Compartir a través de

Autorización de identidad remota

  • Artículo

El escenario de directiva IPsec de autorización de identidad remota requiere que las conexiones entrantes provengan de un conjunto específico de entidades de seguridad remotas que se especifican en una lista de control de acceso (ACL) del descriptor de seguridad de Windows (SD). Si la identidad remota (determinada por IPsec) no coincide con el conjunto de identidades permitidas, se quitará la conexión. Esta directiva debe especificarse junto con una de las opciones de directiva de modo de transporte.

Si AuthIP está habilitado, se pueden especificar dos descriptores de seguridad, uno correspondiente al modo principal de AuthIP y el otro correspondiente al modo extendido de AuthIP.

Un ejemplo de un posible escenario de modo de transporte de detección de negociación es "Proteger todo el tráfico de datos de unidifusión, excepto ICMP, mediante el modo de transporte IPsec, habilitar la detección de negociación y restringir el acceso entrante a identidades remotas permitidas según el descriptor de seguridad SD1 (correspondiente al modo principal IKE/AuthIP) y el descriptor de seguridad SD2 (correspondiente al modo extendido AuthIP), para todo el tráfico de unidifusión correspondiente al puerto local TCP 5555".

Para implementar este ejemplo mediante programación, use la siguiente configuración de PMA.

En FWPM_LAYER_IKEEXT_V{4|6} configurar la directiva de negociación mm

  1. Agregue uno o ambos contextos del proveedor de directivas MM siguientes.

    • Para IKE, un contexto de proveedor de directivas de tipo FWPM_IPSEC_IKE_MM_CONTEXT.
    • Para AuthIP, un contexto de proveedor de directivas de tipo FWPM_IPSEC_AUTHIP_MM_CONTEXT.

    Nota

    Se negociará un módulo de creación de claves común y se aplicará la directiva MM correspondiente. AuthIP es el módulo de creación de claves preferido si se admiten IKE y AuthIP.

  2. Para cada uno de los contextos agregados en el paso 1, agregue un filtro con las siguientes propiedades.

    Propiedad Filter Valor
    Condiciones de filtrado Vacía. Todo el tráfico coincidirá con el filtro.
    providerContextKey GUID del contexto del proveedor mm agregado en el paso 1.

En FWPM_LAYER_IPSEC_V{4|6} configurar la directiva de negociación de QM y EM

  1. Agregue uno o ambos de los siguientes contextos de proveedor de directivas de modo de transporte QM y establezca la marca de IPSEC_POLICY_FLAG_ND_SECURE .

    • Para IKE, un contexto de proveedor de directivas de tipo FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
    • Para AuthIP, un contexto de proveedor de directivas de tipo FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT que contiene la directiva de negociación del modo extendido de AuthIP (EM).

    Nota

    Se negociará un módulo de creación de claves común y se aplicará la directiva QM correspondiente. AuthIP es el módulo de creación de claves preferido si se admiten IKE y AuthIP.

  2. Para cada uno de los contextos agregados en el paso 1, agregue un filtro con las siguientes propiedades.

    Propiedad Filter Valor
    Condiciones de filtrado Vacía. Todo el tráfico coincidirá con el filtro.
    providerContextKey GUID del contexto del proveedor QM agregado en el paso 1.

En FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} configurar reglas de filtrado de entrada por paquete

  1. Agregue un filtro con las siguientes propiedades.

    Propiedad Filter Valor
    FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condición de filtrado NlatUnicast
    action.type FWP_ACTION_CALLOUT_TERMINATING
    action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6}
    rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY

  2. Excluya el tráfico ICMP de IPsec agregando un filtro con las siguientes propiedades.

    Propiedad Filter Valor
    FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condición de filtrado NlatUnicast
    FWPM_CONDITION_IP_PROTOCOL condición de filtrado **IPPROTO_ICMP{V6}**Estas constantes se definen en winsock2.h.
    action.type FWP_ACTION_PERMIT
    weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS

En FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} configurar reglas de filtrado por paquete de salida

  1. Agregue un filtro con las siguientes propiedades.

    Propiedad Filter Valor
    FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condición de filtrado NlatUnicast
    action.type FWP_ACTION_CALLOUT_TERMINATING
    action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6}
    rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER

  2. Excluya el tráfico ICMP de IPsec agregando un filtro con las siguientes propiedades.

    Propiedad Filter Valor
    FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condición de filtrado NlatUnicast
    FWPM_CONDITION_IP_PROTOCOL condición de filtrado IPPROTO_ICMP{V6}Estas constantes se definen en winsock2.h.
    action.type FWP_ACTION_PERMIT
    weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS

En FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} configurar reglas de filtrado de entrada por conexión

  1. Agregue un filtro con las siguientes propiedades. Este filtro solo permitirá intentos de conexión entrantes si están protegidos por IPsec.

    Propiedad Filter Valor
    FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condición de filtrado NlatUnicast
    action.type FWP_ACTION_CALLOUT_TERMINATING
    action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6}

  2. Excluya el tráfico ICMP de IPsec agregando un filtro con las siguientes propiedades.

    Propiedad Filter Valor
    FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condición de filtrado NlatUnicast
    FWPM_CONDITION_IP_PROTOCOL condición de filtrado **IPPROTO_ICMP{V6}**Estas constantes se definen en winsock2.h.
    action.type FWP_ACTION_PERMIT
    weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS

  3. Agregue un filtro con las siguientes propiedades. Este filtro permitirá conexiones entrantes al puerto TCP 5555 si sd1 y SD2 permiten las identidades remotas correspondientes.

    Filter (propiedad) Valor
    FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condición de filtrado NlatUnicast
    FWPM_CONDITION_IP_PROTOCOL condición de filtrado IPPROTO_TCP Esta constante se define en winsock2.h.
    FWPM_CONDITION_IP_LOCAL_PORT condición de filtrado 5555
    FWPM_CONDITION_ALE_REMOTE_MACHINE_ID SD1
    FWPM_CONDITION_ALE_REMOTE_USER_ID SD2
    action.type FWP_ACTION_CALLOUT_TERMINATING
    action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6}

  4. Agregue un filtro con las siguientes propiedades. Este filtro bloqueará cualquier otra conexión entrante al puerto TCP 5555 que no coincida con el filtro anterior.

    Filter (propiedad) Valor
    FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condición de filtrado NlatUnicast
    FWPM_CONDITION_IP_PROTOCOL condición de filtrado IPPROTO_TCP Esta constante se define en winsock2.h.
    FWPM_CONDITION_IP_LOCAL_PORT condición de filtrado 5555
    action.type FWP_ACTION_BLOCK

Código de ejemplo: Uso del modo de transporte

Capas de ALE

Identificadores de llamada integrados

Condiciones de filtrado

Filtrado de identificadores de capa

FWPM_ACTION0

FWPM_PROVIDER_CONTEXT_TYPE