Firewall avançado do Windows - adicionando regra de quebra de computadores autorizados

3

Como é possível adicionar uma configuração 'permitir somente conexões a esses computadores' em uma conectividade de quebra de regra IPSec que esteja funcionando de outra forma?

Histórico:

Estou configurando um conjunto básico de regras do cliente que restringe o acesso SMB de saída para acessar apenas determinados servidores. Assuma a partir de uma lista negra e precisar colocar na lista de permissões a comunicação desejada.

O lado do servidor está configurado e funcionando como deveria, sem nenhum problema. A configuração foi configurada usando o lado do servidor de interface IPSec herdado e com o lado do cliente de firewall avançado do Windows.

A primeira autenticação é definida como Kerberos (Computador) ou certificado de computador. Ambos os lados usam 'solicitação de entrada e saída' para o modo de autenticação.

Ambos os lados usam um modelo 'request ipsec', pois pode haver tráfego não IPSec passando para outros dispositivos.

A regra do Windows Advanced Firewall no cliente funciona perfeitamente até que defina a opção 'permitir somente conexões a esses computadores'.

Uma captura de wireshark mostra tráfego ISAKMP e ESP e estou vendo associações de modo principal e modo rápido na lista de associações de segurança.

EDITAR:

De acordo com a documentação do MS, eu habilitei o seguinte registro para depurar meu problema de conexão.

auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Driver" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Main Mode" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Quick Mode" /success:enable /failure:enable
auditpol /set /subcategory:"IPsec Extended Mode" /success:enable /failure:enable

Isso indica apenas o serviço fornecido - tentei bloquear o SMB e o RDP. Eu não estou vendo nenhum outro tráfego bloqueado.

EDITAR:

Parece que não há absolutamente nenhum tráfego sendo passado para o servidor em questão quando eu habilito a regra SMB ou RDP. O Wireshark não mostra nada. Parece que houve um caso como este há alguns anos aqui mas sem resolução.

Parece que a Plataforma de Filtragem do Windows está bloqueando incorretamente esse tráfego quando deveria permitir isso.

The Windows Filtering Platform has blocked a connection.

Application Information:
Process ID:     2468
Application Name:   \device\harddiskvolume1\windows\system32\mstsc.exe

Network Information:
Direction:      Outbound
Source Address:     192.168.20.54
Source Port:        49332
Destination Address:    192.168.100.50
Destination Port:       3389
Protocol:       6
    
por Tim Brigham 25.03.2013 / 20:41

2 respostas

1

Após um ingresso de 13 meses para problemas com MS, finalmente encontramos uma 'solução' para esse 'comportamento esperado'.

Selecione a ação que o Firewall do Windows com Segurança Avançada executará para os pacotes de rede que correspondem aos critérios da regra de firewall. Quando você tem várias regras de firewall definidas, a ordem em que elas são avaliadas para uma correspondência depende da ação especificada na regra. As regras de firewall são avaliadas na seguinte ordem:

  1. Permitir se seguro com regras de bloqueio de Substituição selecionadas na caixa de diálogo Personalizar configurações de permitir se for seguro.
  2. Bloqueie a conexão.
  3. Permitir a conexão.
  4. Comportamento do perfil padrão (permitir ou bloquear conforme especificado na guia Perfil aplicável da caixa de diálogo Firewall do Windows com Propriedades de Segurança Avançadas).

Dentro de cada categoria, as regras são avaliadas do mais específico ao menos específico. Uma regra que especifica quatro critérios é selecionada sobre uma regra que especifica apenas três critérios.

Assim que um pacote de rede corresponde a uma regra, sua ação é acionada e não é comparada a nenhuma regra adicional.

Em outras palavras, mesmo que um pacote de rede corresponda a mais de uma regra, somente a regra de correspondência que é avaliada contra o pacote primeiro é aplicada ao pacote.

De acordo com eles, se houver alguma regra correspondente que permita, na regra de firewall, que o tráfego passe sem criptografia.

O que precisa ser feito é garantir que, por padrão, haja uma regra de bloqueio e, em seguida, criar uma regra de segurança com as regras de bloqueio de substituição de opções para que as coisas funcionem.

Consulte o link para obter mais informações.

    
por 14.07.2014 / 20:05
2

apenas algumas sugestões / perguntas para você (eu tenho esse mesmo tipo de configuração de regras funcionando no meu ambiente, então estou curioso para entender por que ele não está funcionando) ...

1) Você mencionou que o cliente está usando a diretiva Firewall do Windows com Segurança Avançada do IPsec, mas o servidor está usando o IPsec herdado. O servidor está executando uma versão mais antiga do Windows ou qual foi o motivo da configuração de política do IPsec herdada? Eu não estou dizendo que isso não deveria funcionar (como você está tentando fazer a autenticação da máquina, não a autenticação do usuário), mas isso pode complicar as coisas. O servidor também pode ser configurado com política de segurança avançada? Você poderia tentar um servidor com política avançada e autenticação de computador Kerberos v5 para ver o que acontece?

2) Para que seu cenário funcione, a conexão IPsec DEVE usar uma autenticação Kerberos V5 (autenticações de certificado não funcionarão!). Você mencionou que sua política poderia permitir conexões de certificado, portanto, talvez você queira verificar suas associações de segurança no modo principal e garantir que elas estejam realmente sendo estabelecidas usando o Kerberos e não o cert.

3) Existem algumas maneiras diferentes de configurar o 'somente permitir conexões com esses computadores' em uma regra de firewall. O padrão requer que sua conexão IPsec seja autenticada e protegida por integridade ... enquanto outras configurações permitem que você garanta que ela também seja criptografada ou que seja nula (somente autenticada, não protegida por integridade). Se o seu cliente / servidor for o Windows 7+, talvez você queira tentar a opção de encapsulamento nulo para ver se isso ajuda a reduzir o problema.

4) Eu geralmente recomendaria logs da captura da WFP (netsh wfp capture start) para depurar o tráfego interrompido do firewall, pois isso mostra o filtro exato que diminuiu o tráfego. Nesse caso, porém, os logs provavelmente não serão muito interessantes, já que é provável que o filtro de bloqueio de saída padrão esteja impedindo sua conexão, devido ao fato de você não ter correspondido à regra de permissão segura (por algum motivo). Os registros mostrarão a conexão sendo interrompida, mas não explicarão por que você não correspondeu à regra de permissão. Talvez valha a pena experimentar ... link

    
por 02.03.2014 / 03:06