ALE 再認証

  • [アーティクル]

Windows フィルタリング プラットフォーム (WFP) のアプリケーション層強制 (ALE) レイヤーのネットワーク トラフィックは 、ALE フローによってフィルター処理されます。 ALE フローが許可されると、ALE フローの一部であるすべてのトラフィックが許可されます。 再認証は、ALE フローのアクセス許可を検証するための要求です。通常はネットワーク ポリシーの変更が原因です。

ALE フローには、フローの作成と承認をトリガーした最初のパケットの方向に基づいて、方向 (受信または送信) が割り当てられます。 受信 ALE フローは、 FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} レイヤーで作成および承認されます。 送信 ALE フローは、 FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} レイヤーで作成および承認されます。 ALE フローの方向は、フローに属するパケットの方向を制限しません。 ALE フローには、ALE フロー自体の方向に関係なく、受信パケットと送信パケットの両方が含まれます。

ALE フローの再認証は、次の方法でトリガーされます。

  • ALE フローが最初に承認または作成されたレイヤーでのポリシー変更。
  • ALE フローが最初に承認または作成されたインターフェイスとは異なる到着インターフェイス。
  • 保留中の接続。

再認証は、 FWP_CONDITION_FLAG_IS_REAUTHORIZE フラグが存在することで初期承認と区別されます。

再認証は、 FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} レイヤーと FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} レイヤーでのみ行うことができます。

ポリシー変更の再認証

ポリシーの変更は、ALE レイヤーでのフィルターの追加または削除として実装されます。 ポリシーの変更が検出されると、影響を受けるレイヤーで作成された ALE フローを通過する最初のパケットが、レイヤーへの再認証用に指定されます。 したがって、再認証のために、送信パケットが FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 層で分類され、受信パケットが FWPM_LAYER_ALE_AUTH_CONNECT_V{4|6} 層で分類される可能性があります。

この混合方向分類の理由の 1 つは、元の方向からのそれ以上のネットワーク トラフィックが存在しない可能性があることです (たとえば、受信 ALE フローの受信パケット)。 このような例の 1 つは、最初の双方向ハンドシェイク後の一方向 UDP ストリーミングです。 この場合は、できるだけ早くストリーミングを破棄することがより望ましいです。

到着インターフェイスの再認証

到着インターフェイスの再認証は、Windows Server 2008 および Windows Vista Service Pack 1 (SP1) 以降で使用できます。

同じ ALE フローに属するパケットは、複数のインターフェイスから受信できます。 ALE フローの元のインターフェイスとは異なるインターフェイス経由で最初に入ってくるパケットが再認証されます。

TCP/IP スタックの既定のセキュリティ モデルである強力なホスト モデルでは、ネットワーク インターフェイス上の接続は、同じインターフェイスに入ってくるパケットのみを受け入れます。 したがって、到着インターフェイスの再認証は、強力なホスト コンピューターでは使用されません。

脆弱なホスト モデルでは、ネットワーク インターフェイス上の接続により、他のネットワーク インターフェイスで受信されるパケットが許可されます。 到着インターフェイスの再認証は、インターフェイス固有のポリシーを実装するために、脆弱なホスト コンピューターで使用されます。 詳細については、「The Cable Guy: Strong and Weak Host Models」を参照してください。

一部 の分類可能なフィールド は、再認証中に不明な場合があります。 たとえば、送信パケットが FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V{4|6} 層で再認証されている場合、到着インターフェイスに関連するすべてのフィールドは不明です。 その場合、不明なフィールドの値は FWP_EMPTYとして示されます。

FWP_EMPTY型のフィールドは、FWP_MATCH_EQUALと照合できます。 したがって、ALE フローの再認証要求が到着したときに、再認証をブロックし、ALE フローを破棄するようにポリシーを設定できます。

保留中の接続の再認証

コールアウト ドライバーは、ALE レイヤーで分類操作を延期し、後でフィルター処理の決定を安全に行うことができるときに完了する場合があります。 ALE の延期/完全機能は、カーネル モード関数 FwpsPendOperation0FwpsCompleteOperation0 を介してサポートされています。

再認証は FwpsCompleteOperation0 呼び出しの直後にトリガーされ、コールアウト ドライバーはフローを許可またはブロックできます。

最初の承認のみを延期できます。 FWP_CONDITION_FLAG_IS_REAUTHORIZE フラグが設定されている場合、FwpsPendOperation0 の呼び出しは失敗します。

詳細については、 Windows Driver Kit のドキュメントを参照してください。

アプリケーション層の適用 (ALE)

ALE レイヤー

ALE ステートフル フィルター処理

ALE マルチキャスト/ブロードキャスト トラフィック

ALE フローのカスタマイズ