Configurar los Ajustes de Seguridad de BOVPN

Se aplica a: Fireboxes administrados en la nube

En una BOVPN para un Firebox administrado en la nube, los ajustes de seguridad especifican los ajustes de autenticación y cifrado para la negociación de la VPN. Para que los endpoints de una VPN negocien con éxito una conexión VPN, los ajustes de seguridad en el Firebox administrado en la nube deben coincidir con los ajustes configurados en el endpoint remoto.

Para una BOVPN entre dos Fireboxes administrados en la nube en la misma cuenta, los ajustes de seguridad de la BOVPN se configuran automáticamente en ambos endpoints y no se pueden editar.

Ajustes de la Fase 1

Las BOVPN de un Firebox administrado en la nube usan el protocolo IKEv2. Los endpoints de VPN utilizan los ajustes de la Fase 1 para negociar un canal autenticado y seguro que pueden utilizar para comunicarse. Una transformación de Fase 1 es un conjunto de protocolos de seguridad y algoritmos que se utilizan para proteger los datos de la VPN. Durante la negociación IKE, los endpoints de VPN deben coincidir en los ajustes que se utilizarán. Puede configurar una VPN para que ofrezca a un par más de una transformación de Fase 1.

Todas las BOVPN que tienen un endpoint remoto configurado con un nombre de dominio comparten los mismos ajustes de la Fase 1.

Cada transformación de Fase 1 incluye estos ajustes:

Los ajustes de autenticación especifican el algoritmo de autenticación y el tamaño de hash. Un Firebox administrado en la nube admite estas opciones:

  • SHA2-256
  • SHA2-384
  • SHA2-512

Los ajustes de cifrado especifican el algoritmo de cifrado (AES-CBC o AES-GCM) y la longitud de la clave. Un Firebox administrado en la nube admite estas opciones:

  • AES-CBC (128 bits)
  • AES-CBC (192 bits)
  • AES-CBC (256 bits)
  • AES-GCM (128 bits)
  • AES-GCM (192 bits)
  • AES-GCM (256 bits)

La Duración de la SA especifica el número de horas hasta que la Asociación de Seguridad de Fase 1 negociada expira.

El Grupo PFS especifica el grupo de claves Diffie-Hellman que se utilizará para el Perfect Forward Secrecy (PFS) en las negociaciones de Fase 1 de la VPN. Un Firebox administrado en la nube admite los grupos Diffie-Hellman 14, 15, 19 y 20.

La configuración BOVPN predeterminada tiene una transformación de Fase 1 con estos ajustes:

  • Autenticación — SHA2-256
  • Cifrado — AES (256)
  • Duración de la SA — 24 horas
  • Perfect Forward Secrecy (PFS) — Diffie-Hellman Grupo 14

No puede eliminar la transformación de Fase 1 predeterminada. Puede agregar otras transformaciones de Fase 1 y cambiar el orden en que se utilizan en las negociaciones de la VPN.

Para configurar los ajustes de la Fase 1:

  1. Agregue o edite una BOVPN. Para obtener más información, consulte Configurar una BOVPN para un Firebox Administrado Localmente o un Endpoint de VPN de Terceros.
  2. Cuando agrega una BOVPN, configure estos ajustes en la página Seguridad.
    Si edita una BOVPN, seleccione la pestaña Seguridad.

  1. En la sección Ajustes de la Fase 1, haga clic en Agregar Ajustes de la Fase 1.

  1. En la lista desplegable Autenticación, seleccione SHA2-256, SHA-384 o SHA-512.
  2. En la lista desplegable Cifrado, seleccione AES-CBC (128 bits), AES-CBC (192 bits), AES-CBC (256 bits), AES-GCM (128 bits), AES-GCM (192 bits) o AES-GCM (256 bits).
  3. Para cambiar la duración de la SA (asociación de seguridad), en el cuadro de texto Duración de la SA escriba el número de horas.
  4. En la lista desplegable Grupo Diffie Hellman, seleccione Grupo Diffie-Hellman 14, 15, 19 o 20.
  5. Haga clic en Agregar.
    La transformación de Fase 1 se agrega al final de la lista de Ajustes de la Fase 1.

