10 PÁGINAS DE VPN DEL SVG2500
116
Campo
Descripción
IPsec Settings (Parámetros de
IPsec)
En los túneles VPN, hay dos etapas en la asociación de seguridad
(Security Association, SA). En la etapa 1 se crea una SA de
intercambio de claves de Internet (IKE). Después de finalizada la
etapa 1, en la etapa 2 se crea una o más SA de IPSEC, que luego se
utilizan para codificar las sesiones de IPSEC.
Pre-Shared Key (Clave
previamente compartida)
Si en un lado del túnel VPN se utiliza un identificador de firewall
único (o clave previamente compartida), éste debe ingresarse en el
campo "Pre-shared Key".
Phase 1 DH group
(Etapa 1 - Grupo de DH)
Hay tres grupos de Diffie-Hellman que puede seleccionar: de 768
bits, de 1024 bits y de 1536 bits.
Diffie-Hellman es una técnica criptográfica que utiliza claves públicas
y privadas para cifrado y descifrado. Cuanto más alto sea el número
de bits seleccionado de la lista de opciones, más seguro será el
cifrado. Opciones: Grupo 1 (768 bits), grupo 2 (1024 bits) o
grupo 5 (1536 bits).
Phase 1 encryption
(Etapa 1 – Cifrado)
El cifrado se utiliza para proteger la conexión VPN entre los puntos
de destino. Hay cinco tipos de cifrado disponibles: DES, 3DES, AES-
128, AES-192 y AES-256. Se puede seleccionar cualquier forma de
cifrado, siempre y cuando coincida con la opción seleccionada en el
punto de destino remoto. Uno de los parámetros más utilizados es
3DES; sin embargo, AES también es un método de cifrado muy
efectivo.
Phase 1 authentication
(Etapa 1 – Autenticación)
La autenticación funciona como otro nivel de seguridad. Los dos
tipos de autenticación disponibles son MD5 y SHA. SHA es el tipo
recomendado, ya que es más seguro. Se puede utilizar cualquier
tipo de autenticación, siempre y cuando el otro extremo del túnel
VPN utilice el mismo método.
Phase 1 SA lifetime
(Etapa 1 – Duración de SA)
Especifica la duración de las claves rotativas individuales.
Ingrese la cantidad de segundos que desea que dure la clave hasta
que se realice otra renegociación de clave entre ambos puntos de
destino. El valor predeterminado es 28.800 segundos.
Por lo general, una duración menor es más segura, ya que
proporcionaría a un atacante un plazo menor para intentar violar la
clave. Sin embargo, la negociación de claves consume ancho de
banda, por lo que si se seleccionan duraciones reducidas, habrá una
disminución en la velocidad de la red. Por lo general, estas entradas
se expresan en milésimas o decenas de milésimas de segundos.