Creación de perfiles VPN
Configure perfiles VPN que definan parámetros de seguridad al establecer una conexión VPN. Puede reutilizar el mismo perfil para crear más túneles VPN. El perfil de VPN incluye propuestas de VPN, modo VPN, autenticación y otros parámetros usados en VPN IPsec. Cuando se crea un perfil VPN, Juniper Security Director Cloud crea un objeto en la base de datos para representar el perfil de VPN. Puede utilizar este objeto para crear VPN IPsec basadas en rutas o en políticas.
No puede modificar ni eliminar perfiles de VPN definidos por Juniper Networks. Solo puede clonar los perfiles y crear nuevos perfiles.
También puede configurar las fases de negociación de IKE conocidas como ajustes de fase 1 y fase 2 en un perfil VPN. Los firewalls de la serie SRX admiten los siguientes métodos de autenticación en las negociaciones IKE para VPN IPsec:
-
Clave previamente compartida
-
Certificado ECDSA
-
Certificado RSA
-
Certificado DSA
El perfil VPN predefinido está disponible para la autenticación basada en certificados RSA. La lista de certificados PKI del dispositivo se recupera automáticamente durante la detección del dispositivo.
Antes de empezar
Revise la página principal de perfiles de VPN para comprender su conjunto de datos actual. Consulte Campos de la página principal de perfiles de VPN para obtener las descripciones de los campos.
Lea el tema Descripción general de perfiles de VPN .
Se crea un nuevo perfil de VPN con la configuración VPN predefinida. Puede utilizar este objeto para crear VPN IPsec.
Ajuste |
Pauta |
---|---|
Nombre |
Introduzca una cadena única de un máximo de 255 caracteres alfanuméricos sin espacios. La cadena puede contener dos puntos, puntos, guiones y guiones bajos. |
Descripción |
Introduzca una descripción que contenga un máximo de 1024 caracteres para el perfil de VPN. |
Tipo de autenticación |
Seleccione el tipo de autenticación necesario:
|
Versión de IKE |
Seleccione la versión de IKE necesaria, ya sea V1 o V2, que se utiliza para negociar asociaciones de seguridad dinámica (SA) para IPsec. De forma predeterminada, se utiliza IKEv1. En Juniper Security Director Cloud, la fragmentación de mensajes de IKEv2 permite que IKEv2 funcione en entornos donde los fragmentos de IP podrían estar bloqueados y los pares no podrían establecer una asociación de seguridad (SA) IPsec. La fragmentación de IKEv2 divide un mensaje IKEv2 grande en un conjunto de mensajes más pequeños para que no haya fragmentación en el nivel de IP. |
Modo |
Seleccione un modo VPN:
|
Algoritmo de cifrado |
Seleccione el mecanismo de cifrado adecuado. |
Algoritmo de autenticación |
Seleccione un algoritmo. El dispositivo utiliza este algoritmo para comprobar la autenticidad e integridad de un paquete. |
Grupo Deffie Hellman |
Seleccione un grupo. Los grupos Diffie-Hellman (DH) determinan la intensidad de la clave utilizada en el proceso de intercambio de claves. |
Segundos de por vida |
Seleccione una duración de una asociación de seguridad (SA) IKE. El intervalo válido es de 180 a 86400 segundos. |
Detección de pares muertos |
Active esta opción para permitir que las dos puertas de enlace determinen si la puerta de enlace del mismo nivel está activa y responde a los mensajes de detección de pares inactivos (DPD) que se negocian durante el establecimiento de IPsec. |
Modo DPD |
Seleccione un modo DPD.
|
Intervalo DPD |
Seleccione un intervalo en segundos para enviar mensajes de detección de pares muertos. El intervalo predeterminado es de 10 segundos con un intervalo válido de 2 a 60 segundos. |
Umbral DPD |
Seleccione el valor del umbral DPD de error. Esto especifica el número máximo de veces que se deben enviar los mensajes DPD cuando no hay respuesta del par. El número predeterminado de transmisiones es 5 veces con un rango válido de 1 a 5. |
Configuración avanzada | |
General-IkeID |
Active esta opción para aceptar el ID de IKE del mismo nivel en general. Esta opción está desactivada de forma predeterminada. Si el ID de IKE general está habilitado, la opción ID de IKE se desactiva automáticamente.
