Modo de transporte de detección de negociación en modo de límite
El modo de transporte de detección de negociación en el escenario de directiva IPsec del modo de límite solicita la protección del modo de transporte IPsec para todo el tráfico coincidente. Si se produce un error en la negociación de IKE/AuthIP, las conexiones entrantes y salientes pueden recurrir a texto no cifrado.
Esta directiva de IPsec se usa normalmente en máquinas a las que acceden tanto las máquinas compatibles con IPsec como las que no son compatibles con IPsec.
Un ejemplo de un posible escenario de modo de transporte de detección de negociación es "Proteger todo el tráfico de datos de unidifusión, excepto ICMP, mediante el modo de transporte IPsec y habilitar la detección de negociación en modo de límite".
Para implementar este ejemplo mediante programación, utilice la siguiente configuración de PMA.
Agregue uno o ambos de los siguientes contextos de proveedor de directivas MM.
- Para IKE, un contexto de proveedor de directivas de tipo FWPM_IPSEC_IKE_MM_CONTEXT.
- Para AuthIP, un contexto de proveedor de directivas de tipo FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Nota
Se negociará un módulo de clave común y se aplicará la directiva MM correspondiente. AuthIP es el módulo de clave preferido si se admiten IKE y AuthIP.
Para cada uno de los contextos agregados en el paso 1, agregue un filtro con las siguientes propiedades.
Filter (propiedad) Valor Condiciones de filtrado Vacía. Todo el tráfico coincidirá con el filtro. providerContextKey GUID del contexto del proveedor MM agregado en el paso 1. Agregue uno o ambos de los siguientes contextos de proveedor de directivas de modo de transporte QM y establezca la marca IPSEC_POLICY_FLAG_ND_BOUNDARY .
- Para IKE, un contexto de proveedor de directivas de tipo FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- Para AuthIP, un contexto de proveedor de directivas de tipo FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT. Este contexto puede contener opcionalmente la directiva de negociación modo extendido AuthIP (EM).
Nota
Se negociará un módulo de clave común y se aplicará la directiva de QM correspondiente. AuthIP es el módulo de clave preferido si se admiten IKE y AuthIP.
Para cada uno de los contextos agregados en el paso 1, agregue un filtro con las siguientes propiedades.
Filter (propiedad) Valor Condiciones de filtrado Vacía. Todo el tráfico coincidirá con el filtro. providerContextKey GUID del contexto del proveedor de QM agregado en el paso 1. Agregue un filtro con las siguientes propiedades.
Filter (propiedad) Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condición de filtrado NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY Excluya el tráfico ICMP de IPsec agregando un filtro con las siguientes propiedades.
Filter (propiedad) Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condición de filtrado NlatUnicast FWPM_CONDITION_IP_PROTOCOL condición de filtrado **IPPROTO_ICMP{V6}**Estas constantes se definen en winsock2.h. action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Agregue un filtro con las siguientes propiedades.
Filter (propiedad) Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condición de filtrado NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER Excluya el tráfico ICMP de IPsec agregando un filtro con las siguientes propiedades.
Filter (propiedad) Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condición de filtrado NlatUnicast FWPM_CONDITION_IP_PROTOCOL condición de filtrado **IPPROTO_ICMP{V6}**Estas constantes se definen en winsock2.h. action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
En FWPM_LAYER_IKEEXT_V{4|6} configuración de la directiva de negociación mm
En FWPM_LAYER_IPSEC_V{4|6} configurar la directiva de negociación QM y EM
En FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} configurar reglas de filtrado de entrada por paquete
En FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} se configuran las reglas de filtrado de salida por paquete
Nota
En contraposición al modo de transporte de detección de negociación, para el modo de transporte de detección de negociación en la directiva modo de límite no es necesario agregar un filtro en las capas de FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} porque esta directiva permite conexiones de texto no cifrado de entrada no protegidas.