Авторизация удаленного удостоверения
Сценарий политики IPsec для удаленной авторизации удостоверений требует, чтобы входящий трафик был получен из определенного набора удаленных субъектов безопасности, указанных в списке управления доступом windows (SD). Если удаленное удостоверение (как определено IPsec) не соответствует набору разрешенных удостоверений, подключение будет удалено. Эта политика должна быть указана в сочетании с одним из вариантов политики режима транспорта.
Если authIP включен, можно указать два дескриптора безопасности, один соответствующий главному режиму AuthIP, а другой — расширенный режим AuthIP.
Пример возможного сценария режима транспорта обнаружения переговоров — "Защита всего трафика одноадресной передачи данных, кроме ICMP, с помощью режима транспорта IPsec, включение обнаружения переговоров и ограничение входящего доступа к удаленным удостоверениям, разрешенным в соответствии со стандартом SD1 дескриптора безопасности (соответствующий основному режиму IKE/AuthIP) и дескриптору безопасности SD2 (соответствующий расширенному режиму AuthIP), для всего одноадресного трафика, соответствующего локальному порту TCP 5555".
Чтобы реализовать этот пример программным способом, используйте следующую конфигурацию МПП.
Добавьте один или оба из следующих контекстов поставщика политик MM.
- Для IKE контекст поставщика политик типа FWPM_IPSEC_IKE_MM_CONTEXT.
- Для AuthIP контекст поставщика политик типа FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Заметка
Будет согласован общий модуль ключей, и будет применена соответствующая политика MM. AuthIP — это предпочтительный модуль ключей, если поддерживаются IKE и AuthIP.
Для каждого из контекстов, добавленных на шаге 1, добавьте фильтр со следующими свойствами.
Свойство filter Ценность Условия фильтрации Пустой. Весь трафик будет соответствовать фильтру. providerContextKey GUID контекста поставщика MM, добавленного на шаге 1. Добавьте один или оба из следующих контекстов поставщика политики режима транспорта QM и задайте флаг IPSEC_POLICY_FLAG_ND_SECURE.
- Для IKE контекст поставщика политик типа FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- Для AuthIP контекст поставщика политик типа FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT, который содержит политику согласования расширенного режима AuthIP (EM).
Заметка
Будет согласован общий модуль ключей, и будет применена соответствующая политика QM. AuthIP — это предпочтительный модуль ключей, если поддерживаются IKE и AuthIP.
Для каждого из контекстов, добавленных на шаге 1, добавьте фильтр со следующими свойствами.
Свойство filter Ценность Условия фильтрации Пустой. Весь трафик будет соответствовать фильтру. providerContextKey GUID контекста поставщика QM, добавленного на шаге 1. Добавьте фильтр со следующими свойствами.
Свойство filter Ценность условие фильтрации FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY Исключите трафик ICMP из IPsec, добавив фильтр со следующими свойствами.
Свойство filter Ценность условие фильтрации FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast условие фильтрации FWPM_CONDITION_IP_PROTOCOL **IPPROTO_ICMP{V6}**Эти константы определяются в winsock2.h. action.type FWP_ACTION_PERMIT вес FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Добавьте фильтр со следующими свойствами.
Свойство filter Ценность условие фильтрации FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER Исключите трафик ICMP из IPsec, добавив фильтр со следующими свойствами.
Свойство filter Ценность условие фильтрации FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast условие фильтрации FWPM_CONDITION_IP_PROTOCOL IPPROTO_ICMP{V6}Эти константы определены в winsock2.h. action.type FWP_ACTION_PERMIT вес FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Добавьте фильтр со следующими свойствами. Этот фильтр разрешает попытки входящего подключения только в том случае, если они защищены IPsec.
Свойство filter Ценность условие фильтрации FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} Исключите трафик ICMP из IPsec, добавив фильтр со следующими свойствами.
Свойство filter Ценность условие фильтрации FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast условие фильтрации FWPM_CONDITION_IP_PROTOCOL **IPPROTO_ICMP{V6}**Эти константы определяются в winsock2.h. action.type FWP_ACTION_PERMIT вес FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Добавьте фильтр со следующими свойствами. Этот фильтр разрешает входящие подключения к TCP-порту 5555, если соответствующие удаленные удостоверения разрешены как SD1, так и SD2.
Свойство filter Ценность условие фильтрации FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast условие фильтрации FWPM_CONDITION_IP_PROTOCOL IPPROTO_TCPЭта константа определена в winsock2.h. условие фильтрации FWPM_CONDITION_IP_LOCAL_PORT 5555 FWPM_CONDITION_ALE_REMOTE_MACHINE_ID SD1 FWPM_CONDITION_ALE_REMOTE_USER_ID SD2 action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} Добавьте фильтр со следующими свойствами. Этот фильтр блокирует любые другие входящие подключения к TCP-порту 5555, который не соответствовал предыдущему фильтру.
Свойство filter Ценность условие фильтрации FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast условие фильтрации FWPM_CONDITION_IP_PROTOCOL IPPROTO_TCPЭта константа определена в winsock2.h. условие фильтрации FWPM_CONDITION_IP_LOCAL_PORT 5555 action.type FWP_ACTION_BLOCK
FWPM_LAYER_IKEEXT_V{4|6} настройте политику согласования MM
FWPM_LAYER_IPSEC_V{4|6} настройте политику QM и политики ведения переговоров EM
FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} настройте правила фильтрации входящих пакетов
в FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} настройте правила фильтрации исходящего трафика на пакеты
В FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} настройте правила фильтрации входящих подключений