La negoziazione IKE in modalità rapida, nota anche come Fase 2, consente di stabilire un canale sicuro tra due computer per proteggere i dati. Poiché questa fase prevede la definizione di associazioni di sicurezza (SA, Security Association) che vengono negoziate per conto del servizio IPSec, le associazioni di sicurezza create mentre è attiva la modalità rapida vengono indicate come associazioni di sicurezza IPSec. Quando è attiva la modalità rapida, il materiale per le chiavi viene aggiornato o, se necessario, vengono generate nuove chiavi. Viene inoltre selezionata una suite di protezione per traffico IP specificato. Una suite di protezione è un insieme definito di impostazioni per l'integrità o la crittografia dei dati. La modalità rapida non è considerata uno scambio completo, poiché dipende da uno scambio in modalità principale.

Monitorando le associazioni di sicurezza in modalità rapida è possibile ottenere informazioni sui peer attualmente connessi al computer, sulla suite di protezione utilizzata per creare l'associazione di sicurezza e così via.

Filtri generici

I filtri generici sono filtri IP configurati per utilizzare qualsiasi opzione per l'indirizzo IP come indirizzo di origine o di destinazione. IPSec inoltre consente di utilizzare parole chiave nella configurazione dei filtri, ad esempio Indirizzo IP, Server DNS, Server DHCP, Server WINS e Gateway predefinito. Quando vengono utilizzate parole chiave, i filtri generici visualizzano le parole chiave nello snap-in Monitor di sicurezza IP. È possibile ottenere filtri specifici da filtri generici espandendo le parole chiave in indirizzi IP.

Aggiungere, rimuovere e ordinare le colonne

Nel riquadro dei risultati è possibile aggiungere, rimuovere e ridisporre le colonne seguenti, nonché eseguire ordinamenti in base a esse:

  • Nome.

  • Origine. Indirizzo IP dell'origine del pacchetto.

  • Destinazione. Indirizzo IP della destinazione del pacchetto.

  • Porta di origine. Porta TCP o UDP dell'origine del pacchetto.

  • Porta di destinazione. Porta TCP o UDP della destinazione del pacchetto.

  • Endpoint tunnel di origine. Endpoint del tunnel più vicino al computer locale, qualora ne sia stato specificato uno.

  • Endpoint tunnel di destinazione. Endpoint del tunnel più vicino al computer di destinazione, qualora ne sia stato specificato uno.

  • Protocollo. Protocollo specificato nel filtro.

  • Operazione in entrata. Indica se il traffico in ingresso è consentito, bloccato o con negoziazione della sicurezza.

  • Operazione in uscita. Indica se il traffico in uscita è consentito, bloccato o con negoziazione della sicurezza.

  • Criterio di negoziazione. Nome del criterio di negoziazione in modalità rapida o impostazioni di crittografia.

  • Tipo di connessione. Tipo di connessione a cui è applicato il filtro, ovvero rete locale (LAN), accesso remoto o tutti i tipi di connessione di rete.

Filtri specifici

Per utilizzare filtri specifici, è necessario espandere i filtri generici utilizzando gli indirizzi IP del computer di origine o di destinazione per la connessione effettiva. Se ad esempio si dispone di un filtro che utilizza l'opzione Indirizzo IP come indirizzo di origine e l'opzione Server DHCP come indirizzo di destinazione, quando si crea una connessione con tale filtro, verrà creato automaticamente un filtro con l'indirizzo IP del computer e l'indirizzo IP del server DHCP utilizzato dal computer.

Aggiungere, rimuovere e ordinare le colonne

Nel riquadro dei risultati è possibile aggiungere, rimuovere e ridisporre le colonne seguenti, nonché eseguire ordinamenti in base a esse:

  • Nome.

  • Origine. Indirizzo IP dell'origine del pacchetto.

  • Destinazione. Indirizzo IP della destinazione del pacchetto.

  • Porta di origine. Porta TCP o UDP dell'origine del pacchetto.

  • Porta di destinazione. Porta TCP o UDP della destinazione del pacchetto.

  • Endpoint tunnel di origine. Endpoint del tunnel più vicino al computer locale, qualora ne sia stato specificato uno.

