Tabla 5-7
Página Crear plantilla de IPSec (continuación)
Elemento
Fase IKE 1 (Autenticación)
Se utiliza el Intercambio de claves de Internet (IKE) para crear las Asociaciones de seguridad de manera
dinámica. Utilice esta página para configurar los parámetros SA para la autentificación y para generar
las claves de sesión de IPsec de manera segura para la codificación y los algoritmos de hash. Se
describen a continuación los elementos de esta página.
Tabla 5-8
Página Fase IKE 1 (Autenticación)
Elemento
Grupos Diffie-Hellman
Duración SA
Modo de negociación
Métodos de seguridad
Secreto de reenvío perfecto
Detección de repetición
110
Capítulo 5 Configuración de IPsec/Firewall
(V.34.xx)
Descripción
Claves manuales: Seleccione esta opción para configurar las claves de codificación y
crear las Asociaciones de seguridad manualmente mediante la página Claves
manuales.
Descripción
(Obligatorio) Un intercambio Diffie-Hellman permite que se intercambien claves
secretas y servicios de seguridad de manera segura entre dos hosts en una red sin
protección. Un grupo Diffie-Hellman determina los parámetros que se deben utilizar
durante un intercambio Diffie-Hellman. Se proporcionan varios de los grupos Diffie-
Hellman más utilizados para que los seleccione.
Si selecciona todos los grupos obtendrá un único grupo negociado.
(Obligatorio) Especifique el tiempo, en segundos, que serán válidas las claves
asociadas a esta Asociación de seguridad.
(Obligatorio) IKE proporciona dos formas de negociar durante un intercambio para las
claves y servicios de seguridad que se van a utilizar para una Asociación de seguridad:
Principal: Este modo consiste en la protección de la identidad entre los hosts. Es más
lento pero seguro.
Agresivo: Este modo utiliza la mitad de los intercambios de mensajes. Es más rápido
pero no tan seguro como el modo Principal.
(Obligatorio) Seleccione los métodos de codificación, los niveles de seguridad y los
métodos Hash que desea utilizar.
Si selecciona todos los métodos obtendrá un único método negociado.
Cuando se sustituyen periódicamente las claves secretas, Secreto de reenvío perfecto
(PFS) indica que las nuevas claves son generadas independientemente y que no tienen
relación con las claves anteriores. De esta manera se garantiza que los datos
protegidos por las nuevas claves están seguros. Aunque PFS proporciona seguridad
adicional, requiere en general más procesos.
Si desea utilizar PFS, habilite los siguientes elementos:
Secreto de reenvío perfecto (PFS) de identidad (PFS principal): Habilita PFS para la
protección de la identidad.
Secreto de reenvío perfecto (PFS) de clave (PFS de sesión): Habilita PFS para la
protección de la clave.
Grupos Diffie-Hellman: (Para PFS de sesión únicamente) Seleccione uno o más grupos
Diffie-Hellman para el intercambio de claves.
Los protocolos IPsec admiten los servicios de prevención de reproducción. Habilite o
deshabilite el algoritmo de reproducción no permitida de IPsec.
ESWW