Seleccionar un Tipo de Mobile VPN
- Mobile VPN with IKEv2
- Mobile VPN with L2TP
- Mobile VPN with SSL
- Mobile VPN with IPSec
Su Firebox admite los cuatro tipos de VPN móviles simultáneamente. También puede configurar un equipo cliente para usar uno o más tipos de VPN móviles.
Antes de decidir qué tipo de Mobile VPN usará, considere su infraestructura actual, sus preferencias de políticas de red y los siguientes detalles:
- Seguridad
- Facilidad del Uso
- Portabilidad
- Rendimiento
- Capacidad del Túnel VPN
- Soporte de Autenticación
- Otras Consideraciones
- Detalles del Protocolo
La característica Mobile VPN with PPTP no está disponible en Fireware v12.0 y superior. Si su Firebox tiene Fireware v11.12.4 o inferior, Mobile VPN with PPTP se elimina automáticamente de su configuración cuando actualiza a Fireware v12.0 o superior. Le recomendamos que migre a otra solución de VPN móvil antes de actualizar. Para obtener más información, consulte ¿Cómo migro de PPTP a L2TP antes de actualizar a Fireware v12.0? en la Base de Consulta de WatchGuard. Para la documentación para Mobile VPN with PPTP, consulte Ayuda de Fireware v11.12.x.
Seguridad
Cada tipo de Mobile VPN tiene diferentes características de seguridad.
IKEv2
Mobile VPN with IKEv2 ofrece el más alto nivel de seguridad. Mobile VPN with IKEv2 incluye seguridad de múltiples capas, pero se limita a la autenticación y RADIUS del Firebox local. La autenticación de cliente basada en un certificado es admitida en lugar de la clave precompartida. Para la autenticación, Mobile VPN with IKEv2 usa EAP y MS-CHAPv2.
En Fireware v12.2 o superior, el Firebox admite el cifrado AES-GCM.
En Fireware v12.5 o superior, el Firebox admite los certificados ECDSA (EC) para Mobile VPN with IKEv2. Además, su cliente de VPN IKEv2 debe ser compatible con los certificados EC. La compatibilidad varía según el sistema operativo. Para más información, consulte Acerca de los certificados de Algoritmo de Firma Digital de Curva Elíptica (ECDSA).
Mobile VPN with IKEv2 es compatible con la autenticación multifactor para las soluciones de MFA que admiten MS-CHAPv2.
AuthPoint es la solución de MFA de WatchGuard. Para usar AuthPoint para Mobile VPN with IKEv2, consulte:
- Integración de Firebox Mobile VPN with IKEv2 con AuthPoint
- Integración de Mobile VPN with IKEv2 del Firebox con AuthPoint para los Usuarios de Azure Active Directory
- Integración del Cliente VPN IKEv2 de Terceros con AuthPoint
L2TP
Mobile VPN with L2TP ofrece un alto nivel de seguridad de múltiples capas. Sin embargo, las opciones del servidor de autenticación se limitan a la autenticación local del Firebox y RADIUS. El cliente debe conocer la clave precompartida.
Mobile VPN with L2TP también admite la autenticación de cliente basada en un certificado en lugar de la clave precompartida.
Mobile VPN with L2TP es compatible con la autenticación multifactor para las soluciones de MFA que admiten MS-CHAPv2. AuthPoint, el servicio de MFA de WatchGuard, es compatible con la autenticación RADIUS MS-CHAPv2.
En Fireware v12.5.3 o superior, Mobile VPN with L2TP admite AuthPoint para la autenticación multifactor en Active Directory a través de NPS. AuthPoint es el servicio de MFA de WatchGuard. Para usar AuthPoint con Mobile VPN with L2TP, consulte:
- Integración de Firebox Mobile VPN with L2TP con AuthPoint
- Integración de Mobile VPN with L2TP del Firebox con AuthPoint para los Usuarios de Azure Active Directory
SSL
Mobile VPN with SSL es una opción de Mobile VPN with SSL segura, pero es menos segura que las VPN basadas en IPSec porque:
- No admite el cifrado de múltiples capas
- Un atacante necesita saber solo la dirección IP del Firebox y las credenciales de inicio de sesión del cliente para conectarse.
