- Primeros pasos
- Seguridad y cumplimiento de los datos
- Organizaciones
- Autenticación y seguridad
- Licencia
- Acerca de la licencia
- Precios unificados: marco del plan de licencias
- Activar su licencia Enterprise
- Migrar de Test Suite a Test Cloud
- Migración de licencias
- Asignar licencias a tenants
- Asignación de licencias de usuario
- Anular la asignación de licencias de usuarios
- Monitoring license allocation
- Licencias con exceso de asignación
- Notificaciones de licencias
- Administración de licencias de usuario
- Tenants y servicios
- Cuentas y roles
- Ai Trust Layer
- Aplicaciones externas
- Notificaciones
- Registro
- Pruebas en su organización
- Solución de problemas
- Migrar a Test Cloud
Guía de administración de Test Cloud
Configuración de políticas de IPsec e IKE
La política IPsec/IKE define cómo se protege el túnel VPN. Ambos lados, la puerta de enlace de UiPath y tu dispositivo VPN local, deben utilizar configuraciones compatibles o el túnel no podrá establecer o transportar tráfico.
Esta sección explica el significado de la configuración, cómo las opciones de UiPath se asignan a la terminología común de firewall y las configuraciones erróneas más comunes.
Información general
Una VPN de sitio a sitio tiene dos fases de negociación:
- Fase 1 de IKE
- Establece un canal de control seguro.
- Se utiliza para autenticar a los pares y proteger el tráfico de negociación.
- Fase 2 de IKE (IPsec/modo rápido)
- Establece túneles de datos.
- Se utiliza para el tráfico real de la aplicación.
Ambas fases deben ser compatibles para que la VPN funcione.
¿Cuándo se necesita una política IPsec/IKE personalizada?
Las puertas de enlace de UiPath se crean con una política predeterminada segura que funciona con la mayoría de los dispositivos VPN modernos.
Solo necesitas configurar una política personalizada si:
- Su dispositivo local tiene requisitos criptográficos estrictos.
- Debes cumplir con las normas internas o reglamentarias.
- Está haciendo coincidir una configuración de firewall existente.
Si tu VPN funciona sin una política personalizada, no la cambies.
Fase 1 de IKE (canal de control)
La configuración de la fase 1 en UiPath controla cómo se protege el canal de negociación.
| Configuración | Descripción |
|---|---|
| Cifrado | Cómo se cifra el tráfico de control. |
| Integridad | Cómo se verifica la integridad del tráfico. |
| Grupo DH | Cómo se intercambian las claves. |
Opciones de fase 1 compatibles:
- Cifrado
- AES128, AES192, AES256
- GCMAES128, GCMAES256
- Integridad
- SHA1, SHA256, SHA384
- MD5
- Grupos DH
- DHGroup1
- DHGroup2
- DHGroup14
- DHGroup2048
- DHGroup24
- ECP256
- ECP384
- Ninguno
En las IU de firewall, a menudo se etiquetan como Propuesta IKE o Propuesta de fase 1.
Fase 2 de IKE (IPsec/modo rápido)
Los parámetros de la fase 2 controlan cómo se protege el tráfico de la aplicación.
| Configuración | Descripción |
|---|---|
| Cifrado de IPsec | Cifrado de datos |
| Integridad de IPsec | Integridad de datos |
| Grupo PFS | Secreto de reenvío perfecto |
| Vida útil de SA | Umbrales de cambio de clave |
Opciones de fase 2 compatibles:
- Cifrado de IPsec
- Ninguno
- AES128, AES192, AES256
- DES, DES3
- GCMAES128, GCMAES192, GCMAES256
- Integridad de IPsec
- SHA1, SHA256
- MD5
- GCMAES128, GCMAES192, GCMAES256
- Grupos PFS
- PFS1
- PFS2
- PFS2048
- PFS24
- ECP256
- ECP384
- Ninguno
Comprender PFS
En muchos dispositivos locales, PFS es una casilla de verificación combinada con una selección de grupo DH. En UiPath, seleccionas el grupo PFS directamente.
Consulta la siguiente tabla para ver una asignación conceptual.
| Dispositivo local | UiPath |
|---|---|
| PFS deshabilitado | Grupo PFS = Ninguno |
| PFS habilitado con DH Grupo 2 | PFS2 |
| PFS habilitado con DH Grupo 14 | PFS2048 |
| PFS habilitado con DH Group 24 | PFS24 |
| PFS habilitado con ECDH | ECP256/ECP384 |
Para obtener asignaciones detalladas, consulta la documentación de Microsoft.
Reglas críticas y casos límite
Un error común es una falta de coincidencia de GCMAES.
Si utilizas GCMAES para el cifrado IPSec, selecciona el mismo algoritmo GCMAES y la misma longitud de clave para la integridad IPsec.
- Válido:
- Cifrado:
GCMAES128 - Integridad:
GCMAES128
- Cifrado:
- No válido:
- Cifrado:
GCMAES128 - Integridad:
SHA256
- Cifrado:
Esta falta de coincidencia evitará que se establezca el túnel.
Ninguno no significa inseguro de forma predeterminada. Fase 2 Integridad = Ninguno es válido solo cuando se utiliza GCMAES, ya que proporciona protección de integridad integrada.
El uso de Ninguno con cifrado no GCM da como resultado un error.
Los valores de duración de SA deben ser compatibles con tu dispositivo local. Las duraciones no coincidentes suelen causar desconexiones periódicas en lugar de fallos inmediatos.
Errores de configuración comunes de IPSec/IKE
| Síntoma | Causa probable |
|---|---|
| El túnel nunca aparece | Desajuste de cifrado o integridad |
| Aletas de túnel | Desajuste de la duración de SA |
| Fase 1 arriba, fase 2 abajo | Falta de coincidencia de PFS |
| Funciona brevemente y luego falla | Error de coincidencia de nuevas claves |
| Parece correcto pero falla | Regla GCMAES infringida |
Enfoque recomendado
- Comience con la política predeterminada.
- Introduce una política personalizada solo si es necesario.
- Haz coincidir la fase 1 y la fase 2 exactamente.
- Presta especial atención a:
- Asignación de PFS
- Reglas de GCMAES
- Cambie un parámetro a la vez.
Conclusión clave
Las políticas de IPsec/IKE deben coincidir conceptualmente, no solo visualmente. Diferentes proveedores utilizan diferente terminología para los mismos conceptos criptográficos. Comprender la asignación evita fallos silenciosos.