Redes privadas virtuales

(1)

IBM

Systems

-

iSeries

Redes

privadas

virtuales

Versión

5 Release

4

(2)

(3)

IBM

Systems

-

iSeries

Redes

privadas

virtuales

Versión

5 Release

4

(4)

Nota

Antesde utilizarestainformaciónyelproductoalquedasoporte,asegúresedeleerla informaciónenlasección“Avisos”,enlapágina 81.

Séptimaedición(febrerode2006)

Estaediciónseaplicaalaversión5,release4,modificación0deIBMi5/OS(númerodeproducto5722-SS1)ya todoslosreleasesymodificacionessubsiguienteshastaqueseindiquelocontrarioennuevasediciones.Estaversión noseejecutaentodoslosmodelosdesistemaconconjuntoreducidodeinstrucciones(RISC)nitampocoseejecutan enlosmodelosCISC.

(5)

Contenido

Red

privada

virtual

(VPN)

.

. 1

NovedadesdelaV5R4 . . . 1

PDFparaimprimir . . . 2

ConceptosdeVPN . . . 2

ProtocolosIPSec(IPSecurity). . . 2

Gestióndeclaves. . . 7

Layer2TunnelProtocol(L2TP) . . . 8

TextoFlashL2TPdeVPN . . . 9

ConversióndedireccionesderedparaVPN . . 10

IPSec(compatibleconNAT)conUDP . . . . 11

CompresiónIP(IPComp). . . 12

VPNyfiltradoIP . . . 13

EscenariosdeVPN . . . 14

Escenario:conexiónbásicaentresucursales. . . 14

Escenario:conexiónbásicadeempresaaempresa 19 Escenario:protegeruntúnelvoluntarioL2TPcon IPSec . . . 23

Escenario:VPNcompatibleconelcortafuegos. . 30

Escenario:utilizarlaconversióndedirecciones deredparaVPN . . . 36

PlanificarVPN . . . 38

RequisitosdeconfiguracióndeVPN . . . 38

DeterminarquétipodeVPNsevaacrear . . . 39

Completarlashojasdetrabajodeplanificación VPN. . . 39

ConfigurarVPN. . . 43

¿Quétipodeconexióndeboconfigurar?. . . . 43

¿Cómoseconfiguraunaconexióndinámica VPN? . . . 44

¿CómoseconfiguraunaconexiónVPNmanual? 45 ConfigurarlasconexionesVPNconelasistente Nuevaconexión . . . 45

ConfigurarpolíticasdeseguridaddeVPN . . . 46

ConfigurarlaconexiónVPNsegura . . . 47

Configurarunaconexiónmanual . . . 48

ConfigurarnormasdepaquetesVPN. . . 49

Confidencialidaddeflujodetráfico(TFC) . . . 54

Númerodesecuenciaampliado(ESN) . . . . 55

IniciarunaconexiónVPN . . . 55

GestionarVPN . . . 56

Establecerlosatributosporomisióndelas conexiones. . . 56

Restablecerconexionesenestadodeerror . . . 56

Visualizarlainformacióndeerrores . . . 56

Visualizarlosatributosdelasconexionesactivas 56 UtilizarelrastreodelservidorVPN . . . 57

Visualizarlasanotacionesdetrabajodelservidor VPN. . . 57

VisualizarlosatributosdelasSA(asociacionesde seguridad). . . 58

DetenerunaconexiónVPN . . . 58

SuprimirobjetosdeconfiguracióndeVPN . . . 58

ResolucióndeproblemasdeVPN . . . 58

Cómoempezarlaresolucióndeproblemasde VPN. . . 59

ErroresdeconfiguracióndeVPNhabitualesy cómosolucionarlos . . . 60

ResolucióndeproblemasdeVPNconeldiario QIPFILTER . . . 65

ResolucióndeproblemasdeVPNconeldiario QVPN . . . 68

ResolucióndeproblemasdeVPNcondelas anotacionesdetrabajoVPN . . . 71

ResolucióndeproblemasdeVPNconelrastreo decomunicaciones . . . 77

InformaciónrelacionadaparaVPN . . . 79

Apéndice.

Avisos

.

. 81

Marcasregistradas . . . 83 Términosycondiciones . . . 83 || || | | | |

(6)

(7)

Red

privada

virtual

(VPN)

Unaredprivadavirtual (VPN)permiteasu empresaampliarde formasegura laintranet privadaa travésdelainfraestructuraexistentedeuna redpúblicacomoInternet.Con VPN,suempresapuede controlareltráfico delaredalavezqueproporcionacaracterísticasdeseguridadimportantes,comopor ejemplolaautenticaciónylaprivacidaddedatos.

VPNesuncomponente,opcionalmenteinstalable,deiSeriesNavigator, lainterfazgráfica deusuario (GUI)parai5/OS.Permitecrearuncaminodeextremoa extremoentrecualquiercombinacióndesistema principalypasarela.VPNutilizamétodosdeautenticación,algoritmos decifradoyotrasprecauciones paraasegurarquelosdatosenviadosentreambos puntosfinalesdeconexiónestánprotegidos. VPNseejecutabajo lacapade reddelmodelode piladecomunicacionesporcapasTCP/IP.En

particular,VPN utilizalainfraestructuraabiertaIPSec(IPSecurityArchitecture).IPSecofrecefuncionesde seguridaddebaseparaInternet yasimismo,facilitabloquesde construcciónflexibles,a partirdelos cualespuedecrearredes privadasvirtualessegurasy robustas.

VPNtambiénsoportalassoluciones VPNdeL2TP(Layer2TunnelProtocol).LasconexionesL2TP, tambiéndenominadaslíneasvirtuales,ofrecenacceso alosusuariosremotosa bajoprecio,alpermitirque unservidor dereddelaempresagestionelas direccionesIPasignadasa sususuariosremotos.Además, lasconexionesL2TPofrecenunaccesoseguroasu sistemaoredcuandolosprotejaconIPSec.

EsimportantequeseaconscientedelefectoqueunaVPNcrearáentodasured.Esesencial realizaruna buenaplanificación eimplementaciónparaquelosresultadosseansatisfactorios.Reviseestostemaspara asegurarquesabecómofuncionanlasVPN ycómodebeutilizarlas:

Novedades

de

la

V5R4

Aquísedescribequéinformaciónesnuevaoha cambiadosignificativamenteenesterelease.

Nueva

función:

Confidencialidad

de

flujo

de

tráfico

(TFC)

LaConfidencialidaddeflujo detráfico(TFC)permiteocultarlalongitudrealdelospaquetesde datos transferidosa travésdelaconexiónVPN.UtiliceTFCparaobtenerunaseguridadadicionalcontralos atacantesquepuedanaveriguareltipodedatosqueseestáenviandoa travésdelaconexiónVPNa partirde lalongituddelpaquetededatos.SólopuedeutilizarTFCsilapolíticadedatosestáconfigurada paralamodalidaddetúnel.

v “Confidencialidadde flujodetráfico(TFC)”enlapágina54

Nueva

función:

Número

de

secuencia

ampliado

(ESN)

ElNúmerodesecuenciaampliado(ESN)permitealaconexiónVPNtransmitirgrandesvolúmenesde datosaunagran velocidadsinnecesidadde volvera aplicarlasclavesa menudo.Sólopuedehabilitar ESNcuandolapolíticade datosutiliceelprotocolodecabeceradeautenticación(AH)oelprotocolode cargaútildeseguridadencapsulada(ESP)yAEScomo algoritmode cifrado.

v “Númerodesecuenciaampliado(ESN)”enlapágina55

Nuevo

escenario:

VPN

compatible

con

el

cortafuegos

Enesteescenario,aprenderáaestableceruna conexiónVPN dondelapasarela(cliente)yelsistema principal(servidor)estándetrásde uncortafuegos queejecutalaconversiónde direccionesdered(NAT). v “Escenario:VPNcompatibleconelcortafuegos”enlapágina 30

| | | | | | | | | | | | | | | | | | |

(8)

Cómo

ver

las

novedades

o

los

cambios

Comoayudaparaverloslugaresdondesehanefectuadocambios técnicos,estainformaciónutiliza: v Laimagen

paramarcarellugardondeempiezalainformaciónnuevao cambiada. v Laimagen

paramarcarellugardondeacaba lainformaciónnuevaocambiada.

Paraencontrarotra informaciónacercade lasnovedadesocambiosde esterelease,consulte el Memorándumparalosusuarios.

PDF

para

imprimir

Utiliceestasinstrucciones paravereimprimirunPDFdeestainformación.

ParaverobajarlaversiónPDFdeestedocumento,seleccioneRedesprivadasvirtuales(VPN)

(aproximadamente509KB).

Guardar

archivos

PDF

Paraguardarunarchivo PDFensuestacióndetrabajoparavisualizarloo imprimirlo:

1. Pulseconelbotón derechodelratónsobreelarchivo PDFdelnavegador(pulseelenlaceanterior).

2. PulseGuardar destinocomosiutilizaInternetExplorer.PulseGuardarenlacecomosiutiliza

NetscapeCommunicator.

3. Naveguehastaeldirectorioenelquedesea guardarelPDF.

4. PulseGuardar.

Bajar

Adobe

Acrobat

Reader

NecesitaráAdobeAcrobatReaderparaveroimprimirestosdocumentos PDF.Puedebajarunacopia desdesitioWebdeAdobe(www.adobe.com/products/acrobat/readstep.html)

.

Conceptos

de

VPN

Esimportantequetengaalmenosunconocimientobásico delastecnologíasVPNestándares.Estetema leofreceinformaciónconceptualsobrelosprotocolosqueVPN utilizaensu implementación.

