Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 560 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec traffic originate from an authenticated source

clyons
I have recently been debating split tunneling.  For years it has been best practice to disable split tunneling.
We have a requirement to block people from using Internet Connection Sharing in an office environment to turn their laptop into a VPN tunnel for everyone else in the office.  We have identified a few situations where this is happening.  The first response it to disable split tunneling, but I read a blog post from Tom Shinder stating that the Microsoft DirectAccess with UAG solution will require that IPSec traffic originate from an authenticated source thereby satisfying our requirement.
Is it possible to create a rule on the ASG where IPSec traffic must originate from an authenticated source?


This thread was automatically locked due to age.
Parents
  • 0
    It sounds like you have an over-broad packet filter rule; something like 'Internal (Network) -> Any -> Any : Allow.  I think I'd replace that with some specific rules, but a quick-fix is to create two new rules:

    [LIST=1]

    • {Allowed internal IPsec hosts group} -> IPsec -> Any : Allow
    • Internal (Network) -> IPsec -> Any : Drop
    [/LIST]


    Of course, those must be above your broad rule.

    Cheers - Bob
Reply
  • 0
    It sounds like you have an over-broad packet filter rule; something like 'Internal (Network) -> Any -> Any : Allow.  I think I'd replace that with some specific rules, but a quick-fix is to create two new rules:

    [LIST=1]

    • {Allowed internal IPsec hosts group} -> IPsec -> Any : Allow
    • Internal (Network) -> IPsec -> Any : Drop
    [/LIST]


    Of course, those must be above your broad rule.

    Cheers - Bob
Children
No Data