Rychlý režim (také známý jako Fáze 2) vyjednávání výměny klíčů po Internetu vytváří zabezpečený kanál mezi dvěma počítači za účelem ochrany dat. Jelikož tato fáze obsahuje vytvoření přidružení zabezpečení, vyjednaných za službu IPsec, vytvořená přidružení zabezpečení v rychlém režimu se nazývají přidružení zabezpečení IPsec. V rychlém režimu dochází k obnovování klíčů nebo, v případě potřeby, k vytváření nových klíčů. Je také vybrána ochranná sada určená na ochranu zadaného přenosu IP. Ochranná sada je určitá množina nastavení integrity nebo šifrování dat. Rychlý režim není považován za úplnou výměnu, protože závisí na výměně v hlavním režimu.
Sledování přidružení zabezpečení v rychlém režimu podává informace o druhých stranách aktuálně připojených k danému počítači, o ochranných sadách použitých k vytvoření přidružení zabezpečení a další.
Obecné filtry
Obecné filtry jsou filtry IP nakonfigurované tak, aby používaly libovolné možnosti IP adresy buď jako zdrojovou nebo cílovou adresu. Protokol IPsec umožňuje při konfiguraci filtrů používat různá klíčová slova, jako například IP adresa tohoto počítače, Server DNS, Server DHCP, Servery WINS a Výchozí brána. Pokud použijete klíčová slova, zobrazí obecné filtry tato klíčová slova v modulu snap-in Sledování zabezpečení protokolu IP. Specifické filtry se odvozují od obecných filtrů převodem klíčových slov na IP adresy.
Přidávání, odebírání a třídění sloupců
Tyto sloupce můžete v seznamu výsledků přidávat, odebírat, přeuspořádávat a řadit:
- Název.
- Zdroj: IP adresa zdroje paketu
- Cíl: IP adresa cíle paketu
- Zdrojový port: Port TCP nebo UDP zdroje paketu
- Cílový port: Port TCP nebo UDP cíle paketu
- Koncový bod zdrojového tunelu: Koncový bod tunelu nejbližší k místnímu počítači, pokud byl zadán
- Koncový bod cílového tunelu: Koncový bod tunelu nejbližší k cílovému počítači, pokud byl zadán
- Protokol: Protokol zadaný ve filtru
- Vstupní akce: Zda je příchozí přenos povolený, blokovaný nebo používá akci Vyjednat zabezpečení
- Výstupní akce: Zda je odchozí přenos povolený, blokovaný nebo používá akci Vyjednat zabezpečení
- Zásady vyjednávání: Název zásad vyjednávání v rychlém režimu nebo kryptografická nastavení
- Typ připojení: Typ připojení, pro který je filtr použitý - místní síť (LAN), vzdálený přístup nebo všechny typy síťového připojení
Specifické filtry
Specifické filtry jsou expandovány z obecných filtrů pomocí IP adres zdrojového nebo cílového počítače pro aktuální připojení. Jestliže máte například filtr, který používal volbu IP adresa tohoto počítače jako zdrojovou adresu a volbu Server DHCP jako cílovou adresu, pak je při vytvoření připojení pomocí tohoto filtru automaticky vytvořen filtr obsahující IP adresu vašeho počítače a IP adresu serveru DHCP, který tento počítač používá.
Přidávání, odebírání a řazení sloupců
Tyto sloupce můžete v seznamu výsledků přidávat, odebírat, přeuspořádávat a řadit:
- Název.
- Zdroj: IP adresa zdroje paketu
- Cíl: IP adresa cíle paketu
- Zdrojový port: Port TCP nebo UDP zdroje paketu
- Cílový port: Port TCP nebo UDP cíle paketu
- Koncový bod zdrojového tunelu: Koncový bod tunelu nejbližší k místnímu počítači, pokud byl zadán
- Koncový bod cílového tunelu: Koncový bod tunelu nejbližší k cílovému počítači, pokud byl zadán
- Protokol: Protokol zadaný ve filtru
- Vstupní akce: Zda je příchozí přenos povolený, blokovaný nebo používá akci Vyjednat zabezpečení
- Výstupní akce: Zda je odchozí přenos povolený, blokovaný nebo používá akci Vyjednat zabezpečení
- Zásady vyjednávání: Název zásad vyjednávání v rychlém režimu nebo kryptografická nastavení
- Váha: Priorita, kterou služba IPsec filtru uděluje. Váha je odvozena z řady faktorů. Další informace o vahách filtrů naleznete na adrese
https://go.microsoft.com/fwlink/?LinkId=62212 (stránka může být v angličtině) .
Poznámka Vlastnost Váha je v počítačích se systémem Windows Vista®, Windows Server® 2008 nebo novější verzí Windows vždy nastavena na hodnotu 0.
Zásady vyjednávání
Zásady vyjednávání představují pořadí upřednostnění metod zabezpečení, s jehož použitím dva partnerské počítače souhlasí, když navzájem komunikují během vyjednávání v rychlém režimu.
