mode de transport
Le scénario de stratégie IPsec en mode de transport nécessite une protection en mode de transport IPsec pour tout le trafic correspondant. Tout trafic de texte clair correspondant est supprimé jusqu’à ce que la négociation IKE ou AuthIP soit terminée avec succès. Si la négociation échoue, la connectivité avec l’adresse IP correspondante reste interrompue.
Un exemple de scénario possible en mode de transport est « Sécuriser tout le trafic de données en monodiffusion, à l’exception d’ICMP, à l’aide du mode de transport IPsec ».
Pour implémenter cet exemple par programmation, utilisez la configuration PAM suivante.
Ajoutez l’un des contextes de fournisseur de stratégie MM suivants, ou les deux.
- Pour IKE, un contexte de fournisseur de stratégie de type FWPM_IPSEC_IKE_MM_CONTEXT.
- Pour AuthIP, un contexte de fournisseur de stratégie de type FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Notes
Un module de keying commun sera négocié et la stratégie MM correspondante sera appliquée. AuthIP est le module de keying préféré si IKE et AuthIP sont tous deux pris en charge.
Pour chacun des contextes ajoutés à l’étape 1, ajoutez un filtre avec les propriétés suivantes.
Propriété Filter Valeur Conditions de filtrage Vide. Tout le trafic correspond au filtre. providerContextKey GUID du contexte du fournisseur MM ajouté à l’étape 1. Ajoutez un ou les deux contextes de fournisseur de stratégie de mode de transport QM suivants.
- Pour IKE, un contexte de fournisseur de stratégie de type FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- Pour AuthIP, un contexte de fournisseur de stratégie de type FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT. Ce contexte peut éventuellement contenir la stratégie de négociation En mode étendu (EM) AuthIP.
Notes
Un module de keying commun sera négocié et la stratégie de gestion de la qualité correspondante sera appliquée. AuthIP est le module de keying préféré si IKE et AuthIP sont tous deux pris en charge.
Pour chacun des contextes ajoutés à l’étape 1, ajoutez un filtre avec les propriétés suivantes.
Propriété Filter Valeur Conditions de filtrage Vide. Tout le trafic correspond au filtre. providerContextKey GUID du contexte du fournisseur QM ajouté à l’étape 1. Ajoutez un filtre avec les propriétés suivantes.
Propriété Filter Valeur FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condition de filtrage NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} Exemptez le trafic ICMP d’IPsec en ajoutant un filtre avec les propriétés suivantes.
Propriété Filter Valeur FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPEcondition de filtrage NlatUnicast FWPM_CONDITION_IP_PROTOCOL condition de filtrage IPPROTO_ICMP{V6}Ces constantes sont définies dans winsock2.h. action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Ajoutez un filtre avec les propriétés suivantes.
Propriété Filter Valeur FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condition de filtrage NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} Exemptez le trafic ICMP d’IPsec en ajoutant un filtre avec les propriétés suivantes.
Propriété Filter Valeur FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condition de filtrage NlatUnicast FWPM_CONDITION_IP_PROTOCOL condition de filtrage IPPROTO_ICMP{V6}Ces constantes sont définies dans winsock2.h. action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
À FWPM_LAYER_IKEEXT_V{4|6} configurez la stratégie de négociation MM
À FWPM_LAYER_IPSEC_V{4|6} configurez la stratégie de négociation QM et EM
À FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} configurez les règles de filtrage par paquet entrant
À FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} configurez les règles de filtrage par paquet sortant