リモート ID 承認
リモート ID 承認 IPsec ポリシー シナリオでは、受信接続は、Windows セキュリティ記述子 (SD) アクセス制御リスト (ACL) で指定されている特定のリモート セキュリティ プリンシパルのセットから取得される必要があります。 リモート ID (IPsec によって決定される) が許可されている ID のセットと一致しない場合、接続は切断されます。 このポリシーは、トランスポート モード ポリシー オプションの 1 つと組み合わせて指定する必要があります。
AuthIP が有効になっている場合は、2 つのセキュリティ記述子を指定できます。1 つは AuthIP メイン モードに対応し、もう 1 つは AuthIP 拡張モードに対応します。
考えられるネゴシエーション探索トランスポート モード シナリオの例として、TCP ローカル ポート 5555 に対応するすべてのユニキャスト トラフィックについて、"ICMP を除くすべてのユニキャスト データ トラフィックをセキュリティで保護し、ネゴシエーション検出を有効にし、セキュリティ記述子 SD1 (IKE/AuthIP メイン モードに対応) およびセキュリティ記述子 SD2 (AuthIP 拡張モードに対応) に従って許可されるリモート ID への受信アクセスを制限する」 があります。
この例をプログラムで実装するには、次の WFP 構成を使用します。
次の MM ポリシー プロバイダー コンテキストのいずれかまたは両方を追加します。
- IKE の場合、種類が FWPM_IPSEC_IKE_MM_CONTEXTのポリシー プロバイダー コンテキスト。
- AuthIP の場合、種類が FWPM_IPSEC_AUTHIP_MM_CONTEXTのポリシー プロバイダー コンテキスト。
手記
共通キーモジュールがネゴシエートされ、対応する MM ポリシーが適用されます。 IKE と AuthIP の両方がサポートされている場合は、AuthIP が優先されるキーモジュールです。
手順 1 で追加したコンテキストごとに、次のプロパティを含むフィルターを追加します。
Filter プロパティ 価値 フィルター条件 空。 すべてのトラフィックがフィルターと一致します。 providerContextKey 手順 1 で追加された MM プロバイダー コンテキストの GUID。 次の QM トランスポート モード ポリシー プロバイダー コンテキストのいずれかまたは両方を追加し、IPSEC_POLICY_FLAG_ND_SECURE フラグを設定します。
- IKE の場合、種類が FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXTのポリシー プロバイダー コンテキスト。
- AuthIP の場合、AuthIP 拡張モード (EM) ネゴシエーション ポリシーを含む種類 FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT のポリシー プロバイダー コンテキスト。
手記
共通キー・モジュールがネゴシエートされ、対応する QM ポリシーが適用されます。 IKE と AuthIP の両方がサポートされている場合は、AuthIP が優先されるキーモジュールです。
手順 1 で追加したコンテキストごとに、次のプロパティを含むフィルターを追加します。
Filter プロパティ 価値 フィルター条件 空。 すべてのトラフィックがフィルターと一致します。 providerContextKey 手順 1 で追加された QM プロバイダー コンテキストの GUID。 次のプロパティを含むフィルターを追加します。
Filter プロパティ 価値 フィルター条件の FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast を する action.type を する FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext を する FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY 次のプロパティを持つフィルターを追加して、IPsec から ICMP トラフィックを除外します。
Filter プロパティ 価値 フィルター条件の FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast フィルター条件の FWPM_CONDITION_IP_PROTOCOL **IPPROTO_ICMP{V6}**これらの定数は winsock2.h で定義されます。 action.type を する FWP_ACTION_PERMIT 重み を する FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 次のプロパティを含むフィルターを追加します。
Filter プロパティ 価値 フィルター条件の FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast action.type を する FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} rawContext を する FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER 次のプロパティを持つフィルターを追加して、IPsec から ICMP トラフィックを除外します。
Filter プロパティ 価値 フィルター条件の FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast フィルター条件の FWPM_CONDITION_IP_PROTOCOL IPPROTO_ICMP{V6}これらの定数は winsock2.h で定義されています。 action.type を する FWP_ACTION_PERMIT 重み を する FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 次のプロパティを含むフィルターを追加します。 このフィルターでは、受信接続の試行が IPsec によって保護されている場合にのみ許可されます。
Filter プロパティ 価値 フィルター条件の FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast action.type を する FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} 次のプロパティを持つフィルターを追加して、IPsec から ICMP トラフィックを除外します。
Filter プロパティ 価値 フィルター条件の FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast フィルター条件の FWPM_CONDITION_IP_PROTOCOL **IPPROTO_ICMP{V6}**これらの定数は winsock2.h で定義されます。 action.type を する FWP_ACTION_PERMIT 重み を する FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS 次のプロパティを含むフィルターを追加します。 このフィルターは、対応するリモート ID が SD1 と SD2 の両方で許可されている場合、TCP ポート 5555 への受信接続を許可します。
Filter プロパティ 価値 フィルター条件の FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast フィルター条件の FWPM_CONDITION_IP_PROTOCOL IPPROTO_TCPこの定数は winsock2.h で定義されます。 フィルター条件の FWPM_CONDITION_IP_LOCAL_PORT 5555 FWPM_CONDITION_ALE_REMOTE_MACHINE_ID SD1 FWPM_CONDITION_ALE_REMOTE_USER_ID SD2 action.type を する FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} 次のプロパティを含むフィルターを追加します。 このフィルターは、前のフィルターと一致しなかった TCP ポート 5555 への他の受信接続をブロックします。
Filter プロパティ 価値 フィルター条件の FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast フィルター条件の FWPM_CONDITION_IP_PROTOCOL IPPROTO_TCPこの定数は winsock2.h で定義されます。 フィルター条件の FWPM_CONDITION_IP_LOCAL_PORT 5555 action.type を する FWP_ACTION_BLOCK
FWPM_LAYER_IKEEXT_V{4|6} で MM ネゴシエーション ポリシー を設定する
FWPM_LAYER_IPSEC_V{4|6} で QM と EM ネゴシエーション ポリシーの を設定する
at FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} では、パケットごとの受信フィルター規則を設定
FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} でパケットごとの送信フィルター規則を設定
FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} では、接続ごとの受信フィルター規則を設定