Configuración de seguridad de IPsec o IKE
La siguiente tabla proporciona más información sobre los parámetros de seguridad Psec/IKE.
| Parámetro | Descripción |
|---|---|
| Algoritmo de cifrado | El algoritmo de cifrado que se utilizará para asegurarse de que los datos no se puedan ver mientras estén en tránsito. De manera predeterminada, se seleccionarán todos los algoritmos. Al menos uno de los algoritmos seleccionados debe estar configurado en su puerta de enlace local para cada fase de IKE. |
| Algoritmo de hash | El algoritmo de hash que se utilizará para verificar la integridad y la autenticidad de los datos. De manera predeterminada, se seleccionarán todos los algoritmos. Al menos uno de los algoritmos seleccionados debe estar configurado en su puerta de enlace local para cada fase de IKE. |
| Números de grupo Diffie-Hellman |
Los números de grupo Diffie-Hellman definen la fuerza de la clave utilizada en el proceso de Internet Key Exchange (IKE). Los números de grupo más altos son más seguros, pero requieren más tiempo para que la clave se calcule. De manera predeterminada, se seleccionarán todos los grupos. Al menos uno de los grupos seleccionados debe estar configurado en su puerta de enlace local para cada fase de IKE. |
| Vida útil (segundos) |
El valor de la vida útil determina la duración de una instancia de conexión con un conjunto de claves de cifrado o autenticación para paquetes de usuario, desde la compleción de la negociación hasta el vencimiento. Intervalo de la fase 1:De 900 a 28 800 segundos, con 28 800 como valor predeterminado. Intervalo de la fase 2: De 900 a 3600 segundos, con 3600 como valor predeterminado. La vida útil de la fase 2 debe ser inferior a la de la fase 1. La conexión se renegocia a través del canal de codificación antes de que venza. Consulte Tiempo de margen para cambiar la clave. Si el lado local y el remoto no tienen la misma vida útil, las conexiones remplazadas estarán desordenadas en el lado con la vida útil más larga. Consulte también Tiempo de margen para cambiar la clave y Difusión de cambio de clave. |
| Tiempo de margen para cambiar la clave (segundos) | Tiempo de margen antes de la expiración de la conexión o la expiración del canal de claves durante el cual el lado local de la conexión VPN intenta negociar un reemplazo. El tiempo exacto para cambiar la clave se selecciona de manera aleatoria según el valor de la Difusión de cambio de clave. Es relevante solo a nivel local; el lado remoto no necesita estar de acuerdo. Intervalo: 900-3600 segundos. El valor predeterminado es 3600. |
| Tamaño del período de reproducción (paquete) |
Tamaño del período de reproducción de IPsec para esta conexión. El valor predeterminado -1 utiliza el valor configurado con charon.replay_window en el archivo strongswan.conf. Los valores superiores a 32 solo son compatibles cuando se utiliza el backend Netlink. Un valor igual a 0 deshabilita la protección de reproducción de IPsec. |
| Difusión de cambio de clave (%) |
Porcentaje máximo que los valores de marginbytes, marginpackets y margintime aumentan aleatoriamente para distribuir al azar los intervalos de cambio de clave (importante para servidores con muchas conexiones). El valor de difusión de cambio de clave puede exceder el 100 %. Después del aumento aleatorio, el valor de marginTYPE no debe exceder lifeTYPE, donde TYPE es bytes, paquetes o tiempo. El valor 0 % deshabilita la distribución aleatoria. Es relevante solo a nivel local; el lado remoto no necesita estar de acuerdo. |
| Tiempo de espera de DPD (segundos) | Tiempo tras el que tiene lugar la acción del tiempo de espera de la detección de pares inactivos (DPD). Puede especificar un valor igual o mayor que 30. El valor predeterminado es 30. |
| Acción del tiempo de espera de la detección de pares inactivos (DPD) |
Acción que debe realizarse después de que se agote el tiempo de espera de la detección de pares inactivos (DPD). Reiniciar: Reinicia la sesión cuando se agota el tiempo de espera de DPD. Borrar: Finaliza la sesión cuando se agote el tiempo de espera de DPD. Ninguna: No realiza ninguna acción cuando se agota el tiempo de espera de DPD. |
| Acción de inicio |
Determina qué lado inicia la conexión y establece el túnel para la conexión VPN. Añadir: La puerta de enlace de su VPN local iniciará la conexión. Iniciar: La puerta de enlace de la VPN en la nube iniciará la conexión. Dirigir: Adecuado para puertas de enlace de VPN compatibles con la opción dirigir. el túnel estará activo solo cuando haya tráfico iniciado desde la puerta de enlace de VPN local o la puerta de enlace de Cloud VPN. |