Temas Relacionados
Seleccionar un Tipo de Mobile VPN
- Mobile VPN with IPSec
- Mobile VPN with SSL
- Mobile VPN with L2TP
- Mobile VPN with IKEv2
Su Firebox admite los cuatro tipos de Mobile VPN simultáneamente. También puede configurar un equipo cliente para usar uno o más tipos de Mobile VPN. Antes de seleccionar qué tipo de Mobile VPN que usará, debe tener en cuenta su infraestructura actual y sus preferencias de políticas de red. Algunos de los aspectos por considerar cuando seleccione qué tipo de Mobile VPN usar están descritos en estas secciones:
- Seguridad
- Facilidad del Uso
- Portabilidad
- Capacidad del Túnel VPN
- Compatibilidad del servidor de autenticación
- Otras Consideraciones
- Detalles del Protocolo
La característica Mobile VPN with PPTP no está disponible en Fireware v12.0 y superior. Si su Firebox tiene Fireware v11.12.4 o inferior, Mobile VPN with PPTP se elimina automáticamente de su configuración cuando actualiza a Fireware v12.0 o superior. Le recomendamos que migre a una solución Mobile VPN diferente antes de actualizar. Para obtener más información, consulte ¿Cómo migro de PPTP a L2TP antes de actualizar a Fireware v12.0? en la Base de Consulta de WatchGuard. Para la documentación para Mobile VPN with PPTP, consulte Ayuda de Fireware v11.12.x.
Seguridad
Cada tipo de Mobile VPN tiene diferentes características de seguridad.
IKEv2
Mobile VPN with IKEv2 ofrece el más alto nivel de seguridad. Mobile VPN with IKEv2 incluye seguridad de múltiples capas, pero se limita a la autenticación y RADIUS del Firebox local. La autenticación de cliente basada en un certificado es admitida en lugar de la clave precompartida. La autenticación de dos factores no es compatible. Fireware v12.2 o posterior es compatible con AES-GCM.
IPSec
Mobile VPN with IPSec ofrece un alto nivel de seguridad, con soporte para niveles de encryption (cifrado) de hasta 256 bits de AES y encryption (cifrado) de múltiples capas. Puede usar cualquier método de autenticación admitido por el Firebox, incluso la autenticación de dos factores con SecurID y VASCO. Un atacante que tiene las credenciales de registro también necesita información detallada de la configuración para conectarse a la VPN, incluida la clave precompartida.
Mobile VPN with IPSec también admite la autenticación de cliente basada en un certificado en lugar de la clave precompartida.
SSL
Mobile VPN with SSL tiene un nivel ligeramente menor de seguridad que IPSec, debido a que no admite cifrado de múltiples capas y a que un atacante solamente necesita conocer la dirección IP del Firebox y las credenciales de registro del cliente para conectarse. Fireware v12.2 o posterior es compatible con AES-GCM.
L2TP
Mobile VPN with L2TP incluye seguridad de múltiples capas, pero se limita a la autenticación y RADIUS del Firebox local. El cliente también debe conocer la clave precompartida.
Mobile VPN with L2TP también admite la autenticación de cliente basada en un certificado en lugar de la clave precompartida.
Facilidad del Uso
IKEv2
Mobile VPN with IKEv2 es compatible con conexiones desde clientes nativos VPN IKEv2 en dispositivos móviles iOS, macOS y Windows. Los usuarios de Android pueden configurar una conexión VPN IKEv2 con la aplicación strongSwan de terceros.
Los administradores pueden descargar los scripts de configuración del Firebox que configuran automáticamente un perfil VPN IKEv2 en dispositivos iOS, macOS y Windows. El script de configuración también instala automáticamente el certificado.
Mobile VPN with IKEv2 envía todo el tráfico por el túnel VPN (túnel completo).