Statistiky
Tato tabulka zobrazuje statistiky dostupné v zobrazení Statistiky v rychlém režimu:
| Statistika IPsec | Popis |
|---|---|
Aktivní přidružení zabezpečení | Jde o počet aktivních přidružení zabezpečení IPsec. |
Převedená přidružení zabezpečení | Jde o počet aktivních přidružení zabezpečení IPsec převedených na hardware. |
Čeká na dokončení operací klíčů | Jde o počet probíhajících operací klíčů IPsec. |
Přidání klíčů | Jde o celkový počet úspěšných vyjednávání přidružení zabezpečení IPsec. |
Vymazání klíčů | Jde o počet vymazání klíčů pro přidružení zabezpečení IPsec. |
Opětovné vytvoření klíčů | Jde o počet operací opětovného vytvoření klíčů pro přidružení zabezpečení IPsec. |
Aktivní tunely | Jde o počet aktivních tunelů IPsec. |
Chybné pakety SPI | Jde o celkový počet paketů, pro které byl index parametrů zabezpečení (SPI) nesprávný. SPI se používá pro přizpůsobení příchozích paketů přidružením zabezpečení. Jestliže je SPI nesprávný, mohlo by to znamenat, že platnost příchozího přidružení zabezpečení vypršela a paket používající starý SPI byl nedávno přijatý. Tento počet se pravděpodobně zvýší, jestliže jsou intervaly opětovného vytvoření klíčů krátké a vyskytuje se velký počet přidružení zabezpečení. Protože platnost přidružení zabezpečení za normálních podmínek vyprší, chybný paket SPI nutně neznamená, že IPsec je chybné. |
Nedešifrované pakety | Jde o celkový počet paketů, jejichž dešifrování se nezdařilo. Toto selhání může signalizovat, že paket byl přijatý pro přidružení zabezpečení, jehož platnost vypršela. Jestliže platnost přidružení zabezpečení vyprší, klíč relace používaný k dešifrování paketu bude také vymazán. Neznamená to nutně, že je IPsec chybné. |
Neověřené pakety | Jde o celkový počet paketů, pro které nemohla být data ověřena. Toto selhání je nejpravděpodobněji způsobeno vypršením platnosti přidružení zabezpečení. |
Pakety s rozpoznáním opětovného přehrání | Jde o celkový počet paketů, které obsahují platné pole čísla sekvence. |
Odeslané důvěrné bajty | Jde o celkový počet bajtů odeslaných pomocí protokolu ESP. |
Přijaté důvěrné bajty | Jde o celkový počet bajtů přijatých pomocí protokolu ESP. |
Odeslané ověřené bajty | Jde o celkový počet bajtů odeslaných pomocí protokolu AH. |
Přijaté ověřené bajty | Jde o celkový počet bajtů přijatých pomocí protokolu AH. |
Odeslané přenosové bajty | Jde o celkový počet bajtů odeslaných pomocí režimu přenosu IPsec. |
Přijaté přenosové bajty | Jde o celkový počet bajtů přijatých pomocí režimu přenosu IPsec. |
Bajty odeslané v režimu tunelového propojení | Jde o celkový počet bajtů odeslaných pomocí tunelového režimu IPsec. |
Bajty přijaté v režimu tunelového propojení | Jde o celkový počet bajtů přijatých pomocí tunelového režimu IPsec. |
Převedené odeslané bajty | Jde o celkový počet bajtů odeslaných pomocí převedení na hardware. |
Převedené přijaté bajty | Jde o celkový počet bajtů přijatých pomocí převedení na hardware. |
| Poznámka |
Některé z těchto statistik lze použít k rozpoznání pokusů o napadnutí sítě. |
Přidružení zabezpečení
Toto je zobrazení aktivních přidružení zabezpečení s tímto počítačem. Přidružení zabezpečení je kombinace vyjednaného klíče, protokolu zabezpečení a SPI, které společně definují zabezpečení použité k ochraně komunikace od odesílatele k příjemci. Proto vyhledáním přidružení zabezpečení pro tento počítač můžete určit, které počítače mají připojení k tomuto počítači, jaký typ integrity nebo šifrování dat je používán pro toto připojení a další informace.
Tyto informace mohou být užitečné, když testujete zásady IPsec a odstraňujete problémy týkající se přístupu.
Přidávání, odebírání a řazení sloupců
Tyto sloupce můžete v seznamu výsledků přidávat, odebírat, přeuspořádávat a řadit:
- Tento počítač: IP adresa místního počítače
- Druhá strana: IP adresa vzdáleného počítače
- Protokol: Protokol zadaný ve filtru
- Port tohoto počítače: Port TCP nebo UDP místního počítače zadaný ve filtru
- Port druhé strany: Port TCP nebo UDP vzdáleného počítače zadaný ve filtru
- Zásady vyjednávání: Název zásad vyjednávání v rychlém režimu nebo kryptografická nastavení
- Integrita AH: Metoda protokolově specifické integrity dat AH používaná pro komunikaci s druhou stranou
- Důvěrnost ESP: Metoda protokolově specifického šifrování ESP používaná pro komunikaci s druhou stranou
- Integrita ESP: Metoda protokolově specifické integrity dat ESP používaná pro komunikaci s druhou stranou
- Koncový bod tunelu pro tento počítač: Koncový bod tunelu nejbližší k místnímu počítači, pokud byl zadán
- Koncový bod tunelu v počítači druhé strany: Koncový bod tunelu nejbližší k místnímu počítači, pokud byl zadán