Судя по всему, дело как раз в том что взаимодействие через wsDualHttpBinding должно работать в обе стороны. Возможно в этом случае затруднительно применить security-средства самого протокола. Ведь изначально http был чисто односторонним протоколом.

Вообще, бытует мнение, что двухстороннее общение сервера и клиента — это не очень хорошая вещь. Особенно когда идет речь о вызове удаленных методов. Причин здесь много:

• сервер становится зависимым от клиента;
• проблемы с безопасностью на клиенте (грубо говоря, на клиенте нужно открыть порт для входящих запросов);
• и тд