VPN PFSENSE Vocabulario IPSEC: es un marco de seguridad que opera en la capa de red mediante la ampliación de la cabecera del paquete IP (usando números de protocolo adicional, no opciones). Esto le da la capacidad de cifrar cualquier protocolo de capa superior, incluso arbitrarias TCP y UDP sesiones, por lo que ofrece la mayor flexibilidad de todas las existentes TCP / IP sistemas criptográficos. SHA1: Un hash de 160 bits de la función que se asemeja al anterior MD5 algoritmo. Este fue diseñado por la Agencia de Seguridad Nacional (NSA) para ser parte del algoritmo de firma digital. MD5: Es un algoritmo que se utiliza para verificar la integridad de los datos a través de la creación de una de 128 bits. Dead Peer Detection: Es un método de detección de un muerto Internet Key Exchange (IKE) de pares. El método utiliza IPsec patrones de tráfico para reducir al mínimo el número de mensajes necesarios para confirmar la disponibilidad de un compañero. Blowfish: Es un cifrado de bloques simétrico como DES o IDEA. Se necesita una clave de longitud variable, entre 32 y 448 bits, lo que es ideal tanto para uso doméstico y de exportación. Bruce Schneier diseñó Blowfish en 1993 como una alternativa rápida, libre de los algoritmos de cifrado que existían entonces. Desde entonces Blowfish se ha analizado analizado mucho, y está ganando aceptación como un algoritmo de cifrado fuerte. DES/3DES: DES es un cifrado de bloques con con un tamaño de bloque de 64 bits bits que utiliza claves de 56 bits. Debido a los avances recientes en tecnología informática, algunos expertos no consideran DES segura contra todos los ataques, y desde entonces Triple-DES Triple-DES (3DES) se ha convertido en un método más fuerte. Usando el estándar estándar de cifrado DES, Triple-DES Triple-DES cifra los datos en tres ocasiones y utiliza una clave diferente para al menos uno de los tres pases que le da un tamaño acumulado clave de 112 a 168 bits. AES (Rijndael): El algoritmo de cifrado tiene una longitud de bloque variable y longitud de la clave. Los autores del algoritmo actualmente actualmente especificar especificar el uso de claves con una una longitud de 128, 192 o 256 bits para cifrar los bloques con una longitud de 128 bits.
CAST-128: Es una de 64 bits de cifrado de bloque popular que permite tamaños de clave de hasta 128 bits.
Disable: para deshabilitar el tunel
Interface: Esta opción determina qué parte de la red será el punto de terminación (punto final) para el túnel IPSec.Si el túnel se conecta a un servidor remoto, a continuación, WAN es probable que el ajuste deseado. DPD interv interval al : Introd Introduzc uzcaa un valor valor aquí aquí para para habilit habilitar ar Dead Dead Peer Peer Detec Detectio tion n (por (por ejempl ejemplo, o, 60 segundos). Esto le ayudará a restablecer plenamente túnel cuando la otra parte tiene un problema. Local subnet: Esto define qué subred o host se puede acceder desde el otro lado del túnel VPN. Lo más fácil es instalar esto "subred LAN". Esto significa que toda la LAN será accesible desde la red remota. IMPORTANTE El otro extremo del túnel tiene este mismo campo, excepto en el extremo que es "remoto de subred". Asegúrese de que el otro extremo se encuentra exactamente el mismo. Remote subnet:Esto define qué subred o host para tener acceso en el otro extremo del túnel.Como se menciona en el punto anterior, es fundamental que se trata de establecer esta exactamente igual que el otro extremo de "subred local" sección. Remote gateway:Esta es la dirección IP del router para que el túnel se establecerá. Esto es lo más probable es que la IP WAN del sistema remoto. Description: Nota sobre la vpn
Negotiation mode: : Este es el tipo de seguridad de autenticación que se utilizará. A menos que los niveles de extrema necesidad de seguridad se pidió, lo mejor es dejar esto como agresivo. De hecho, es much mucho o más más rápi rápido do y se aseg asegur urar aráá de que que el túne túnell VPN VPN reco recons nstru truir irse se de form formaa rápi rápida da y probablemente no va a tiempo una solicitud si el túnel se establecen cuando el recurso en el otro extremo se solicitó.
dirección IP de la "interfaz" My ideentifier Si esto se deja como "Mi dirección IP" (Esta será la dirección que figura en la primera sección.) Asegúrese de que IP es estática y persistente. Si hay una dirección DHCP asignada a continuación, el uso de "nombre de dominio completo del usuario" o "Nombre de Dominio" en vez sería mejor. Encryption Encryption algorithm: algorithm: 3DES es el mundo mundo en estándar estándar de facto. Si la otra parte es otro router pfSense, o un sistema que lo apoyan, apoyan, cambiar esto a Blowfish. Se trata de dos veces más rápido. rápido. Ahora, por supuesto, si el otro extremo es un dispositivo VPN que sólo es compatible con DES (3DES NO), entonces rebajar de categoría y espero que nadie descifra el intercambio de claves. ¡Asegúrese de que ambos lados del túnel VPN está utilizando el mismo algoritmo de cifrado!.
Hash algorithm: este es el hash utilizado para la suma de comprobación. SHA1 es el nuevo y recién llegado y es más fiable que MD5. DH key group: : La mayoría de sistemas de apoyo por lo menos hasta 1024 bits. Este es un buen lugar para mantener, va con más se consumen más recursos y menos hace que el túnel de menos seguro. Lifetime: Es el tiempo que este router va a esperar para la fase 1 de su conclusión. 28800 es un buen valor sugerido para este campo. Authentication method: La mayoría de la gente utilizará Pre-Shared Key, pero pfSense también admite el uso de una firma RSA. Pre-Shared Key: Esta clave debe ser exactamente el mismo en ambos routers VPN. Certificate: Si se utiliza una pasta pasta de firma RSA, un certificado certificado X.509 en formato PEM para este router aquí. Deje en blanco si se usa una clave pre-compartida. Key: Si se utiliza una firma RSA, la pasta de una clave privada RSA en formato PEM aquí. Deje en blanco si se usa una clave pre-compartida. Peer certificate: Si se utiliza una firma RSA, pegar el certificado X.509 pares en formato PEM aquí. Deja en blanco si el certificado de CA sólo será utilizada para la validación de identidad. También dejarlo en blanco si se usa una clave pre-compartida.
Protocol: El ESP es el estándar de facto para lo que la mayoría de los sistemas VPN utilizan como protocolo de transporte. Nota: El sistema se auto generan una regla de firewall para permitir ESP o AH al extremo de la VPN. Si no es así, una regla de firewall que permite (ESP o AH) el tráfico a la interfaz de punto final tendrá que ser creado. Encryption algorithms: Al igual que antes en la fase 1, asegúrese de que el algoritmo se establece tal y como se establece en el otro router VPN. Se pueden utilizar varios si así lo desea, todo particular está disponible para su uso. uso. Dicho esto, se recomienda recomienda comprobar sólo el que se utilizará. utilizará.
Hash algorithm: También También como en la fase 1 Asegúrese que el hash seleccionado coincide con el que en el otro extremo. extremo. Y al igual que con el paso paso anterior, anterior, no agregue agregue cosas que no son necesario necesarios. s. SHA1 es un buen escenario, pero al igual que la fase 1, algunos routers sólo admiten MD5. PFS key group: Este funciona de manera similar al grupo de DH en la fase 1. 1024 bits es un buen escenario, el valor por defecto está desactivada. Lifetime: Esta es la tiempo de vida para la negociación de la clave.
======================================================================= Fuente :http://doc.pfsense.org :http://doc.pfsense.org