La negociación de Intercambio de claves por red (IKE) de modo principal establece un canal seguro entre dos equipos, que se denomina asociación de seguridad (SA) del Protocolo de administración de claves y asociación de seguridad Internet (ISAKMP). La SA del ISAKMP se usa para proteger intercambios de clave posteriores entre equipos del mismo nivel, que reciben el nombre de negociaciones de modo rápido. Para establecer el canal seguro, la negociación de modo principal determina una serie de conjuntos de protección de cifrado, intercambia material de creación de claves para establecer la clave secreta compartida y autentica identidades de equipo.

La supervisión de las SA de modo principal puede proporcionar información acerca de los equipos del mismo nivel actualmente conectados al equipo, cuándo se creó la SA, el conjunto de protección que se usó para generar la SA y otra información.

Filtros genéricos

Los filtros genéricos son filtros IP configurados para usar cualquiera de las opciones de dirección IP, ya sea como dirección de origen o como dirección de destino. IPsec permite usar palabras clave en la configuración de los filtros, como Mi dirección IP, Servidor DNS, Servidor DHCP, Servidores WINS y Puerta de enlace predeterminada. Si se usan palabras clave, los filtros genéricos muestran dichas palabras clave en el complemento Monitor de seguridad IP. Los filtros específicos se derivan expandiendo las palabras clave en direcciones IP.

Adición, eliminación y ordenación de columnas

Puede agregar, quitar, reorganizar y ordenar en función de las siguientes columnas del panel de resultados:

  • Nombre.

  • Origen. Dirección IP del origen del paquete.

  • Destino. Dirección IP del destino del paquete.

  • Directiva IKE. Nombre de la directiva IKE asociada a este filtro genérico; no es el nombre de la directiva IPsec creada con el complemento Directiva IPsec. Los detalles de la directiva, como el conjunto de algoritmos de cifrado usados, pueden verse en el elemento Directiva IKE.

  • Métodos de autenticación. Lista de todos los métodos de autenticación disponibles para el filtro, en orden de preferencia.

  • Tipo de conexión. Tipo de conexión al que se aplica este filtro, ya sea una red de área local (LAN), acceso remoto o todos los tipos de conexión de red.

Filtros específicos

Los filtros específicos se expanden a partir de los filtros genéricos mediante el uso de direcciones IP del equipo de origen o de destino para la conexión real. Por ejemplo, si dispone de un filtro que usa la opción Mi dirección IP como dirección de origen y la opción Servidor DHCP como dirección de destino, cuando se cree una conexión con este filtro, se creará automáticamente un filtro que incluya la dirección IP de su equipo y la dirección IP del servidor DHCP que este equipo usa.

Nota

El complemento Monitor de seguridad IP también puede resolver direcciones IP en nombres DNS para la carpeta Filtros específicos de la carpeta Modo rápido, pero no de la carpeta Modo principal.

Adición, eliminación y ordenación de columnas

Puede agregar, quitar, reorganizar y ordenar por las siguientes columnas del panel de resultados:

  • Nombre.

  • Origen. Dirección IP del origen del paquete.

  • Destino. Dirección IP del destino del paquete.

  • Dirección. Especifica si el filtro es entrante o saliente.

  • Directiva IKE. Nombre de la directiva IKE; no es el nombre de la directiva IPsec creada con el complemento Directiva IPsec. Los detalles de la directiva, como el conjunto de algoritmos de cifrado usados, pueden verse en el elemento Directiva IKE.

  • Métodos de autenticación. Lista de todos los métodos de autenticación disponibles para el filtro, en orden de preferencia.

  • Peso. Prioridad que el servicio IPsec otorga al filtro. El peso se deriva de una serie de factores. Para obtener más información acerca de los pesos de filtro, vea https://go.microsoft.com/fwlink/?LinkId=62212 (puede estar en inglés).

    Nota

    La propiedad de peso se establece siempre en 0 en equipos que ejecutan Windows Vista®, Windows Server® 2008 o versiones posteriores de Windows.

Directivas IKE

La directiva IKE hace referencia a los métodos de cifrado o integridad que los dos equipos del mismo nivel pueden negociar en el intercambio de claves de modo principal.

Estadísticas

En esta tabla se muestran las estadísticas disponibles en la vista Estadísticas del modo principal:

Nota

Algunas de estas estadísticas no se aplican a los equipos que ejecutan Windows Vista, Windows Server 2008 o versiones posteriores de Windows.

Estadística de IKEDescripción

Adquisición activa

Una adquisición es una petición del controlador IPsec para que IKE realice una tarea. La estadística Adquisición activa incluye la petición pendiente y el número de peticiones en cola, si existen. Normalmente, el número de adquisiciones activas es 1. Cuando la carga de procesamiento es elevada, el número de adquisiciones activas es 1 y el número de peticiones en espera de procesamiento por parte de IKE aumenta.

Recepción activa

Número de mensajes IKE recibidos y en espera de procesamiento.

Errores de adquisición

Número de veces que una adquisición se completó con error.

Errores de recepción

Número de veces que la función WSARecvFrom() de Windows Sockets se completó con error al recibir mensajes IKE.

Errores de envío

Número de veces que la función WSASendTo() de Windows Sockets se completó con error al enviar mensajes IKE.

