Use este cuadro de diálogo para agregar, editar, eliminar o cambiar la prioridad de combinaciones de algoritmos disponibles para el intercambio de claves durante las negociaciones de modo principal. Puede especificar más de un algoritmo en cada combinación de algoritmos y asignar el orden en el que se intentará ejecutar las combinaciones. Se usará la primera combinación de la lista compatible con los dos equipos del mismo nivel.

Nota

Se recomienda mostrar las combinaciones de algoritmos ordenadas de mayor a menor seguridad. De este modo, se usará el algoritmo más seguro común entre los dos equipos que negocien. Para mantener la compatibilidad con las versiones anteriores, se pueden usar algoritmos menos seguros.

Cómo llegar a este cuadro de diálogo
  1. En el complemento MMC de Firewall de Windows con seguridad avanzada, en Introducción, haga clic en Propiedades de Firewall de Windows.

  2. Haga clic en la ficha Configuración IPsec.

  3. En Predeterminados de IPsec, haga clic en Personalizar.

  4. En Intercambio de claves (modo principal), seleccione Opciones avanzadas y haga clic en Personalizar.

Métodos de seguridad

Los métodos de seguridad son combinaciones de algoritmos de integridad y algoritmos de cifrado que protegen el intercambio de claves. Puede tener todas las combinaciones que necesite y organizarlas en su orden preferido en la lista. Se intentará ejecutar las combinaciones en el orden en el que aparezcan. Se usa el primer conjunto que acepten los dos equipos del mismo nivel. Si el equipo del mismo nivel no puede usar ninguna de las combinaciones definidas, se producirá un error al intentar establecer la conexión.

Algunos algoritmos solo se admiten en equipos en los que se ejecuta esta versión de Windows. Para obtener más información, vea Algoritmos y protocolos IPsec admitidos por Windows (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkID=129230).

Para agregar una combinación a la lista, haga clic en Agregar para usar el cuadro de diálogo Agregar o editar método de seguridad.

Para reordenar la lista, seleccione una combinación y haga clic en las flechas arriba o abajo.

Nota

Se recomienda ordenar las combinaciones de mayor a menor seguridad empezando por la parte superior de la lista. Esto garantizará que se use el método más seguro que admitan los dos equipos del mismo nivel.

Duraciones de las claves

La configuración de la duración determina cuándo se genera una nueva clave. La duración de la clave permite forzar la generación de una nueva clave después de un intervalo de tiempo especificado o después de transmitir una determinada cantidad de datos. El uso de varias claves garantiza que si un atacante logra obtener acceso a una clave, solo se expondrá una pequeña cantidad de información antes de que se genere una clave nueva para volver a proteger el tráfico de la red. Se puede especificar la duración en minutos y en número de sesiones. Se usa el primer umbral alcanzado y la clave se regenera.

Nota

Esta regeneración de clave solo se usa para el intercambio de claves de modo principal. Esta configuración no afecta a la configuración de la duración de la clave para la protección de datos de modo rápido.

Minutos

Use esta opción para configurar el tiempo en minutos que durará la clave que se usa en la asociación de seguridad de modo principal. Tras este intervalo, se generará una clave nueva. Las siguientes sesiones de modo principal usarán la clave nueva.

La duración máxima es de 2.879 minutos (48 horas). La duración mínima es de 1 minuto. Se recomienda cambiar la clave solo cuando lo requiera el análisis de riesgos. El hecho de cambiar la clave con una frecuencia excesiva puede afectar al rendimiento.

Sesiones

Una sesión es un mensaje o un conjunto de mensajes diferenciado protegido por una asociación de seguridad de modo rápido. En esta opción se especifica cuántas sesiones de generación de clave de modo rápido se pueden proteger con la misma información de clave de modo principal. Una vez alcanzado este umbral, se restablece el contador y se genera una clave nueva. Las comunicaciones siguientes usarán la nueva clave. La duración máxima es de 2.147.483.647 sesiones. La duración mínima es de 0 sesiones.

Un límite de sesión cero (0) hace que la generación de una clave nueva solo esté determinada por el valor de Duración de la clave en minutos.

Es necesario tener precaución al establecer duraciones muy diferentes para las claves de los modos principal y rápido. Por ejemplo, si se establece una duración de la clave de modo principal de ocho horas y una duración de la clave de modo rápido de dos horas, una asociación de seguridad de modo rápido puede continuar establecida casi dos horas después de que expire la asociación de seguridad de modo principal. Esta situación se produciría cuando la SA de modo rápido se generara poco antes de expirar la SA de modo principal.

Importante

Cuanto mayor sea el número de sesiones permitidas por clave de modo principal, mayores serán las posibilidades de que se descubra la clave de modo principal. Si desea limitar el número de veces que se puede volver a utilizar este material, puede especificar un límite de claves de modo principal.

Seguridad Nota

Para configurar una confidencialidad directa total (PFS) de modo principal, especifique el valor 1 en Duración de la clave en sesiones. Aunque esta configuración ofrece una protección adicional significativa, también supone una reducción significativa del rendimiento de cálculo y de la red. Cada sesión de modo rápido nueva vuelve a generar el material para claves de modo principal, que a su vez hace que se vuelvan a autenticar ambos equipos. Se recomienda habilitar la PFS solo en entornos en los que el tráfico IPsec pueda verse expuesto a ataques sofisticados que puedan poner en peligro la protección segura de cifrado que ofrece IPsec.

Opciones de intercambio de claves

Use Diffie-Hellman para una mayor seguridad

Windows Vista y las versiones posteriores de Windows admiten AuthIP (IP autenticado) además de IKE (intercambio de claves de Internet) para establecer la conexión segura inicial en la que se negocia el resto de los parámetros de IPsec. IKE solo usa el intercambio Diffie-Hellman. Cuando se usa AuthIP, no se requiere ningún protocolo de intercambio de claves Diffie-Hellman. En cambio, cuando se solicita la autenticación con la versión 5 de Kerberos, se usa el secreto de vale de servicio de la versión 5 de Kerberos en lugar de un valor Diffie-Hellman. Cuando se solicita la autenticación de certificados o la autenticación NTLM, se establece una seguridad del nivel de transporte (TLS), y se usa su secreto en lugar del valor Diffie-Hellman.

Si activa esta casilla, se realizará un intercambio Diffie-Hellman independientemente del tipo de autenticación seleccionado, y se usará el secreto Diffie-Hellman para proteger al resto de las negociaciones de IPsec. Úselo cuando se especifique en los requisitos normativos que se debe usar un intercambio Diffie-Hellman.

Vea también


Tabla de contenido