LaVPN (redprivadavirtual) utilizavariosprotocolosTCP/IPimportantesparaprotegereltráfico de datos.Paracomprendermejorelfuncionamientode lasconexionesVPN,deberáestarfamiliarizadocon estosprotocolosy conceptos,ylaformaenqueVPN losutiliza:

Protocolos

IPSec

(IP

Security)

IPSecproporcionaunabaseestableyduraderaparaproporcionarseguridaddecapadered.

IPSecsoportatodoslosalgoritmoscriptográficosqueseutilizanhoyendíaytambiénpuedeajustarsea algoritmosnuevos,máspotentesquevayansurgiendo.ElprotocoloIPSeccubrelassiguientescuestiones deseguridadprincipales:

Autenticacióndeorigendedatos

Verificaquecadadatagramaha sidooriginadoporelremitenteindicado.

Integridaddedatos

Verificaqueelcontenidodeundatagramanosehacambiadopor elcamino,nideliberadamente nidebidoaerroresaleatorios.

| | | | | |

(9)

Confidencialidaddedatos

Ocultaelcontenidode unmensaje, normalmentemediantecifrado.

Proteccióndereproducción

Impidequeunagresorpuedainterceptarundatagrama yreproducirloposteriormente.

Gestiónautomatizadadeclavescriptográficasy asociacionesdeseguridad

PermiteutilizarlapolíticaVPNentodalaredconpoca oningunaconfiguraciónmanual. VPNutilizadosprotocolosIPSecparaprotegerlosdatosmientrasfluyena travésdelaVPN:AH (cabeceradeautenticación)y EPS(cargaútildeseguridadencapsulada).Laotra partedelahabilitación deIPSeceselprotocoloIKE(intercambiodeclaves deInternet)o lagestiónde claves.MientrasqueIPSec cifralosdatos,IKEsoportalanegociaciónautomatizadade SA(asociacionesdeseguridad)y la

generacióny larenovaciónautomatizadasde clavescriptográficas.

Nota: AlgunasconfiguracionesdeVPN puedentenerunavulnerabilidaddeseguridaddependiendode

cómoseconfigureIPSec.Lavulnerabilidadafectaalas configuracionesenlas queIPsecestá configuradoparautilizarlaCargaútildeseguridadencapsulada(ESP)enmodalidaddetúnel con confidencialidad(cifrado),perosin protecciónde laintegridad (autenticación)oCabecerade autenticación(AH).Laconfiguración poromisióncuandoseseleccionaESPsiempreincluyeun algoritmodeautenticaciónqueproporcionalaprotección delaintegridad.Porlotanto,a menos queseelimine elalgoritmodeautenticaciónenlatransformaciónESP,lasconfiguracionesde VPN estaránprotegidascontraestavulnerabilidad.Laconfiguraciónde VPNdeIBM Universal

Connectionnoseveafectada porestavulnerabilidad.

Paracomprobarsiestavulnerabilidadde seguridadafectaa susistema,sigaestospasos: 1. EniSeriesNavigator,expandaelservidor >Red→ PolíticasIP→Red privadavirtual→

PolíticasdeseguridadIP→Políticasdedatos.

2. Pulseconelbotónderechodelratón enlapolíticade datosquedeseecomprobaryseleccione

Propiedades.

3. PulselapestañaProposiciones.

4. Seleccioneunade lasproposicionesdeprotección dedatosqueutilizanelprotocoloESPy

pulseEditar.

5. PulselapestañaTransformaciones.

6. Seleccioneenlalistaalgunasdelastransformaciones queutilizanelprotocoloESPyseleccione

Editar.

7. Compruebequeelalgoritmode autenticacióntengaunvalor distintoaNinguno.

IETF(Internet EngineeringTaskForce)defineformalmenteIPSecenRFC(RequestforComment)2401,

SecurityArchitecturefortheInternetProtocol.Puedevisualizar estaRFCenInternet, enelsiguientesitio Web:http://www.rfc-editor.org.

Losprincipales protocolosIPSecselistan acontinuación:

Conceptos relacionados

“Gestióndeclaves”enlapágina7

UnaVPNdinámica ofreceseguridadadicionalparalascomunicacionesmedianteelprotocolo IKE (intercambiodeclaves deInternet) paralagestióndeclaves. IKEpermitea losservidoresVPN de cadaextremodelaconexiónnegociarnuevas clavesa intervalosdeterminados.

Informaciónrelacionada http://www.rfc-editor.org | | | | | | | | | | | | | | | | | | | | | |

(10)

Cabecera

de

autenticación

Elprotocolode cabeceradeautenticación(AH)ofreceautenticacióndelorigendelosdatos,integridadde losdatosyproteccióncontralareproducción.Sinembargo,AHnoofrececonfidencialidaddedatos,lo quesignificaquetodoslosdatosseenviaráncomotextolegible.

AHaseguralaintegridad delosdatosmediantelasumadecomprobación quegenerauncódigode autenticaciónde mensajes,comopor ejemploMD5.Paraasegurarlaautenticacióndelorigendelosdatos, AHincluyeuna clavecompartidasecretaenelalgoritmoqueutilizaparalaautenticación.Paraasegurar laproteccióncontralareproducción,AHutilizauncampode númerosdesecuenciadentrode lacabecera AH.Esimportanteobservarque,amenudo, estastresfuncionesdistintasseconcentranyseconocen comoautenticación.Entérminosmássencillos,AHaseguraquenosehanmanipuladolosdatos mientrassedirigíanasu destinofinal.

Apesarde queAHautenticaeldatagramaIPenlamayormedidaposible, eldestinatarionopuede predecirlosvaloresde ciertoscamposdelacabeceraIP.AHnoprotegeestoscampos,conocidoscomo camposmutables.Sinembargo,AHsiempreprotegelacargaútildelpaqueteIP.

IETF(Internet EngineeringTaskForceIETF)defineformalmenteAHenlaRFC(RequestforComment) 2402,IP AutenticationHeader.Puedevisualizar estaRFCenInternet,enelsiguientesitioWeb:

http://www.rfc-editor.org.

Formas

de

utilizar

AH

PuedeaplicarAHdedosformas:modalidadde transporteomodalidaddetúnel.Enlamodalidadde transporte,lacabeceraIPdeldatagramaseencuentraenlaparte másexternadelacabeceraIP,seguida delacabeceraAHy, acontinuación,lacargaútildeldatagrama.AHautenticaeldatagramaentero, a excepciónde loscamposmutables. Sinembargo,lainformaciónquecontieneeldatagrama setransporta comotextolegibley,porlotanto,estásujeto alecturas.Lamodalidaddetransportenecesitamenos actividadgeneraldelproceso quelamodalidadde túnel,peronoproporcionatanta seguridad.

LamodalidaddetúnelcreaunanuevacabeceraIPylautilizacomoparte másexternadelacabeceraIP deldatagrama. LacabeceraAH continúaenlanuevacabeceraIP.Eldatagrama original(tantolacabecera IPcomolacargaútiloriginal)apareceenúltimolugar.AHautenticaeldatagrama entero,porlotanto,el sistemaquerespondepuededetectarsieldatagrama hacambiadoporelcamino.

Siambosextremos deunaasociación deseguridadhayuna pasarela,utilicelamodalidadde túnel.Enla modalidadde túnel,las direccionesdeorigenydestinodelapartemás externadelacabeceraIPno tienennecesariamentequeserigualesquelasdireccionesde lacabeceraIPoriginal.Porejemplo, dos pasarelasdeseguridadpuedenoperaruntúnelAHparaautenticartodoeltráficoentrelasredesque conectan.Dehecho,estaesunaconfiguración muyhabitual.

Laprincipalventajadeutilizarestamodalidadde túnelesqueestamodalidadprotege totalmenteel datagramaIPencapsulado.Además,lamodalidaddetúnelhaceposibleutilizardireccionesprivadas.

¿Por

qué

AH?

Enmuchoscasos,susdatossólonecesitan autenticación.AunqueelprotocoloESP(cargaútilde

seguridadencapsulada)puederealizarlaautenticación,AHnoafectaalrendimientode susistemacomo lohaceESP.OtraventajadeutilizarAHesqueéstaautenticaeldatagramaentero.ESP,noobstante,no autenticalaparte inicialdelacabeceraIPocualquierotra informaciónqueprecedaalacabeceraESP. Además,parapoder ponerenvigorESPhayquedisponerde algoritmoscriptográficosde128 KB.La criptografíade 128KBestárestringidaenalgunasregiones,mientrasqueAHnoestáreguladaypuede utilizarselibrementeentodoelmundo.

(11)

Utilización

de

ESN

con

AH

SiutilizaelprotocoloAH,puedehabilitarelNúmerode secuenciaampliado(ESN).ESN permite

transmitirgrandesvolúmenesde datosaunagran velocidadsinnecesidadde volvera aplicarlasclaves. LaconexiónVPNutilizanúmerosde secuenciade 64bits,enlugardenúmeros de32bitsatravésde IPSec.Lautilizacióndenúmerosde secuenciade64bitspermitedisponerdemástiempoantesde volver aaplicarlas claves,loqueevitaqueseagotenlosnúmerosdesecuenciayminimizaelusode recursos delsistema.

¿Qué

algoritmos

utiliza

AH

para

proteger

la

información?

AHutilizaalgoritmosconocidoscomo HMAC(códigos deautenticación demensajes convaloreshash). Deformaespecífica,VPNutilizatantoHMAC-MD5como HMAC-SHA.TantoMD5como SHAutilizan datosdeentradadelongitudvariable yunaclavesecretaparagenerardatosdesalidade longitudfija (llamadovalorhash).Silosvaloreshashdedosmensajescoincidenesmuyprobablequelosmensajes seanidénticos.MD5ySHAcodificanlalongituddelmensajeenlasalida,aunqueSHAestáconsiderado comomásseguroporqueproduceunoshashmásgrandes.

