Use este cuadro de diálogo para configurar la oferta de algoritmo de integridad de datos disponible al negociar asociaciones de seguridad de modo rápido. Debe especificar el protocolo y el algoritmo usados para proteger la integridad de los datos del paquete de red.

El protocolo de seguridad de Internet (IPsec) proporciona integridad mediante el cálculo del hash generado a partir de los datos del paquete de red. El hash se firma de manera criptográfica (se cifra) y se inserta en el paquete IP. El equipo receptor usa el mismo algoritmo para calcular el hash y compara el resultado con el hash que se inserta en el paquete recibido. Si coincide, la información recibida se corresponde exactamente con la información enviada y el paquete se acepta. Si no coincide, el paquete se descarta.

El uso de un hash cifrado del mensaje transmitido hace que sea computacionalmente imposible cambiar el mensaje sin que produzca un error de coincidencia con el hash. Esto es crítico si se intercambian datos a través de una red no segura, como Internet, porque permite saber que el mensaje no se cambia durante el tránsito.

Para abrir este cuadro de diálogo
  1. En la página del complemento MMC de Firewall de Windows con seguridad avanzada, en Información general, haga clic en Propiedades de Firewall de Windows.

  2. Haga clic en la ficha Configuración IPsec.

  3. En Predeterminados de IPsec, haga clic en Personalizar.

  4. En Protección de datos (modo rápido), seleccione Opciones avanzadas y, a continuación, haga clic en Personalizar.

  5. En Integridad de datos, seleccione una combinación de algoritmo en la lista y haga clic en Editar o Agregar.

Protocolo

Los siguientes protocolos se usan para insertar la información de integridad en un paquete IP.

ESP (recomendado)

ESP proporciona autenticación, integridad y protección frente a reproducción para la carga IP. En el modo de transporte, ESP no firma el paquete completo. Solo se protege la carga IP, no el encabezado IP. ESP puede utilizarse por sí solo o en combinación con AH. Con ESP, el cálculo del hash solo incluye el encabezado ESP, el finalizador y la carga. ESP puede proporcionar de forma opcional servicios de confidencialidad de datos mediante el cifrado de la carga ESP con uno de los algoritmos de cifrado admitidos. Para proporcionar servicios de reproducción de paquetes se incluye un número de secuencia para cada paquete.

AH

AH proporciona autenticación, integridad y protección frente a reproducción para todo el paquete (tanto para el encabezado IP como para la carga de datos transportados en el paquete). No proporciona confidencialidad, ya que no cifra los datos. La información es legible, pero está protegida contra modificaciones. Se excluyen del cálculo de hash algunos campos cuyo cambio se permite en el tránsito. Para proporcionar servicios de reproducción de paquetes, se incluye un número de secuencia para cada paquete.

Importante

El protocolo AH no es compatible con la traducción de direcciones de red (NAT) porque los dispositivos NAT cambian la información en algunos de los encabezados de paquete incluidos en el hash de integridad. Para permitir que el tráfico basado en IPsec atraviese un dispositivo NAT, debe usar ESP y asegurarse de que NAT Traversal (NAT-T) está habilitado en los equipos del mismo nivel de IPsec.

Encapsulación nula

La encapsulación nula especifica que no desea usar ninguna protección de cifrado o integridad en el tráfico de red. La autenticación se sigue realizando según los requisitos de las reglas de seguridad de conexión, pero no se ofrece ninguna otra protección para los paquetes de red intercambiados a través de esta asociación de seguridad.

Seguridad Nota

Debido a que esta opción no ofrece ningún tipo de protección de integridad o confidencialidad, se recomienda usarla solo si debe admitir software o dispositivos de red que no son compatibles con ESP o AH.

Algoritmos

Los siguientes algoritmos de integridad están disponibles para los equipos que ejecutan esta versión de Windows. Algunos de estos algoritmos no están disponibles en equipos que ejecutan otras versiones de Windows. Si debe establecer conexiones con protección IPsec con un equipo que ejecuta una versión anterior de Windows, debe incluir opciones de algoritmo compatibles con la versión anterior.

Para obtener más información, vea el tema acerca de los métodos y algoritmos de IPsec admitidos en Windows (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkID=129230).

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

    Precaución

    MD5 ya no se considera seguro y solo se debe usar para realizar pruebas o en casos en los que el equipo remoto no pueda usar un algoritmo más seguro. Solo se ofrece para proporcionar compatibilidad con versiones anteriores.

Duraciones de las claves

La configuración de la duración determina cuándo se genera una nueva clave. La duración de la clave permite forzar la generación de una nueva clave después de un intervalo de tiempo especificado o después de transmitir una determinada cantidad de datos. Por ejemplo, si la comunicación dura 100 minutos y se especifica una duración de clave de 10 minutos, se generarán 10 claves (una cada diez minutos) durante el intercambio. El uso de múltiples claves garantiza que si un atacante logra obtener la clave en una parte de la comunicación, no se pone en peligro toda la comunicación.

Nota

Esta regeneración de clave solo se usa para la integridad de datos de modo rápido. Esta configuración no afecta a la configuración de la duración de la clave para el intercambio de claves de modo principal.

Minutos

Use esta opción para establecer cuánto tiempo dura en minutos la clave usada en la asociación de seguridad de modo rápido. Después de este intervalo, se generará una clave nueva. Las comunicaciones siguientes usarán la nueva clave.

La duración máxima es de 2.879 minutos (48 horas). La duración mínima es de 5 minutos. Se recomienda cambiar la clave solo con la frecuencia que requiera el análisis de riesgos. Un cambio de clave demasiado frecuente puede afectar al rendimiento.

KB

Use esta opción para establecer cuántos kilobytes (KB) de datos se envían con la clave. Después de alcanzar este umbral, el contador se restablece y la clave se regenera. Las comunicaciones siguientes usarán la nueva clave.

La duración máxima es de 2.147.483.647 KB. La duración mínima es de 20.480 KB. Se recomienda cambiar la clave solo con la frecuencia que requiera el análisis de riesgos. Un cambio de clave demasiado frecuente puede afectar al rendimiento.

Vea también


Tabla de contenido