La négociation IKE (Internet Key Exchange) du mode principal établit un canal sécurisé, connu sous le nom d’association de sécurité ISAKMP (Internet Security Association and Key Management Protocol), entre deux ordinateurs. Cette association de sécurité sert à protéger les échanges ultérieurs de clés entre deux ordinateurs homologues, que l’on appelle la négociation de mode rapide. Pour établir le canal sécurisé, la négociation de mode principal détermine un ensemble de suites de protections chiffrées et un support de gestion de clés d’échange pour créer la clé secrète partagée, et authentifie l’identité des ordinateurs.
L’analyse des associations de sécurité du mode principal peut fournir des informations permettant de déterminer, notamment, quels homologues sont actuellement connectés à l’ordinateur local, à quel moment l’association de sécurité a été créée ou quelle suite de protections a été utilisée pour créer l’association de sécurité.
Filtres génériques
Les filtres génériques sont des filtres IP configurés pour utiliser toutes les options d’adresse IP en tant qu’adresse source ou adresse de destination. IPsec vous autorise à utiliser des mots clés, tels que Mon adresse IP, Serveur DNS, Serveur DHCP, Serveurs WINS et Passerelle par défaut, dans la configuration des filtres. Lorsque vous utilisez des mots clés, les filtres génériques affichent ces derniers dans le composant logiciel enfichable Moniteur de sécurité IP. Les filtres spécifiques sont obtenus en développant les mots clés dans des adresses IP.
Ajout, suppression et tri des colonnes
Vous pouvez ajouter, supprimer, réorganiser et trier les colonnes dans le volet de résultats :
- Nom.
- Source. Adresse IP de la source du paquet.
- Destination. Adresse IP de la destination du paquet.
- Stratégie IKE. Il s’agit du nom de la stratégie IKE associée à ce filtre générique, et non du nom de la stratégie de sécurité IP que vous avez créée dans le composant logiciel enfichable Stratégie IPsec. Vous pouvez consulter les détails concernant la stratégie (par exemple, les algorithmes de chiffrement utilisés) dans l’élément Stratégie IKE.
- Méthodes d’authentification. Liste de toutes les méthodes d’authentification disponibles pour le filtre, par ordre de préférence.
- Type de connexion. Il s’agit du type de connexion auquel s’applique ce filtre, que ce soit un réseau local, un accès distant ou tout autre type de connexion réseau.
Filtres spécifiques
Les filtres spécifiques sont développés à partir des filtres génériques en utilisant les adresses IP de l’ordinateur source ou de destination pour la connexion réelle. Par exemple, si vous avez un filtre qui a utilisé l’option Mon adresse IP comme adresse source et l’option Serveur DHCP comme adresse de destination, lorsque la connexion s’établit au moyen de ce filtre, un filtre comportant l’adresse IP de votre ordinateur et l’adresse IP du serveur DHCP utilisée par l’ordinateur local est créé automatiquement.
 | Remarques |
Le composant logiciel enfichable Moniteur de sécurité IP peut également résoudre les adresses IP en noms DNS pour le dossier Filtres spécifiques dans le dossier Mode rapide, mais pas dans le dossier Mode principal. |
Ajout, suppression et tri des colonnes
Vous pouvez ajouter, supprimer, réorganiser et trier les colonnes dans le volet de résultats :
- Nom.
- Source. Adresse IP de la source du paquet.
- Destination. Adresse IP de la destination du paquet.
- Direction. Permet de préciser si le filtre est entrant ou sortant.
- Stratégie IKE. Il s’agit du nom de la stratégie IKE, et non du nom de la stratégie de sécurité IP que vous avez créée dans le composant logiciel enfichable Stratégie IPsec. Vous pouvez consulter les détails concernant la stratégie (par exemple, les algorithmes de chiffrement utilisés) dans l’élément Stratégie IKE.
- Méthodes d’authentification. Liste de toutes les méthodes d’authentification disponibles pour le filtre, par ordre de préférence.
