Cada regla define una lista de métodos de autenticación. Cada método de autenticación define los requisitos de comprobación de las identidades en las comunicaciones a las que se aplica la regla asociada. Cada equipo del mismo nivel intenta usar los métodos en el orden en el que aparecen. Los dos equipos del mismo nivel deben tener, como mínimo, un método de autenticación común; de lo contrario, la comunicación no será posible. Si se crean varios métodos de autenticación, existirán más posibilidades de encontrar un método común para los dos equipos.

Nota

El orden de estos métodos también es importante porque únicamente se intentará usar el primer método común; si se producen errores al autenticar, no se probarán otros métodos de la lista, aunque estos métodos hubiesen resultado correctos.

Métodos de autenticación

Sólo puede utilizarse un método de autenticación entre dos equipos, independientemente de cuántos se hayan configurado. Si se aplican varias reglas al mismo par de equipos, debe configurar la lista de métodos de autenticación de modo que los dos equipos puedan utilizar el mismo método. Por ejemplo, si una regla entre un par de equipos especifica únicamente el protocolo Kerberos para la autenticación y sólo filtra datos de TCP, mientras que otra regla especifica únicamente certificados para la autenticación y sólo filtra datos de UDP, se producirá un error en la autenticación. Los métodos de autenticación se configuran en la ficha Métodos de autenticación de las hojas de propiedades Propiedades de Editar regla o Propiedades de Agregar regla.

  • El protocolo de autenticación Kerberos versión 5 es la tecnología de autenticación predeterminada. Este método se puede usar para cualquier equipo que ejecute el protocolo de autenticación Kerberos V5 y pertenezca al mismo dominio o a un dominio de confianza. Este método resulta útil para aislar el dominio con el protocolo de seguridad de Internet (IPsec).

  • Se debe utilizar un certificado de clave pública en situaciones que incluyan acceso a Internet, acceso remoto a recursos corporativos, comunicaciones de socios empresariales externos o equipos que no ejecuten el protocolo de autenticación Kerberos V5. Para ello es necesario haber configurado al menos una entidad de certificación (CA) de confianza. Esta versión de Windows admite certificados X.509 versión 3, incluidos los certificados de CA generados por entidades de certificación comerciales.

  • Es posible especificar una clave previamente compartida. Se trata de una clave secreta y compartida que dos usuarios acuerdan previamente. Su uso es sencillo y no requiere que el cliente ejecute el protocolo de autenticación Kerberos V5 ni que tenga un certificado de claves públicas. Ambas partes deben configurar IPsec manualmente para utilizar esta clave previamente compartida. Se trata de un método simple para autenticar equipos independientes o equipos que no utilicen el protocolo de autenticación Kerberos V5. Una clave previamente compartida se utiliza únicamente para la protección de autenticación; no se utiliza para el cifrado o la integridad de datos.

Importante

La clave previamente compartida se almacena en texto simple y no se considera un método seguro. Las claves previamente compartidas sólo deben utilizarse para realizar pruebas.

Vea también