Autoryzacja tożsamości zdalnej
Scenariusz zasad IPsec autoryzacji tożsamości zdalnej wymaga, aby połączenia przychodzące pochodziły z określonego zestawu zdalnych podmiotów zabezpieczeń określonych na liście kontroli dostępu (ACL) deskryptora zabezpieczeń systemu Windows( SD). Jeśli tożsamość zdalna (określona przez protokół IPsec) nie jest zgodna z zestawem dozwolonych tożsamości, połączenie zostanie przerwane. Te zasady należy określić w połączeniu z jedną z opcji zasad trybu transportu.
Jeśli włączono funkcję AuthIP, można określić dwa deskryptory zabezpieczeń, jeden odpowiadający trybowi głównemu AuthIP i drugi odpowiadający trybowi rozszerzonemu AuthIP.
Przykładem możliwego scenariusza trybu transportu odnajdywania negocjacji jest "Zabezpieczanie całego ruchu danych emisji pojedynczej, z wyjątkiem protokołu ICMP, używanie trybu transportu IPsec, włączanie odnajdywania negocjacji i ograniczanie dostępu przychodzącego do tożsamości zdalnych dozwolonych zgodnie z deskryptorem zabezpieczeń SD1 (odpowiadającym trybowi głównemu IKE/AuthIP) i deskryptorowi zabezpieczeń SD2 (odpowiadającemu trybowi rozszerzonemu AuthIP) dla całego ruchu emisji pojedynczej odpowiadającego portowi lokalnemu TCP 5555".
Aby zaimplementować ten przykład programowo, użyj następującej konfiguracji programu WFP.
Dodaj jeden lub oba następujące konteksty dostawcy zasad MM.
- W przypadku protokołu IKE kontekst dostawcy zasad typu FWPM_IPSEC_IKE_MM_CONTEXT.
- W przypadku protokołu AuthIP kontekst dostawcy zasad typu FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Nuta
Zostanie wynegocjowany wspólny moduł kluczy, a odpowiednie zasady mm zostaną zastosowane. AuthIP to preferowany moduł kluczy, jeśli obsługiwane są zarówno protokół IKE, jak i AuthIP.
Dla każdego kontekstu dodanego w kroku 1 dodaj filtr z następującymi właściwościami.
Właściwość filtru Wartość Warunki filtrowania Pusty. Cały ruch będzie zgodny z filtrem. dostawcy ContextKey Identyfikator GUID kontekstu dostawcy MM dodany w kroku 1. Dodaj jeden lub oba z następujących kontekstów dostawcy zasad trybu transportu QM i ustaw flagę IPSEC_POLICY_FLAG_ND_SECURE.
- W przypadku protokołu IKE kontekst dostawcy zasad typu FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- W przypadku protokołu AuthIP kontekst dostawcy zasad typu FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT zawierający zasady negocjacji trybu rozszerzonego AuthIP (EM).
Nuta
Zostanie wynegocjowany wspólny moduł kluczy, a odpowiednie zasady QM zostaną zastosowane. AuthIP to preferowany moduł kluczy, jeśli obsługiwane są zarówno protokół IKE, jak i AuthIP.
Dla każdego kontekstu dodanego w kroku 1 dodaj filtr z następującymi właściwościami.
Właściwość filtru Wartość Warunki filtrowania Pusty. Cały ruch będzie zgodny z filtrem. dostawcy ContextKey Identyfikator GUID kontekstu dostawcy QM dodany w kroku 1. Dodaj filtr z następującymi właściwościami.
Właściwość filtru Wartość warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY Wyklucz ruch ICMP z protokołu IPsec, dodając filtr z następującymi właściwościami.
Właściwość filtru Wartość warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast warunek filtrowania FWPM_CONDITION_IP_PROTOCOL **IPPROTO_ICMP{V6}**Te stałe są zdefiniowane w pliku winsock2.h. action.type FWP_ACTION_PERMIT waga FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Dodaj filtr z następującymi właściwościami.
Właściwość filtru Wartość warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER Wyklucz ruch ICMP z protokołu IPsec, dodając filtr z następującymi właściwościami.
Właściwość filtru Wartość warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast warunek filtrowania FWPM_CONDITION_IP_PROTOCOL IPPROTO_ICMP{V6}Te stałe są zdefiniowane w pliku winsock2.h. action.type FWP_ACTION_PERMIT waga FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Dodaj filtr z następującymi właściwościami. Ten filtr zezwala na próby połączenia przychodzącego tylko wtedy, gdy są one zabezpieczone przez protokół IPsec.
Właściwość filtru Wartość warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} Wyklucz ruch ICMP z protokołu IPsec, dodając filtr z następującymi właściwościami.
Właściwość filtru Wartość warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast warunek filtrowania FWPM_CONDITION_IP_PROTOCOL **IPPROTO_ICMP{V6}**Te stałe są zdefiniowane w pliku winsock2.h. action.type FWP_ACTION_PERMIT waga FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Dodaj filtr z następującymi właściwościami. Ten filtr zezwala na połączenia przychodzące z portem TCP 5555, jeśli odpowiednie tożsamości zdalne są dozwolone zarówno przez SD1, jak i SD2.
Właściwość filtru Wartość warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast warunek filtrowania FWPM_CONDITION_IP_PROTOCOL IPPROTO_TCPTa stała jest zdefiniowana w pliku winsock2.h. warunek filtrowania FWPM_CONDITION_IP_LOCAL_PORT 5555 FWPM_CONDITION_ALE_REMOTE_MACHINE_ID SD1 FWPM_CONDITION_ALE_REMOTE_USER_ID SD2 action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} Dodaj filtr z następującymi właściwościami. Ten filtr zablokuje wszystkie inne połączenia przychodzące z portem TCP 5555, które nie pasują do poprzedniego filtru.
Właściwość filtru Wartość warunek filtrowania FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE NlatUnicast warunek filtrowania FWPM_CONDITION_IP_PROTOCOL IPPROTO_TCPTa stała jest zdefiniowana w pliku winsock2.h. warunek filtrowania FWPM_CONDITION_IP_LOCAL_PORT 5555 action.type FWP_ACTION_BLOCK
W FWPM_LAYER_IKEEXT_V{4|6} skonfiguruj zasady negocjacji mm
W FWPM_LAYER_IPSEC_V{4|6} skonfiguruj zasady negocjacji QM i EM
W FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} skonfiguruj reguły filtrowania dla ruchu przychodzącego dla pakietów
W FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} skonfiguruj reguły filtrowania ruchu wychodzącego dla pakietów
W FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} skonfiguruj reguły filtrowania ruchu przychodzącego na połączenie