Configuraciones de Fase 2

La configuración de Fase 2 incluye las configuraciones para una asociación de seguridad (SA), que define cómo los paquetes de datos son protegidos cuando pasan entre dos endpoints. El SA guarda toda la información necesaria para que el Firebox maneje el tráfico entre los endpoints. Los parámetros en SA pueden incluir:

  • Los algoritmos de cifrado y autenticación utilizados.
  • Caducidad de SA (en segundos o número de bytes, o ambos).
  • La dirección IP del dispositivo para el cual se establece la SA (el dispositivo que maneja el cifrado y descifrado de IPSec en el otro lado de la VPN, no el por detrás que envía o recibe el tráfico).
  • Las direcciones IP de origen y de destino del tráfico al cual la SA se aplica.
  • Dirección del tráfico a la cual se aplica la SA (hay una SA para cada dirección de tráfico, entrante y saliente).

Se puede agregar más de una propuesta de Fase 2 en la pestaña Configuraciones de Fase 2. Sin embargo, no puede agregar propuestas de AH y ESP fase 2 a la lista de Propuestas IPSec para el mismo túnel VPN.

Si planea usar la función de puerto de transferencia IPSec, debe usar una propuesta con ESP (Carga de seguridad de encapsulación) como método de propuesta. El puerto de transferencia IPSec soporta ESP, pero no AH. Para obtener más información acerca del paso a través de IPSec, consulte Acerca de las Configuraciones de VPN Global.

Las Configuraciones de la Fase 2 también incluyen una configuración para Perfect Forward Secrecy (PFS). El Perfect Forward Secrecy ofrece más protección a las claves creadas en una sesión. Las claves hechas con PFS no son hechas a partir de una clave anterior. Si una clave anterior está comprometida después de una sesión, las claves de su nueva sesión quedan protegidas. Para más información, consulte Acerca de los Grupos Diffie-Hellman.

Los ajustes de la Fase 2 que puede configurar son los mismos para una puerta de enlace BOVPN o una interfaz virtual BOVPN.

  1. En la página VPN de Sucursal para un túnel o la página Interfaz Virtual BOVPN, seleccione la pestaña Ajustes de Fase 2. ¡Consejo!

Screen shot of the Tunnel Phase 2 Settings tab

  1. De forma predeterminada, Perfect Forward Secrecy (PFS) está habilitado y se especifica el Grupo Diffie-Hellman 14. Puede deshabilitar PFS o seleccionar un grupo Diffie-Hellman diferente.
  2. Por defecto, un túnel VPN contiene una propuesta predeterminada, que aparece en la lista de Propuestas IPSec. Esa propuesta especifica el método de protección de datos de ESP, cifrado AES de 256 bits y la autenticación SHA2-256. Puede seleccionar una propuesta diferente en la lista desplegable y hacer clic en Agregar.

Si la propuesta que quiere usar no está en la lista, puede agregar una propuesta adicional, tal como se explica en Agregar una Propuesta de Fase 2.

  1. Desde el cuadro de diálogo Nuevo Túnel o Nueva Interfaz Virtual BOVPN, seleccione la pestaña Configuraciones de Fase 2. ¡Consejo!

Screen shot of the New Tunnel dialog box with Phase2 Settings tab

  1. De forma predeterminada, Perfect Forward Secrecy (PFS) está habilitado y se especifica el Grupo Diffie-Hellman 14. Puede deshabilitar PFS o seleccionar un grupo Diffie-Hellman diferente.
  2. Por defecto, un túnel VPN contiene una propuesta predeterminada, que aparece en la lista de Propuestas IPSec. Esa propuesta especifica el método de protección de datos de ESP, cifrado AES de 256 bits y la autenticación SHA2-256. Puede:
  • Utilizar la propuesta predeterminada.
  • Elimine la propuesta predeterminada y reemplácela por una nueva.
  • Agregue una propuesta adicional, tal como se explica en Agregar una Propuesta de Fase 2.