Tabla de contenido
22.1. IPsec
221
Certificado X.509
La otra opción para Autentificación primaria es utilizar Certificado X.509 dentro de cada
puerta de enlace VPN. Para probar la identidad, cada puerta de enlace tiene un
certificado propio firmado por un CA confiable. El certificado prueba que la clave
pública añadida a éste realmente pertenece a la puerta de enlace del titular, y cada
puerta de enlace además tiene una copia de la clave pública del CA para ser capaz de
confiar en el CA y validar los certificados de otras puertas de enlace establecidas para
ése CA.
Comparado al uso de PSK, los certificados son más flexibles. Muchos clientes VPN,
por ejemplo, pueden ser administrados sin tener la misma clave pre-compartida
configurada en todos ellos, lo cual es a menudo el caso cuando se utilizan claves pre-
compartidas y clientes roaming. A cambio, un cliente debe ser comprometido, el
certificado del cliente puede simplemente ser revocado. No se necesita re-configurar
cada cliente. Pero a este método se le añade complejidad. Un certificado basado en
Autentificación puede ser utilizado como parte de una gran infraestructura, haciendo a
todos los clientes VPN y puertas de enlace dependientes de terceros. En otras palabras,
hay más cosas que deben ser configuradas, y hay más cosas que pueden salir mal.
Listas de Identificación (Listas ID)
Cuando un certificado X.509 es utilizado como método de autentificación, el firewall
aceptará todas las puertas de enlace remoto ó clientes VPN que son capaces de presentar un
certificado firmado por cualquiera de las Autoridades de Certificación(CAs) confiables. Ésto
puede ser un problema potencial, especialmente cuando se utilizan clientes roaming.
Considere un escenario donde los empleados en curso deben tener acceso a las redes
internas corporativas utilizando clientes VPN. La organización administra su propio
CA, y los certificados son establecidos para los empleados. Diferentes grupos de empleados
tienen probablemente acceso a diferentes partes de las redes internas. Por ejemplo,
miembros de fuerzas de venta necesitan acceso a servidores corriendo el orden de sistema,
mientras ingenieros técnicos necesitan acceso a base de datos técnicas.
Cuando las direcciones IP de empleados viajeros clientes VPN no pueden ser
previstos, las conexiones entrantes VPN de los clientes no pueden ser diferenciados.
Esto significa que el firewall es incapaz de controlar el acceso a varias partes de las
redes internas.
El concepto de Listas de Identificación (Listas ID) presenta una solución a este
problema. Una lista de identificación contiene una o más identidades (IDs) configurables,
Guía de Usuario de los Firewalls D-Link
Tabla de contenido