En Fireware v12.2 o superior, Mobile VPN with SSL es compatible con AES-GCM.
Si su servidor RADIUS admite la autenticación multifactor o de dos factores, puede usar la autenticación multifactor o de dos factores con Mobile VPN with SSL de WatchGuard.
AuthPoint es la solución de MFA de WatchGuard. Para usar AuthPoint para Mobile VPN with SSL, consulte Integración de Mobile VPN with SSL de Firebox con AuthPoint.
IPSec
Mobile VPN with IPSec es compatible con niveles de cifrado de hasta 256 bits de AES y cifrado de múltiples capas.
Puede usar cualquier método de autenticación compatible con Firebox.
Un atacante que tiene las credenciales de registro también necesita información detallada de la configuración para conectarse a la VPN, que incluye la clave precompartida.
Mobile VPN with IPSec también admite la autenticación de cliente basada en un certificado en lugar de la clave precompartida.
Si su servidor RADIUS admite la autenticación multifactor, puede usar la autenticación multifactor con Mobile VPN with IPSec de WatchGuard.
AuthPoint es la solución de MFA de WatchGuard. Para usar AuthPoint para Mobile VPN with IPSec, consulte Integración de Mobile VPN with IPSec de Firebox con AuthPoint.
Se recomienda Mobile VPN with IKEv2 como alternativa a Mobile VPN with IPSec. La vulnerabilidad del Modo Agresivo de IKEv1 descrita en CVE-2002-1623 afecta a Mobile VPN with IPSec. En cambio, no afecta a Mobile VPN with IKEv2 o L2TP. Si configura Mobile VPN with IPSec, se recomienda configurar un certificado en lugar de una clave precompartida en caso de que tenga WSM Management Server. Si no tiene Management Server, se recomienda precisar una clave precompartida muy segura y cambiarla con regularidad. También se recomienda precisar un algoritmo hash, como SHA-256.
Facilidad del Uso
IKEv2
Mobile VPN with IKEv2 es compatible con conexiones desde clientes nativos VPN IKEv2 en dispositivos móviles iOS, macOS y Windows. Los usuarios de Android pueden configurar una conexión VPN IKEv2 con la aplicación strongSwan de terceros.
Los administradores pueden descargar un script de configuración .bat desde el Firebox para configurar automáticamente un perfil VPN IKEv2 en sistemas operativos Windows compatibles. El script de configuración también instala automáticamente el certificado. Para obtener información de soporte del sistema operativo, consulte la Matriz de Compatibilidad de Sistemas Operativos en las Notas de Versión de Fireware.
Para iOS y macOS, los Administradores pueden descargar un perfil .mobileconfig desde el Firebox para configurar automáticamente el cliente nativo de VPN IKEv2.
Para Android, los administradores de Firebox pueden descargar un archivo .sswan desde el Firebox para configurar automáticamente la aplicación strongSwan.
Mobile VPN with IKEv2 envía todo el tráfico por el túnel VPN (túnel completo).
L2TP
Puede usar Mobile VPN with L2TP con clientes nativos de VPN y con cualquier cliente L2TPv2 que cumpla con RFC 2661. Para conectarse, el usuario final debe especificar un nombre de usuario y una contraseña, que puede guardarse en algunos clientes VPN. Los usuarios deben configurar manualmente el cliente L2TP.
El enrutamiento del tráfico del cliente por L2TP es controlado por la configuración del cliente. Los clientes normalmente tienen la opción de enrutar todo el tráfico del cliente a través del túnel, o de enrutar el tráfico del cliente a través del túnel solo para la misma subred /24 que la dirección IP virtual.