IETF(Internet EngineeringTaskForceIETF)defineformalmenteHMAC-MD5enlaRFC(Requestfor Comments)2085,HMAC-MD5IPAuthenticationwith ReplayPrevention.IETF(InternetEngineeringTask ForceIETF)defineformalmenteHMAC-SHAenlaRFC(RequestforComments)2404,Theuseof HMAC-SHA-1-96withinESPandAH. PuedeconsultarestasRFCenInternet,enelsiguiente sitioWeb: http://www.rfc-editor.org.

“Cargaútildeseguridadencapsulada”

ElprotocoloESP(cargaútildeseguridadencapsulada)ofrececonfidencialidadde datosy,deforma opcional,ofreceautenticacióndelorigende losdatos,comprobación delaintegridady protección contralareproducción.

Informaciónrelacionada http://www.rfc-editor.org

Carga

útil

de

seguridad

encapsulada

ElprotocoloESP(cargaútilde seguridadencapsulada)ofrececonfidencialidaddedatosy, deforma opcional,ofreceautenticacióndelorigendelosdatos,comprobaciónde laintegridad yprotección contra lareproducción.

LadiferenciaentreESPy elprotocoloAH(cabeceradeautenticación)esqueESPofrececifrado,mientras queambos protocolosofrecen autenticación,comprobación delaintegridadyprotección contrala reproducción.ConESP,ambos sistemasdecomunicaciónutilizaránunaclavecompartida paracifrary descifrarlosdatosqueintercambian.

Sidecideutilizartanto elcifradocomolaautenticación,elsistemaquerespondeautenticaelpaqueteen primerlugary, acontinuación,sielprimerpasotieneéxito,elsistemaprocedeconeldescifrado.Este tipodeconfiguración reducelaactividadgeneral deprocesoyasimismo reducelavulnerabilidad frentea ataquesdedenegacióndeservicio.

Hay

dos

formas

de

utilizar

ESP

Puedeaplicar ESPde dosformas:modalidaddetransporteomodalidaddetúnel.Enlamodalidadde transporte,lacabeceraESPsigue alacabeceraIPdeldatagramaIPoriginal. Sieldatagrama yadispone deunacabeceraIPSec, lacabeceraESPprecederáa ésta.LacolaESPy datosdeautenticación

opcionalesessiguenalacargaútil.

Lamodalidaddetransporte noautenticaocifra lacabeceraIP,quepodríadejarenevidenciala

informaciónde direccionamientoalalcance deposiblesagresoresmientras eldatagramaestáentránsito. | | | | | | |

(12)

Lamodalidaddetransporte necesitamenosactividadgeneraldelprocesoquelamodalidaddetúnel, peronoproporcionatantaseguridad.Enlamayoríadeloscasos,lossistemasprincipalesutilizanlaESP enmodalidaddetransporte.

LamodalidaddetúnelcreaunanuevacabeceraIPylautilizacomoparte másexternadelacabeceraIP deldatagrama, seguidodelacabeceraESPy,a continuación,eldatagramaoriginal(tantolacabeceraIP comolacargaútiloriginal).LacoladeESPydatosdeautenticaciónopcionalesseañadena lacargaútil. Cuandoutiliceelcifradoylaautenticación,laESPprotegerácompletamenteeldatagrama original porqueahorasehabránconvertidoenlosdatosde lacargaútildelnuevopaqueteESP.ESP,sinembargo, noprotegelanuevacabeceraIP.Laspasarelas debenutilizarlaESPenmodalidaddetúnel.

¿Qué

algoritmos

utiliza

ESP

para

proteger

la

información?

ESPutilizauna clavesimétricaqueutilizanambaspartescomunicantesparacifrary descifrarlosdatos queintercambian.Elremitenteyeldestinatariodeben estardeacuerdosobrelaclaveparaquepueda tenerlugarunacomunicaciónseguraentreambos.VPNutilizaDES(estándardecifradodedatos),triple DES(3DES),RC5,RC4oAES(estándarde cifradoavanzado) paraelcifrado.

SieligeelalgoritmoAESparaelcifrado, puedehabilitarelNúmerodesecuenciaampliado(ESN).ESN permitetransmitir grandesvolúmenesdedatos aunagran velocidad.LaconexiónVPN utilizanúmeros desecuenciade64bits,enlugarde númerosde32bitsa travésdeIPSec. Lautilizacióndenúmeros de secuenciade 64bitspermitedisponerdemástiempoantesdevolvera aplicarlasclaves,loqueevita que seagotenlosnúmerosdesecuenciayminimizaelusode recursosdelsistema.

IETF(Internet EngineeringTaskForce)defineformalmenteDESenRFC(RequestforComment)1829,The ESPDES-CBC Transform.IETF(Internet EngineeringTaskForce)defineformalmente3DESenRFC1851,

TheESPTripleDESTransform.Puedeconsultarestasy otrasRFCenInternet,enlasiguientedirección Web:http://www.rfc-editor.org.

ESPutilizalosalgoritmos HMAC-MD5yHMAC-SHAparaofrecerfunciones deautenticación.Tanto MD5comoSHAutilizandatosdeentradadelongitudvariable yunaclavesecreta paragenerardatosde salidadelongitudfija (llamadovalorhash).Silosvaloreshashdedosmensajescoincidenesmuy probablequelosmensajesseanidénticos.MD5ySHAcodifican lalongituddelmensajeenlasalida, aunqueSHAestáconsideradocomomásseguroporqueproduceunoshashmásgrandes.

IETF(Internet EngineeringTaskForceIETF)defineformalmenteHMAC-MD5enlaRFC(Requestfor Comments)2085,HMAC-MD5IPAuthenticationwith ReplayPrevention.IETF(InternetEngineeringTask ForceIETF)defineformalmenteHMAC-SHAenlaRFC(RequestforComments)2404,Theuseof HMAC-SHA-1-96withinESPandAH. PuedeconsultarestasyotrasRFCenInternet,enlasiguiente direcciónWeb:http://www.rfc-editor.org.

“Cabecerade autenticación”enlapágina 4

Elprotocolodecabeceradeautenticación(AH)ofreceautenticacióndelorigende losdatos,integridad de losdatosy proteccióncontralareproducción.Sinembargo,AHnoofrececonfidencialidadde datos,loquesignificaquetodoslosdatosseenviarán comotextolegible.

AH

y

ESP

combinados

VPNpermitecombinarAHyESPparaconexionesdesistemaprincipalasistemaprincipalenmodalidad detransporte.

Lacombinacióndeestosprotocolosprotegetodo eldatagramaIP.Apesarde quelacombinaciónde ambosprotocolosofrecemásseguridad,laactividadgeneraldeproceso queconllevapuedepesarmás queelbeneficio. | | | | |

(13)

Gestión

de

claves

UnaVPNdinámicaofreceseguridadadicionalparalas comunicacionesmedianteelprotocoloIKE (intercambiodeclavesde Internet)paralagestióndeclaves.IKEpermitealosservidoresVPNde cada extremodelaconexiónnegociarnuevasclaves aintervalosdeterminados.

Despuésde cadanegociaciónsatisfactoria,losservidoresVPNregeneranlasclaves queprotegen la conexión,deformaqueresultemásdifícilparaunagresorcapturarinformacióndelaconexión. Adicionalmente,siutilizaelsecretoprogresivoperfecto,losagresores nopodrándeducirlas futuras clavesenbasea informaciónde clavesanterior.

Elgestordeclaves deVPNeslaimplementacióndeIBM delprotocolo deintercambiodeclavesde Internet(IKE).Elgestorde clavessoportalanegociaciónautomáticadelas SA(asociacionesde seguridad),asícomo laregeneración yrenovaciónautomáticade clavescriptográficas.

UnaSA(Asociacióndeseguridad) contieneinformaciónnecesariaparautilizarlosprotocolosIPSec. Por ejemplo,unaSAidentificaeltipodealgoritmo,lalongitudyeltiempodevida deunaclave,laspartes participantesylasmodalidadesde encapsulación.

Lasclavescriptográficas,como implicasunombre,bloqueanoprotegenlainformaciónhastaqueésta alcanzade formasegura sudestinofinal.

Nota: Lageneraciónde susclaves deformaseguraeselfactormásimportantealestablecerunaconexión

privadaysegura.Si susclaves estáncomprometidas,susesfuerzosdeautenticaciónycifrado,no importalodurosquesean,seráninútiles.

Fasesdelagestióndeclaves

Elgestordeclaves deVPNutilizadosfasesdistintasensu implementación.

Fase1 Lafase1 estableceunsecretoprincipalapartirdelcualsederivanlas claves criptográficasulterioresparaprotegereltráficodedatosdelusuario.Estoescierto inclusoaunquenoexistatodavíaproteccióndeseguridadentreambospuntosfinales. VPNutilizalamodalidaddefirmaRSAoclaves precompartidasparaautenticarlas negociacionesdelafase1,asícomoparaestablecer lasclavesqueprotegenlosmensajes IKEquefluyendurantelasnegociacionesde lafase2 subsiguientes.

Unaclave precompartidaesuna serienotrivialde 128caracterescomo máximo.Ambos extremosdeunaconexióndebenponerse deacuerdosobrelaclaveprecompartida.La ventajadelautilizacióndeclaves precompartidaseslasimplicidad,ladesventajaesque unsecretocompartidodebecomunicarseporotroscanales,porejemploa travésdel teléfonoode correocertificado, antesde lasnegociacionesIKE.Debetratarlaclave precompartidacomosifueraunacontraseña.

LaautenticacióndelaFirmaRSAofreceunamayorseguridadquelasclaves

precompartidasporqueestamodalidadutilizacertificadosdigitalesparalaautenticación. Debeconfigurarsuscertificadosdigitalesa travésdeDigital CertificateManager

(5722-SS1Opción34).Además,algunassolucionesdeVPN necesitanlafirmaRSApara interaccionar.Porejemplo,Windows2000VPN utilizalafirmaRSAcomoelmétodode autenticaciónporomisión.Finalmente,lafirmaRSAproporcionamásescalabilidadque lasclavesprecompartidas.Loscertificadosqueutilicedeben provenirde autoridades certificadorasenlasqueconfíenambos servidoresde claves.

