una propuesta en Fireware Web UI o Policy Manager. En Policy Manager también puede clonar cualquier propuesta predefinida o definida por el usuario. Cuando clona una propuesta, se copia una propuesta que ya existe y la guarda con un nuevo nombre. Debe hacer eso si desea editar una propuesta predefinida, porque pueden alterar sólo propuestas definidas por usuarios.

Para editar una propuesta desde Fireware Web UI:

  1. Seleccione VPN > BOVPN.
  2. En la sección Propuestas de Fase 2, seleccione una propuesta definida por el usuario y haga clic en Editar.
  3. Actualice la configuración tal como se describe en la sección anterior.

Para editar o clonar una propuesta desde el Policy Manager:

  1. Seleccione VPN > Propuestas de Fase 2.
    Aparece el cuadro de diálogo Propuestas de Fase2.
  2. Seleccione una propuesta y haga clic en Editar o Clonar.
  3. Actualice la configuración tal como se describe en la sección anterior.
  4. Haga clic en Aceptar.

Edite las Propuestas de Fase 2 en un Túnel BOVPN o en una Interfaz Virtual

Puede agregar hasta ocho propuestas para cada túnel BOVPN o interfaz virtual BOVPN. Si agrega más de una propuesta de Fase 2, la preferencia de orden para la propuesta es de arriba a abajo de la lista.

Para agregar una propuesta Fase 2 nueva a un túnel BOVPN desde Fireware Web UI:Closed
  1. Para editar un túnel BOVPN, seleccione VPN > VPN de Sucursales.
    O bien, para editar una interfaz virtual BOVPN, seleccione VPN > Interfaces Virtuales BOVPN.
  2. Haga doble clic en un túnel existente o una interfaz virtual BOVPN para editarla.
  3. Seleccione la pestaña Configuraciones de Fase 2.
  1. En la lista desplegable en la sección Propuestas IPSec, seleccione la propuesta que desea agregar a este túnel.
  2. Haga clic en Agregar.
  3. Para cambiar la preferencia de una propuesta en la lista, seleccione la propuesta y haga clic en Subir o en Bajar.
  4. Para eliminar una propuesta de la lista, seleccione la propuesta y haga clic en Eliminar.
Para agregar una propuesta Fase 2 nueva a un túnel BOVPN desde Policy Manager:Closed
  1. Para editar un túnel BOVPN, seleccione VPN > Túneles de Sucursales.
    O bien, para editar una interfaz virtual BOVPN, seleccione VPN > Interfaces Virtuales BOVPN.
  2. Haga doble clic en un túnel existente o una interfaz virtual BOVPN para editarla.
  3. Seleccione la pestaña Configuraciones de Fase 2.
  4. En la sección Propuestas de IPSec, haga clic en Agregar.
    Aparece el cuadro de diálogo Nueva Propuesta de Fase 2.
  1. Para utilizar una propuesta existente, seleccione una propuesta de la lista desplegable.
  2. Para crear una propuesta nueva Fase 2, seleccione Crear una nueva propuesta Fase 2 y configure los ajustes de la propuesta tal como se describe en la sección anterior.
  3. Haga clic en OK para agregar la propuesta a la lista de propuestas Fase 2.
  1. Para cambiar la preferencia de una propuesta en la lista, seleccione la propuesta y haga clic en Subir o en Bajar.
  2. Para eliminar una propuesta de la lista, seleccione la propuesta y haga clic en Eliminar.

Si crea una propuesta nueva de Fase 2 mientras edita un túnel en Policy Manager, la propuesta nueva se agrega a la lista de propuestas de Fase 2 que puede usar para cualquier otro túnel VPN.

Vea también

Configurar los Ajustes de Fase 2

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2018 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.