En IPsec VPN los telegramas se transfieren en modo de túnel. Para que el dispositivo pueda
crear un túnel VPN, la red remota debe disponer de una pasarela VPN como estación
interlocutora.
Para las conexiones VPN, el dispositivo distingue entre dos modos:
• Modo Roadwarrior
En este modo, la dirección del interlocutor se introduce manualmente o se selecciona
"Cualquiera". Si se selecciona "Cualquiera", cada dirección acepta un establecimiento de
conexión. El dispositivo aprende del interlocutor qué subredes remotas son accesibles.
• Modo estándar
En este modo son fijas la dirección del interlocutor y la subred remota. El dispositivo puede
establecer la conexión VPN activamente en calidad de cliente VPN o bien esperar
pasivamente el establecimiento de la conexión por parte del interlocutor.
El procedimiento IPsec
El dispositivo utiliza para el túnel VPN el procedimiento IPsec en modo de túnel. Los telegramas
que deben transferirse se encriptan por completo y se proveen de un nuevo encabezado antes
de enviarlos a la pasarela VPN del interlocutor. El interlocutor descifra los telegramas recibidos
y los reenvía al destinatario.
El procedimiento IPsec utiliza diferentes protocolos para la protección:
• La Encapsulation Security Payload (ESP) encripta los datos.
• La Security Association (SA) incluye disposiciones que han sido negociadas entre las partes,
p. ej., sobre la duración de la clave, el algoritmo de encriptado, el tiempo que resta hasta una
nueva autenticación, etc.
• Internet Key Exchange (IKE) es un procedimiento de intercambio de claves. El intercambio de
claves se realiza en dos fases:
– Fase 1
– Fase 2
SCALANCE SC-600 Web Based Management (WBM) V3.0
Manual de configuración, 11/2022, C79000-G8978-C475-06
En esta fase no se dispone aún de servicios de seguridad como encriptación,
autenticación y comprobación de integridad, puesto que aún no se han creado las claves
necesarias ni la IPsec SA. La fase 1 sirve para establecer un túnel VPN seguro para la fase
2. Para ello, los interlocutores de comunicación negocian una ISAKMP Security
Association (ISAKMP-SA) que define los servicios de seguridad necesarios (algoritmos
utilizados y métodos de autenticación). Así se protegen los sucesivos mensajes y la fase
2.
La fase 2 sirve para negociar la IPsec-SA necesaria. De manera similar a la fase 1, mediante
la oferta recíproca se adopta un acuerdo sobre los métodos de autenticación, los
algoritmos y los procedimientos de encriptación para proteger los paquetes IP con IPsec
AH e IPsec ESP.
Se protege el intercambio de mensajes a través de ISAKMP-SA acordado en la fase 1.
Mediante la ISAKMP SA negociada en la fase 1 se dispone de la identidad de los
dispositivos y del método de comprobación de integridad.
Principios técnicos
3.10 Funciones de seguridad
71