- Poids. Il s’agit de la priorité que le service IPsec donne au filtre. Le poids découle d’un certain nombre de facteurs. Pour plus d’informations sur les poids des filtres, voir
https://go.microsoft.com/fwlink/?LinkId=62212 (éventuellement en anglais) .
Remarques La valeur de la propriété de poids est toujours 0 sur les ordinateurs exécutant Windows Vista®, Windows Server® 2008 ou des versions ultérieures de Windows.
Stratégies IKE
La stratégie IKE se rapporte aux méthodes d’intégrité ou de chiffrement que les deux ordinateurs homologues peuvent négocier dans l’échange de clés du mode principal.
Statistiques
Ce tableau affiche les statistiques disponibles dans l’affichage Statistiques du mode principal :
| Remarques |
Certaines de ces statistiques ne s’appliquent pas aux ordinateurs exécutant Windows Vista, Windows Server 2008 ou des versions ultérieures de Windows. |
| Statistique IKE | Description |
|---|---|
Acquisition active | Une acquisition est une demande émise par le pilote IPsec de réalisation d’une tâche par IKE. La statistique Acquisition active comprend la demande en suspens et le nombre de demandes en file d’attente, le cas échéant. En général, le nombre d’acquisitions actives est égal à 1. Lorsque la charge est lourde, ce nombre est égal à 1 plus le nombre de demandes mises en file d’attente par IKE pour gérer l’augmentation du volume. |
Réception active | Nombre de messages IKE reçus mis en file d’attente avant d’être traités. |
Échecs d’acquisition | Nombre de fois où une acquisition a échoué. |
Échecs de réception | Nombre de fois où la fonction Windows Sockets WSARecvFrom() a échoué lors de la réception de messages IKE. |
Échecs d’émission | Nombre de fois où la fonction Windows Sockets WSASendTo() a échoué lors de l’envoi de messages IKE. |
Acquisition de la taille du segment | Nombre d’entrées figurant dans le segment d’acquisition, qui stocke les acquisitions actives. Ce nombre croît lorsque la charge est importante, puis diminue à mesure que le temps passe et que le segment d’acquisition se vide. |
Réception de la taille du segment | Nombre d’entrées figurant dans les tampons de réception IKE pour les messages IKE entrants. |
Échecs d’authentification | Nombre total d’échecs d’authentification des identités (Kerberos, certificat et clé pré-partagée) qui ont eu lieu durant la négociation de mode principal. Si vous avez des difficultés à communiquer de manière sécurisée, lancez la communication et consultez cette statistique pour déterminer si ce nombre augmente. Si c’est le cas, contrôlez les paramètres d’authentification afin de déterminer s’il existe une configuration incorrecte ou une non-concordance dans la méthode d’authentification (telle que l’emploi de clés pré-partagées non couplées). |
Échec des négociations | Nombre total d’échecs de négociations survenus au cours des négociations de mode rapide ou principal. Si vous avez des difficultés à communiquer de manière sécurisée, lancez la communication et consultez cette statistique pour déterminer si ce nombre augmente. Si c’est le cas, contrôlez les paramètres des méthodes d’authentification et de sécurité afin de déterminer s’il existe une configuration incorrecte ou une non-concordance dans la méthode d’authentification (telle que l’emploi de clés pré-partagées non couplées) ou dans les paramètres et méthodes de sécurité. |
Cookies non valides reçus | Un cookie est une valeur contenue dans un message IKE reçu et qui est utilisée par IKE pour déterminer l’état d’un mode principal actif. Un cookie figurant dans un message IKE reçu qui ne correspond à aucun mode principal actif n’est pas valide. |
Acquisition totale | Nombre total de demandes de travail soumises par IKE au pilote IPsec. |
Obtention totale de SPI | Nombre total de demandes soumises par IKE au pilote IPsec en vue d’obtenir un index des paramètres de sécurité (SPI, Security Parameters Index). |
Ajouts de clés | Nombre d’associations de sécurité de mode rapide sortantes ajoutées par IKE au pilote IPsec. |