|
Autenticación IKEv2 Re |
Seleccione una frecuencia de reautenticación. La reautenticación se puede deshabilitar estableciendo la frecuencia de reautenticación en 0. El intervalo válido es de 0 a 100. |
Soporte de fragmentación IKEv2 Re |
Habilite esta opción para dividir un mensaje IKEv2 grande en un conjunto de mensajes más pequeños para que no haya fragmentación en el nivel de IP. |
Tamaño de refragmentación de IKEv2 |
Seleccione el tamaño del paquete en el que se fragmentan los mensajes. De forma predeterminada, el tamaño es de 576 bytes para IPv4 y el intervalo válido es de 570 a 1320. |
IKE Id |
Configure los siguientes identificadores IKE:
Nota:
|
NAT-T |
Habilite la traslación de direcciones de red (NAT-T) si el extremo dinámico está detrás de un dispositivo NAT. |
Manténgase vivo |
Seleccione un período en segundos para mantener viva la conexión. Se requiere NAT Keepalives para mantener la traducción NAT durante la conexión entre los pares VPN. El rango válido es de 1 a 300 segundos. |
Configuración de IPsec |
|
Protocolo |
Seleccione el protocolo necesario para establecer la VPN.
|
Algoritmo de cifrado |
Seleccione el método de cifrado necesario. Esto es aplicable si el Protocolo es ESP. |
Algoritmo de autenticación |
Seleccione un algoritmo. El dispositivo utiliza estos algoritmos para verificar la autenticidad e integridad de un paquete. |
Confidencialidad directa perfecta |
Seleccione Perfect Forward Secrecy (PFS) como el método que utiliza el dispositivo para generar la clave de cifrado. El PFS genera cada nueva clave de cifrado independientemente de la clave anterior. Los grupos numerados más altos proporcionan más seguridad, pero requieren más tiempo de procesamiento. |
Establecer túnel |
Seleccione una opción para especificar cuándo se activa IKE.
|
Configuración avanzada |
|
VPN Monitor |
Active esta opción para enviar el Protocolo de mensajes de control de Internet (ICMP) para determinar si la VPN está activa. |
Optimizado |
Active esta opción para optimizar la supervisión de VPN y configure los firewalls de la serie SRX para enviar solicitudes de eco ICMP, también denominadas pings, solo cuando haya tráfico saliente y no haya tráfico entrante desde el par configurado a través del túnel VPN. Si hay tráfico entrante a través del túnel VPN, los firewalls de la serie SRX consideran que el túnel está activo y no envían pings al par. |
Anti Repetición |
Active esta opción para que el mecanismo IPsec proteja contra un ataque VPN que use una secuencia de números integrada en el paquete IPsec. IPsec no acepta un paquete para el que ya haya visto el mismo número de secuencia. Comprueba los números de secuencia y aplica la comprobación en lugar de simplemente ignorar los números de secuencia. Deshabilite esta opción si hay un error con el mecanismo IPsec que da como resultado paquetes fuera de orden, lo que impide su correcto funcionamiento. De forma predeterminada, la detección Anti-Replay está habilitada. |
Intervalo de instalación |
Seleccione el número máximo de segundos que desea permitir la instalación de una asociación de seguridad saliente (SA) con nueva clave en el dispositivo. |
Tiempo de inactividad |
Seleccione el intervalo de tiempo de inactividad adecuado. Las sesiones y sus traducciones correspondientes suelen agotar el tiempo de espera después de un cierto período si no se recibe tráfico. |
DF Bit |
Seleccione una opción para procesar el bit No fragmentar (DF) en los mensajes IP.
|
Copiar DSCP externo |
Active esta opción para permitir la copia del campo Punto de código de servicios diferenciados (DSCP) del paquete cifrado con encabezado IP externo al mensaje de texto sin formato del encabezado IP interno en la ruta de descifrado. La ventaja de habilitar esta característica es que, después del descifrado IPsec, los paquetes de texto sin cifrar pueden seguir las reglas internas de clase de servicio (CoS). |
Segundos de por vida |
Seleccione una duración de una asociación de seguridad (SA) IKE. El intervalo válido es de 180 a 86400 segundos. |
Kilobytes de por vida |
Seleccione la duración en kilobytes de una asociación de seguridad (SA) IPsec. El intervalo válido es de 64 a 4294967294 kilobytes. |