SSL
Para los usuarios de Windows y Mac OSX, el cliente es fácil de descargar e instalar. Para descargar el cliente VPN, los usuarios se conectan a través de HTTPS al Firebox e inician sesión. Después de que los usuarios descargan el cliente, solamente necesitan conocer sus credenciales de registro para conectarse. Como administrador, puede habilitar o deshabilitar la opción para que el cliente VPN recuerde el nombre de usuario y la contraseña.
Los clientes con otros sistemas operativos y dispositivos móviles pueden utilizar clientes OpenVPN para conectarse. Para utilizar un cliente OpenVPN, el usuario necesita el archivo client.ovpn, que también es fácil de descargar desde el Firebox.
IPSec
Los usuarios de Windows pueden descargar e instalar el cliente Mobile VPN de WatchGuard, que ofrece funciones adicionales. Se requiere una licencia paga después de una prueba gratuita de 30 días. La mayoría de los usuarios de Windows prefieren el cliente gratuito y fácil de utilizar Shrew VPN Client para Windows, también distribuido por WatchGuard.
Para ambos clientes, debe proporcionar un archivo de configuración para el cliente. Si usa un Cliente Mobile VPN IPSec de WatchGuard, también podría tener que proporcionar la clave precompartida. Recomendamos que use un método seguro, como un correo electrónico cifrado, para distribuir el archivo de configuración.
El enrutamiento de túnel para ambos clientes de Windows puede ser tan amplio o específico como se requiera, sobre la base de los recursos permitidos que configure.
Para los dispositivos Mac OSX, debe configurar un perfil de Mobile VPN que coincida con las configuraciones predeterminadas del cliente en el dispositivo, y configurar un cliente para que se conecte a la VPN. El cliente necesita un nombre de usuario y una contraseña para conectarse.
L2TP
Puede usar Mobile VPN with L2TP con Windows, Mac OSX, IOS, Android y con la mayoría de dispositivos que admiten L2TP a través de IPSec. Para conectarse, el usuario final debe especificar un nombre de usuario y una contraseña que puede guardarse en algunos clientes VPN.
El enrutamiento del tráfico del cliente por L2TP es controlado por la configuración del cliente. Los clientes normalmente tienen la opción de enrutar todo el tráfico del cliente a través del túnel, o de enrutar el tráfico del cliente a través del túnel solo para la misma subred /24 que la dirección IP virtual.
Portabilidad
La portabilidad se refiere a los entornos de red a los que se puede conectar el cliente VPN.
IKEv2
De forma predeterminada, IKEv2 usa IPSec, lo que requiere los puertos UDP 500 y 4500, y el Protocolo IP ESP 50. No puede deshabilitar IPSec.
SSL
Puede configurar Mobile VPN with SSL para usar cualquier puerto TCP o UDP, o utilizar la configuración predeterminada, TCP 443. Si usa un puerto UDP, aún deberá especificar un puerto TCP para la solicitud inicial de autenticación. Esto hace que Mobile VPN with SSL sea transferible en casi cualquier entorno que permita HTTPS salientes. Muchas aplicaciones de filtrado de Internet admiten inspección de contenidos para HTTPS, lo que podría prevenir tráfico como Mobile VPN with SSL. que no está de acuerdo con los estándares de protocolo HTTPS.
Puede configurar el proxy HTTPS en un Firebox para permitir solicitudes HTTPS que no cumplan con el estándar. Para obtener más información sobre el proxy HTTPS, consulte Proxy HTTPS: Configuración General.
IPSec
Mobile VPN with IPSec requiere que el cliente acceda al Firebox a través de los puertos UDP 500 y 4500, y del protocolo IP ESP 50. Esto a menudo requiere una configuración específica en la puerta de enlace a Internet del cliente, por lo que quizá los clientes no puedan conectarse desde hotspots o con conexiones móviles a Internet.
Puede configurar un Firebox para permitir solicitudes IPSec salientes. Para obtener más información sobre transferencias IPSec salientes, consulte Acerca de los Ajustes de VPN Global.
L2TP
Por defecto, L2TP usa IPSec, lo que requiere puertos UDP 500 y 4500, y Protocolo IP ESP 50.
