Compartir a través de


Configuración de cifrado predeterminada para el cliente VPN L2TP/IPSec de Microsoft

En este artículo se describe la configuración de cifrado predeterminada para el cliente de red privada virtual (VPN) de Microsoft L2TP/IPSec.

Se aplica a todas las ediciones de Windows 10
Número de KB original: 325158

Resumen

La lista siguiente contiene la configuración de cifrado predeterminada para el cliente de red privada virtual (VPN) de Microsoft L2TP/IPSec para los clientes de versión anteriores:

  • Estándar de cifrado de datos (Data Encryption Standard)
  • Algoritmo hash seguro (Secure Hash Algorithm)
  • Diffie-hellman Medium
  • modo de transporte
  • Encapsular la carga de seguridad

El cliente no admite la siguiente configuración:

  • Modo de túnel
  • AH (encabezado de autenticación)

Estos valores están codificados de forma rígida en el cliente y no se pueden cambiar.

Estándar de cifrado de datos (Data Encryption Standard)

Data Encryption Standard (3DES) proporciona confidencialidad. 3DES es el más seguro de las combinaciones DES y tiene un rendimiento un poco más lento. 3DES procesa cada bloque tres veces, usando una clave única cada vez.

Algoritmo hash seguro (Secure Hash Algorithm)

El algoritmo hash seguro 1 (SHA1), con una clave de 160 bits, proporciona integridad de datos.

Diffie-Hellman Medium

Los grupos Diffie-Hellman determinan la longitud de los números primos base que se usan durante el intercambio de claves. La fuerza de cualquier clave derivada depende en parte de la fuerza del grupo Diffie-Hellman en el que se basan los números primos.

El grupo 2 (medio) es más fuerte que el grupo 1 (bajo). El grupo 1 proporciona 768 bits de material de clave y el grupo 2 proporciona 1024 bits. Si se especifican grupos que no coinciden en cada elemento del mismo nivel, la negociación no se realiza correctamente. No puede cambiar el grupo durante la negociación.

Un grupo mayor da como resultado más entropía y, por tanto, una clave que es más difícil de romper.

Modo de transporte

Hay dos modos de funcionamiento para IPSec:

  • Modo de transporte: en modo de transporte, solo se cifra la carga del mensaje.
  • Modo de túnel (no compatible): en el modo de túnel, la carga, el encabezado y la información de enrutamiento se cifran.

Protocolos de seguridad de IPSec

  • Encapsular la carga de seguridad

    La encapsulación de la carga de seguridad (ESP) proporciona confidencialidad, autenticación, integridad y anti-reproducción. ESP no firma normalmente el paquete completo a menos que el paquete se esté tunelizando. Normalmente, solo los datos están protegidos, no el encabezado IP. ESP no proporciona integridad para el encabezado IP (direccionamiento).

  • Encabezado de autenticación (no compatible)

    El encabezado de autenticación (AH) proporciona autenticación, integridad y anti-reproducción para todo el paquete (tanto el encabezado IP como los datos que se llevan en el paquete). AH firma todo el paquete. No cifra los datos, por lo que no proporciona confidencialidad. Puede leer los datos, pero no puede modificarlos. AH usa algoritmos HMAC para firmar el paquete.

Referencias

Solución de problemas de una conexión de cliente de red privada virtual de Microsoft L2TP/IPSec