Režim přenosu zjišťování vyjednávání
Scénář zásad IPsec v režimu zjišťování vyjednávání vyžaduje ochranu přenosového režimu protokolu IPsec pro všechny odpovídající příchozí přenosy a vyžaduje ochranu protokolu IPsec pro odpovídající odchozí provoz. Odchozí připojení se proto můžou vrátit k vymazání textu, i když příchozí připojení nejsou.
Když se hostitelský počítač pokusí o nové odchozí připojení a žádný existující SA protokolu IPsec neodpovídá provozu, hostitel současně odešle pakety v prostém textu a spustí vyjednávání protokolu IKE nebo AuthIP. Pokud vyjednávání proběhne úspěšně, připojení se upgraduje na protokol IPsec chráněný. V opačném případě zůstane připojení ve formátu clear-text. Jakmile je protokol IPsec chráněný, připojení se nikdy nedá downgradovat na vymazání textu.
Režim přenosu zjišťování vyjednávání se obvykle používá v prostředích, která zahrnují počítače podporující protokol IPsec i jiné počítače než IPsec.
Příkladem scénáře možného režimu přenosu zjišťování vyjednávání je zabezpečení veškerého přenosu dat jednosměrového vysílání s výjimkou protokolu ICMP, použití přenosového režimu protokolu IPsec a povolení zjišťování vyjednávání.
Pokud chcete tento příklad implementovat programově, použijte následující konfiguraci WFP.
Přidejte jeden nebo oba následující kontexty zprostředkovatele zásad MM.
- Pro protokol IKE kontext poskytovatele zásad typu FWPM_IPSEC_IKE_MM_CONTEXT.
- Pro AuthIP kontext poskytovatele zásad typu FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Poznámka
Vyjedná se společný modul klíčů a použije se odpovídající zásada MM. AuthIP je upřednostňovaný modul pro klíče, pokud se podporuje protokol IKE i AuthIP.
Pro každý kontext přidaný v kroku 1 přidejte filtr s následujícími vlastnostmi.
Vlastnost Filtru Hodnota Podmínky filtrování Prázdný. Veškerý provoz bude odpovídat filtru. providerContextKey Identifikátor GUID kontextu zprostředkovatele MM přidaný v kroku 1. Přidejte jeden nebo oba následující kontexty zprostředkovatele zásad přenosu QM a nastavte příznak IPSEC_POLICY_FLAG_ND_SECURE.
- Pro protokol IKE je kontext poskytovatele zásad typu FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- Pro AuthIP kontext poskytovatele zásad typu FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT. Tento kontext může volitelně obsahovat zásady vyjednávání rozšířeného režimu EM (AUTHIP).
Poznámka
Vyjedná se společný modul klíčů a použije se odpovídající zásada QM. AuthIP je upřednostňovaný modul pro klíče, pokud se podporuje protokol IKE i AuthIP.
Pro každý kontext přidaný v kroku 1 přidejte filtr s následujícími vlastnostmi.
Vlastnost Filtru Hodnota Podmínky filtrování Prázdný. Veškerý provoz bude odpovídat filtru. providerContextKey Guid kontextu zprostředkovatele QM přidaného v kroku 1 Přidejte filtr s následujícími vlastnostmi.
Vlastnost Filtru Hodnota FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE podmínky filtrování NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY Vyloučení provozu PROTOKOLU ICMP z protokolu IPsec přidáním filtru s následujícími vlastnostmi
Vlastnost Filtru Hodnota FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE podmínky filtrování NlatUnicast FWPM_CONDITION_IP_PROTOCOL podmínky filtrování **IPPROTO_ICMP{V6}**Tyto konstanty jsou definovány v rozhraní winsock2.h. action.type FWP_ACTION_PERMIT hmotnosti FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Přidejte filtr s následujícími vlastnostmi.
Vlastnost Filtru Hodnota FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE podmínky filtrování NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER Vyloučení provozu PROTOKOLU ICMP z protokolu IPsec přidáním filtru s následujícími vlastnostmi
Vlastnost Filtru Hodnota FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE podmínky filtrování NlatUnicast FWPM_CONDITION_IP_PROTOCOL podmínky filtrování **IPPROTO_ICMP{V6}**Tyto konstanty jsou definovány v rozhraní winsock2.h. action.type FWP_ACTION_PERMIT hmotnosti FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Přidejte filtr s následujícími vlastnostmi. Tento filtr povolí pokusy o příchozí připojení pouze v případě, že jsou zabezpečené protokolem IPsec.
Vlastnost Filtru Hodnota FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE podmínky filtrování NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} Vyloučení provozu PROTOKOLU ICMP z protokolu IPsec přidáním filtru s následujícími vlastnostmi
Vlastnost Filtru Hodnota FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE podmínky filtrování NlatUnicast FWPM_CONDITION_IP_PROTOCOL podmínky filtrování **IPPROTO_ICMP{V6}**Tyto konstanty jsou definovány v rozhraní winsock2.h. action.type FWP_ACTION_PERMIT hmotnosti FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
Na FWPM_LAYER_IKEEXT_V{4|6} nastavte zásady vyjednávání MM
V FWPM_LAYER_IPSEC_V{4|6} nastavte zásady vyjednávání QM a EM
V FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} nastavte pravidla filtrování příchozích paketů
V FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} nastavte pravidla filtrování odchozích paketů
V FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} nastavte pravidla filtrování příchozích připojení