Fase2 Noobstante,lafase2negocialasasociacionesdeseguridadylas clavesqueprotegenlos intercambiosdedatosrealesde laaplicación.Recuerdequehastaestepuntonosehan enviadorealmentedatosdeaplicación.Lafase1protegelosmensajesIKEde lafase2. Unavezquelasnegociacionesde lafase2 hanterminado,laVPN estableceunaconexión dinámicaseguraa travésdelaredyentrelospuntosfinalesdefinidosparalaconexión.

(14)

Todoslosdatosquefluyena travésdelaVPNseentreganconelgradodeseguridady eficienciaacordadoporlosservidoresdeclaves durantelosprocesosde negociaciónde la fase1ylafase2.

Engeneral,lasnegociaciones delafase1sellevana cabounavez aldía,mientrasquelas negociacionesdefase2 serenuevancada60minutosoinclusocada5 minutos.Las velocidadesderenovaciónelevadasaumentanlaseguridaddelosdatos,perodisminuyen elrendimientodelsistema.Utilicetiemposde vidadeclavebrevesparaproteger sus datosmásdelicados.

AlcrearunaVPNdinámicamediante iSeriesNavigator,debedefinirunapolítica IKEparapermitirlas negociacionesdelafase1 yunapolíticade datosparacontrolarlas negociacionesdelafase2.

Opcionalmente,puedeutilizarelasistenteNuevaconexión.Elasistentecreaautomáticamentecadauno delosobjetosde configuraciónqueVPNnecesitaparafuncionarcorrectamente,incluyendounapolítica IKEyunapolítica dedatos.

Lectura

Layer

2 Tunnel

Protocol

(L2TP)

EnestainformaciónsedescribecómocrearunaconexiónVPNparaasegurarlas conexionesentresu red ylosclientesremotos.

LasconexionesL2TP(Layer2 TunnelingProtocol),tambiéndenominadaslíneasvirtuales,ofrecenacceso alosusuariosremotosa bajoprecio,alpermitirqueunservidorde reddelaempresagestionelas direccionesIPasignadasasususuariosremotos.Además,lasconexionesL2TPofrecenunaccesoseguroa susistemaoredcuandolasutiliceconjuntamenteconIPSec(IPSecurity).

L2TPsoportadosmodalidadesdetúnel:eltúnelvoluntarioy eltúnelobligatorio.Ladiferenciamás importanteentreambos eselpuntofinal.Eneltúnelvoluntario, eltúnelterminaenelcliente remoto mientrasqueeltúnelobligatorioterminaenelISP.

(15)

ConuntúnelobligatorioL2TP,unsistemaprincipalremoto inicialaconexiónconsu ISP(suministrador deserviciosdeInternet).Acontinuación,ISPestableceunaconexiónL2TPentreelusuarioremotoy la reddelaempresa.ApesardequeelISPestablecelaconexión,deberá decidircómoproteger eltráfico medianteVPN.Conuntúnelobligatorio,ISPdebesoportarLT2P.

ConuntúnelvoluntarioL2TP,elusuario remotocrealaconexión,normalmentemedianteunclientede túnelL2TP.Comoresultado,elusuarioremoto envíalospaquetesL2TPasuISP,quelosreenvíaalared delaempresa.Conuntúnelvoluntario,ISPnonecesitasoportarL2TP.ElescenarioProteger untúnel voluntarioL2TPconIPSecproporcionaunejemplode cómoconfigurarunsistemadeunasucursalpara queseconecteconlaredcorporativa medianteunsistemadepasarelaconuntúnelL2TPprotegidopor VPN.

Puedeverunapresentaciónvisualsobreelconcepto delosTúnelesvoluntariosL2TPprotegidospor IPSec.Paraello,senecesitaelConectorFlash.TambiénpuedeutilizarlaversiónHTMLde esta presentación.

L2TPesenrealidaduna variaciónde unprotocolode encapsuladoIP.EltúnelL2TPsecreaalencapsular unmarco L2TPdentrodeunpaqueteUDP(Protocolode datagramasde usuario),que,asu vez,está encapsuladoenunpaqueteIP.LasdireccionesdeorigenydestinodeestepaqueteIPdefinenlospuntos finalesdeconexión. Debidoaqueelprotocolode encapsuladoexterioresIP,puedeaplicarlosprotocolos IPSecalpaqueteIPcompuesto. Deestaforma,seprotegenlosdatosquefluyendentrodeltúnelL2TP.A continuación,puedeaplicardirectamente lacabeceradeautenticación(AH),lacargaútildeseguridad encapsulada(ESP)yelprotocolo deintercambiodeclaves deInternet(IKE).

“Escenario:proteger untúnelvoluntarioL2TPconIPSec”enlapágina23

Enesteescenario,aprenderáaconfigurarunaconexiónentreelsistemaprincipalde unasucursaly unaoficinacentralqueutilizaL2TPprotegidoporIPSec. Lasucursaltiene unadirecciónIPasignada dinámicamente,mientras quelaoficinacentraltieneunadirecciónIPestáticadireccionable

globalmente.

Texto

Flash

L2TP

de

VPN

Unaredprivadavirtual (VPN)permiteasu empresaampliarde formasegura laintranet privadaa travésdelainfraestructuraexistentedeuna redpúblicacomoInternet.VPNdasoporteaL2TP(Layer2 TunnelProtocol).Lassoluciones L2TPofrecen alosusuariosremotosunaccesoseguroyeconómico ala redcorporativa.ConelestablecimientodeuntúnelvoluntarioconelservidorderedL2TP(LNS),el clienteremotoseconvierte,enrealidad,enunaextensión delaredcorporativa.

Enesteescenarioconceptualsemuestraunsistemaclienteremoto conectándoseasu redcorporativa mediantelacreacióndeuntúnelvoluntarioL2TPprotegidoporVPN.

Paraempezar,elclienteremoto estableceunaconexiónconInternetmedianteelproveedorde servicios deInternet (ISP).ElISPasignaalclienteunadirecciónIPdireccionableglobalmente.

SinqueelISPlosepa,elclienteiniciaunaconexiónVPNconlapasarelaVPNcorporativa.Lapasarela autenticaelsistemaclientequedesea accederalaredcorporativa.

Unavezelclienterecibe laautenticacióndelapasarela(haciendosegura laconexión),elcliente establece eltúnelL2TP.ElclientesigueutilizandoladirecciónIPqueleha asignadoelproveedordeserviciosde Internet.Eltúnel L2TPpermitiráquelosdatosviajenentreelsistemacliente ylapasarelacorporativa. UnavezsehaestablecidoeltúnelL2TP(mostradoenamarillo),elLNS asignaalclienteuna direcciónIP dentrodelesquemadedirecciones delaredcorporativa.Nohayningunalíneafísicaasociadaa la conexión,porloquesecreaunalíneavirtualparaqueeltráfico PPPpuedacruzar eltúnelL2TP. Ahoraeltráfico IPpuedefluirentreelsistemacliente remotoycualquiersistemade laredcorporativa.

(16)

Conversión

de

direcciones

de

red

para

VPN

VPNproporcionaunaformaderealizarlaconversióndedireccionesde red,denominadaNATVPN. NATVPNsediferenciade laNAT tradicionalenqueaquéllaconviertelasdirecciones antesde aplicarlas alosprotocolosIKEeIPSec.Consulte estetemaparaobtenermásinformación.

NAT(conversióndedireccionesdered)tomasusdireccionesIPprivadasylas convierteendireccionesIP públicas.Deestaforma,facilitalaconservaciónde direccionespúblicasvaliosasy, almismotiempo, permitea lossistemasprincipalesde suredaccederalosserviciosysistemasprincipales remotosa travésdeInternet (uotrasredespúblicas).

Además,siutilizadireccionesIPprivadas,estaspueden entrarenconflictocondireccionesIPentrantes parecidas.Porejemplo:desea comunicarseconotraredyambasredes utilizandirecciones 10.*.*.*.;las direccionesentraránenconflictoytodoslospaquetessedesactivarán.SiaplicaNATa susdirecciones salientes,podrásolucionaresteproblema.Sinembargo,sieltráficode datosestáprotegidoporuna VPN, laNATconvencionalnofuncionará porquemodificalas direccionesIPenlasSA(asociacionesde

seguridad)queVPN necesitaparafuncionar.Paraevitaresteproblema,VPN ofrecesu propiaversión de laconversiónde direccionesdered,denominadaNAT VPN.VPNNATrealizaconversionesde

direccionesantesdelavalidaciónSA,asignandounadirecciónalaconexióncuandoéstaseinicia.Esta direcciónpermaneceasociadaa laconexiónhastaqueéstasesuprime.

Nota: FTPnosoportaVPN NATactualmente.

¿CómoutilizarVPNNAT?

Haydostiposdistintosde VPNNATquenecesitaconsiderarantesdeempezar.Sonlos siguientes:

VPNNATparaevitarconflictosentredireccionesIP

Estetipode VPNNATpermiteevitartodoslosconflictosposiblesentredirecciones IP queseproducenalconfiguraruna conexiónVPN entreredes osistemasconesquemasde direccionamientosimilares.Un escenariohabitualesaquelenqueambasempresas deseancrearconexiones VPNutilizandounodelosrangosdedireccionesIPprivadas designados.Por ejemplo,10.*.*.*.Laformaenquedeberáconfigurarestetipo deVPN NATdependedesisu servidoreseliniciadoroelcontestadorde laconexiónVPN. Cuandosuservidor eseliniciadordelaconexión,puedeconvertirlasdireccioneslocales endirecciones compatiblesconladireccióndelaconexiónVPNasociada.Cuandosu servidoreselcontestadordelaconexión,puedeconvertirlasdireccionesremotasVPNde susocioendirecciones compatiblesconsu esquemade direccionamientolocal.Configure estetipode conversiónde direccionessóloparalasconexionesdinámicas.

