Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Crear y administrar perfiles VPN

Configure perfiles VPN que definan parámetros de seguridad al establecer una conexión VPN. Puede reutilizar el mismo perfil para crear más túneles VPN. El perfil de VPN incluye propuestas de VPN, modo VPN, autenticación y otros parámetros utilizados en VPN IPsec. Cuando se crea un perfil VPN, Juniper Security Director Cloud crea un objeto en la base de datos para representar el perfil VPN. Puede utilizar este objeto para crear VPN IPsec basadas en rutas o en políticas.

Nota:

No puede modificar ni eliminar perfiles de VPN definidos por Juniper Networks. Solo puede clonar los perfiles y crear nuevos perfiles.

También puede configurar las fases de negociación de ICR conocidas como opciones de fase 1 y fase 2 en un perfil de VPN. Los firewalls de la serie SRX admiten los siguientes métodos de autenticación en las negociaciones de IKE para VPN IPsec:

  • Clave previamente compartida

  • Certificado ECDSA

  • Certificado RSA

  • Certificado DSA

El perfil VPN predefinido está disponible para la autenticación basada en certificados RSA. La lista de certificados PKI del dispositivo se recupera automáticamente durante la detección de dispositivos.

Crear perfiles VPN

  1. Haga clic Seguridad > Administración VPN IPsec > Perfiles VPN.

    Se abre la página Perfiles de VPN.

  2. Haga clic en Crear para crear un nuevo perfil de VPN y seleccione una de las siguientes opciones:

    • Basado en políticas de sitio a sitio

    • Sitio a sitio
    • Hub and spoke (establecimiento de todos los pares)
    • Hub and spoke (establecimiento por radios)
    • Concentrador y radio (ADVPN - VPN de detección automática)
    • Acceso remoto a Juniper Secure Connect
  3. Complete la configuración de acuerdo con las siguientes directrices:
    Tabla 1: Configuración de perfiles VPN

    Entorno

    Directriz

    Nombre

    Introduzca una cadena única de un máximo de 255 caracteres alfanuméricos sin espacios.

    La cadena puede contener dos puntos, puntos, guiones y guiones bajos.

    Descripción

    Introduzca una descripción que contenga un máximo de 1024 caracteres para el perfil VPN.

    Tipo de autenticación

    Seleccione el tipo de autenticación necesario:

    • Basado en precompartidos

    • Firmas RSA

    • Firmas de DSA

    • Firmas ECDSA-256

    • Firmas ECDSA-384

    Versión de IKE

    Seleccione la versión de IKE requerida, ya sea V1 o V2, que se usa para negociar asociaciones dinámicas de seguridad (SA) para IPsec. De forma predeterminada, se usa IKEv1.

    En la nube de Juniper Security Director, la fragmentación de mensajes IKEv2 permite que IKEv2 funcione en entornos donde los fragmentos IP podrían estar bloqueados y los pares no podrían establecer una asociación de seguridad IPsec (SA). La fragmentación IKEv2 divide un mensaje IKEv2 grande en un conjunto de mensajes más pequeños para que no haya fragmentación en el nivel IP.

    Modo

    Seleccione un modo VPN:

    • Principal: la forma más común y segura de establecer una VPN al crear VPN de sitio a sitio. Las identidades de IKE están cifradas y los espías no pueden determinarlas.

    • Agresivo: esta es una alternativa a la negociación IPsec del modo principal. Este es el modo más común cuando se compilan VPN desde estaciones de trabajo cliente a puertas de enlace VPN, donde la dirección IP del cliente no se conoce de antemano ni es fija.

    Algoritmo de cifrado

    Seleccione el mecanismo de cifrado adecuado.

    Algoritmo de autenticación

    Seleccione un algoritmo. El dispositivo utiliza este algoritmo para comprobar la autenticidad e integridad de un paquete.

    Deffie Hellman Group

    Seleccione un grupo.

    Los grupos Diffie-Hellman (DH) determinan la intensidad de la clave utilizada en el proceso de intercambio de claves.

    Segundos de vida útil

    Seleccione una duración de una asociación de seguridad (SA) de IKE.

    El intervalo válido es de 180 a 86400 segundos.

    detección de pares inactivos

    Active esta opción para permitir que las dos puertas de enlace determinen si la puerta de enlace par está activa y respondiendo a los mensajes de detección de pares inactivos (DPD) que se negocian durante el establecimiento de IPsec.

    Modo DPD

    Seleccione un modo DPD.

