Configuración de la VPN IPsec de Cisco para dispositivos Apple
Usa esta sección para aprender a configurar un servidor VPN de Cisco para dispositivos iOS, iPadOS y macOS, que son compatibles con los firewalls de red Adaptive Security Appliance 5500 Series y Private Internet Exchange. También son compatibles con los routers VPN IOS de Cisco con la versión 12.4(15)T o posterior de IOS. En cambio, los concentradores de la serie VPN 3000 no son compatibles con las funciones de VPN.
Métodos de autenticación
Los sistemas operativos iOS, iPadOS y macOS son compatibles con los siguientes métodos de autenticación:
Autenticación IPsec de clave precompartida con autenticación de usuario mediante el comando
xauth.Certificados de cliente y servidor para la autenticación IPsec, con la autenticación opcional de usuario mediante
xauth.Autenticación híbrida, en la que el servidor proporciona un certificado y el cliente proporciona una clave precompartida para la autenticación IPsec. Se requiere la autenticación del usuario y esta se proporciona mediante
xauth, que incluye el nombre de usuario y la contraseña del método de autenticación, ademas de RSA SecurID.
Grupos de autenticación
El protocolo Cisco Unity utiliza grupos de autenticación para agrupar a los usuarios según un conjunto común de parámetros. Es conveniente crear un grupo de autenticación para los usuarios. Para la autenticación por clave precompartida e híbrida, el nombre del grupo debe configurarse en el dispositivo, siendo la contraseña el secreto compartido (la clave precompartida).
Al utilizar autenticación por certificado, no hay ningún secreto compartido. El grupo del usuario se determina a partir de los campos del certificado. Se puede la configuración del servidor Cisco para vincular campos de un certificado a grupos de usuarios.
RSA-Sig debe ser la mayor prioridad de la lista de prioridades ISAKMP (Internet Security Association and Key Management Protocol).
Configuración y descripciones de IPsec
Puedes especificar la siguiente configuración para definir cómo debe implementarse IPsec:
Modo: modo túnel.
Modos de intercambio IKE: modo agresivo para la autenticación híbrida y con clave precompartida, o modo principal para la autenticación mediante certificados.
Algoritmos de encriptación: 3DES, AES-128 o AES256.
Algoritmos de autenticación: HMAC-MD5 o HMAC-SHA1.
Grupos Diffie-Hellman: se requiere el grupo 2 para la autenticación híbrida y con clave precompartida, el grupo 2 con 3DES y AES-128 para la autenticación mediante certificados, y el grupo 2 o 5 con AES-256.
Confidencialidad directa perfecta (PFS): para IKE fase 2, si se utiliza PFS, el grupo Diffie-Hellman debe ser el mismo que para IKE fase 1.
Configuración de modo: debe estar activado.
Detección de pares inactivos: recomendado.
NAT transversal estándar: es compatible y puede activarse (no puede utilizarse IPsec sobre TCP).
Equilibrio de carga: es compatible y puede activarse.
Cambio de claves de fase 1: no es compatible en este momento. Se recomienda establecer los tiempos de cambio de claves en el servidor a una hora.
Máscara de direcciones ASA: asegúrate de que ninguna de las máscaras de direcciones del dispositivo esté configurada, o bien que todas ellas lo estén con la dirección 255.255.255.255. Ejemplo:
“asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255”.Si utilizas la máscara de direcciones recomendada, puede que se ignoren algunas rutas asumidas por la configuración VPN. Para evitarlo, asegúrate de que tu tabla de enrutamiento contiene todas las rutas necesarias y comprueba que las direcciones de subred son accesibles antes de la implementación.
Versión de app: la versión del software cliente se envía al servidor, lo que permite a este último aceptar o rechazar conexiones según la versión del software del dispositivo.
Banner: el banner (si está configurado en el servidor) se muestra en el dispositivo y el usuario debe aceptarlo o desconectarse.
Túnel dividido: compatible.
DNS dividido: compatible.
Dominio predeterminado: compatible.