Modo de transporte de descoberta de negociação
O cenário de política IPsec do Modo de Transporte de Descoberta de Negociação requer proteção do modo de transporte IPsec para todo o tráfego de entrada correspondente e solicita proteção IPsec para o tráfego de saída correspondente. Portanto, as conexões de saída têm permissão para fazer fallback para limpar o texto enquanto as conexões de entrada não são.
Com essa política, quando o computador host tenta uma nova conexão de saída e não há nenhuma SA IPsec existente que corresponda ao tráfego, o host envia simultaneamente os pacotes em texto não criptografado e inicia uma negociação IKE ou AuthIP. Se a negociação for bem-sucedida, a conexão será atualizada para protegida por IPsec. Caso contrário, a conexão permanecerá em texto não criptografado. Depois de protegida por IPsec, uma conexão nunca poderá ser rebaixada para texto não criptografado.
O Modo de Transporte de Descoberta de Negociação normalmente é usado em ambientes que incluem computadores compatíveis com IPsec e não compatíveis com IPsec.
Um exemplo de um possível cenário de Modo de Transporte de Descoberta de Negociação é "Proteger todo o tráfego de dados unicast, exceto o ICMP, usando o modo de transporte IPsec e habilitar a descoberta de negociação".
Para implementar este exemplo programaticamente, use a configuração do WFP a seguir.
Adicione um ou ambos os seguintes contextos de provedor de política MM.
- Para IKE, um contexto de provedor de política do tipo FWPM_IPSEC_IKE_MM_CONTEXT.
- Para a AuthIP, um contexto de provedor de política do tipo FWPM_IPSEC_AUTHIP_MM_CONTEXT.
Observação
Um módulo de chave comum será negociado e a política mm correspondente será aplicada. O AuthIP será o módulo de chave preferencial se houver suporte para IKE e AuthIP.
Para cada um dos contextos adicionados na etapa 1, adicione um filtro com as propriedades a seguir.
Propriedade Filter Valor Condições de filtragem Vazio. Todo o tráfego corresponderá ao filtro. providerContextKey GUID do contexto do provedor MM adicionado na etapa 1. Adicione um ou ambos os contextos do provedor de política do modo de transporte QM a seguir e defina o sinalizador IPSEC_POLICY_FLAG_ND_SECURE .
- Para IKE, um contexto de provedor de política do tipo FWPM_IPSEC_IKE_QM_TRANSPORT_CONTEXT.
- Para a AuthIP, um contexto de provedor de política do tipo FWPM_IPSEC_AUTHIP_QM_TRANSPORT_CONTEXT. Opcionalmente, esse contexto pode conter a política de negociação EM (Modo Estendido) da AuthIP.
Observação
Um módulo de chave comum será negociado e a política de QM correspondente será aplicada. O AuthIP será o módulo de chave preferencial se houver suporte para IKE e AuthIP.
Para cada um dos contextos adicionados na etapa 1, adicione um filtro com as propriedades a seguir.
Propriedade Filter Valor Condições de filtragem Vazio. Todo o tráfego corresponderá ao filtro. providerContextKey GUID do contexto do provedor de QM adicionado na etapa 1. Adicione um filtro com as propriedades a seguir.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_INBOUND_PERSIST_CONNECTION_SECURITY Isenta o tráfego ICMP do IPsec adicionando um filtro com as propriedades a seguir.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast FWPM_CONDITION_IP_PROTOCOL condição de filtragem **IPPROTO_ICMP{V6}**Essas constantes são definidas em winsock2.h. action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Adicione um filtro com as propriedades a seguir.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_OUTBOUND_TRANSPORT_V{4|6} rawContext FWPM_CONTEXT_IPSEC_OUTBOUND_NEGOTIATE_DISCOVER Isenta o tráfego ICMP do IPsec adicionando um filtro com as propriedades a seguir.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast FWPM_CONDITION_IP_PROTOCOL condição de filtragem **IPPROTO_ICMP{V6}**Essas constantes são definidas em winsock2.h. action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS Adicione um filtro com as propriedades a seguir. Esse filtro só permitirá tentativas de conexão de entrada se elas forem protegidas pelo IPsec.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast action.type FWP_ACTION_CALLOUT_TERMINATING action.calloutKey FWPM_CALLOUT_IPSEC_INBOUND_INITIATE_SECURE_V{4|6} Isente o tráfego ICMP do IPsec adicionando um filtro com as propriedades a seguir.
Propriedade Filter Valor FWPM_CONDITION_IP_LOCAL_ADDRESS_TYPE condição de filtragem NlatUnicast FWPM_CONDITION_IP_PROTOCOL condição de filtragem **IPPROTO_ICMP{V6}**Essas constantes são definidas em winsock2.h. action.type FWP_ACTION_PERMIT weight FWPM_WEIGHT_RANGE_IKE_EXEMPTIONS
Em FWPM_LAYER_IKEEXT_V{4|6} configurar a política de negociação mm
Em FWPM_LAYER_IPSEC_V{4|6} configurar a política de negociação de QM e EM
Em FWPM_LAYER_INBOUND_TRANSPORT_V{4|6} configurar regras de filtragem por pacote de entrada
Em FWPM_LAYER_OUTBOUND_TRANSPORT_V{4|6} configurar regras de filtragem por pacote de saída
Em FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} configurar regras de filtragem por conexão de entrada