Una acción de filtrado define los requisitos de seguridad para la transmisión de datos. Las acciones de filtrado pueden definirse al crear una directiva o antes de crearla. Las listas de filtros se encuentran disponibles para todas las directivas. Para definir una lista de filtros, haga clic con el botón secundario en el nodo Directivas de seguridad IP y seleccione Administrar listas de filtros IP y acciones de filtrado.
Se puede configurar una acción de filtrado para:
Permitir el tráfico
IPsec traslada este tráfico hacia el controlador TCP/IP y desde el mismo sin modificarlo y sin aplicarle requisitos de seguridad. Esta opción resulta adecuada para el tráfico procedente de equipos no compatibles con IPsec. Asegúrese de limitar la lista de filtros IP a un volumen mínimo cuando utilice este tipo de acción de filtrado, para no permitir que pase tráfico que debería estar protegido.
Contemple la posibilidad de permitir el tráfico ICMP para solucionar problemas. Es posible que también tenga que permitir que un equipo que no pertenezca al dominio (por ejemplo, el equipo de un consultor) obtenga acceso a otro equipo del dominio. Puede utilizar la acción de filtrado permitir para permitir este acceso.
Importante | |
La acción de filtrado permitir permite el acceso sin autenticación, integridad de datos o cifrado. Se concede acceso a cualquier persona que utilice un equipo con la dirección IP especificada en la lista de filtros. Todo el tráfico entre los equipos se realiza con texto simple; no se llevan a cabo comprobaciones de integridad. |
Bloquear el tráfico
IPsec descarta el tráfico bloqueado sin notificación. Cuando utilice una acción de filtrado de bloqueo, asegúrese de utilizar una lista de filtros IP que defina el ámbito de direcciones IP correcto. El uso de ámbitos mayores aumenta la posibilidad de bloquear el tráfico entre equipos válidos.
Negociar la seguridad
Si habilita la opción Aceptar comunicación no segura, pero responder siempre con IPSec, IPsec intentará negociar asociaciones de seguridad (SA) y el envío o la recepción de tráfico protegido con IPsec. Sin embargo, si el equipo del mismo nivel no puede usar IPsec, se permitirá la comunicación sin protección IPsec. Si selecciona esta acción de filtrado, también puede configurar lo siguiente:
- Métodos de seguridad y su orden. Esta lista de métodos define el orden en que se debe intentar ejecutar los métodos. Se usará el primer método que se ejecute correctamente y no se intentará ejecutar el resto de los métodos. Normalmente, la lista debe estar ordenada de mayor a menor seguridad, de modo que se use el método más seguro.
- Aceptar tráfico inicial entrante no seguro (Aceptar comunicación no segura, pero responder siempre con IPSec). IPsec permite que un paquete entrante que coincida con la lista de filtros configurada no sea seguro (es decir, que no esté protegido por IPsec). Sin embargo, la respuesta saliente al paquete entrante sí debe protegerse. Esta opción es útil cuando se utiliza la regla de respuesta predeterminada de los clientes. Cuando un grupo de servidores se configura con una regla que protege la comunicación con cualquier dirección IP y acepta la comunicación no segura, pero respondiendo únicamente con comunicación segura, al habilitar la regla de respuesta predeterminada en los equipos cliente se asegura que van a responder a la petición del servidor para negociar la seguridad. Esta opción debe estar deshabilitada en los equipos seguros conectados a Internet para evitar los ataques por denegación de servicio.
- Habilitar la comunicación con equipos no compatibles con IPsec (Permitir comunicación no segura si no se puede establecer una conexión segura). IPsec retrocede a una comunicación no segura, si es necesario. De nuevo, debe limitar la lista de filtros IP a un volumen mínimo. De lo contrario, si la negociación tiene errores por cualquier motivo, cualquier comunicación a la que se aplique la regla en la que reside esta acción de filtrado podría hacer que se enviara información sin protección. Si le preocupa la comunicación no segura, puede considerar la posibilidad de deshabilitar estas opciones. Sin embargo, la comunicación con los equipos que no pueden iniciar IPsec, como los sistemas antiguos, se puede bloquear. Esta opción debe estar deshabilitada en los equipos seguros conectados a Internet para evitar los ataques por denegación de servicio.
- Generar claves de sesión de modo rápido a partir de nuevo material de creación de claves de modo principal (Confidencialidad directa total (PFS) de clave de sesión). Habilitar la PFS de clave de sesión garantiza que el material de generación de la clave maestra de modo principal no se pueda usar para obtener más de una clave de sesión de modo rápido. Cuando se habilita la PFS de modo rápido, se realiza un nuevo intercambio de claves Diffie-Hellman para generar nuevo material de creación de clave maestra de modo principal antes de crear la nueva clave de modo rápido. La PFS de clave de sesión (modo rápido) no necesita una nueva autenticación de modo principal y usa menos recursos que la PFS de clave maestra (modo principal).
Métodos de seguridad de IPsec
Cada método de seguridad define los requisitos de seguridad de cualquier comunicación a la que se aplica la regla asociada. Al crear varios métodos de seguridad aumentan las posibilidades de que se encuentre un método común entre los dos equipos. El componente Intercambio de claves por red (IKE) lee la lista de métodos de seguridad en orden descendente y envía una lista con los métodos de seguridad permitidos al otro equipo del mismo nivel. Se seleccionará el primer método que ambos tengan en común. Normalmente, los métodos más seguros aparecen al comienzo de la lista y los menos seguros al final.
