- Primeros pasos
- Seguridad y cumplimiento de los datos
- Organizaciones
- Autenticación y seguridad
- Licencia
- Acerca de la licencia
- Precios unificados: marco del plan de licencias
- Activar su licencia Enterprise
- Migrar de Test Suite a Test Cloud
- Migración de licencias
- Asignar licencias a tenants
- Asignación de licencias de usuario
- Anular la asignación de licencias de usuarios
- Monitoring license allocation
- Licencias con exceso de asignación
- Notificaciones de licencias
- Administración de licencias de usuario
- Tenants y servicios
- Sobre los tenants
- Pasos de configuración
- Configuración de DNS para puertas de enlace VPN de UiPath
- Configuración de BGP para puertas de enlace VPN de UiPath
- Configuración de políticas de IPsec e IKE
- Política IPSec/IKE predeterminada
- Asignación de proveedores de VPN comunes (UiPath IPSec/IKE)
- Preguntas frecuentes
- Gestionar servicios
- Gestionar la visibilidad del tenant y el servicio
- Gestionar etiquetas
- Cuentas y roles
- Ai Trust Layer
- Aplicaciones externas
- Notificaciones
- Registro
- Pruebas en su organización
- Solución de problemas
- Migrar a Test Cloud
Guía de administración de Test Cloud
Esta sección ayuda a asignar la terminología común de los dispositivos VPN locales a la configuración de IPsec/IKE utilizada por las puertas de enlace VPN de UiPath.
Diferentes proveedores utilizan diferentes nombres para los mismos conceptos criptográficos.
UiPath utiliza terminología estándar de IPsec e IKE, que puede parecer desconocida si estás acostumbrado a las pantallas de configuración específicas del firewall.
Principios generales de asignación
Antes de revisar ejemplos específicos de proveedores, ten en cuenta los siguientes principios generales:
- La fase 1 de IKE se conoce comúnmente como propuesta IKE, propuesta de fase 1 o política IKE en dispositivos de firewall.
- La fase 2 de IKE se conoce comúnmente como propuesta IPsec, modo rápido o política de fase 2.
- Secreto perfecto hacia adelante (PFS) a menudo se implementa en los firewalls como una casilla de verificación combinada con un grupo Diffie-Hellman. En UiPath, seleccionar un grupo PFS habilita implícitamente PFS.
FortiClient (Fortinet)
Tabla 1. Fase 1 (IKE)
| FortiGate | UiPath |
|---|---|
| Versión de IKE | IKEv1 o IKEv2 |
| Cifrado | AES128, AES256 |
| Autenticación | SHA1, SHA256 |
| Grupo DH | DHGroup2, DHGroup14, DHGroup24 |
| Método de autenticación | Clave precompartida |
Ejemplo (configuración común de FortiGate):
- Cifrado: AES256
- Autenticación: SHA256
- Grupo DH: 14
Configuración de fase 1 de UiPath equivalente:
- Cifrado: AES256
- Integridad: SHA256
- Grupo DH: DHGroup14
Tabla 2. Fase 2 (IPSec)
| FortiGate | UiPath |
|---|---|
| Cifrado | AES128, AES256, GCM AES |
| Autenticación | SHA1, SHA256, GCM |
| Habilitar PFS | Seleccionar grupo de PFS |
| Grupo PFS | PFS14, PFS2048, ECP256 |
Si FortiGate utiliza GCM, UiPath debe utilizar la configuración de GCM coincidente tanto para el cifrado como para la integridad (por ejemplo, GCMAES256 para ambos).
Palo Alto Networks (PAN-OS)
Tabla 3. Fase 1 (perfil criptográfico de IKE)
| Palo Alto | UiPath |
|---|---|
| Cifrado | AES128, AES256 |
| Autenticación | SHA1, SHA256 |
| Grupo DH | Grupo2, Grupo14, Grupo20 |
| Método de autenticación | Clave precompartida |
Asignación de grupos DH:
- Grupo14 → DHGroup14
- Grupo20 → ECP384
Tabla 4. Fase 2 (perfil criptográfico de IPsec)
| Palo Alto | UiPath |
|---|---|
| Cifrado | AES128, AES256, AES-GCM |
| Autenticación | SHA1, SHA256, Ninguno (GCM) |
| Habilitar PFS | Seleccionar grupo de PFS |
| Grupo DH | PFS2, PFS14, PFS2048 |
Error común de Palo Alto
El uso de AES-GCM con integridad SHA256 no es válido. En su lugar, utiliza la siguiente configuración correcta:
- Cifrado: GCMAES256
- Integridad: GCMAES256
Cisco ASA/Potencia de fuego
Tabla 5. Fase 1 (política IKE)
| Cisco | UiPath |
|---|---|
| Cifrado | AES, 3DES |
| Hash | SHA, SHA256 |
| Grupo DH | 2, 14, 24 |
| Autenticación | Clave precompartida |
Ejemplo de configuración de Cisco:
- Cifrado: AES-256
- Hash: SHA256
- Grupo: 14
Configuración de fase 1 de UiPath equivalente:
- Cifrado: AES256
- Integridad: SHA256
- Grupo DH: DHGroup14
Tabla 6. Fase 2 (Conjunto de transformación)
| Cisco | UiPath |
|---|---|
| Cifrado | esp-aes, esp-gcm |
| Autenticación | esp-sha-hmac, ninguno |
| PFS | grupo2, grupo14 |
Ejemplo de Cisco GCM: ESP-GCM 256
Configuración de UiPath equivalente
- Cifrado: GCMAES256
- Integridad: GCMAES256
- PFS: ninguno (a menos que se habilite explícitamente)
Punto de control
Tabla 7. Fase 1
| Punto de control | UiPath |
|---|---|
| Cifrado | AES128, AES256 |
| Integridad | SHA1, SHA256 |
| Grupo DH | Grupo2, Grupo14 |
Tabla 8. Fase 2
| Punto de control | UiPath |
|---|---|
| Cifrado | AES, AES-GCM |
| Integridad | SHA, SHA256, Ninguno |
| PFS | Habilitado + grupo DH |
- Cuando PFS está habilitado, selecciona el grupo PFS correspondiente en UiPath.
- Al utilizar GCM, el cifrado y la integridad deben utilizar algoritmos GCM coincidentes.
Referencia rápida: asignación de grupos PFS y DH
Tabla 9. Referencia rápida
| Terminología de firewall | UiPath |
|---|---|
| DH Grupo 1 | PFS1 |
| DH Grupo 2 | PFS2 |
| DH Grupo 14 | PFS2048 |
| DH Grupo 24 | PFS24 |
| ECDH Grupo 19 | ECP256 |
| ECDH Grupo 20 | ECP384 |
En caso de duda
Si no estás seguro de cómo asignar la configuración de tu firewall a la configuración de UiPath:
- Comienza con la política IPsec/IKE predeterminada de UiPath.
- Comprueba que el túnel VPN se establece correctamente.
- Introduce una política personalizada solo si es necesario.
- Cambie un parámetro a la vez.
Conclusión clave
La mayoría de los fallos de VPN no son causados por algoritmos criptográficos incorrectos, sino por terminología no coincidente entre proveedores. Esta sección está destinada a cerrar esa brecha y simplificar la configuración en las plataformas VPN comunes.