Si deshabilita IPSec, Mobile VPN with L2TP requiere solo el puerto UDP 1701. Este tipo de configuración de L2TP debe permitirse en la mayoría de los entornos, a menos que la red esté configurada para ser extremadamente restrictiva. Sin embargo, esta configuración no proporciona la seguridad de IPSec.
Si deshabilita IPsec en la configuración de Mobile VPN with L2TP, también debe deshabilitar IPSec en los dispositivos cliente. En algunos dispositivos, este procedimiento puede ser más difícil. Para obtener información sobre los ajustes de IPSec en un dispositivo, consulte la documentación del fabricante del dispositivo.
Capacidad del Túnel VPN
Cuando seleccione un tipo de VPN, asegúrese de considerar el número de túneles que su dispositivo soporta y si puede adquirir una actualización para aumentar el número de túneles.
El número máximo de túneles de mobile VPN IPSec, SSL, L2TP e IKEv2 depende del modelo del Firebox. En algunos modelos, debe comprar licencias adicionales para habilitar la capacidad máxima de túneles que admite su modelo de Firebox.
Puede ver la cantidad máxima de cada tipo de túnel VPN que es compatible con su Firebox en la llave de licencias del Firebox. Para obtener más información, consulte Licencias y Capacidad del Túnel VPN.
Compatibilidad del servidor de autenticación
Asegúrese de que la solución Mobile VPN que elija admita el tipo de servidor de autenticación que utiliza.
- Cada tipo de Mobile VPN admite el uso de Firebox-DB, el servidor de autenticación local de Firebox. Con Firebox-DB, usted crea usuarios y grupos directamente en el Firebox.
- L2TP e IKEv2 están limitados a Firebox-DB y RADIUS.
- IKEv2 no es compatible con la autenticación de dos factores.
- Mobile VPN with SSL admite cada método de autenticación admitido por el Firebox.
- Mobile VPN with IPSec también admite cada método de autenticación, aunque la autenticación de dos factores no es admitida por el cliente gratuito Shrew Soft.
| Perfil del usuario | Firebox | RADIUS | Vasco/RADIUS | SecurID | LDAP | Active Directory |
|---|---|---|---|---|---|---|
|
Cliente Mobile VPN IPSec de WatchGuard para Windows (Cliente Premium) |
Sí | Sí |
Sí |
Sí |
Sí | Sí |
| Cliente Shrew Soft VPN IPSec de WatchGuard para Windows | Sí | Sí | No1 | No1 | Sí | Sí |
|
Mobile VPN with IPSec para Mac OS X o iOS con el cliente VPN nativo |
Sí | No2 |
No |
Sí | No2 | No2 |
| Mobile VPN with SSL | Sí | Sí | Sí | Sí | Sí | Sí |
| Mobile VPN with L2TP | Sí | Sí | No | No | No | Sí3 |
| Mobile VPN with IKEv2 | Sí | Sí | No | No | No | Sí3 |
- El cliente VPN Shrew Soft IPSec no admite autenticación de dos factores.
- Los métodos de autenticación RADIUS, LDAP y Active Directory aún no son compatibles con el cliente VPN nativo OS X e iOS, pero podrían operar correctamente.
- La autenticación en Active Directory para L2TP e IKEv2 es compatible solamente a través de un servidor RADIUS.
Otras notas sobre compatibilidad:
RADIUS
El servidor RADIUS debe regresar el atributo de identificación de filtro (atributo RADIUS n.° 11) en su respuesta Acceso-Aceptar. El valor del atributo de identificación de filtro debe coincidir con el nombre de grupo correcto (Usuarios de SSLVPN, o el nombre de grupo que defina en la configuración de Mobile VPN with SSL o Mobile VPN with IPSec).
Vasco RADIUS
Actualmente Vasco no admite el atributo de identificación de filtro RADIUS. Para obtener una solución a este problema, use el plugin IAS RADIUS de Microsoft®.