  1. La VPN usa los ajustes en el orden en que se muestran. Para cambiar el orden de los ajustes, haga clic en la manija de movimiento para la transformación de Fase 1 y arrástrela hacia arriba o hacia abajo en la lista.
  2. Para eliminar una transformación de Fase 1 de la lista, haga clic en .

Ajustes de la Fase 2

Los endpoints de VPN utilizan la Fase 2 para establecer la Duración de la Fase 2 (a veces denominada SA de IPSec). La SA de IPSec es un conjunto de especificaciones de tráfico que informan a los endpoints qué tráfico enviar por la VPN y cómo cifrarlo y autenticarlo.

Un Firebox administrado en la nube admite estos ajustes de Fase 2:

Este es el algoritmo de autenticación y el tamaño de hash. Un Firebox administrado en la nube admite estas opciones:

  • SHA2-256
  • SHA2-384
  • SHA2-512

Este es el algoritmo de cifrado (AES o AES-GCM) y la longitud de la clave. Un Firebox administrado en la nube admite estas opciones:

  • AES-CBC (128 bits)
  • AES-CBC (192 bits)
  • AES-CBC (256 bits)
  • AES-GCM (128 bits)
  • AES-GCM (192 bits)
  • AES-GCM (256 bits)

Puede habilitar o deshabilitar Perfect Forward Secrecy (PFS) para las negociaciones de la Fase 2. Si habilita PFS, debe seleccionar un grupo de claves Diffie-Hellman. Un Firebox administrado en la nube admite los grupos Diffie-Hellman 14, 15, 19 y 20.

La configuración BOVPN predeterminada tiene estos ajustes de Fase 2:

  • Autenticación — SHA2-256
  • Cifrado — AES (256 bits)
  • Perfect Forward Secrecy (PFS) — Habilitado
  • Grupo PFS — Grupo Diffie-Hellman 14

Para configurar los ajustes de la Fase 2:

  1. Agregue o edite una BOVPN.
  2. Si edita una BOVPN, seleccione la pestaña Seguridad.

  1. En la lista desplegable Autenticación, seleccione SHA2-256, SHA-384 o SHA-512.
  2. En la lista desplegable Cifrado, seleccione AES-CBC (128 bits), AES-CBC (192 bits), AES-CBC (256 bits), AES-GCM (128 bits), AES-GCM (192 bits) o AES-GCM (256 bits).
  3. Para habilitar PFS, marque la casilla de selección Usar Perfect Secrecy (PFS).
  4. Si PFS está habilitado, en la lista desplegable Grupo PFS, seleccione el Grupo Diffie-Hellman 14, 15, 19 o 20.
  5. Para cambiar el tiempo de vencimiento de la clave de VPN, en el cuadro de texto Tiempo, escriba el número de horas.
  6. Para permitir que la clave de VPN expire según el tráfico, marque la casilla de selección Tráfico.
  7. Si habilitó el vencimiento basado en el tráfico, en el cuadro de texto Tráfico, escriba la cantidad de tráfico, en GB.

Vencimiento de la Clave

El vencimiento de la clave define cuándo expira la clave de cifrado de la Fase 2. Cuanto más tiempo esté en uso una clave de cifrado de Fase 2, más datos puede recolectar un atacante para usarlos en un ataque contra la clave.

El ajuste predeterminado es de 8 horas. Opcionalmente, puede habilitar el vencimiento según el tráfico además del tiempo. Si habilita el vencimiento basado en el tráfico, la clave expira cuando se alcanza el tráfico o el límite de tiempo, lo que ocurra primero.

Para cambiar los ajustes de vencimiento de la clave BOVPN:

  1. Agregue o edite una BOVPN.
  2. Si edita una BOVPN, seleccione la pestaña Seguridad.

  1. Para cambiar la hora de vencimiento de la clave, en el cuadro de texto Tiempo, escriba el número de horas de validez de la clave.
  2. Para que la clave expire según el tráfico:
    1. Marque la casilla de selección Tráfico.
    2. En el cuadro de texto Tráfico, especifique la cantidad de tráfico en GB que se utilizará como criterio para el vencimiento de la clave.

Restablecer los Ajustes de Seguridad

Para restablecer los ajustes de seguridad de la BOVPN a los valores predeterminados, haga clic en Restaurar Valores Predeterminados.

Ver También

Agregar un Firebox Administrado en la Nube a WatchGuard Cloud