Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Opciones de configuración recomendadas para VPN de sitio a sitio con direcciones IP estáticas

 

Tabla 1enumera las opciones de configuración de una VPN de sitio a sitio genérica entre dos dispositivos de seguridad con direcciones IP estáticas. La VPN puede estar basada en rutas o en una directiva.

Opción de configuración

Coment

ICR opciones de configuración:

Autokey ICR con certificados

No se recomienda usar la tecla manual.

Modo principal

Se utiliza cuando los interlocutores tienen direcciones IP estáticas.

Certificados RSA o DSA

Los certificados RSA o DSA se pueden usar en el dispositivo local. Especifique el tipo de certificado (PKCS7 o X. 509) en el interlocutor.

Grupo Diffie-Hellman (DH) 14

El grupo DH 14 proporciona más seguridad que los grupos DH 1, 2 o 5.

Cifrado de estándar de cifrado avanzado (AES)

AES es criptográficamente más seguro que el estándar de cifrado de datos (DES) y triple DES (3DES) cuando las longitudes de clave son iguales. Algoritmo de cifrado aprobado para estándares de estándares federales de procesamiento de la información (FIPS) y Common Criteria EAL4.

Autenticación de algoritmo de hash seguro 256 (SHA-256)

SHA-256 proporciona mayor seguridad de cifrado que SHA-1 o Message Digest 5 (MD5).

Opciones de configuración de IPsec:

Confidencialidad directa perfecta (PFS) grupo DH 14

PFS DH grupo 14 proporciona mayor seguridad porque los interlocutores realizan un segundo intercambio DH para generar la clave utilizada para el cifrado y descifrado de IPsec.

Protocolo ESP (carga de seguridad de encapsulación)

ESP proporciona la confidencialidad a través del cifrado y encapsulación del paquete IP original y de su integridad mediante la autenticación.

Encriptación AES

AES es criptográficamente más seguro que DES y 3DES cuando las longitudes de clave son iguales. Algoritmo de cifrado aprobado para los estándares FIPS y Common Criteria EAL4.

Autenticación SHA-256

SHA-256 proporciona más seguridad de cifrado que SHA-1 o MD5.

Protección contra la reproducción

Habilitada de forma predeterminada. Si deshabilita esta característica, puede que se resuelvan los problemas de compatibilidad con los interlocutores de terceros.

Temas relacionados