IKE/AuthIP Exemptions
Pour fonctionner, les modules de keying IPsec (Internet Protocol Security), IKE (Internet Key Exchange) et AuthIP (Authenticated Internet Protocol), doivent exempter leur trafic réseau du filtrage IPsec.
Dans la plateforme de filtrage Windows (PAM), le moteur de filtrage de base (BFE) ajoute automatiquement les filtres d’exemption IKE et AuthIP lorsque le premier filtre de stratégie IKE ou authIP main (MM) est ajouté et les supprime lorsque le dernier filtre de stratégie IKE ou Authentification MM est supprimé. De cette façon, les fournisseurs de stratégie n’ont pas besoin de gérer les exemptions de filtrage IKE et AuthIP individuellement.
Un filtre de stratégie MM IKE est un filtre de la couche moteur FWPM_LAYER_IKEEXT_V{4|6} qui fait référence à un contexte de fournisseur de type FWPM_IPSEC_IKE_MM_CONTEXT.
Un filtre de stratégie AuthIP MM est un filtre de la couche moteur FWPM_LAYER_IKEEXT_V{4|6} qui fait référence à un contexte de fournisseur de type FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Un filtre d’exemption IKE ou AuthIP est un filtre dans la couche moteur FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} ou FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} pondéré automatiquement dans la plage de poids FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS .
Les exemptions IKE et AuthIP mises en œuvre par BFE sont les suivantes.
| Version de l’adresse IP | Port | Exemption |
|---|---|---|
| IPv4 |
UDP:500 UDP:4500 |
Autorisez le trafic IKE et AuthIP au niveau de la couche de transport entrant et de la couche de transport sortant. Autorisez le trafic IKE et AuthIP sur les couches de réception/acceptation et de connexion ALE, mais limitez-le au système local. |
| IPv6 |
UDP:500 |
Autorisez le trafic IKE et AuthIP au niveau de la couche de transport entrant et de la couche de transport sortant. Autorisez le trafic IKE et AuthIP sur les couches de réception/acceptation et de connexion ALE, mais limitez-le au système local. |
Les filtres d’exemption IKE et AuthIP sont ouverts à toutes les adresses. Pour implémenter un pare-feu avec un contrôle plus précis, les fournisseurs de stratégies doivent ajouter des filtres dans une plage de poids supérieure à FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS.