Configurar los Ajustes de Seguridad de BOVPN

Se Aplica a: Fireboxes gestionados en la nube Este tema se aplica a los Firebox que configuras en WatchGuard Cloud.

En una BOVPN para un Firebox gestionado en la nube, los ajustes de seguridad especifican los ajustes de autenticación y cifrado para la negociación de la VPN. Para que los endpoints de una VPN negocien correctamente una conexión VPN, los ajustes de seguridad en el Firebox gestionado en la nube deben coincidir con los ajustes configurados en el endpoint remoto.

En una BOVPN entre dos Fireboxes gestionados en la nube en la misma cuenta, los ajustes de seguridad de la BOVPN se configuran automáticamente en ambos endpoints y no se pueden editar.

Ajustes de la Fase 1

Las BOVPN de un Firebox gestionado en la nube usan el protocolo IKEv2. Los endpoints de VPN utilizan los ajustes de la Fase 1 para negociar un canal autenticado y seguro que pueden utilizar para comunicarse. Una transformación de Fase 1 es un conjunto de protocolos de seguridad y algoritmos que se utilizan para proteger los datos de la VPN. Durante la negociación IKE, los endpoints de VPN deben coincidir en los ajustes que se utilizarán. Puedes configurar una VPN para que ofrezca un par más que una transformación de Fase 1.

Todas las BOVPN que tienen un endpoint remoto configurado con un nombre de dominio comparten los mismos ajustes de Fase 1.

Cada transformación de Fase 1 incluye estos ajustes:

La configuración BOVPN predeterminada tiene una transformación de Fase 1 con estos ajustes:

• Autenticación — SHA2-256
• Cifrado — AES (256)
• Duración de las SA — 24 horas
• Perfect Forward Secrecy (PFS) — Diffie-Hellman Grupo 14

No puedes borrar la transformación de Fase 1 predeterminada. Puedes añadir otras transformaciones de Fase 1 y cambiar el orden en que se utilizan en las negociaciones de la VPN.

Para configurar los ajustes de la Fase 1:

1. Añade o edita una BOVPN. Para obtener más información, consulta Configurar una BOVPN para un Firebox Gestionado Localmente o un Endpoint de VPN de Terceros.
2. Cuando añades una BOVPN, configura estos ajustes en la página Seguridad.
   Si editas una BOVPN, selecciona la pestaña Seguridad.

3. En la sección Ajustes de la Fase 1, haz clic en Añadir Ajustes de la Fase 1.

4. En la lista desplegable Autenticación, selecciona SHA2-256, SHA-384 o SHA-512.
5. En la lista desplegable Cifrado, selecciona AES-CBC (128 bits), AES-CBC (192 bits), AES-CBC (256 bits), AES-GCM (128 bits), AES-GCM (192 bits) o AES-GCM (256 bits).
6. Para cambiar la duración de las SA (asociación de seguridad), escribe el número de horas en el cuadro de texto Duración de las SA.
7. En la lista desplegable Grupo Diffie Hellman, selecciona Grupo Diffie-Hellman 14, 15, 19 o 20.
8. Haz clic en Añadir.
   La transformación de Fase 1 se añade al final de la lista de Ajustes de la Fase 1.

9. La VPN usa los ajustes en el orden en que se muestran. Para cambiar el orden de los ajustes, haz clic en la manija de movimiento para la transformación de Fase 1 y arrástrala hacia arriba o hacia abajo en la lista.
10. Para eliminar una transformación de Fase 1 de la lista, haz clic en .

Ajustes de la Fase 2

Los endpoints de VPN utilizan la Fase 2 para establecer la Duración de la Fase 2 (a veces denominada SA de IPSec). La SA de IPSec es un conjunto de especificaciones de tráfico que indican a los endpoints qué tráfico enviar por la VPN y cómo cifrarlo o autenticarlo.

Un Firebox gestionado en la nube admite estos ajustes de Fase 2:

La configuración BOVPN predeterminada tiene estos ajustes de Fase 2:

• Autenticación — SHA2-256
• Cifrado — AES (256 bits)
• Perfect Forward Secrecy (PFS) — Habilitado
• Grupo PFS — Grupo Diffie-Hellman 14

Para configurar los ajustes de la Fase 2:

1. Añade o edita una BOVPN.
2. Si editas una BOVPN, selecciona la pestaña Seguridad.

3. En la lista desplegable Autenticación, selecciona SHA2-256, SHA-384 o SHA-512.
4. En la lista desplegable Cifrado, selecciona AES-CBC (128 bits), AES-CBC (192 bits), AES-CBC (256 bits), AES-GCM (128 bits), AES-GCM (192 bits) o AES-GCM (256 bits).
5. Para habilitar PFS, marca la casilla de selección Usar Perfect Secrecy (PFS).
6. Si PFS está habilitado, en la lista desplegable Grupo PFS, selecciona el Grupo Diffie-Hellman 14, 15, 19 o 20.
7. Para cambiar el tiempo de caducidad de la clave de VPN, en el cuadro de texto Tiempo, escribe el número de horas.
8. Para permitir que la clave de VPN caduque según el tráfico, marca la casilla de selección Tráfico.
9. Si habilitaste la caducidad según el tráfico, en el cuadro de texto Tráfico, escribe el número de tráfico en GB.

Caducidad de la Clave

La caducidad de la clave define cuándo caduca la clave de cifrado de la Fase 2. Cuanto más tiempo esté en uso una clave de cifrado de Fase 2, más datos puede recopilar un atacante para usarlos en un ataque contra la clave.

El ajuste predeterminado es de 8 horas. Opcionalmente, puedes habilitar la caducidad según el tráfico además del tiempo. Si habilitas la caducidad según el tráfico, la clave caduca cuando se alcanza el tráfico o el límite de tiempo, lo que ocurra primero.

Para cambiar los ajustes de caducidad de la clave BOVPN:

1. Añade o edita una BOVPN.
2. Si editas una BOVPN, selecciona la pestaña Seguridad.

3. Para cambiar la hora de caducidad de la clave, en el cuadro de texto Tiempo, escribe el número de horas de validez de la clave.
4. Para que la clave caduque según el tráfico:
   1. Marca la casilla de selección Tráfico.
   2. En el cuadro de texto Tráfico, especifica el número de tráfico en GB que se utilizará como criterio para la caducidad de la clave.

Restablecer los Ajustes de Seguridad

Para restablecer los ajustes de seguridad de la BOVPN a los valores predeterminados, haz clic en Restaurar Valores Predeterminados.

Ver También

Añadir un Firebox Gestionado en la Nube a WatchGuard Cloud