La aplicación Mobile VPN de WatchGuard para Android ya no se encuentra disponible en la tienda Google Play. La aplicación Mobile VPN de WatchGuard para iOS ya no está disponible en la Apple Store. WatchGuard ya no admite estas apicaciones heredadas.
Otras Consideraciones
- Flexibilidad — Mobile VPN with IPSec es el único tipo de VPN que le permite configurar diferentes perfiles de configuración de VPN para diferentes grupos de usuarios.
- Rendimiento — Mobile VPN with SSL es la opción de VPN más lenta.
- Soporte del Protocolo — Una ventaja de Mobile VPN with L2TP con respecto a Mobile VPN with IPSec es que usted puede utilizar L2TP para transportar protocolos que no sean protocolos IP.
Detalles del Protocolo
Cada tipo de Mobile VPN usa puertos, protocolos y algoritmos de cifrado diferentes para establecer una conexión. Los puertos y los protocolos requeridos deben estar abiertos entre el dispositivo móvil y el Firebox para que la Mobile VPN funcione.
- Puertos requeridos:
- Puerto UDP 500 para IKE
- Puerto UDP 4500 para NAT Traversal (NAT-T)
- Protocolos de transporte y autenticación:
- IPSec (Seguridad de Protocolo de Internet)
- IKE (Intercambio de Claves de Internet)
- ESP (Carga de Seguridad de Encapsulación)
- Autenticación: MD5, SHA-1, SHA2-256, SHA2-384, SHA2-512
- Protocolos de cifrado: DES, 3DES, AES
- Fuerza del cifrado:
- DES y 3DES: 56 bits
- AES: 128, 192 o 256 bits.
- Puertos requeridos:
- Puerto TCP 443
- Puerto UDP 43
- Protocolos de transporte y autenticación:
- SSL (Secure Sockets Layer)
- TLS (seguridad en capa de transporte)
- Autenticación: SHA-1, SHA-256, SHA-512 ¡Consejo!SHA-256 y SHA-512 son variantes de SHA-2.
- Protocolos de cifrado:
- 3DES
- AES
- AES-GCM (Fireware v12.2 o posterior)
- Fuerza del cifrado:
- 3DES: 56 bits
- AES: 128, 192 o 256 bits.
- AES-GCM: 128, 192 o 256 bits (Fireware v12.2 o posterior)
- Puertos requeridos: Puerto UDP 1701, puerto UDP 500 para IKE
- Protocolos de transporte y autenticación:
- L2TP (Layer 2 Tunneling Protocol)
- IPSec (Seguridad de Protocolo de Internet)
- IKE (Intercambio de Claves de Internet)
- ESP (Carga de Seguridad de Encapsulación)
- Autenticación: MD5, SHA-1, SHA2-256, SHA2-384, SHA2-512
- Protocolos de cifrado: DES, 3DES, AES
- Fuerza del cifrado:
- DES y 3DES: 56 bits
- AES: 128, 192 o 256 bits.
- Puertos requeridos: Puerto UDP 1701, puerto UDP 500 para IKE
- Protocolos de transporte y autenticación:
- IKEv2 (Protocolo de Túneles de Intercambio de Claves de Internet v2)
- IPSec (Seguridad de Protocolo de Internet)
- IKE (Intercambio de Claves de Internet)
- ESP (Carga de Seguridad de Encapsulación)
- Autenticación: MD5, SHA-1, SHA2-256, SHA2-384, SHA2-512
- Protocolos de encryption (cifrado): DES, 3DES, AES. AES-GCM es compatible con Fireware v12.2 o posterior.
- Fuerza del cifrado:
- DES y 3DES: 56 bits
- AES: 128, 192 o 256 bits.
- AES-GCM: 128, 192 o 256 bits (Fireware v12.2 o posterior)
Para Mobile VPN with SSL, puede elegir un puerto y un protocolo diferentes en algunos casos. Para obtener más información, consulte Elegir un Puerto y Protocolo para Mobile VPN with SSL