Udostępnij za pośrednictwem


Autoryzacja tożsamości zdalnej

Scenariusz zasad IPsec autoryzacji tożsamości zdalnej wymaga, aby połączenia przychodzące pochodziły z określonego zestawu zdalnych podmiotów zabezpieczeń określonych na liście kontroli dostępu (ACL) deskryptora zabezpieczeń systemu Windows( SD). Jeśli tożsamość zdalna (określona przez protokół IPsec) nie jest zgodna z zestawem dozwolonych tożsamości, połączenie zostanie przerwane. Te zasady należy określić w połączeniu z jedną z opcji zasad trybu transportu.

Jeśli włączono funkcję AuthIP, można określić dwa deskryptory zabezpieczeń, jeden odpowiadający trybowi głównemu AuthIP i drugi odpowiadający trybowi rozszerzonemu AuthIP.

Przykładem możliwego scenariusza trybu transportu odnajdywania negocjacji jest "Zabezpieczanie całego ruchu danych emisji pojedynczej, z wyjątkiem protokołu ICMP, używanie trybu transportu IPsec, włączanie odnajdywania negocjacji i ograniczanie dostępu przychodzącego do tożsamości zdalnych dozwolonych zgodnie z deskryptorem zabezpieczeń SD1 (odpowiadającym trybowi głównemu IKE/AuthIP) i deskryptorowi zabezpieczeń SD2 (odpowiadającemu trybowi rozszerzonemu AuthIP) dla całego ruchu emisji pojedynczej odpowiadającego portowi lokalnemu TCP 5555".

Aby zaimplementować ten przykład programowo, użyj następującej konfiguracji programu WFP.

W FWPM_LAYER_IKEEXT_V{4|6} skonfiguruj zasady negocjacji mm

  1. Dodaj jeden lub oba następujące konteksty dostawcy zasad MM.

    • W przypadku protokołu IKE kontekst dostawcy zasad typu FWPM_IPSEC_IKE_MM_CONTEXT.
    • W przypadku protokołu AuthIP kontekst dostawcy zasad typu FWPM_IPSEC_AUTHIP_MM_CONTEXT.

    Nuta

    Zostanie wynegocjowany wspólny moduł kluczy, a odpowiednie zasady mm zostaną zastosowane. AuthIP to preferowany moduł kluczy, jeśli obsługiwane są zarówno protokół IKE, jak i AuthIP.

  2. Dla każdego kontekstu dodanego w kroku 1 dodaj filtr z następującymi właściwościami.

    Właściwość filtru Wartość
    Warunki filtrowania Pusty. Cały ruch będzie zgodny z filtrem.
    dostawcy ContextKey Identyfikator GUID kontekstu dostawcy MM dodany w kroku 1.

W FWPM_LAYER_IPSEC_V{4|6} skonfiguruj zasady negocjacji QM i EM

  1. Dodaj jeden lub oba z następujących kontekstów dostawcy zasad trybu transportu QM i ustaw flagę IPSEC_POLICY_FLAG_ND_SECURE.

    • W przypadku protokołu IKE kontekst dostawcy zasad typu FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
    • W przypadku protokołu AuthIP kontekst dostawcy zasad typu FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT zawierający zasady negocjacji trybu rozszerzonego AuthIP (EM).

    Nuta

    Zostanie wynegocjowany wspólny moduł kluczy, a odpowiednie zasady QM zostaną zastosowane. AuthIP to preferowany moduł kluczy, jeśli obsługiwane są zarówno protokół IKE, jak i AuthIP.

  2. Dla każdego kontekstu dodanego w kroku 1 dodaj filtr z następującymi właściwościami.

    Właściwość filtru Wartość
    Warunki filtrowania Pusty. Cały ruch będzie zgodny z filtrem.
    dostawcy ContextKey Identyfikator GUID kontekstu dostawcy QM dodany w kroku 1.

W FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} skonfiguruj reguły filtrowania dla ruchu przychodzącego dla pakietów

  1. Dodaj filtr z następującymi właściwościami.

    Właściwość filtru Wartość
    warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast
    action.type FWP_ACTION_CALLOUT_TERMINATING
    action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6}
    rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY
  2. Wyklucz ruch ICMP z protokołu IPsec, dodając filtr z następującymi właściwościami.

    Właściwość filtru Wartość
    warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast
    warunek filtrowania FWPM_CONDITION_IP_PROTOCOL **IPPROTO_ICMP{V6}**Te stałe są zdefiniowane w pliku winsock2.h.
    action.type FWP_ACTION_PERMIT
    waga FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS

W FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} skonfiguruj reguły filtrowania ruchu wychodzącego dla pakietów

  1. Dodaj filtr z następującymi właściwościami.

    Właściwość filtru Wartość
    warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast
    action.type FWP_ACTION_CALLOUT_TERMINATING
    action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6}
    rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER
  2. Wyklucz ruch ICMP z protokołu IPsec, dodając filtr z następującymi właściwościami.

    Właściwość filtru Wartość
    warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast
    warunek filtrowania FWPM_CONDITION_IP_PROTOCOL IPPROTO_ICMP{V6}Te stałe są zdefiniowane w pliku winsock2.h.
    action.type FWP_ACTION_PERMIT
    waga FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS

W FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} skonfiguruj reguły filtrowania ruchu przychodzącego na połączenie

  1. Dodaj filtr z następującymi właściwościami. Ten filtr zezwala na próby połączenia przychodzącego tylko wtedy, gdy są one zabezpieczone przez protokół IPsec.

    Właściwość filtru Wartość
    warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast
    action.type FWP_ACTION_CALLOUT_TERMINATING
    action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6}
  2. Wyklucz ruch ICMP z protokołu IPsec, dodając filtr z następującymi właściwościami.

    Właściwość filtru Wartość
    warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast
    warunek filtrowania FWPM_CONDITION_IP_PROTOCOL **IPPROTO_ICMP{V6}**Te stałe są zdefiniowane w pliku winsock2.h.
    action.type FWP_ACTION_PERMIT
    waga FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
  3. Dodaj filtr z następującymi właściwościami. Ten filtr zezwala na połączenia przychodzące z portem TCP 5555, jeśli odpowiednie tożsamości zdalne są dozwolone zarówno przez SD1, jak i SD2.

    Właściwość filtru Wartość
    warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast
    warunek filtrowania FWPM_CONDITION_IP_PROTOCOL IPPROTO_TCPTa stała jest zdefiniowana w pliku winsock2.h.
    warunek filtrowania FWPM_CONDITION_IP_LOCAL_PORT 5555
    FWPM_CONDITION_ALE_REMOTE_MACHINE_ID SD1
    FWPM_CONDITION_ALE_REMOTE_USER_ID SD2
    action.type FWP_ACTION_CALLOUT_TERMINATING
    action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6}
  4. Dodaj filtr z następującymi właściwościami. Ten filtr zablokuje wszystkie inne połączenia przychodzące z portem TCP 5555, które nie pasują do poprzedniego filtru.

    Właściwość filtru Wartość
    warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast
    warunek filtrowania FWPM_CONDITION_IP_PROTOCOL IPPROTO_TCPTa stała jest zdefiniowana w pliku winsock2.h.
    warunek filtrowania FWPM_CONDITION_IP_LOCAL_PORT 5555
    action.type FWP_ACTION_BLOCK

przykładowy kod: korzystanie z trybu transportu

warstw ALE

wbudowanych identyfikatorów objaśnień

warunki filtrowania

identyfikatory warstwy filtrowania

FWPM_ACTION0

FWPM_PROVIDER_CONTEXT_TYPE