SSL
Para los usuarios de Windows y Mac OS, el cliente es fácil de descargar e instalar. Para descargar el cliente de VPN, los usuarios se conectan a través de HTTPS con el Firebox e inician sesión. Una vez que descargan el cliente, solamente deben conocer sus credenciales de inicio de sesión para conectarse. Como administrador, puede habilitar o deshabilitar la opción para que el cliente VPN recuerde el nombre de usuario y la contraseña.
Los clientes con otros sistemas operativos y dispositivos móviles pueden utilizar clientes OpenVPN para conectarse. Para utilizar un cliente OpenVPN, el usuario necesita el archivo client.ovpn, que también es fácil de descargar desde el Firebox.
IPSec
Los usuarios de Windows pueden descargar e instalar el cliente Mobile VPN de WatchGuard, que ofrece funciones adicionales. Se requiere una licencia paga después de una prueba gratuita de 30 días.
Para ambos clientes, debe proporcionar un archivo de configuración para el cliente. Si usa un Cliente Mobile VPN IPSec de WatchGuard, también podría tener que proporcionar la clave precompartida. Recomendamos que use un método seguro, como un correo electrónico cifrado, para distribuir el archivo de configuración.
El enrutamiento de túnel para ambos clientes de Windows puede ser tan amplio o específico como se requiera, sobre la base de los recursos permitidos que configure.
Para los dispositivos Mac OS, debe configurar un perfil de Mobile VPN que coincida con las configuraciones predeterminadas del cliente en el dispositivo, y configurar un cliente para que se conecte a la VPN. El cliente necesita un nombre de usuario y una contraseña para conectarse.
Para obtener información sobre qué sistemas operativos son compatibles con cada tipo de VPN móvil, consulte la lista de Compatibilidad de Sistemas Operativos en las
Portabilidad
La portabilidad se refiere a los entornos de red a los que se puede conectar el cliente VPN.
IKEv2
De forma predeterminada, IKEv2 usa IPSec, lo que requiere los puertos UDP 500 y 4500, y el Protocolo IP ESP 50. No puede deshabilitar IPSec.
L2TP
Por defecto, L2TP usa IPSec, lo que requiere puertos UDP 500 y 4500, y Protocolo IP ESP 50.
Si deshabilita IPSec, Mobile VPN with L2TP requiere solo el puerto UDP 1701. Este tipo de configuración de L2TP debe permitirse en la mayoría de los entornos, a menos que la red esté configurada para ser extremadamente restrictiva. Sin embargo, esta configuración no proporciona la seguridad de IPSec.
Si deshabilita IPsec en la configuración de Mobile VPN with L2TP, también debe deshabilitar IPSec en los dispositivos cliente. En algunos dispositivos, este procedimiento puede ser más difícil. Para obtener información sobre la configuración de IPSec en un dispositivo, consulte la documentación del fabricante del dispositivo.
SSL
Puede configurar Mobile VPN with SSL para usar cualquier puerto TCP o UDP, o utilizar la configuración predeterminada, TCP 443. Si usa un puerto UDP, aún deberá especificar un puerto TCP para la solicitud inicial de autenticación. Esto hace que Mobile VPN with SSL sea portátil para casi cualquier entorno que permita HTTPS saliente y no descifre el tráfico.
Aunque Mobile VPN with SSL generalmente funciona en la mayoría de las redes, puede fallar debido a las restricciones del firewall:
- Inspección de contenido — Si un dispositivo de red descifra el tráfico HTTPS para inspeccionarlo en busca de contenido malicioso, Mobile VPN with SSL falla.
- Aplicación del protocolo — Si habilita la opción Permitir solo tráfico compatible con TLS en su Firebox, Mobile VPN with SSL podría fallar.
- Control de aplicaciones — Si un servicio de control de aplicaciones bloquea el software OpenVPN de código abierto, Mobile VPN with SSL falla.
Puede configurar el proxy HTTPS en un Firebox para permitir solicitudes HTTPS que no cumplan con el estándar. Para obtener más información sobre el proxy HTTPS, consulte Proxy HTTPS: Configuración General.
