Una directiva del protocolo de seguridad de Internet (IPsec) consta de una o varias reglas que determinan el comportamiento de IPsec. Las reglas IPsec se configuran en la ficha Reglas de las propiedades de una directiva IPsec. Cada regla IPsec contiene los elementos de configuración siguientes:
Lista de filtros
Lista de filtros única con uno o varios filtros de paquetes predefinidos que describen los tipos de tráfico a los que se aplica la acción de filtrado configurada para esta regla. La lista de filtros se configura en la ficha Lista de filtros IP de las propiedades de una regla IPsec dentro de una directiva IPsec. Para obtener más información acerca de las listas de filtros, vea Listas de filtros.
Acción de filtrado
Acción de filtrado única que incluye el tipo de acción necesaria (Permitir, Bloquear o Negociar la seguridad) para los paquetes que coinciden con la lista de filtros. Para la acción de filtrado Negociar la seguridad, los datos de la negociación contienen uno o varios métodos de seguridad que se aplican (en orden de preferencia) durante las negociaciones IKE y otras opciones de configuración de IPsec. Cada método de seguridad determina el protocolo de seguridad (por ejemplo, AH o ESP), los algoritmos de cifrado específicos y las opciones de regeneración de claves de sesión que se aplican. Los datos de la negociación se configuran en la ficha Acción de filtrado de las propiedades de una regla IPsec dentro de una directiva IPsec. Para obtener más información, vea Acciones de filtrado.
Métodos de autenticación
Se configuran uno o varios métodos de autenticación (por orden de preferencia) para aplicarlos en la autenticación de los equipos del mismo nivel con IPsec durante las negociaciones del modo principal. Los métodos de autenticación disponibles son el protocolo de autenticación Kerberos V5, el uso de un certificado emitido por una entidad de certificación (CA) especificada o una clave previamente compartida. Los datos de la autenticación se configuran en la ficha Métodos de autenticación de las propiedades de una regla IPsec dentro de una directiva IPsec. Para obtener más información, vea Autenticación IPsec.
Extremo del túnel
Especifica si se aplica un túnel al tráfico y, en tal caso, la dirección IP del extremo del túnel. Para el tráfico saliente, el extremo del túnel es la dirección IP del mismo nivel del túnel IPsec. Para el tráfico entrante, el extremo del túnel es una dirección IP local. El extremo del túnel se configura en la ficha Configuración del túnel de las propiedades de una regla IPsec dentro de una directiva IPsec. Debe crear dos reglas de túnel, una para cada dirección en que se desplazará el tráfico. Para obtener más información, vea Configuración de túnel de IPsec.
Tipo de conexión
Especifica si la regla se aplica a las conexiones de red de área local (LAN), a las conexiones remotas o a ambas. El tipo de conexión se configura en la ficha Tipo de conexión de las propiedades de una regla IPsec dentro de una directiva IPsec. Para obtener más información, vea Tipo de conexión IPsec.
Regla de respuesta predeterminada
La regla de respuesta predeterminada se usa para asegurar que el equipo responde a las peticiones de comunicación segura. Si una directiva activa no tiene definida una regla que solicita una comunicación segura, se aplicará la regla de respuesta predeterminada y se negociará la seguridad, si la regla de respuesta predeterminada está habilitada. Por ejemplo, se aplica la regla de respuesta predeterminada cuando el equipo A desea comunicarse de forma segura con el equipo B y éste no tiene definido ningún filtro de entrada para el equipo A.
La regla de respuesta predeterminada, que se puede utilizar para todas las directivas, no se puede eliminar, pero se puede desactivar. Tiene la posibilidad de habilitarla al crear nuevas directivas IPsec con el Asistente para directivas de seguridad IP.
Nota | |
La respuesta predeterminada se omitirá en una directiva que se asigne a un equipo con Windows Vista® o una versión posterior de Windows. |
Es posible configurar métodos de autenticación y métodos de seguridad para la regla de respuesta predeterminada. La lista de filtros <Dinámica> indica que la lista de filtros no está configurada, sino que los filtros se crean automáticamente al recibir paquetes de negociación IKE. La acción de filtrado Respuesta predeterminada indica que la acción de filtrado (Permitir, Bloquear o Negociar la seguridad) no se puede configurar.