VPNNATparaocultardireccioneslocales

Estetipode VPNNATseutilizaantetodoparaocultarladirecciónIPrealdesusistema local,mediantelaconversióndesu direcciónenotra dirección,quesehacedisponible públicamente.AlconfigurarVPNNAT,puedeespecificarquecadadirecciónIPconocida públicamenteseconviertaa sudireccióndeunaagrupaciónde direccionesocultas.Esto tambiénpermiteequilibrar lacargadetráfico deunadirecciónindividuala travésde direccionesmúltiples.VPN NATparadireccioneslocalesprecisaquesuservidoractúe comocontestadorde lasconexiones.

UtiliceVPNNATparaocultar direccioneslocalessiresponde afirmativamentea estas preguntas:

1. ¿Tiene unoovariosservidoresa losquequieraqueaccedanlaspersonasmediante

unaVPN?

2. ¿Necesitaser flexibleconlasdireccionesIPrealesdesussistemas?

3. ¿Tiene unaovariasdireccionesIPglobalmentedireccionables?

ElescenarioUtilizarlaconversióndedirecciones deredparaVPNproporcionaun ejemplodecómo configurarVPNNAT paraocultar direccioneslocaleseneliSeries.

(17)

Paraobtenerinstruccionespasoa pasoacercadecómoconfigurarVPNNATenelsistema,consultela ayudaenlíneadisponibleenlainterfazVPNdeiSeriesNavigator.

“Escenario:utilizarlaconversióndedireccionesde redparaVPN”enlapágina36

Enesteescenario,laempresadeseaintercambiar datossensiblesconunodesusasociadoscomerciales medianteVPN.Parapreservarmejorlaprivacidaddelaestructurade reddelaempresa,éstatambién utilizará VPNNATparaocultarladirecciónIPprivadadelsistemaqueutilizaparaalojarlas

aplicacionesalas queelasociadocomercialtieneacceso.

“Hojade trabajode planificaciónparaconexionesmanuales”enlapágina41

Completeestahojade trabajoparaconfigurarunaconexiónmanual.

IPSec

(compatible

con

NAT)

con

UDP

LaencapsulaciónUDPpermitequeeltráfico IPSecpasea travésdeundispositivoNATconvencional. Consulteestetemaparaobtenermásinformaciónacercade suscaracterísticas ylasrazonesporlas que debeutilizarlaparalasconexionesVPN.

El

problema:

la

NAT

convencional

interrumpe

VPN

Laconversióndedirecciones dered(NAT)permiteocultarlasdirecciones IPprivadas noregistradas detrásdeunconjuntodedireccionesIPregistradas.Estoayuda aprotegerlaredinternade lasredes externas.NATtambiénayuda areducirelproblema delagotamientodedirecciones IP,dadoqueun pequeñoconjuntodedirecciones registradaspuederepresentara muchasdirecciones privadas. Desgraciadamente,laNAT convencionalnofuncionaenlospaquetesIPSecdebidoa que,cuandoel paquetepasaporundispositivoNAT,ladirecciónorigendelpaquetecambia,invalidando conelloel paquete.Cuandoestoocurre, elterminalreceptordelaconexiónVPN descartaelpaquetey las negociacionesdelaconexiónVPNfallan.

La

solución:

encapsulación

UDP

Enunanutshell,laencapsulaciónUDPenvuelveunpaqueteIPSecdentrodeunacabeceraIP/UDPnueva peroduplicada.LadireccióndelacabeceraIPnuevaseconviertecuandopasaa travésdeldispositivo NAT.Acontinuación,cuando elpaquetealcanzasudestino,elterminalreceptoreliminalacabecera adicionaldejando elpaqueteIPSecoriginal,queahorapasarátodas lasdemásvalidaciones.

SólopuedeaplicarlaencapsulaciónUDPalas VPNquevayan autilizarIPSecESPenmodalidadde túneloenmodalidadde transporte.Además,env5r2,elservidor iSeriessólopuedeactuarcomocliente deunaencapsulaciónUDP.Es decir,sólopuedeiniciar tráficoencapsuladoUDP.

Losgráficos quefiguranacontinuaciónmuestranelformatode unpaqueteESPencapsuladomediante UDPenmodalidaddetúnel:

DatagramaIPv4original:

DespuésdeaplicarIPSecESP enmodalidaddetúnel:

(18)

Despuésdeaplicarlaencapsulación UDP:

Losgráficos quefiguranacontinuaciónmuestranelformatode unpaqueteESPencapsuladoUDPen modalidadde transporte:

DatagramaIPv4original:

DespuésdeaplicarIPSecESP enmodalidaddetransporte:

Despuésdeaplicarlaencapsulación UDP:

Unavezqueelpaqueteseha encapsulado,eliSeriesloenvíaa suVPNasociadaa travésdelpuertoUDP 4500.Normalmente, lasVPNasociadas realizanlas negociacionesIKEatravés delpuerto500. No

obstante,cuando IKEdetectaNATdurantelanegociacióndeclaves,lospaquetes IKEposterioresse envíanatravésdelpuertoorigen4500,puerto destino4500.Estotambién significaqueelpuerto4500no puedeestarrestringidoporningunanorma defiltro aplicable.Elterminalreceptordelaconexiónpuede determinarsielpaqueteesunpaqueteIKEo unpaqueteencapsuladoUDPdebidoa quelos4primeros bytesdelacargaútildeUDPseestablecenenceroenunpaqueteIKE.Paraquefuncionecorrectamente, ambosterminalesdelaconexióndebensoportarlaencapsulaciónUDP.

“Escenario:VPN compatibleconelcortafuegos”enlapágina 30

Enesteescenario,una granempresadesegurosdesea establecerunaVPNentreunapasarelaen Chicago yunsistemaprincipalenMinneapolis,dondeambasredesestándetrásdeuncortafuegos.

Compresión

IP

(IPComp)

IPCompreduceeltamañodelosdatagramascomprimiéndolosparaaumentarelrendimientodela comunicaciónentreambos sociosVPN.

Elprotocolode CompresióndelacargaútilIP(IPComp)reduceeltamañode losdatagramasIP

comprimiéndolosparaincrementarelrendimientode lacomunicaciónentredosasociados.Elobjetivoes aumentarelrendimientodelacomunicacióngeneralcuandoéstaseproducea travésdeenlaceslentoso congestionados.IPCompnoofreceningunaseguridadydebeutilizarsejunto conunatransformaciónAH oESPcuandolacomunicaciónseproducea travésdeunaconexiónVPN.

IETF(Internet EngineeringTaskForceIETF)defineformalmenteIPCompenlaRFC(Requestfor Comments)2393,IPProtocolode compresióndecarga útil(IPComp).PuedevisualizarestaRFCenInternet, enelsiguientesitio Web:http://www.rfc-editor.org.

(19)

VPN

y

filtrado

IP

Elfiltrado IPy VPNestánestrechamente relacionados.Dehecho,lamayoríadeconexionesVPN

requierennormasdefiltro parafuncionarcorrectamente. Estetemaproporcionainformaciónacercadelos filtrosnecesarios paraVPN,ytambiénacercadeotros conceptosde filtradorelacionadosconVPN. Lamayoríade conexionesVPNrequierennormasdefiltro parafuncionarcorrectamente.Lasnormasde filtronecesariasdependendeltipodeconexiónVPNqueestéconfigurandoydeltipode tráficoque deseecontrolar.Engeneral,cadaconexióntendrá unfiltro depolíticas.Elfiltrode políticasdefinequé direcciones,protocolosy puertospuedenutilizarlaVPN.Además,lasconexiones quesoportanel protocoloIKE(intercambiodeclaves deInternet)tienengeneralmente normasescritas explícitamente parapermitirelprocesoIKEa travésdelaconexión.

EnOS/400V5R1o posterior,VPNpuedegenerarestasnormasautomáticamente.Siempre quesea

posible,permitaqueVPNgenerelosfiltrosdepolíticasautomáticamente.Estonosóloayudaráa eliminar errores,sinoquetambiéneliminarálanecesidaddeconfigurarlasnormascomounpasoindependiente medianteeleditordenormasdepaquetes deiSeriesNavigator.

Porsupuesto,existenexcepciones.Consultelostemassiguientesparaobtener informaciónacercade otros conceptosy técnicasmenoscomunesdelfiltradoydeVPN quepuedenaplicarsea susituación

particular:

“Configurarnormasdepaquetes VPN”enlapágina 49

Siestácreandounaconexiónporprimeravez,permitaqueVPNgenereautomáticamentelasnormas de paquetesVPN.Puedellevarlo acaboutilizandoelasistente Nuevaconexiónolaspáginasde propiedadesdeVPNparaconfigurarlaconexión.

Conexiones

VPN

sin

filtros

de

políticas

Silospuntosfinalesde conexiónde laVPN sondireccionesIPespecíficasy simplesy deseainiciarla VPNsintenerqueescribirniactivarnormasdefiltro enelsistema,puedeconfigurarunfiltrode políticasdinámico.Estetemadescribelas razonesporlasqueestopuedeserdeseableeindicacómo llevarloacabo.