IPSec
Mobile VPN with IPSec requiere que el cliente acceda al Firebox a través de los puertos UDP 500 y 4500, y del protocolo IP ESP 50. Esto a menudo requiere una configuración específica en la puerta de enlace a Internet del cliente, por lo que quizá los clientes no puedan conectarse desde hotspots o con conexiones móviles a Internet.
Puede configurar un Firebox para permitir solicitudes IPSec salientes. Para obtener más información sobre transferencias IPSec salientes, consulte Acerca de las Configuraciones de VPN Global.
Rendimiento
IKEv2
Mobile VPN with IKEv2 funciona mejor que Mobile VPN with L2TP y Mobile VPN with SSL.
L2TP
Mobile VPN with L2TP es más rápida que Mobile VPN with SSL, pero más lenta que Mobile VPN with IKEv2.
SSL
Mobile VPN with SSL es más lento que otros tipos de VPN móviles. Esta no es la mejor opción para el tráfico sensible a la latencia, como VoIP o transferencias de archivos de alto ancho de banda. Sin embargo, puede mejorar el desempeño de Mobile VPN with SSL si selecciona UDP para el canal de datos y los cifrados AES-GCM.
Capacidad del Túnel VPN
Cuando seleccione un tipo de VPN, asegúrese de considerar el número de túneles que su dispositivo soporta.
El número máximo de túneles de Mobile VPN IKEv2, L2TP, SSL e IPSec depende del modelo del Firebox.
Puede ver la cantidad máxima de cada tipo de túnel VPN que es compatible con su Firebox en la llave de licencia del Firebox. Para más información, consulte Licencias y Capacidad del Túnel VPN.
Soporte de Autenticación
Asegúrese de que la solución Mobile VPN que elija admita el tipo de servidor de autenticación que utiliza.
| Tipo de Mobile VPN | AuthPoint | Active Directory | LDAP | RADIUS | SecurID | Autenticación Local de Firebox (Firebox DB) |
|---|---|---|---|---|---|---|
| Mobile VPN with IKEv2 | Sí | Sí* | No | Sí | No | Sí |
| Mobile VPN with L2TP | Sí | Sí* | No | Sí | No | Sí |
| Mobile VPN with SSL | Sí | Sí | Sí | Sí | Sí | Sí |
|
Mobile VPN with IPSec para iOS, Windows y macOS |
Sí | Sí | Sí | Sí |
Sí |
Sí |
|
Mobile VPN with IPSec para Android (cliente nativo) |
Sí | Sí | Sí | Sí | No | Sí |
* La autenticación en Active Directory para IKEv2 y L2TP es compatible solamente a través de un servidor RADIUS.
El servidor RADIUS debe regresar el atributo de identificación de filtro (atributo RADIUS n.° 11) en su respuesta Acceso-Aceptar. El valor del atributo de identificación de filtro debe coincidir con el nombre de grupo correcto (Usuarios de SSLVPN, o el nombre de grupo que defina en la configuración de Mobile VPN with SSL o Mobile VPN with IPSec).
Otras Consideraciones
- Mobile VPN with IKEv2 ofrece el más alto nivel de seguridad, el mejor rendimiento y la implementación más sencilla. Este tipo de VPN tiene autenticación de cliente basada en certificados en lugar de una clave previamente compartida.
- Mobile VPN with IKEv2, L2TP e IPSec solamente funcionan cuando se permiten los puertos y protocolos en las redes remotas. Esto significa que es posible que estos tipos de VPN móviles no funcionen en todas las redes remotas.
- Con Mobile VPN with L2TP, puede utilizar L2TP para transportar los protocolos, excepto IP.
- Mobile VPN with IPSec es el único tipo de VPN que le permite configurar diferentes perfiles de configuración de VPN para diferentes grupos de usuarios.
- Recomendamos Mobile VPN with SSL cuando el tráfico IKEv2 IPSec no está permitido en la red remota o cuando se requiere un túnel dividido.