    • Optimizado: Los mensajes R-U-THERE se activan si no hay tráfico IKE o IPsec entrante dentro de un intervalo configurado después de que el dispositivo envía los paquetes salientes al par. Este es el modo predeterminado.

    • Túnel inactivo de sondeo: Los mensajes R-U-THERE se activan si no hay tráfico IKE o IPsec entrante o saliente dentro de un intervalo configurado. Los mensajes R-U-THERE se envían periódicamente al par hasta que hay actividad de tráfico.

    • Envío constante: Los mensajes R-U-THERE se envían a intervalos configurados, independientemente de la actividad del tráfico entre los pares.

    Intervalo DPD

    Seleccione un intervalo en segundos para enviar mensajes de detección de pares inactivos.

    El intervalo predeterminado es de 10 segundos con un intervalo válido de 2 a 60 segundos.

    Umbral de DPD

    Seleccione el valor de umbral DPD de error.

    Esto especifica el número máximo de veces que se deben enviar los mensajes DPD cuando no hay respuesta del par. El número predeterminado de transmisiones es 5 veces con un rango válido de 1 a 5.
    Configuración avanzada

    general-ikeID

    Active esta opción para aceptar el ID de IKE par en general.

    Esta opción está deshabilitada de forma predeterminada. Si el ID de IKE general está habilitado, la opción ID de IKE se deshabilita automáticamente.

    • Esta opción no está disponible en el modo VPN agresivo.

    • No puede utilizar un perfil de VPN con la opción ID de IKE general habilitada para VPN y ADVPN automáticas.

    Autenticación IKEv2 Re

    Seleccione una frecuencia de reautenticación. La reautenticación se puede deshabilitar estableciendo la frecuencia de reautenticación en 0.

    El rango válido es de 0 a 100.

    Soporte de fragmentación de IKEv2 Re

    Active esta opción para dividir un mensaje IKEv2 grande en un conjunto de mensajes más pequeños para que no haya fragmentación en el nivel IP.

    Tamaño de refragmentación de IKEv2

    Seleccione el tamaño del paquete en el que se fragmentan los mensajes.

    De forma predeterminada, el tamaño es de 576 bytes para IPv4 y el intervalo válido es de 570 a 1320.

    IKE Id

    Configure los siguientes identificadores de IKE:

    • Nombre de host: el nombre de host o FQDN es una cadena que identifica el sistema final.

    • User@hostname: una cadena simple que sigue el mismo formato que una dirección de correo electrónico.

      Usuario: introduzca la dirección de correo electrónico del usuario. Le recomendamos que utilice una dirección de correo electrónico válida del usuario para facilitar la gestión.

    • IPAddress: esta es la forma más común de identidad de IKE para VPN de sitio a sitio.

      Puede ser una dirección IPv4 o IPv6. Esta opción solo está disponible si el modo VPN es Agresivo y el tipo de autenticación es Clave previamente compartida.

    • DN: nombre distintivo utilizado en certificados para identificar a un usuario único en un certificado.

      Esta opción solo está disponible para los tipos de autenticación de firma RSA, DSA y ECDSA.

    Nota:

    • Para el tipo de autenticación de clave previamente compartida:

      • Si habilitó la opción ID de IKE general, la opción ID de IKE se establece automáticamente en Ninguno y no puede editar esta opción.

      • Al modificar una VPN IPsec, no puede editar la columna ID de IKE en la página Ver/Editar túnel si eligió un perfil de VPN con la opción ID de IKE general habilitada.

    • Para el tipo de autenticación basada en certificados:

      • Puede editar la opción ID de IKE incluso si habilitó la opción ID de IKE general, ya que la CLI se utiliza para la autenticación de local-identity certificados.

      • Al modificar una VPN IPsec, puede editar la columna ID de IKE en la página Ver/Editar túnel si eligió un perfil de VPN con la opción ID de IKE general habilitada.

    TDR-T

    Habilite la traducción de direcciones de red-recorrido (TDR-T) si el punto de conexión dinámico está detrás de un dispositivo TDR.

    Mantente vivo

    Seleccione un período en segundos para mantener viva la conexión.

    Las señales de mantenimiento de TDR son necesarias para mantener la traducción de TDR durante la conexión entre los pares VPN. El intervalo válido es de 1 a 300 segundos.

    Configuración de IPsec

    Protocolo

    Seleccione el protocolo necesario para establecer la VPN.

    • ESP: el protocolo de carga de seguridad encapsuladora (ESP) proporciona cifrado y autenticación.

    • AH: el protocolo de encabezado de autenticación (AH) proporciona integridad y autenticación de datos.

