Associações de segurança IPsec prevalecem mesmo após o túnel IPsec estar inativo

1

Estou trabalhando em um script que pode detectar se os túneis IPsec existentes em um sistema foram desativados. De minhas observações, eu vi que pode levar qualquer lugar entre 1 segundo e 8 minutos para que isso seja detectado usando o comando:

netsh ipsec dynamic show mmsas

Se a política IPsec ativa não for atribuída ou excluída, a alteração será refletida imediatamente, com netsh retornando:

IPsec MainMode Security Associations not available.

No entanto, em outros casos, como o ponto de extremidade do túnel que está inacessível ou falha de conectividade de rede, pode levar até 8 minutos para que isso seja detectado via netsh.

Eu tentei mexer com valores de tempo limite ociosos e outros parâmetros de configuração na própria diretiva IPsec, mas parece não haver nada que altere esse comportamento. Existe algum parâmetro de configuração que eu possa modificar na diretiva IPsec ou no próprio Windows para modificar esse comportamento? Meu objetivo é que o script detecte isso o mais rápido possível.

UPDATE: Eu tenho tentado explorar um método alternativo no qual inicio um tráfego interessante e, em seguida, verifique se as associações de segurança do Modo Rápido estão sendo estabelecidas. No entanto, esse método seria útil apenas nos casos em que há muito pouco tráfego interessante sendo gerado em uma base normal.

PS: Eu inicialmente tinha postado essa pergunta no StackOverflow, o que eu acredito que em retrospectiva não foi uma ótima idéia.

    
por ngn 15.07.2015 / 14:13

0 respostas