Unanormadefiltro depolíticasdefinequédirecciones,protocolosy puertospuedeutilizaruna VPNy dirigeeltráficoapropiadoa travésdelaconexión. Enalgunos casos,puedequedeseeconfiguraruna conexiónquenorequieraunanorma defiltrode políticas.Porejemplo,puedequetenganormasde paquetesquenosondeVPNcargadasenlainterfazquelaconexiónVPNvaautilizar, yportanto,en lugardedesactivarlasnormasactivasenesainterfaz,decideconfigurarlaVPNde formaqueelsistema gestionetodoslosfiltrosdinámicamenteparalaconexión. Elfiltro depolíticasparaestetipodeconexión seconocecomofiltrodepolíticas dinámico.Parapoder utilizarunfiltro depolíticasdinámicoparala conexiónVPN,deben cumplirselatotalidaddelassiguientescondiciones:

v Sóloelservidorlocalpuedeiniciarlaconexión.

v Lospuntosfinalesdedatosde laconexióndeben sersistemasúnicos.Es decir,nopueden seruna

subredniunrangodedirecciones.

v Nopuedecargarseningunanorma defiltrode políticasparalaconexión.

Silaconexióncumple estoscriterios,puedeconfigurarlaparaquenorequieraunfiltro depolíticas. Cuandoseinicielaconexión,eltráficoentrelospuntosfinalesdedatosfluiráa travésdeella independientementedequehayaotrasnormasdepaquetes cargadasenelsistema.

Paraobtenerinstruccionespasoa pasoacercadecómoconfigurarunaconexiónparaquenorequieraun filtrodepolíticas, consultelaayudaenlíneadeVPN.

(20)

IKE

implícito

ParaqueseproduzcannegociacionesIKEparalaVPN,debepermitireltráficoIPde losdatagramas UDPatravésdelpuerto500.Sinembargo,sienelsistemanoexistennormasde filtroespecíficamente escritasparapermitireltráficoIKE,elsistemapermitiráimplícitamenteelflujodetráfico IKE.

Paraestablecerunaconexión, lamayoríade lasVPNrequierenqueseproduzcan negociacionesIKE (Intercambiode clavesdeInternet) paraquepuedaproducirseelprocesoIPSec. IKEutilizaelpuerto conocido500y, portanto,paraqueIKEfuncionecorrectamente,debepermitireltráfico IPde los datagramasUDPatravésdelpuerto500.Sienelsistemanoexisten normasdefiltroespecíficamente escritasparapermitireltráficoIKE,eltráficoIKEsepermiteimplícitamente. Sinembargo,lasnormas escritasespecíficamenteparaeltráficodelpuerto500deUDPsemanejanenfuncióndelodefinidoen lasnormasdefiltroactivas.

Escenarios

de

VPN

Reviseestosescenariosparafamiliarizarseconlosdetallestécnicosy deconfiguraciónrelacionadoscon cadaunode estostiposde conexiónbásica.

EscenariodeQoS:resultadossegurosyprevisibles(VPN yQoS) Informaciónrelacionada

OS/400V5R1VirtualPrivateNetworks: RemoteAccesstotheIBM e(logo)serveriSeriesServerwith

Windows 2000VPNClients,REDP0153

AS/400Internet Security:ImplementingAS/400VirtualPrivateNetworks, SG24-5404-00 AS/400Internet SecurityScenarios:APracticalApproach,SG24-5954-00

Escenario:

conexión

básica

entre

sucursales

Enesteescenario,suempresadesea establecerunaVPNentrelassubredesde dosdepartamentos remotosa travésdeunparde sistemasiSeriesqueactúancomopasarelasVPN.

Situación

Supongamosquesuempresadeseaminimizarloscostesdecomunicaciónentresuspropiassucursales. Actualmente,suempresautilizaframerelayolíneasalquiladas,perodesea explorarotrasposibilidades detransmisión dedatosconfidencialesinternosqueresultemenoscostosa,mássegurayglobalmente accesible.Sacandopartidoa Internet,puedeestablecerfácilmenteunaredprivadavirtual(VPN) que satisfagalas necesidadesde suempresa.

Suempresaysusucursalprecisan deunaprotección VPNenInternet,peronoensusrespectivas intranets.Debidoaqueconsiderafiableslasintranets,lamejorsoluciónescrearunaVPNde pasarelaa pasarela.Enestecaso,ambaspasarelasestánconectadasdirectamentealaredde intervención.Enotras palabras,sonsistemasde fronterao borde,quenoestánprotegidosmedianteuncortafuegos.Esteejemplo sirvecomointroducción útila lospasosqueconlleva establecerunaconfiguración deVPNbásica. Cuandoelescenariohacereferenciaaltérmino Internet,alude alareddeintervenciónexistente entredos pasarelasVPN,quepodríaserlapropiaredprivadade laempresao laInternet pública.

Importante: Esteescenariomuestralaspasarelasde seguridaddeiSeriesconectadasdirectamentea

Internet.Sehaprescindidodeuncortafuegosparasimplificarelescenario.Estonoimplica queelempleodeuncortafuegosseainnecesario.Dehecho,deberáconsiderarlosriesgosde seguridadquesuponecualquier conexióna Internet.

Ventajas

(21)

v Lautilizaciónde Internetounaintranet existentereduceelcostede laslíneasprivadasentresubredes

remotas.

v Lautilizaciónde Internetounaintranet existentereducelacomplejidadquecomporta lainstalacióny

mantenimientodelíneas privadasyelequipoasociado.

v Lautilizaciónde Internetpermiteconectarlas ubicacionesremotasprácticamentea cualquierotro

lugardelmundo.

v Lautilizaciónde laVPN ofrecealosusuariosacceso atodoslosservidoresyrecursosde amboslados

delaconexióndelamismaformaquesiestuvieranutilizandounalíneaalquiladaounaconexión WAN(reddeáreaamplia).

v Lautilizaciónde uncifradoestándaryde métodosdeautenticaciónasegurauna proteccióndela

informacióndelicadaquepasade unaubicacióna otra.

v Elintercambiode lasclavescifradas deformadinámicayregularsimplificalaconfiguración y

minimizaelriesgodequeéstaspuedandescodificarsey quepuedaviolarselaseguridad.

v Lautilizaciónde direccionesIPprivadasencadasubredremotahaceinnecesarioasignara cadacliente

valiosasdireccionespúblicas deIP.

Objetivos

Enesteescenario,MyCo,Inc.deseaestablecer unaVPNentrelassubredesdesusdepartamentosde RecursosHumanos yFinanzasmedianteunpardeservidoresiSeries.Ambosservidoresactuaráncomo pasarelasdeVPN.Entérminosdeconfiguracionesde VPN,unapasarelarealizalagestiónde clavesy aplicaIPSecalosdatosquefluyenporeltúnel.Laspasarelasnosonlospuntosfinalesde datosdela conexión.

Losobjetivos deesteescenariosonlossiguientes:

v LaVPNdebeprotegertodoeltráficodedatosentrelasubreddeldepartamentode Recursos

Humanosy lasubreddeldepartamentodeFinanzas.

v Eltráfico dedatosnonecesitaprotecciónVPNuna vezhallegadoalasubreddealgunodelos

departamentos.

v Todoslosclientesysistemasprincipales decadaredtienenaccesototalalareddelosdemás,

incluyendotodaslasaplicaciones. v

Losservidoresde lapasarelapueden comunicarseentresíy accederalasaplicacionesdelotro.

Detalles

Lasiguiente ilustraciónmuestralascaracterísticas delareddeMyCo.

DepartamentodeRecursosHumanos

v iSeries-AseejecutaenOS/400Versión5 Release2 (V5R2)o posterior,yactúacomolapasarelaVPN

(22)

v Lasubredes10.6.0.0conlamáscara255.255.0.0.Estasubredrepresenta elpuntofinaldedatosa

travésdeltúneldelaVPNdelsitiodeMyCo enRochester.

v iSeries-Aseconectaa InternetmedianteladirecciónIP204.146.18.227.Esteeselpuntofinalde

conexión.Es decir,iSeries-Arealizalagestiónde clavesyaplica IPSeca losdatagramasIPentrantes y salientes.

v iSeries-Aseconectaa lasubredconladirecciónIP10.6.11.1.

v iSeries-Besunservidor deproduccióndelasubredde RecursosHumanos queejecutaaplicaciones

TCP/IPestándares.

DepartamentodeFinanzas

v iSeries-CseejecutaenOS/400Versión5Release2(V5R2)oposterior,yactúacomolapasarelaVPN

delDepartamentode Finanzas.

v Lasubredes10.196.8.0conlamáscara255.255.255.0.Estasubredrepresenta elpuntofinaldedatosa

travésdeltúneldelaVPNdelsitiodeMyCo enEndicott.

v iSeries-CseconectaconInternet medianteladirecciónIP208.222.150.250.Esteeselpuntofinalde

conexión.Es decir,iSeries-Crealizalagestióndeclaves yaplica IPSeca losdatagramasIPentrantesy salientes.

v iSeries-CseconectaalasubredconladirecciónIP10.196.8.5.

Tareas

de

configuración

Debecompletarcadaunadeestastareasparaconfigurarlaconexiónentresucursalesqueseha descrito enesteescenario:

Nota: Antesdeiniciarestastareas,verifiqueeldireccionamientodeTCP/IPparaasegurarquelos

servidoresdeambaspasarelaspueden comunicarseentresía travésdeInternet. Conestose aseguradequelossistemasprincipalesdecadasubredefectúeneldireccionamientocorrectamente hacialaspasarelasrespectivas parapoderaccedera lasubredremota.

Direccionamiento deTCP/IPyequilibriodecargasde trabajo Informaciónrelacionada

AS/400Internet SecurityScenarios:APracticalApproach,SG24-5954-00

Completar

las

hojas

de

trabajo

de

planificación

Lassiguienteslistasdecomprobación deplanificaciónilustran eltipode informaciónquenecesitapara empezara configurarlaVPN.Todaslasrespuestas delalistadecomprobacionesde losprerrequisitos debenser SÍantesdepoder proseguirconlaconfiguración delaVPN.

