Estoy tratando de comprender mejor las políticas IPSEC de encriptación oportunista de Windows y tengo algunos problemas para comprender el concepto del "Modo de autenticación" o la configuración de "Seguridad" en las reglas de IPSEC (también conocidas como Reglas de seguridad de conexión). La documentación para el parámetro -InboundSecurity
correspondiente del cmdlet Set-NetIPSecRule
describe lo que debería estar haciendo:
-InboundSecurity
[...]
The acceptable values for this parameter are:
[...]
Request: Authentication is requested for connections that match the rule.
The local computer attempts to authenticate any inbound network connections
that match this rule, but allows the connection if the authentication
attempt is no successful.
Require: Authentication is required for connections that match the rule. If
the authentication is not successful, then the inbound network traffic is
discarded. [...]
A partir de esta descripción, esperaría este comportamiento para el uso de la seguridad de Solicitud : la negociación IPSEC primero, la conexión cifrada si la negociación es exitosa, la conexión directa si la negociación falla.
Lo que veo en cambio es que al configurar Solicitud / Solicitud , la conexión se está intentando descifrar, incluso después de que IKE parece haberse completado correctamente y las SA están en su lugar:
SicambiolaseguridadaRequerir/Solicitar,losdatos(unaconexiónTCPa3389,comoantes)seencapsulanenUDP/ESPysecifransegúnsedesee:
Entonces,¿porquéelmododeautenticaciónSolicitudparecenofuncionarcomoyoesperaría?
Algunosfallanparalaconfiguración:-amboshosts,elclienteyelservidorsonmiembrosdelmismodominiodeAD-lareglaIPSECestáconfiguradaparausarlaautenticacióndelusuario/computadoraKerberos(sincertificados)ysedistribuyeatravésdeGPO:
PSC:\Windows\system32>Get-NetIPSecRule-PolicyStoread-qa.fh-koeln.de\CIT-Server-IPSEC-ConnectionrulesIPsecRuleName:{48CCCC98-6ACA-4C4E-8A8E-EB7990A7E377}DisplayName:DefaultIPSECIPv4ruleDescription:DefaultruleforIPv4connectionsDisplayGroup:Group:Enabled:TrueProfile:AnyPlatform:{}Mode:TransportInboundSecurity:RequireOutboundSecurity:RequestQuickModeCryptoSet:DefaultPhase1AuthSet:ComputerKerberosPhase2AuthSet:UserKerberosKeyModule:DefaultAllowWatchKey:FalseAllowSetKey:FalseLocalTunnelEndpoint:RemoteTunnelEndpoint:RemoteTunnelHostname:ForwardPathLifetime:0EncryptedTunnelBypass:FalseRequireAuthorization:FalseUser:AnyMachine:AnyPrimaryStatus:OKStatus:Therulewasparsedsuccessfullyfromthestore.(65536)EnforcementStatus:NotApplicablePolicyStoreSource:PolicyStoreSourceType:GroupPolicy
- lamismareglaseaplicaalclienteyalservidoreincluyedireccionesdeamboshostsparalasdefinicioneslocales/remotas
- Hedefinidounaregladefirewalldeentradaenelladodelservidorquebásicamenteestablece"permitir la conexión si es segura" para todo.
- He definido una regla de firewall de salida en la configuración del lado del cliente "permitir la conexión si es segura" para todo el tráfico a la dirección IP de destino del servidor (139.6.7.27).