Mises à jour de clés | Nombre d’associations de sécurité de mode rapide entrantes ajoutées par IKE au pilote IPsec. |
Obtenir les échecs SPI | Nombre total de demandes soumises par IKE au pilote IPsec en vue d’obtenir un index SPI unique. |
Échec de l’addition de clés | Nombre de demandes d’ajout d’associations de sécurité de mode rapide sortantes soumises par IKE au pilote IPsec. |
Échec de l’ajout de clés | Nombre de demandes d’ajout d’associations de sécurité de mode rapide entrantes soumises par IKE au pilote IPsec. |
Taille de la liste ISADB | Nombre d’entrées d’état de mode principal, y compris les modes principaux négociés, en cours et ayant échoué sans avoir été supprimés. |
Taille de la liste de connexion | Nombre d’entrées d’état de mode rapide. |
Mode principal IKE | Nombre total de créations d’associations de sécurité ayant réussi durant les négociations de mode principal. |
Mode rapide IKE | Nombre total de créations d’associations de sécurité ayant réussi durant les négociations de mode rapide. Dans la mesure où plusieurs associations de sécurité de mode rapide sont généralement créées pour chaque association de sécurité de mode principal, ce nombre ne correspond pas nécessairement au nombre indiqué pour Mode principal Oakley. |
Associations logicielles | Nombre total de négociations qui ont abouti à l’emploi du texte brut (également appelées SA logicielles). En général, ce nombre est directement lié au nombre d’associations formées avec des ordinateurs qui n’ont pas répondu à des tentatives de négociation de mode principal. Il peut s’agir non seulement d’ordinateurs non compatibles avec IPsec, mais aussi d’ordinateurs compatibles avec IPsec tout en étant dépourvus d’une stratégie IPsec qui leur permette de négocier la sécurité avec leur homologue IPsec. Bien que les associations de sécurité logicielles ne résultent pas de négociations de mode principal ou rapide, elles sont considérées comme des associations de sécurité de mode rapide. |
Paquets non valides reçus | Nombre de messages IKE reçus et n’étant pas valides, parmi lesquels figurent notamment les messages IKE dotés de champs d’en-tête non valides, de longueurs de charge utile incorrectes et de valeurs incorrectes pour le cookie du répondeur (alors qu’il devrait indiquer la valeur 0). Les messages IKE non valides résultent souvent de la retransmission de messages IKE obsolètes ou de la non-concordance de clés pré-partagées entre homologues IPsec. |
| Remarques |
Certaines de ces statistiques peuvent servir à détecter des tentatives d’attaques sur le réseau. |
Associations de sécurité
Cet affichage présente les associations de sécurité actives de l’ordinateur local Une association de sécurité est la combinaison d’une clé négociée, d’un protocole de sécurité et d’un index des paramètres de sécurité (SPI, security parameters index). Cette combinaison définit la sécurité mise en œuvre pour protéger la communication de l’expéditeur au destinataire. Ainsi, en observant les associations de sécurité de l’ordinateur local, vous pouvez déterminer les ordinateurs ayant une connexion avec celui-ci, le type d’intégrité et de chiffrement des données utilisé pour cette connexion, et bien d’autres informations.
Ces informations peuvent se révéler utiles pour tester les stratégies de sécurité IP et résoudre les problèmes d’accès.
Ajout, suppression et tri des colonnes
Vous pouvez ajouter, supprimer, réorganiser et trier les colonnes dans le volet de résultats :
- Moi. Adresse IP de l’ordinateur local.
- Mon ID. Nom DNS de l’ordinateur local.
- Homologue. Adresse IP de l’ordinateur distant ou homologue.
- ID homologue. Nom DNS de l’ordinateur distant ou homologue.
- Authentification. Méthode d’authentification utilisée lors de la création de l’association de sécurité.
- Chiffrement. Méthode de chiffrement utilisée par l’association de sécurité pour les échanges de clé de mode rapide.
- Intégrité. Méthode d’intégrité des données utilisée par l’association de sécurité pour les échanges de clé de mode rapide.
- Diffie-Hellman. Groupe Diffie-Hellman utilisé pour créer l’association de sécurité de mode principal.