La aplicación Mobile VPN de WatchGuard para Android ya no se encuentra disponible en la tienda Google Play. La aplicación Mobile VPN de WatchGuard para iOS ya no está disponible en la Apple Store. Ya no se admiten estas aplicaciones heredadas.
Detalles del Protocolo
Cada tipo de VPN móvil usa puertos, protocolos y algoritmos de cifrado diferentes para establecer una conexión. Los puertos y protocolos requeridos deben estar abiertos entre el dispositivo móvil y su Firebox para que funcione la VPN móvil.
- Puertos requeridos: ESP y UDP 500; puerto UDP 500 y 4500 para NAT-T
- Protocolos de transporte y autenticación:
- IKEv2 (Protocolo de Túneles de Intercambio de Claves de Internet v2)
- IPSec (Seguridad de Protocolo de Internet)
- IKE (Intercambio de Claves de Internet)
- ESP (Carga de Seguridad de Encapsulación)
- Autenticación: MD5, SHA-1, SHA2-256, SHA2-384, SHA2-512
- Protocolos de encryption (cifrado): DES, 3DES, AES. AES-GCM es compatible con Fireware v12.2 o superior.
- Fuerza del cifrado:
- DES y 3DES: 56 bits y 168 bits
- AES: 128, 192 o 256 bits
- AES-GCM: 128, 192 o 256 bits (Fireware v12.2 o superior)
- Puertos requeridos: UDP 1701, UDP 500 y ESP para IKE, UDP 500 y 4500 para NAT-T
- Protocolos de transporte y autenticación:
- L2TP (Layer 2 Tunneling Protocol)
- IPSec (Seguridad de Protocolo de Internet)
- IKE (Intercambio de Claves de Internet)
- ESP (Carga de Seguridad de Encapsulación)
- Autenticación: MD5, SHA-1, SHA2-256, SHA2-384, SHA2-512
- Protocolos de cifrado: DES, 3DES, AES
- Fuerza del cifrado:
- DES y 3DES: 56 bits y 168 bits
- AES: 128, 192 o 256 bits
- Puertos requeridos:
- TCP 443 (predeterminado; recomendado)
- UDP 53 (recomendado para el canal de datos si el objetivo es un mayor desempeño)
- Es menos probable que las redes remotas permitan otros puertos TCP y UDP
- Protocolos de transporte y autenticación:
- TLS (Seguridad de la Capa de Transporte) — En Fireware v12.5.4 o superior, la versión de TLS mínima aceptada para las conexiones de es TLS 1.2. En Fireware v12.5.5 o superior, su explorador web debe ser compatible con TLS 1.2 o superior para descargar el cliente VPN SSL de WatchGuard desde el Firebox.
- Autenticación: SHA-1, SHA-256, SHA-512 ¡Consejo!
- Protocolos de cifrado:
- AES
- AES-GCM (Fireware v12.2 o superior)
- 3DES
- Fuerza del cifrado:
- AES: 128, 192 o 256 bits
- AES-GCM: 128, 192 o 256 bits (Fireware v12.2 o superior)
- 3DES: 168 bits
Para Mobile VPN with SSL, puede elegir un puerto y un protocolo diferentes en algunos casos. Para más información, vea Elegir un Puerto y Protocolo para Mobile VPN with SSL
- Puertos requeridos:
- Puerto UDP 500 para IKE
- Puerto UDP 4500 para NAT Traversal (NAT-T)
- Protocolos de transporte y autenticación:
- IPSec (Seguridad de Protocolo de Internet)
- IKE (Intercambio de Claves de Internet)
- ESP (Carga de Seguridad de Encapsulación)
- Autenticación: MD5, SHA-1, SHA2-256, SHA2-384, SHA2-512
- Protocolos de cifrado: DES, 3DES, AES
- Fuerza del cifrado:
- DES y 3DES: 56 bits
- AES: 128, 192 o 256 bits