Nota: Estashojas detrabajosonaplicablesa iSeries-A,repitaelprocesoparaiSeries-C,invirtiendolas

direcciones IPde laformanecesaria.

Tabla1.Requisitosdelsistema

Listadecomprobacióndelosprerrequisitos Respuestas

¿ElsistemaoperativoesOS/400V5R2(5722-SS1)oposterior? Sí ¿SeencuentrainstaladalaopcióndeDigitalCertificateManager(5722-SS1Opción34)? Sí

¿EstáinstaladoiSeriesAccessforWindows(5722-XE1)? Sí

¿EstáinstaladoiSeriesNavigator? Sí

¿EstáinstaladoelsubcomponentedereddeiSeriesNavigator? Sí ¿EstáinstaladoTCP/IPConnectivityUtilities(5722-TC1)? Sí

(23)

Tabla1.Requisitosdelsistema (continuación)

¿Haestablecidoen1elvalordelsistemaderetenerdatosdeseguridaddelservidor (QRETSVRSEC*SEC)?

Sí ¿EstáconfiguradoTCP/IPenelsistema(incluyendolasinterfacesIP,rutasIP,elnombre delsistemaprincipallocalIPyelnombrededominiolocalIP)?

Sí ¿SehaestablecidolacomunicaciónnormalTCP/IPentrelospuntosfinales? Sí ¿Haaplicadolosúltimosarreglostemporalesdeprograma(PTF)? Sí SieltúneldelaVPNatraviesaloscortafuegosodireccionadoresqueutilizanelfiltradode paquetesIP,¿soportanlasnormasdefiltrodelcortafuegosodireccionadorlosprotocolos AHyESP?

Sí

¿EstánconfiguradosloscortafuegosolosdireccionadoresparapermitirlosprotocolosIKE (UDPpuerto500),AHyESP?

Sí ¿EstánconfiguradosloscortafuegosparahabilitarelreenvíodeIP? Sí

Tabla2.ConfiguracióndeVPN

NecesitaestainformaciónparaconfigurarlaVPN Respuestas

¿Quétipodeconexiónestácreando? depasarelaapasarela

¿Cómosedenominaráelgrupodeclavesdinámicas? HRgw2FINgw

¿Quétipodeseguridadyrendimientodelsistemanecesitaparaprotegerlasclaves? equilibrado ¿Utilizacertificadosparaautenticarlaconexión?Sinoesasí,¿cuáleslaclave

precompartida?

Notopsecretstuff ¿Cuáleselidentificadordelservidordeclaveslocal? DirecciónIP:

204.146.18.227 ¿Cuáleselidentificadordelpuntofinaldedatoslocal? Subred:10.6.0.0

Máscara:255.255.0.0 ¿Cuáleselidentificadordelservidordeclavesremoto? DirecciónIP:

208.222.150.250 ¿Cuáleselidentificadordelpuntofinaldedatosremoto? Subred:10.196.8.0

Máscara:255.255.255.0 ¿Quépuertosyprotocolosdeseapermitirfluiratravésdelaconexión? Cualquiera

¿Quétipodeseguridadyrendimientodelsistemanecesitaparaprotegersusdatos? equilibrado

¿Aquéinterfacesseaplicalaconexión? TRLINE

Configurar

la

VPN

en

iSeries-A

UtilicelossiguientespasosylainformacióndesushojasdetrabajoparaconfigurarlaVPNeniSeries-A: 1. EniSeriesNavigator,expandaiSeries-A→Red →PolíticasIP.

2. PulseconelbotónderechodelratónRed privadavirtualyseleccioneNuevaconexiónparainiciar

elasistente Nuevaconexión.

3. Reviselapáginade Bienvenidaparaobtenerinformaciónacercadelosobjetosquecreaelasistente.

4. PulseSiguienteparaira lapáginaNombredela conexión.

5. EnelcampoNombre,especifiqueHRgw2FINgw.

6. Opcional:Especifiqueunadescripciónparaestegrupodeconexión.

7. PulseSiguienteparaira lapáginaEscenariodela conexión.

8. SeleccioneConectarsupasarelaaotrapasarela.

(24)

10. SeleccioneCrearunanuevapolíticay, acontinuación,seleccioneEquilibrarseguridady

rendimiento.

11. PulseSiguienteparaira lapáginaCertificado parapuntofinal deconexiónlocal.

12. SeleccioneNoparaindicarquenoutilizarácertificadosparaautenticarlaconexión.

13. PulseSiguienteparair alapáginaServidordeclaveslocal.

14. SeleccioneDirección IPdeVersión4 enelcampoTipodeidentificador.

15. Seleccione204.146.18.227enelcampoDirecciónIP.

16. PulseSiguienteparair alapáginaServidordeclavesremoto.

18. Especifique208.222.150.250 enelcampoIdentificador.

19. EspecifiquetopsecretstuffenelcampoClaveprecompartida.

20. PulseSiguienteparair alapáginaPuntofinaldedatoslocal.

21. SeleccioneSubredIPversión4enelcampoTipodeidentificador.

22. Especifique10.6.0.0enelcampoIdentificador.

23. Especifique255.255.0.0 enelcampoMáscaradesubred.

24. PulseSiguienteparair alapáginaPuntofinaldedatosremoto.

25. SeleccioneSubredIPversión4enelcampoTipodeidentificador.

27. Especifique255.255.255.0 enelcampoMáscaradesubred.

28. PulseSiguienteparair alapáginaServiciosdedatos.

29. Aceptelosvaloresporomisióny, acontinuación,pulseSiguienteparaira lapáginaPolíticade

datos.

30. SeleccioneCrearunanuevapolíticay, acontinuación,seleccioneEquilibrarseguridady

rendimiento.

31. SeleccioneUtilizarel algoritmodecifradoRC4.

32. PulseSiguienteparair alapáginaInterfacesaplicables.

33. SeleccioneTRLINEenlatabla Línea.

34. PulseSiguienteparair alapáginaResumen.Reviselosobjetosquecreará elasistenteparaasegurar

queson correctos.

35. PulseFinalizarparacompletarlaconfiguración.

36. CuandoaparezcaelrecuadrodediálogoActivarfiltrosdepolíticas,seleccioneSi,activarlosfiltros

depolíticageneradosy,a continuación,seleccionePermitirel restodetráfico.

37. PulseAceptarparacompletarlaconfiguración. Cuandoselesolicite,especifiquequedeseaactivar

lasnormasentodaslasinterfaces.

Configurar

la

VPN

en

iSeries-C

Sigalosmismospasos queparaconfigurarVPNeniSeries-A,y cambielasdireccionesIPsegún corresponda.Utilicelashojas detrabajodeplanificacióncomoguía.Cuandotermine deconfigurarla pasarelaVPNdeldepartamentodefinanzas,elestadodelas conexionesserábajopetición,loquesignifica quelaconexiónseiniciacuandoseenvíanlosdatagramasIPqueestaconexiónVPNdebeproteger.El próximopasoconsisteeniniciarlosservidoresVPN,siaúnnoloestán.

Iniciar

los

servidores

VPN

ParainiciarlosservidoresVPN,sigaestospasos:

1. EniSeriesNavigator, expandael servidor→ Red→ PolíticasIP.

(25)

Probar

la

conexión

Trashaberfinalizadolaconfiguración deambosservidoresyhaberiniciadosatisfactoriamente los servidoresVPN,pruebe laconectividadparaasegurarsedequelassubredesremotaspueden comunicarseentresí.Paraello,sigaestospasos:

1. EniSeriesNavigator, expandaiSeries-A→ Red.

2. PulsedosvecesConfiguraciónTCP/IP,seleccioneUtilidadesy,a continuación,seleccionePING.

3. EnelrecuadrodediálogoRealizarPINGdesde,especifiqueiSeries-CenelcampoPING.

4. PulseRealizarPINGahoraparaverificarlaconectividaddeiSeries-AconiSeries-C.

5. PulseAceptar cuandohayafinalizado.

Escenario:

conexión

básica

de

empresa

a

empresa

Enesteescenario,suempresadesea establecerunaVPNentreunaestacióndetrabajoclientedela divisióndefabricaciónyunaestaciónde trabajoclientedeldepartamentode suministrosdeunsocio comercial.

Situación

Muchasempresasutilizanframerelayolíneasalquiladas parasuministrarconexionessegurasasus socioscomerciales,sucursalesy proveedores.Por desgracia,estassoluciones suelenser carasylimitadas geográficamente.VPN ofreceunaalternativaparalasempresasquedeseendisponerde comunicaciones privadasya unbajo coste.

Supongaqueeselprincipalproveedorde unfabricante.Puestoqueesdecisivoquedispongadelos componentesycantidades específicosenelprecisomomentoenquelaempresafabricantelosnecesite, tendráqueconocersiempreelestado delinventariodelfabricanteyde planificacióndelaproducción.Es posibleactualmentequellevea caboestainteracciónde formamanual yconsiderequeresultalenta, costosaeinclusoinexacta.Deseaencontrarunaformamásfácil,rápidayefectivaparacomunicarsecon suempresafabricante.Sinembargo,debidoalaconfidencialidadya lanaturalezasensibleeneltiempo delainformaciónqueintercambia,elfabricantenodesea publicarlaenelsitioWebdesu empresao distribuirlomensualmenteenuninformeexterno. Sacandopartidoa Internet,puedeestablecer fácilmente unaredprivadavirtual(VPN)quesatisfagalasnecesidadesde ambasempresas.

Objetivos

Enesteescenario,MyCodeseaestablecer unaVPNentreunsistemaprincipaldesu divisiónde

componentesyunsistemaprincipaldeldepartamentode manufacturadeunodesussocioscomerciales, TheirCo.

