Use este cuadro de diálogo para configurar una oferta de algoritmo que incluya tanto la integridad de datos como la confidencialidad de datos (cifrado) y que esté disponible cuando se negocien asociaciones de seguridad de modo rápido. Debe especificar tanto el protocolo como el algoritmo usados para proteger la integridad de los datos del paquete de red.

IPsec (protocolo de seguridad de Internet) ofrece integridad calculando un hash generado a partir de los datos del paquete de red. A continuación, se firma el hash criptográficamente (mediante cifrado) y se incrusta en el paquete IP. El equipo receptor usa el mismo algoritmo para calcular el hash, y compara el resultado con el hash incrustado en el paquete recibido. Si coincide, la información recibida será exactamente la misma que la enviada y se aceptará el paquete. Si no coincide, se rechazará el paquete.

El uso de un hash cifrado del mensaje transmitido hace que sea informáticamente imposible cambiar el mensaje sin que deje de coincidir con el hash. Esto es fundamental cuando se intercambia información a través de un medio no seguro como Internet y permite saber que no se cambió el mensaje durante el tránsito.

Además de proteger la integridad, este cuadro de diálogo permite especificar un algoritmo de cifrado que ayuda a evitar que se lean los datos si se intercepta el paquete de red durante el tránsito.

Cómo llegar a este cuadro de diálogo
  1. En el complemento MMC de Firewall de Windows con seguridad avanzada, en Introducción, haga clic en Propiedades de Firewall de Windows.

  2. Haga clic en la ficha Configuración IPsec.

  3. En Predeterminados de IPsec, haga clic en Personalizar.

  4. En Protección de datos (modo rápido), seleccione Opciones avanzadas y haga clic en Personalizar.

  5. En Integridad de datos y cifrado, seleccione una combinación de algoritmos de la lista y haga clic en Editar o Agregar.

Protocolo

Los protocolos siguientes se usan para incrustar la información de integridad y cifrado en un paquete IP.

ESP (recomendado)

La Carga de seguridad encapsuladora (ESP) ofrece confidencialidad (además de proporcionar autenticación, integridad y antireproducción) para la carga IP. ESP en modo de transporte no firma todo el paquete. Solo se protege la carga de datos IP, no el encabezado IP. ESP puede utilizarse por sí solo o en combinación con AH (Encabezado de autenticación). Con ESP, el cálculo de la función hash solo incluye el encabezado ESP, el finalizador y la carga. ESP proporciona servicios de confidencialidad de datos mediante el cifrado de la carga ESP con uno de los algoritmos de cifrado admitidos. Para proporcionar servicios de reproducción de paquetes se incluye un número de secuencia para cada paquete.

ESP y AH

Esta opción combina la seguridad de los protocolos ESP y AH. AH proporciona autenticación, integridad y antireproducción para todo el paquete (tanto el encabezado IP como la carga de datos transportados en el paquete).

Importante

El protocolo AH no es compatible con la traducción de direcciones de red (NAT), ya que los dispositivos NAT necesitan cambiar información en el encabezado de los paquetes. Para permitir que el tráfico basado en IPsec pase a través de un dispositivo NAT, debe asegurarse de que se admite NAT-T (NAT Traversal) en los equipos del mismo nivel de IPsec.

Algoritmos

Algoritmo de cifrado

Los algoritmos de cifrado siguientes están disponibles para los equipos en los que se ejecuta esta versión de Windows. Algunos de estos algoritmos no están disponibles en los equipos en los que se ejecutan versiones anteriores de Windows. Si tiene que establecer conexiones protegidas mediante IPsec con un equipo en el que se ejecuta una versión anterior de Windows, debe incluir opciones e algoritmos compatibles con la versión anterior.

Para obtener más información, vea Algoritmos y métodos IPsec admitidos en Windows (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC 256

  • AES-CBC 192

  • AES-CBC 128

  • 3DES

  • DES

Seguridad Nota

No se recomienda el uso de DES. Solo se proporciona para la compatibilidad con versiones anteriores.

Nota

Si especifica un algoritmo AES-GCM para el cifrado, deberá especificar el mismo para la integridad.

Algoritmo de integridad

Los algoritmos de integridad siguientes están disponibles para los equipos en los que se ejecuta esta versión de Windows. Algunos de estos algoritmos no están disponibles en los equipos en los que se ejecutan otras versiones de Windows. Si tiene que establecer conexiones protegidas mediante IPsec con un equipo en el que se ejecuta una versión anterior de Windows, debe incluir opciones e algoritmos compatibles con la versión anterior.

Para obtener más información, vea Algoritmos y métodos IPsec admitidos en Windows (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

Seguridad Nota

No se recomienda el uso de MD5. Solo se proporciona para la compatibilidad con versiones anteriores.

Nota

Si especifica un algoritmo AES-GCM para la integridad, deberá especificar el mismo para el cifrado.

Duraciones de las claves

La configuración de la duración determina cuándo se genera una nueva clave. La duración de la clave permite forzar la generación de una nueva clave después de un intervalo de tiempo especificado o después de transmitir una determinada cantidad de datos. Por ejemplo, si la comunicación dura 100 minutos y se especifica una duración de clave de 10 minutos, se generarán 10 claves (una cada diez minutos) durante el intercambio. El uso de múltiples claves asegura que si un atacante logra obtener la clave en una parte de la comunicación, no se pone en peligro toda la comunicación.

Nota

Esta regeneración de clave es para la integridad y el cifrado de datos del modo rápido, y no afecta a la configuración de la duración de la clave para el intercambio de claves de modo principal.

Minutos

Use esta opción para configurar el tiempo en minutos que durará la clave que se usa en la asociación de seguridad de modo rápido. Después de este intervalo, la clave se regenerará. Las comunicaciones siguientes usarán la nueva clave.

La duración máxima es de 2.879 minutos (48 horas). La duración mínima es de 5 minutos. Se recomienda cambiar la clave solo cuando lo requiera el análisis de riesgos. El hecho de cambiar la clave con una frecuencia excesiva puede afectar al rendimiento.

KB

Use esta opción para configurar cuántos kilobytes (KB) de datos se envían con la clave. Después de alcanzar este umbral, el contador se restablece y la clave se regenera. Las comunicaciones siguientes usarán la nueva clave.

La duración máxima es de 2.147.483.647 KB. La duración mínima es de 20.480 KB. Se recomienda cambiar la clave solo cuando lo requiera el análisis de riesgos. El hecho de cambiar la clave con una frecuencia excesiva puede afectar al rendimiento.

Vea también


Tabla de contenido