Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O cenário de diretiva IPsec de Autorização de Identidade Remota requer que as conexões de entrada venham de um conjunto específico de entidades de segurança remotas especificadas em uma ACL (lista de controle de acesso) do descritor de segurança (SD) do Windows. Se a identidade remota (conforme determinado pelo IPsec) não corresponder ao conjunto de identidades permitidas, a conexão será descartada. Esta política deve ser especificada em conjunto com uma das opções de política do modo de transporte.
Se o AuthIP estiver habilitado, dois descritores de segurança podem ser especificados, um correspondente ao modo principal AuthIP e o outro correspondente ao modo estendido AuthIP.
Um exemplo de um possível cenário do Modo de Transporte de Descoberta de Negociação é "Proteja todo o tráfego de dados unicast, exceto ICMP, usando o modo de transporte IPsec, habilite a descoberta de negociação e restrinja o acesso de entrada a identidades remotas permitidas de acordo com o descritor de segurança SD1 (correspondente ao modo principal IKE/AuthIP) e o descritor de segurança SD2 (correspondente ao modo estendido AuthIP), para todo o tráfego unicast correspondente à porta local TCP 5555."
Para implementar este exemplo programaticamente, use a seguinte configuração do WFP.
Adicione um ou ambos os seguintes contextos de provedor de política de MM.
- Para IKE, um contexto de provedor de políticas do tipo FWPM_IPSEC_IKE_MM_CONTEXT.
- Para AuthIP, um contexto de provedor de políticas do tipo FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Observação
Um módulo de chaveamento comum será negociado e a política de MM correspondente será aplicada. AuthIP é o módulo de chaveamento preferido se IKE e AuthIP são suportados.
Para cada um dos contextos adicionados na etapa 1, adicione um filtro com as seguintes propriedades.
Propriedade Filter Valor Condições de filtragem Vazio. Todo o tráfego corresponderá ao filtro. providerContextKey GUID do contexto do provedor MM adicionado na etapa 1. Adicione um ou ambos os seguintes contextos de provedor de política de modo de transporte QM e defina o sinalizador IPSEC_POLICY_FLAG_ND_SECURE.
- Para IKE, um contexto de provedor de políticas do tipo FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- Para AuthIP, um contexto de provedor de políticas do tipo FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT que contém a política de negociação do Modo Estendido (EM) AuthIP.
Observação
Um módulo de chaveamento comum será negociado e a política de QM correspondente será aplicada. AuthIP é o módulo de chaveamento preferido se IKE e AuthIP são suportados.
Para cada um dos contextos adicionados na etapa 1, adicione um filtro com as seguintes propriedades.
Propriedade Filter Valor Condições de filtragem Vazio. Todo o tráfego corresponderá ao filtro. providerContextKey GUID do contexto do provedor QM adicionado na etapa 1. Adicione um filtro com as seguintes propriedades.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY Isente o tráfego ICMP do IPsec adicionando um filtro com as seguintes propriedades.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast FWPM_CONDITION_IP_PROTOCOL condição de filtragem **IPPROTO_ICMP{V6}**Estas constantes são definidas em winsock2.h. action.type FWP_ACTION_PERMIT peso FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Adicione um filtro com as seguintes propriedades.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER Isente o tráfego ICMP do IPsec adicionando um filtro com as seguintes propriedades.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast FWPM_CONDITION_IP_PROTOCOL condição de filtragem IPPROTO_ICMP{V6}Estas constantes são definidas em winsock2.h. action.type FWP_ACTION_PERMIT peso FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Adicione um filtro com as seguintes propriedades. Esse filtro só permitirá tentativas de conexão de entrada se elas estiverem protegidas por IPsec.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} Isente o tráfego ICMP do IPsec adicionando um filtro com as seguintes propriedades.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast FWPM_CONDITION_IP_PROTOCOL condição de filtragem **IPPROTO_ICMP{V6}**Estas constantes são definidas em winsock2.h. action.type FWP_ACTION_PERMIT peso FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Adicione um filtro com as seguintes propriedades. Esse filtro permitirá conexões de entrada para a porta TCP 5555 se as identidades remotas correspondentes forem permitidas por SD1 e SD2.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast FWPM_CONDITION_IP_PROTOCOL condição de filtragem IPPROTO_TCPEsta constante é definida em winsock2.h. FWPM_CONDITION_IP_LOCAL_PORT condição de filtragem 5555 FWPM_CONDITION_ALE_REMOTE_MACHINE_ID SD1 FWPM_CONDITION_ALE_REMOTE_USER_ID SD2 action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} Adicione um filtro com as seguintes propriedades. Este filtro bloqueará quaisquer outras ligações de entrada à porta TCP 5555 que não correspondam ao filtro anterior.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast FWPM_CONDITION_IP_PROTOCOL condição de filtragem IPPROTO_TCPEsta constante é definida em winsock2.h. FWPM_CONDITION_IP_LOCAL_PORT condição de filtragem 5555 action.type FWP_ACTION_BLOCK
No FWPM_LAYER_IKEEXT_V{4|6} configuração MM política de negociação
Na FWPM_LAYER_IPSEC_V{4|6} configuração da política de negociação de QM e EM
No FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} configurar regras de filtragem de entrada por pacote
No FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} configurar regras de filtragem de saída por pacote
No FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} configurar regras de filtragem de entrada por conexão