Debidoa quelainformaciónquecompartenambasempresasesaltamente confidencial,éstadebe protegersemientrascirculaporInternet.Además,losdatosnodebenfluircomotextolegibledentrode lasredesde lasdosempresasyaquecadaunadeellasnoconsideraalaotra deconfianza.Enotras palabras,ambasempresasnecesitanautenticación, integridadycifradodeextremoa extremo.

Importante: Laintencióndeesteescenarioesintroducir, medianteejemplos,una configuracióndeVPN

simple desistemaprincipalasistemaprincipal.Enunentornoderedhabitual,también necesitará considerarlaconfiguración deuncortafuegos,losrequisitosparalaobtenciónde direcciones IPyeldireccionamiento,entreotros.

(26)

Detalles

Lasiguiente ilustraciónmuestralascaracterísticas delareddeMyCoy TheirCo:

ReddesuministrodeMyCo

v iSeries-AseejecutaenOS/400Versión5 Release2 (V5R2)o posterior.

v

iSeries-AtieneunadirecciónIPde10.6.1.1. Esteeselpuntofinaldeconexión, asícomoelpuntofinal

dedatos.Es decir,iSeries-Arealizanegociaciones IKEyaplicaIPseca losdatagramasIPentrantes y salientesy,asimismo,eselorigenydestinodelosdatosquefluyenporlaVPN.

v iSeries-Aseencuentraenlasubred10.6.0.0conlamáscara255.255.0.0

v SóloiSeries-ApuedeiniciarlaconexiónconiSeries-C.

ReddemanufacturadeTheirCo

v iSeries-CseejecutaenOS/400Versión5Release2(V5R2)oposterior.

v iSeries-CtieneunadirecciónIPde10.196.8.6.Esteeselpuntofinaldeconexión,asícomo elpunto

finaldedatos.Esdecir,iSeries-ArealizanegociacionesIKEy aplicaIPseca losdatagramasIPentrantes ysalientesy,asimismo, eselorigeny destinode losdatosquefluyenporlaVPN.

v

iSeries-Cseencuentraenlasubred10.196.8.0conlamáscara255.255.255.0

Tareas

de

configuración

Debecompletarcadaunadeestastareasparaconfigurarlaconexióndeempresaa empresadescritaen esteescenario:

Nota: Antesdeiniciarestastareas,verifiqueeldireccionamientodeTCP/IPparaasegurarquelos

servidoresdeambaspasarelaspueden comunicarseentresía travésdeInternet. Conestose aseguradequelossistemasprincipalesdecadasubredefectúeneldireccionamientocorrectamente hacialaspasarelasrespectivas parapoderaccedera lasubredremota.

Direccionamiento deTCP/IPyequilibriodecargasde trabajo

Completar

las

hojas

de

trabajo

de

planificación

Lassiguienteslistasdecomprobación deplanificaciónilustran eltipode informaciónquenecesitapara empezara configurarlaVPN.Todaslasrespuestas delalistadecomprobacionesde losprerrequisitos debenser SÍantesdepoder proseguirconlaconfiguración delaVPN.

(27)

Nota: Estashojas detrabajosonaplicablesa iSeries-A,repitaelprocesoparaiSeries-C,invirtiendolas

direcciones IPde laformanecesaria.

Tabla3.Requisitosdelsistema

¿ElsistemaoperativoesOS/400V5R2(5722-SS1)oposterior? Sí ¿SeencuentrainstaladalaopcióndeDigitalCertificateManager(5722-SS1Opción34)? Sí

¿EstáinstaladoiSeriesAccessforWindows(5722-XE1)? Sí

¿EstáinstaladoiSeriesNavigator? Sí

¿EstáinstaladoelsubcomponentedereddeiSeriesNavigator? Sí ¿EstáinstaladoTCP/IPConnectivityUtilities(5722-TC1)? Sí ¿Haestablecidoen1elvalordelsistemaderetenerdatosdeseguridaddelservidor

(QRETSVRSEC*SEC)?

Sí ¿EstáconfiguradoTCP/IPenelsistema(incluyendolasinterfacesIP,rutasIP,elnombre delsistemaprincipallocalIPyelnombrededominiolocalIP)?

Sí ¿SehaestablecidolacomunicaciónnormalTCP/IPentrelospuntosfinales? Sí ¿Haaplicadolosúltimosarreglostemporalesdeprograma(PTF)? Sí SieltúneldelaVPNatraviesaloscortafuegosodireccionadoresqueutilizanelfiltradode paquetesIP,¿soportanlasnormasdefiltrodelcortafuegosodireccionadorlosprotocolos AHyESP?

Sí

¿EstánconfiguradosloscortafuegosolosdireccionadoresparapermitirlosprotocolosIKE (UDPpuerto500),AHyESP?

Sí ¿EstánconfiguradosloscortafuegosparahabilitarelreenvíodeIP? Sí

Tabla4.ConfiguracióndeVPN

NecesitaestainformaciónparaconfigurarlaVPN Respuestas

¿Quétipodeconexiónestácreando? depasarelaapasarela

¿Cómosedenominaráelgrupodeclavesdinámicas? HRgw2FINgw

¿Quétipodeseguridadyrendimientodelsistemanecesitaparaprotegerlasclaves? equilibrado ¿Utilizacertificadosparaautenticarlaconexión?Sinoesasí,¿cuáleslaclave

precompartida?

Notopsecretstuff ¿Cuáleselidentificadordelservidordeclaveslocal? DirecciónIP:

204.146.18.227 ¿Cuáleselidentificadordelpuntofinaldedatoslocal? Subred:10.6.0.0

Máscara:255.255.0.0 ¿Cuáleselidentificadordelservidordeclavesremoto? DirecciónIP:

208.222.150.250 ¿Cuáleselidentificadordelpuntofinaldedatosremoto? Subred:10.196.8.0

Máscara:255.255.255.0 ¿Quépuertosyprotocolosdeseapermitirfluiratravésdelaconexión? Cualquiera

¿Quétipodeseguridadyrendimientodelsistemanecesitaparaprotegersusdatos? equilibrado

¿Aquéinterfacesseaplicalaconexión? TRLINE

Configurar

la

VPN

en

iSeries-A

UtilicelainformacióndesushojasdetrabajoparaconfigurarlaVPNeniSeries-Adelaformasiguiente: 1. EniSeriesNavigator,expandaelservidor→Red →PolíticasIP.

(28)

2. PulseconelbotónderechodelratónRed privadavirtualyseleccioneNuevaconexiónparainiciar

elAsistentede conexión.

3. Reviselapáginade Bienvenidaparaobtenerinformaciónacercadelosobjetosquecreaelasistente.

4. PulseSiguienteparair alapáginaNombredela conexión.

5. EnelcampoNombre,especifiqueMyCo2TheirCo.

6. Opcional:Especifiqueunadescripciónparaestegrupodeconexión.

7. PulseSiguienteparair alapáginaEscenariodela conexión.

8. SeleccioneConectarsusistemaprincipala otrosistemaprincipal.

9. PulseSiguienteparair alapáginaPolíticadeintercambio declavesdeInternet.

10. SeleccioneCrearunanuevapolíticay, acontinuación,seleccioneMáximaseguridad,mínimo

rendimiento.

11. PulseSiguienteparaira lapáginaCertificado parapuntofinal deconexiónlocal.

12. SeleccioneSíparaindicarqueutilizará certificadosparaautenticarlaconexión.Acontinuación,

seleccioneelcertificadoquerepresenta iSeriesA.

Nota: Sidesea utilizaruncertificadoparaautenticarelpuntofinaldeconexiónlocal,debe,en

primerlugarcrearelcertificadoenDigitalCertificate Manager(DCM). 13. PulseSiguienteparair alapáginaIdentificadordepuntofinal deconexiónlocal.

14. SeleccioneDirección IPversión4 comotipode identificador.LadirecciónIPasociadadeberáser

10.6.1.1.Denuevo,estainformaciónsedefineenelcertificadoquecreeenelDCM. 15. PulseSiguienteparair alapáginaServidordeclavesremoto.

18. PulseSiguienteparair alapáginaServiciosdedatos.

19. Aceptelosvaloresporomisióny, acontinuación,pulseSiguienteparaira lapáginaPolíticade

datos.

20. SeleccioneCrearunanuevapolíticay, acontinuación,seleccioneMáximaseguridad,mínimo

rendimiento.Seleccione UtilizarelalgoritmodecifradoRC4. 21. PulseSiguienteparair alapáginaInterfacesaplicables.

22. SeleccioneTRLINE.

23. PulseSiguienteparair alapáginaResumen.Reviselosobjetosquecreará elasistenteparaasegurar

queson correctos.

24. PulseFinalizarparacompletarlaconfiguración.

25. CuandoaparezcaelrecuadrodediálogoActivarfiltrosdepolíticas,seleccioneNo,lasnormasde

paquetesseactivarán mástardey,a continuación,pulseAceptar.

Elsiguiente pasoesespecificarqueúnicamenteiSeries-Apuedeiniciarestaconexión. Paraello, personalicelaspropiedadesdelgrupodeclaves dinámicas,MyCo2TheirCo,queelasistentehacreado: 1. PulsePor grupoenelpanelizquierdode lainterfazVPN;elnuevogrupo declavesdinámicas,

MyCo2TheirCo,sevisualizaráenelpanelderecho. Púlseloconelbotónderechodelratónyseleccione

Propiedades.

2. Vayaa lapáginaPolíticay seleccionelaopciónElsistemalocaliniciala conexión.

3. PulseAceptar paraguardarloscambios.

Configurar

la

VPN

en

iSeries-C

Sigalosmismospasos queparaconfigurarVPNeniSeries-A,y cambielasdireccionesIPsegún corresponda.Utilicelashojas detrabajodeplanificacióncomoguía.Cuandotermine deconfigurarla pasarelaVPNdeldepartamentodefinanzas,elestadodelas conexionesserábajopetición,loquesignifica