SIP-2
IPSec Security Associations:
•
•
•
•
Las opciones de autentificación y cifrado pueden combinarse de distintos modos. Si se
selecciona como protocolo AH, únicamente se toma en consideración la elección del
algoritmo de hash, por el contrario, cuando se selecciona como protocolo ESP, la
encriptación está siempre presente, con el algoritmo de cifrado seleccionado, y la
autentificación puede ser incluida, bien sea con MD5 o SHA1, o puede no estar
incluida seleccionando el valor non-auth.
•
•
•
NODO DE COMUNICACIONES TIPO SIP-2
MANUAL DE USUARIO - M0SIP2R1910Ev00 - V00 Octubre 2019)
Transform set. Identifica el conjunto de parámetros que se está configurando para
el establecimiento de una IPSec Security association, de modo que pueda ser
utilizada por uno o más de los túneles configurados.
Protocol. El protocolo establece cuál de los dos tipos de encapsulado se usará.
ESP (Encapsulating Security Payload) proporciona cifrado y autentificación para
cada uno de paquetes, o AH (Autentificación Header), únicamente proporciona
servicio de autentificación.
Cipher alg. Determina el algoritmo de cifrado que se empleará para encriptar los
datos de usuario. Los algoritmos disponibles don DES, 3DES, AES y AES_256.
Hash alg. Determina el algoritmo hash empleado para la autentificación. Las
opciones disponibles son MD5 (Message Digest 5) y SHA1 (Secure Hash
Algorithm). Hay una tercera opción, non-auth que implica que no se incluye la
autentificación.
PFS (Perfect Forward Secret). Si la opción está habilitada, supone que cada
nueva clave renegociada debe ser completamente desvinculada de la anterior. El
extremo remoto debe aceptar la opción PFS necesariamente para que el
establecimiento sea exitoso. Esta opción proporciona seguridad adicional a costa
de una mayor carga de procesado.
Lifetime. Periodo de tiempo máximo de vigencia de una asociación de seguridad.
Cuando expira el tiempo establecido, se renegocia una nueva asociación. El valor
establece el tiempo en segundos.
Mode. El servicio IPSec proporciona dos modos de operación, la primera es
tunnel, que supone que el paquete original es completamente encapsulado en una
cabecera IP adicional, la segunda es transport, lo que significa que se emplea la
cabecera original sin añadir ninguna extra.
103/181