Desde la versión 6.4.5 de NSX Data Center, puede especificar un paquete de conformidad para configurar diferentes parámetros en el perfil de seguridad de un sitio VPN IPSec.

Un paquete de conformidad de seguridad incluye un conjunto de valores predefinidos para diferentes parámetros de seguridad. Un paquete de conformidad se debe considerar como una plantilla predefinida que le ayuda a configurar automáticamente el perfil de seguridad de una sesión VPN IPSec de acuerdo con un estándar determinado. Por ejemplo, la Agencia de Seguridad Nacional del gobierno de Estados Unidos publica el paquete Algoritmo de seguridad nacional comercial (Commercial National Security Algorithm, CNSA) y este estándar se utiliza para las aplicaciones de seguridad nacional. Cuando selecciona un paquete de conformidad, el perfil de seguridad de un sitio VPN IPSec se configura automáticamente con los valores predefinidos y no podrá modificarlos. Al especificar un paquete de conformidad, evita la necesidad de configurar individualmente cada parámetro del perfil de seguridad.

NSX admite siete paquetes de conformidad de seguridad. La tabla siguiente muestra los valores predefinidos de los distintos parámetros de configuración incluidos en cada paquete de conformidad admitido.

Tabla 1. Paquetes de conformidad: valores predefinidos de los parámetros de configuración
Parámetro de configuración Paquete de conformidad
CNSA Suite-B-GCM-128 Suite-B-GCM-256 Suite-B-GMAC-128 Suite-B-GMAC-256 Perfil principal Perfil base
Versión de IKE IKEv2 IKEv2 IKEv2 IKEv2 IKEv2 IKEv2 IKEv1
Algoritmo de resumen (Digest Algorithm) SHA 384 SHA 256 SHA 384 SHA 256 SHA 384 SHA 256 SHA 256
Algoritmo de cifrado (Encryption Algorithm) AES 256 AES 128 AES 256 AES 128 AES 256 AES GCM 128 AES 128
Cifrado de túnel (Tunnel Encryption) AES 256 AES GCM 128 AES GCM 256 AES GMAC 128 AES GMAC 256 AES GCM 128 AES 128
Algoritmo de resumen de túnel (Tunnel Digest Algorithm) SHA 384 NULO NULO NULO NULO NULO SHA 256
Autenticación
  • Certificado RSA (clave de 3.072 bits)
  • Certificado ECDSA (curva P-384)

Certificado ECDSA (curva P-256)

Certificado ECDSA (curva P-384)

Certificado ECDSA (curva P-256)

Certificado ECDSA (curva P-384)

Certificado ECDSA (curva P-256)

Certificado RSA (clave de 2.048 bits y SHA-256)

Grupo Diffie-Hellman (DH Group) DH15 y ECDH20 ECDH19 ECDH20 ECDH19 ECDH20 ECDH20 DH14
Precaución: A partir de NSX 6.4.6, los paquetes de conformidad "Suite-B-GMAC-128" y "Suite-B-GMAC-256" pasan a estar obsoletos. Si configuró sitios VPN IPSec en NSX 6.4.5 con alguno de estos dos paquetes de conformidas obsoletos, podrá seguir actualizando las instancias de Edge a la versión 6.4.6. Sin embargo, aparecerá un mensaje de advertencia para informarle de que los sitios VPN IPSec están usando un paquete de conformidad vulnerable.
Atención: Cuando configure un sitio VPN IPSec con el paquete de conformidad de perfil "principal" (Prime) y "base" (Foundation), no podrá utilizar las extensiones de sitio ikelifetime ni salifetime. Estas extensiones de sitio se configuran previamente según el estándar.
Si selecciona el paquete de conformidad "CNSA", los grupos Diffie-Hellman DH15 y ECDH20 estarán configurados internamente en la instancia de NSX Edge. Sin embargo, debe tener en cuenta las siguientes limitaciones cuando seleccione este paquete de conformidad:
  • Si el servicio VPN IPSec de una instancia de NSX Edge está configurado como iniciador, NSX solo envía ECDH20 para establecer una asociación de seguridad IKE con el sitio VPN IPSec remoto. NSX utiliza ECDH20 de forma predeterminada porque es un grupo más seguro que DH15. Si un sitio VPN IPSec respondedor de terceros se configura solo con DH15, el respondedor envía un mensaje de error de carga útil IKE y solicita al iniciador que utilice el grupo DH15. El iniciador reinicia una asociación de seguridad de IKE con el grupo DH15 y se establece un túnel entre los dos sitios VPN IPSec. Sin embargo, si la solución VPN IPSec de terceros no admite un error de carga útil IKE no válido, no se establecerá nunca el túnel entre los dos sitios.
  • Si el servicio VPN IPSec de una instancia de NSX Edge se configura como respondedor, el túnel se establece siempre en función del grupo Diffie-Hellman que comparta el sitio VPN IPSec iniciador.
  • Cuando los sitios VPN IPSec iniciador y respondedor utilizan una instancia de NSX Edge, el túnel se establece siempre con ECDH20.