    Algoritmo de cifrado

    Seleccione el método de cifrado necesario.

    Esto es aplicable si el Protocolo es ESP.

    Algoritmo de autenticación

    Seleccione un algoritmo.

    El dispositivo utiliza estos algoritmos para comprobar la autenticidad e integridad de un paquete.

    Confidencialidad directa perfecta

    Seleccione Perfect Forward Secrecy (PFS) como el método que utiliza el dispositivo para generar la clave de cifrado.

    El PFS genera cada nueva clave de cifrado independientemente de la clave anterior. Los grupos con números más altos proporcionan más seguridad, pero requieren más tiempo de procesamiento.

    Establecer túnel

    Seleccione una opción para especificar cuándo se activa ICR.

    • Inmediatamente: IKE se activa inmediatamente después de que se confirman los cambios de configuración de VPN.

    • En tráfico: la IKE se activa solo cuando fluye el tráfico de datos y debe negociarse con la puerta de enlace par. Este es el comportamiento predeterminado.

    Configuración avanzada

    Supervisión de VPN

    Active esta opción para enviar el Protocolo de mensajes de control de Internet (ICMP) para determinar si la VPN está activa.

    Optimizado

    Active esta opción para optimizar la supervisión de VPN y configurar los firewalls de la serie SRX para enviar solicitudes de eco ICMP, también denominadas pings, solo cuando haya tráfico saliente y no haya tráfico entrante del par configurado a través del túnel VPN.

    Si hay tráfico entrante a través del túnel VPN, los firewalls de la serie SRX consideran que el túnel está activo y no envían pings al par.

    Anti repetición

    Active esta opción para el mecanismo IPsec para proteger contra un ataque VPN que utilice una secuencia de números integrados en el paquete IPsec.

    IPsec no acepta un paquete para el que ya haya visto el mismo número de secuencia. Comprueba los números de secuencia y aplica la comprobación en lugar de simplemente ignorar los números de secuencia.

    Deshabilite esta opción si hay un error con el mecanismo IPsec que da como resultado paquetes fuera de orden, lo que impide una funcionalidad adecuada.

    De forma predeterminada, la detección antireproducción está habilitada.

    Intervalo de instalación

    Seleccione la cantidad máxima de segundos para permitir la instalación de una asociación de seguridad de salida (SA) con claves regeneradas en el dispositivo.

    Tiempo de inactividad

    Seleccione el intervalo de tiempo de inactividad adecuado.

    Por lo general, se agota el tiempo de espera de las sesiones y sus traducciones correspondientes después de un cierto período si no se recibe tráfico.

    DF Bit

    Seleccione una opción para procesar el bit No fragmentar (DF) en los mensajes IP.

    • Borrar: deshabilite el bit DF de los mensajes IP. Esta es la opción predeterminada.

    • Copiar: copie el bit DF a los mensajes IP.

    • Establecer: habilite el bit DF en los mensajes IP.

    Copiar DSCP externo

    Active esta opción para permitir la copia del campo Punto de código de servicios diferenciados (DSCP) del paquete cifrado de encabezado IP externo al mensaje de texto sin formato de encabezado IP interno en la ruta de descifrado.

    La ventaja de habilitar esta característica es que, después del descifrado de IPsec, los paquetes de texto sin formato pueden seguir las reglas internas de clase de servicio (CoS).

    Segundos de vida útil

    Seleccione una duración de una asociación de seguridad (SA) de IKE.

    El intervalo válido es de 180 a 86400 segundos.

    kilobytes de por vida

    Seleccione la duración en kilobytes de una asociación de seguridad (SA) IPsec.

    El intervalo válido es de 64 a 4294967294 kilobytes.
Se crea un nuevo perfil de VPN con la configuración de VPN predefinida. Puede utilizar este objeto para crear VPN IPsec.

Administrar perfiles VPN

Puede editar o clonar un perfil VPN IPsec personalizado. Cuando edite o clone un perfil de VPN migrado de una versión anterior, debe seleccionar una topología VPN para el perfil de VPN. No puede modificar ni eliminar perfiles de VPN predefinidos de Juniper Networks. Solo puede clonar los perfiles y crear nuevos perfiles.

  • Editar: seleccione el perfil y, a continuación, haga clic en el icono de lápiz ().Blue pencil icon indicating edit functionality. Seleccione una topología VPN al crear una VPN IPsec. Cuando edite un perfil de VPN migrado de una versión anterior, debe seleccionar una topología VPN para el perfil de VPN.

  • Clonar: seleccione el perfil y, a continuación, haga clic en Más > Clonar.