Как может добавление параметра «Разрешить подключения только к этим компьютерам» в работающее правило IPSec нарушить подключение?
Задний план:
Я устанавливаю базовый набор клиентских правил, которые ограничивают исходящий доступ SMB только к определенным серверам. Предположим, что вы начали с черного списка и вам нужно внести в белый список желаемое сообщение.
Сторона сервера настроена и работает, как и должно, без каких-либо проблем. Настройка была настроена с использованием устаревшей стороны сервера интерфейса IPSec и клиентской части расширенного межсетевого экрана Windows.
Первая проверка подлинности установлена на Kerberos (компьютер) или сертификат компьютера. Обе стороны используют «запрос входящего и исходящего» для своего режима аутентификации.
Обе стороны используют модель «запрос ipsec», так как трафик не IPSec может передаваться на другие устройства.
Правило Windows Advanced Firewall на клиенте отлично работает до того как Я определяю опцию «разрешить подключение только к этим компьютерам».
Захват Wirehark показывает трафик ISAKMP и ESP, и я вижу ассоциации основного режима и быстрого режима в списке сопоставлений безопасности.
РЕДАКТИРОВАТЬ:
В документации MS я включил следующее ведение журнала для устранения проблемы с подключением.
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Driver" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Main Mode" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Quick Mode" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Extended Mode" /success:enable /failure:enable
Это только указывает на то, что данная служба - я пробовал и SMB, и RDP - заблокирована. Я не вижу другого заблокированного трафика.
РЕДАКТИРОВАТЬ:
Похоже, что когда я включаю правило SMB или RDP, трафик на рассматриваемый сервер не передается. Wireshark ничего не показывает. Похоже, что пару лет назад был такой случай Вот но без разрешения.
Похоже, что платформа фильтрации Windows неправильно блокирует этот трафик, хотя должна его разрешать.
The Windows Filtering Platform has blocked a connection.
Application Information:
Process ID: 2468
Application Name: \device\harddiskvolume1\windows\system32\mstsc.exe
Network Information:
Direction: Outbound
Source Address: 192.168.20.54
Source Port: 49332
Destination Address: 192.168.100.50
Destination Port: 3389
Protocol: 6
всего несколько предложений / вопросов для вас (у меня такая же конфигурация правил работает в моей среде, поэтому мне любопытно понять, почему она не работает) ...
1) Вы упомянули, что клиент использует брандмауэр Windows с политикой IPsec повышенной безопасности, но на стороне сервера используется устаревший IPsec. На сервере установлена более старая версия Windows или в чем причина устаревшей конфигурации политики IPsec? Я не говорю, что это не должно работать (поскольку вы пытаетесь выполнить аутентификацию компьютера, а не пользователя), но это может усложнить ситуацию. Можно ли настроить сервер с расширенной политикой безопасности? Не могли бы вы попробовать использовать сервер с расширенной политикой и компьютерной аутентификацией Kerberos v5, чтобы увидеть, что произойдет?
2) Чтобы ваш сценарий работал, соединение IPsec ДОЛЖНО использовать аутентификацию Kerberos V5 (аутентификация сертификатом не будет работать!). Вы упомянули, что ваша политика может разрешать подключения сертификатов, поэтому вы можете проверить свои сопоставления безопасности в основном режиме и убедиться, что они действительно устанавливаются с использованием Kerberos, а не сертификата.
3) Существует несколько различных способов настройки параметра «Разрешать подключения только к этим компьютерам» в правиле брандмауэра. По умолчанию требуется, чтобы ваше соединение IPsec было аутентифицировано и защищено целостностью ... тогда как другие настройки позволяют вам гарантировать, что оно также зашифровано или имеет нулевое значение (только аутентификация, без защиты целостности). Если ваш клиент / сервер работает под управлением Windows 7+, вы можете попробовать опцию нулевой инкапсуляции, чтобы увидеть, помогает ли это сузить проблему.
4) Я обычно рекомендую журналы из захвата WFP (запуск захвата netsh wfp) для отладки отброшенного трафика межсетевым экраном, поскольку это показывает вам точный фильтр, который отбрасывал трафик. Однако в этом случае журналы, вероятно, не будут очень интересными, так как это, вероятно, фильтр исходящих блоков по умолчанию, который предотвращает ваше соединение из-за того, что вы не соответствовали правилу безопасного разрешения (по какой-то причине). Журналы покажут, что соединение разорвано, но не объяснят, почему вы не соответствовали разрешенному правилу. Возможно, стоит попробовать ... http://technet.microsoft.com/en-us/library/ff428146(v=ws.10).aspx
После более чем 13 месяцев работы с MS мы, наконец, пришли к «решению» этого «ожидаемого поведения».
Выберите действие, которое брандмауэр Windows в режиме повышенной безопасности будет выполнять для сетевых пакетов, соответствующих критериям правила брандмауэра. Если у вас определено несколько правил брандмауэра, порядок, в котором они оцениваются на соответствие, зависит от действия, указанного в правиле. Правила межсетевого экрана оцениваются в следующем порядке:
Внутри каждой категории правила оцениваются от наиболее конкретных до наименее конкретных. Правило, определяющее четыре критерия, выбирается по сравнению с правилом, определяющим только три критерия.
Как только сетевой пакет соответствует правилу, его действие запускается, и оно не сравнивается с какими-либо дополнительными правилами.
Другими словами, даже если сетевой пакет соответствует более чем одному правилу, к пакету применяется только правило соответствия, которое сначала оценивается относительно пакета.
Согласно им, если есть какое-либо подходящее правило, которое разрешает в правиле брандмауэра, что трафик будет проходить незашифрованный.
Что нужно сделать, так это убедиться, что по умолчанию существует правило блокировки, а затем создать правило безопасности с правилами блокировки переопределения параметров, чтобы все работало.
Пожалуйста, обратитесь http://technet.microsoft.com/en-us/library/cc730690.aspx Чтобы получить больше информации.