Tamaño de montón de adquisición

Número de entradas en el montón de adquisición, que almacena las adquisiciones activas. Este número aumenta cuando la carga es elevada y se reduce gradualmente con el tiempo, a medida que se va reduciendo el montón de adquisiciones.

Tamaño de montón de recepción

Número de entradas de los búferes de recepción de los mensajes de IKE entrantes.

Errores de autenticación

Número total de errores de autenticación de identidad (Kerberos, certificado y clave previamente compartida) producidos durante la negociación de modo principal. Si tiene dificultades para comunicarse con seguridad, intente establecer la comunicación y consulte esta estadística para ver si este número aumenta. Si en efecto aumenta, compruebe si en la configuración de la autenticación hay algún método que no corresponda o alguna opción incorrecta (por ejemplo, si se usan claves previamente compartidas que no coinciden).

Errores de negociación

Número total de errores de negociación producidos durante la negociación de modo principal o de modo rápido. Si tiene dificultades para comunicarse con seguridad, intente establecer la comunicación y consulte esta estadística para ver si este número aumenta. Si en efecto aumenta, compruebe si en la configuración de la autenticación y de los métodos de seguridad hay algún método de autenticación que no corresponda, alguna opción incorrecta (por ejemplo, si se usan claves previamente compartidas que no coinciden) u otra falta de correspondencia en los métodos o las opciones de seguridad.

Cookies no válidas recibidas

Una cookie es un valor contenido en un mensaje IKE recibido y que IKE usa para averiguar el estado de un modo principal activo. Si una cookie de un mensaje IKE recibido no corresponde a un modo principal activo, se considerará no válida.

Adquisición total

Número total de peticiones de trabajos que IKE envió al controlador IPsec.

Total de SPI obtenidos

Número total de peticiones que IKE envió al controlador IPsec para obtener un Índice de parámetros de seguridad (SPI) único.

Adiciones de claves

Número de SA de modo rápido salientes que IKE agregó al controlador IPsec.

Actualizaciones de claves

Número de SA de modo rápido entrantes que IKE agregó al controlador IPsec.

Errores de obtención de SPI

Número de peticiones con error que IKE envió al controlador IPsec para obtener un SPI único.

Errores de adición de claves

Número de peticiones con error de adición de SA de modo rápido salientes que IKE envió al controlador IPsec.

Errores de actualización de claves

Número de peticiones con error de adición de SA de modo rápido entrantes que IKE envió al controlador IPsec.

Tamaño de lista ISADB

Número de entradas de estado de modo principal, incluidos los modos principales negociados, en curso, y los que produjeron un error y no se eliminaron.

Tamaño de lista de conexión

Número de entradas de estado de modo rápido.

Modo principal IKE

Número total de SA creadas correctamente durante las negociaciones de modo principal.

Modo rápido IKE

Número total de SA creadas correctamente durante las negociaciones de modo rápido. Normalmente se crean varias SA de modo rápido por cada SA de modo principal y, por ello, este número no tiene que coincidir necesariamente con el número del modo principal.

Asociaciones débiles

Número total de negociaciones que provocaron el uso de texto simple (o también, SA débiles). Normalmente, este valor refleja el número de asociaciones formadas con equipos que no respondieron a los intentos de negociación de modo principal. Puede tratarse de equipos no compatibles con IPsec o de equipos compatibles con IPsec que no tienen una directiva IPsec para negociar la seguridad con este equipo del mismo nivel. Aunque las SA débiles no son el resultado de las negociaciones de los modos principal y rápido, se consideran SA de modo rápido.

Paquetes recibidos no válidos

Número de mensajes IKE no válidos recibidos; incluye los mensajes IKE con campos de encabezado no válidos, longitudes de carga incorrectas y valores erróneos para la cookie del receptor (cuando debe ser 0). La causa de que se produzcan mensajes IKE no válidos es normalmente la retransmisión de mensajes anticuados o a la falta de correspondencia de la clave previamente compartida entre los equipos del mismo nivel de IPsec.

Nota

Algunas de estas estadísticas pueden usarse para detectar intentos de ataques de red.

Asociaciones de seguridad

En esta vista se muestran las SA activas con este equipo. Una SA es la combinación de una clave negociada, un protocolo de seguridad y el SPI, que conjuntamente definen el método de seguridad usado para proteger la comunicación desde el remitente hasta el receptor. Por lo tanto, si se observan las asociaciones de seguridad del equipo, se pueden determinar los equipos conectados al equipo, el tipo de cifrado e integridad de datos que se está usando para estas conexiones y otra información.

Esta información puede resultar de gran ayuda para probar las directivas IPsec y solucionar problemas de acceso.

Adición, eliminación y ordenación de columnas

Puede agregar, quitar, reorganizar y ordenar por las siguientes columnas del panel de resultados:

  • Yo . Dirección IP del equipo local.

  • Mi Id.. Nombre DNS del equipo local.

  • Del mismo nivel. Dirección IP del mismo nivel o equipo remoto.

  • Id. del mismo nivel. Nombre DNS del mismo nivel o equipo remoto.

  • Autenticación. Método de autenticación usado en la creación de la SA.

  • Cifrado. Método de cifrado que usa la SA para intercambios de clave de modo rápido.

  • Integridad: Método de integridad de datos que usa la SA para intercambios de clave de modo rápido.

  • Diffie-Hellman. Grupo Diffie-Hellman usado para crear la SA del modo principal.

Referencias adicionales