VPN PfSense
VPN PfSense
VPN PfSense
Vocabulario
IPSEC: es un marco de seguridad que opera en la capa de red mediante la ampliación de la cabecera
del paquete IP (usando números de protocolo adicional, no opciones). Esto le da la capacidad de
cifrar cualquier protocolo de capa superior, incluso arbitrarias TCP y UDP sesiones, por lo que
ofrece la mayor flexibilidad de todas las existentes TCP / IP sistemas criptográficos.
SHA1: Un hash de 160 bits de la función que se asemeja al anterior MD5 algoritmo. Este fue
diseñado por la Agencia de Seguridad Nacional (NSA) para ser parte del algoritmo de firma digital.
MD5: Es un algoritmo que se utiliza para verificar la integridad de los datos a través de la creación
de una de 128 bits.
Dead Peer Detection: Es un método de detección de un muerto Internet Key Exchange (IKE) de
pares. El método utiliza IPsec patrones de tráfico para reducir al mínimo el número de mensajes
necesarios para confirmar la disponibilidad de un compañero.
Blowfish: Es un cifrado de bloques simétrico como DES o IDEA. Se necesita una clave de longitud
variable, entre 32 y 448 bits, lo que es ideal tanto para uso doméstico y de exportación. Bruce
Schneier diseñó Blowfish en 1993 como una alternativa rápida, libre de los algoritmos de cifrado
que existían entonces. Desde entonces Blowfish se ha analizado mucho, y está ganando aceptación
como un algoritmo de cifrado fuerte.
DES/3DES: DES es un cifrado de bloques con un tamaño de bloque de 64 bits que utiliza claves de
56 bits. Debido a los avances recientes en tecnología informática, algunos expertos no consideran
DES segura contra todos los ataques, y desde entonces Triple-DES (3DES) se ha convertido en un
método más fuerte. Usando el estándar de cifrado DES, Triple-DES cifra los datos en tres
ocasiones y utiliza una clave diferente para al menos uno de los tres pases que le da un tamaño
acumulado clave de 112 a 168 bits.
AES (Rijndael): El algoritmo de cifrado tiene una longitud de bloque variable y longitud de la
clave. Los autores del algoritmo actualmente especificar el uso de claves con una longitud de 128,
192 o 256 bits para cifrar los bloques con una longitud de 128 bits.
CAST-128: Es una de 64 bits de cifrado de bloque popular que permite tamaños de clave de hasta
128 bits.
Disable: para deshabilitar el tunel
Interface: Esta opción determina qué parte de la red será el punto de terminación (punto final) para
el túnel IPSec.Si el túnel se conecta a un servidor remoto, a continuación, WAN es probable que el
ajuste deseado.
DPD interval : Introduzca un valor aquí para habilitar Dead Peer Detection (por ejemplo, 60
segundos). Esto le ayudará a restablecer plenamente túnel cuando la otra parte tiene un problema.
Local subnet: Esto define qué subred o host se puede acceder desde el otro lado del túnel VPN. Lo
más fácil es instalar esto "subred LAN". Esto significa que toda la LAN será accesible desde la red
remota. IMPORTANTE El otro extremo del túnel tiene este mismo campo, excepto en el extremo
que es "remoto de subred". Asegúrese de que el otro extremo se encuentra exactamente el mismo.
Remote subnet:Esto define qué subred o host para tener acceso en el otro extremo del túnel.Como
se menciona en el punto anterior, es fundamental que se trata de establecer esta exactamente igual
que el otro extremo de "subred local" sección.
Remote gateway:Esta es la dirección IP del router para que el túnel se establecerá. Esto es lo más
probable es que la IP WAN del sistema remoto.
My ideentifier Si esto se deja como "Mi dirección IP" (Esta será la dirección IP de la "interfaz"
que figura en la primera sección.) Asegúrese de que IP es estática y persistente. Si hay una
dirección DHCP asignada a continuación, el uso de "nombre de dominio completo del usuario" o
"Nombre de Dominio" en vez sería mejor.
Encryption algorithm: 3DES es el mundo en estándar de facto. Si la otra parte es otro router
pfSense, o un sistema que lo apoyan, cambiar esto a Blowfish. Se trata de dos veces más rápido.
Ahora, por supuesto, si el otro extremo es un dispositivo VPN que sólo es compatible con DES
(3DES NO), entonces rebajar de categoría y espero que nadie descifra el intercambio de claves.
¡Asegúrese de que ambos lados del túnel VPN está utilizando el mismo algoritmo de cifrado!.
Hash algorithm: este es el hash utilizado para la suma de comprobación. SHA1 es el nuevo y recién
llegado y es más fiable que MD5.
DH key group: : La mayoría de sistemas de apoyo por lo menos hasta 1024 bits. Este es un buen
lugar para mantener, va con más se consumen más recursos y menos hace que el túnel de menos
seguro.
Lifetime: Es el tiempo que este router va a esperar para la fase 1 de su conclusión. 28800 es un buen
valor sugerido para este campo.
Authentication method: La mayoría de la gente utilizará Pre-Shared Key, pero pfSense también
admite el uso de una firma RSA.
Pre-Shared Key: Esta clave debe ser exactamente el mismo en ambos routers VPN.
Certificate: Si se utiliza una pasta de firma RSA, un certificado X.509 en formato PEM para este
router aquí. Deje en blanco si se usa una clave pre-compartida.
Key: Si se utiliza una firma RSA, la pasta de una clave privada RSA en formato PEM aquí. Deje en
blanco si se usa una clave pre-compartida.
Peer certificate: Si se utiliza una firma RSA, pegar el certificado X.509 pares en formato PEM aquí.
Deja en blanco si el certificado de CA sólo será utilizada para la validación de identidad. También
dejarlo en blanco si se usa una clave pre-compartida.
Protocol: El ESP es el estándar de facto para lo que la mayoría de los sistemas VPN utilizan como
protocolo de transporte. Nota: El sistema se auto generan una regla de firewall para permitir ESP o
AH al extremo de la VPN. Si no es así, una regla de firewall que permite (ESP o AH) el tráfico a la
interfaz de punto final tendrá que ser creado.
Encryption algorithms: Al igual que antes en la fase 1, asegúrese de que el algoritmo se establece tal
y como se establece en el otro router VPN. Se pueden utilizar varios si así lo desea, todo particular
está disponible para su uso. Dicho esto, se recomienda comprobar sólo el que se utilizará.
Hash algorithm: También como en la fase 1 Asegúrese que el hash seleccionado coincide con el que
en el otro extremo. Y al igual que con el paso anterior, no agregue cosas que no son necesarios.
SHA1 es un buen escenario, pero al igual que la fase 1, algunos routers sólo admiten MD5.
PFS key group: Este funciona de manera similar al grupo de DH en la fase 1. 1024 bits es un buen
escenario, el valor por defecto está desactivada.
=======================================================================
Fuente :http://doc.pfsense.org