Métodos de seguridad predefinidos
A continuación se muestran los métodos de seguridad predefinidos:
Cifrado e integridad
Utiliza el protocolo ESP para proporcionar confidencialidad (cifrado) de datos con el algoritmo Triple cifrado de datos estándar (3DES), integridad de datos y autenticación con el algoritmo hash seguro 1 (SHA1) y la vigencia de clave predeterminada (100 megabytes (MB), 1 hora). Si necesita proteger los datos y las direcciones (encabezado IP), puede crear un método de seguridad personalizado. Si no necesita el cifrado, utilice sólo integridad.
Sólo integridad
Utiliza el protocolo ESP para proporcionar integridad de datos y autenticación con el algoritmo de integridad SHA1 y la vigencia de clave predeterminada (100 MB, 1 hora). En esta configuración, ESP no proporciona confidencialidad (cifrado) de datos.
Métodos de seguridad personalizados
Si las configuraciones predefinidas de cifrado e integridad o sólo integridad no satisfacen sus requisitos de seguridad, puede especificar métodos de seguridad personalizados. Por ejemplo, puede usar métodos personalizados cuando tenga que especificar cifrado e integridad de direcciones, algoritmos más eficaces o vigencias de clave específicas. Al configurar un método de seguridad personalizado, puede establecer las opciones siguientes:
Protocolos de seguridad
Tanto AH (integridad de direcciones y datos sin cifrado) como ESP (integridad de datos y cifrado) pueden habilitarse en un método de seguridad personalizado cuando se precisa integridad del encabezado IP y cifrado de datos. Si elige habilitar ambas opciones, no es necesario especificar un algoritmo de integridad para ESP.
Nota | |
El protocolo AH no puede utilizarse a través de dispositivos de traducción de direcciones de red (NAT) porque utilizar un hash del encabezado. Los dispositivos NAT cambian el encabezado, de modo que el paquete no se autentica correctamente. |
Algoritmo de integridad
Síntesis del mensaje 5 (MD5), que utiliza una clave de 128 bits. Este algoritmo ya no se considera seguro y sólo debe utilizarse cuando la interoperabilidad requiere su uso.
SHA1, que utiliza una clave de 160 bits. SHA1 es más seguro que MD5 y cumple con el Estándar federal de procesamiento de información (FIPS).
Algoritmo de cifrado
3DES es la más segura de las combinaciones DES y más lenta en cuanto a rendimiento. 3DES procesa cada bloque tres veces, con tres claves únicas de 56 bits.
DES usa una única clave de 56 bits y se utiliza cuando no se requiere la mayor seguridad y carga de 3DES. Este algoritmo ya no se considera seguro y sólo debe utilizarse cuando la interoperabilidad lo requiere.
La configuración de la clave de sesión (modo rápido) determina cuándo se genera una nueva clave, no cómo se genera. Es posible especificar una vigencia en kilobytes (KB), segundos o ambos. Por ejemplo, si la comunicación dura 10.000 segundos y se especifica una vigencia de la clave de 1.000 segundos, se generarán 10 claves para completar la transferencia. De este modo se asegura que, aunque un atacante logre determinar una clave de sesión y descifrar parte de una comunicación, no podrá descifrarla por completo. De forma predeterminada se generan nuevas claves de modo rápido para cada 100 MB de datos transmitidos o cada hora transcurrida. Cada vez que finaliza la vigencia de un clave, también se vuelve a negociar la SA además de la actualización o la nueva generación de la clave.
Para crear una acción de filtrado con el cuadro de diálogo Propiedades de Nueva regla |
En la ficha Reglas del cuadro de diálogo Propiedades de la directiva de seguridad IP, desactive la casilla Usar Asistente para agregar si desea crear una acción de filtrado en el cuadro de diálogo de propiedades. Si desea usar el asistente, mantenga activada la casilla. Haga clic en Agregar. Las siguientes instrucciones sirven para crear una lista de filtros con el cuadro de diálogo.
En la ficha Acción de filtrado del cuadro de diálogo Propiedades de Regla, desactive la casilla Usar Asistente para agregar y haga clic en Agregar.
En la ficha Métodos de seguridad, seleccione el método (acción) que utilizará la regla.
(Opcional) En la ficha Descripción, escriba una descripción para la acción de filtrado. Esta descripción puede ayudarle a ordenar las acciones de filtrado y le permite identificar rápidamente la acción de filtrado sin tener que abrir sus propiedades.
Haga clic en Aceptar.
Repita los pasos del 4 al 8 para agregar otras acciones de filtrado a la lista.
Nota Aunque la regla puede incluir varias acciones de filtrado, sólo se puede usar una acción de filtrado por regla.
En la ficha Acción de filtrado, seleccione la acción de filtrado adecuada para la regla y haga clic en Aceptar.
Para crear una acción de filtrado con el cuadro de diálogo Administrar listas de filtros IP y acciones de filtrado |
Haga clic con el botón secundario en el nodo Directivas de seguridad IP y seleccione Administrar listas de filtros IP y acciones de filtrado.
En la ficha Administrar acciones de filtrado, desactive la casilla Usar Asistente para agregar si desea crear la acción de filtrado con el cuadro de diálogo de propiedades. Si desea usar el asistente, mantenga activada la casilla. Haga clic en Agregar. Las siguientes instrucciones sirven para crear una lista de filtros con el cuadro de diálogo. En las instrucciones que se muestran a continuación no se usa el asistente.
En la ficha Métodos de seguridad, seleccione un método y haga clic en Aceptar.
En caso de que haya seleccionado la opción Negociar la seguridad, podrá agregar varios métodos y especificar el orden en que debe intentarse su ejecución. Para ello, haga clic en Agregar.
(Opcional) En la ficha Descripción, escriba una descripción para el filtro. Esta descripción puede ayudarle a ordenar los filtros y le permite identificar rápidamente el filtro sin tener que abrir sus propiedades.
Haga clic en Aceptar.
Repita los pasos del 4 al 8 para agregar acciones de filtrado a la lista.