Glosario de Ciberseguridad
VPN IPsec
Túnel cifrado site-to-site para conectar sedes remotas de forma segura a nivel de red.
¿Qué es VPN IPsec?
VPN IPsec (Internet Protocol Security) es un conjunto de protocolos que proporciona comunicaciones cifradas y autenticadas a nivel de red (capa 3 del modelo OSI). Es el estándar de facto para conexiones VPN site-to-site entre sedes corporativas, y también se utiliza para acceso remoto de usuarios. IPsec puede operar en modo transporte (cifra solo la carga útil) o modo túnel (cifra el paquete IP completo y lo encapsula en uno nuevo).
Las VPN IPsec ofrecen mayor rendimiento que las VPN SSL porque operan a nivel de red con menor overhead. Son ideales para interconectar oficinas que necesitan comunicación constante y bidireccional. FortiGate incluye aceleración hardware para IPsec mediante procesadores Network Processor (NP7), alcanzando throughput de decenas de Gbps en los modelos empresariales. IPsec utiliza IKE (Internet Key Exchange) para la negociación de claves y ESP (Encapsulating Security Payload) para el cifrado del tráfico.
¿Cómo funciona?
- 1
Fase 1 (IKE): los dos extremos del túnel se autentican mutuamente (pre-shared key o certificados) y negocian los parámetros criptográficos (algoritmo de cifrado, hash, grupo Diffie-Hellman).
- 2
Fase 2 (IPsec SA): se establecen las asociaciones de seguridad (SA) que definen el cifrado y autenticación del tráfico de datos real.
- 3
El tráfico entre las redes protegidas se cifra con AES-256 (u otro algoritmo negociado) y se encapsula en paquetes ESP.
- 4
Los paquetes viajan por Internet como tráfico IP normal (protocolo 50 para ESP) hasta el otro extremo del túnel.
- 5
El firewall del extremo remoto descifra los paquetes y los enruta a la red local de destino.
- 6
Se mantienen mecanismos de keepalive (DPD - Dead Peer Detection) para detectar rápidamente si un extremo del túnel se cae.
Implementación en Fortinet
FortiGate ofrece el mayor throughput IPsec del mercado gracias a sus procesadores NP7 que aceleran el cifrado/descifrado por hardware. Por ejemplo, el FortiGate 100F alcanza 19,5 Gbps de throughput IPsec. FortiManager permite configurar y gestionar cientos de túneles IPsec de forma centralizada con plantillas de VPN y ADVPN (Auto-Discovery VPN) para topologías hub-and-spoke y full-mesh.
Preguntas frecuentes
¿Qué algoritmo de cifrado usar en VPN IPsec?
Se recomienda AES-256 con SHA-256 y grupo Diffie-Hellman 14 (2048 bits) o superior como mínimo. Para máxima seguridad, se pueden usar grupos DH 19/20 (curvas elípticas). Evitar DES, 3DES, MD5 y grupos DH 1-5, que están obsoletos y tienen vulnerabilidades conocidas. FortiGate soporta también ChaCha20-Poly1305 para entornos sin aceleración hardware AES.
¿Puedo crear una VPN IPsec entre un FortiGate y un firewall de otro fabricante?
Sí, IPsec es un estándar abierto (RFC 4301-4309) y FortiGate es compatible con cualquier dispositivo que implemente IPsec estándar: Cisco ASA, Palo Alto, SonicWall, pfSense, routers Cisco, AWS VPN Gateway, Azure VPN, etc. La clave es que ambos extremos negocien los mismos parámetros de cifrado, autenticación y grupos DH.
Términos relacionados
VPN SSL (Red Privada Virtual SSL)
Acceso remoto seguro mediante navegador o cliente ligero, ideal para teletrabajo.
Leer más →SD-WAN (Red de Área Amplia Definida por Software)
Optimiza la conectividad WAN entre sedes con enrutamiento inteligente basado en aplicaciones.
Leer más →NAT (Traducción de Direcciones de Red)
Tecnología que traduce IPs privadas a públicas, permitiendo que múltiples dispositivos compartan una conexión a Internet.
Leer más →Next-Generation Firewall (NGFW)
Firewall de Nueva Generación: combina firewall tradicional con IPS, control de aplicaciones y más.
Leer más →¿Necesitas protección VPN IPsec?
Nuestros expertos en ciberseguridad pueden ayudarte a implementar la mejor solución Fortinet para proteger tu empresa. Consulta sin compromiso.