  • Endpoint tunnel di destinazione. Endpoint del tunnel più vicino al computer di destinazione, qualora ne sia stato specificato uno.

  • Protocollo. Protocollo specificato nel filtro.

  • Operazione in entrata. Indica se il traffico in ingresso è consentito, bloccato o con negoziazione della sicurezza.

  • Operazione in uscita. Indica se il traffico in uscita è consentito, bloccato o con negoziazione della sicurezza.

  • Criterio di negoziazione. Nome del criterio di negoziazione in modalità rapida o impostazioni di crittografia.

  • Peso. Priorità assegnata al filtro dal servizio IPsec. Lo spessore dipende da diversi fattori. Per ulteriori informazioni sui pesi dei filtri, visitare il sito Web all'indirizzo https://go.microsoft.com/fwlink/?LinkId=62212.

    Nota

    La proprietà relativa al peso è sempre impostata su 0 nei computer che eseguono Windows Vista®, Windows Server® 2008 o versioni successive di Windows.

Criteri di negoziazione

Per criterio di negoziazione si intende l'ordine di preferenza dei metodi di sicurezza che i due computer peer concordano di utilizzare per comunicare reciprocamente durante le negoziazioni in modalità rapida.

Statistiche

In questa tabella sono riportate le statistiche disponibili dalla visualizzazione Statistiche della modalità rapida:

Statistica IPSecDescrizione

Associazioni di sicurezza attive

Numero delle associazioni di sicurezza IPSec attive.

Associazioni di sicurezza scaricate

Numero delle associazioni di sicurezza IPSec attive con scaricamento sull'hardware.

Operazioni chiave in sospeso

Numero delle operazioni per le chiavi IPSec in corso.

Aggiunte chiavi

Numero totale delle negoziazioni di associazioni di sicurezza IPSec completate.

Eliminazioni chiavi

Numero delle eliminazioni di chiavi per le associazioni di sicurezza IPSec.

Reimposta le chiavi

Numero delle operazioni di reimpostazione delle chiavi per le associazioni di sicurezza IPSec.

Tunnel attivi

Numero dei tunnel IPSec attivi.

Pacchetti SPI errati

Numero totale dei pacchetti con SPI (Security Parameters Index) non corretto. Tale indice consente di trovare le corrispondenze tra i pacchetti in ingresso e le associazioni di sicurezza. Se l'indice non è corretto, è possibile che l'associazione di sicurezza in ingresso sia scaduta e che sia recentemente arrivato un pacchetto che utilizza l'indice precedente. È probabile che il valore aumenti se gli intervalli di reimpostazione delle chiavi sono brevi ed esiste un numero elevato di associazioni di sicurezza. È normale che le associazioni di sicurezza scadano e pertanto la presenza di un pacchetto SPI errato non significa necessariamente che vi sia un problema di sicurezza IPSec.

Pacchetti non decrittografati

Numero totale dei pacchetti che non è stato possibile decrittografare. Questo errore può indicare che è arrivato un pacchetto per un'associazione di sicurezza scaduta. In tal caso, viene eliminata anche la chiave di sessione che consente di decrittografare il pacchetto. Anche in questo caso, ciò non significa necessariamente che vi sia un problema di protezione IPSec.

Pacchetti non autenticati

Numero totale dei pacchetti per cui non è possibile controllare i dati. L'errore è in genere causato da un'associazione di sicurezza scaduta.

Pacchetti con rilevamento risposta

Numero totale dei pacchetti contenenti un campo Numero sequenza valido.

Byte riservati inviati

Numero totale dei byte inviati tramite il protocollo ESP.

Byte riservati ricevuti

Numero totale dei byte ricevuti tramite il protocollo ESP.

Byte autenticati inviati

Numero totale dei byte inviati tramite il protocollo AH.

Byte autenticati ricevuti

Numero totale dei byte ricevuti tramite il protocollo AH.

Byte di trasporto inviati

Numero totale dei byte inviati tramite la modalità di trasporto IPSec.

Byte di trasporto ricevuti

Numero totale dei byte ricevuti tramite la modalità di trasporto IPSec.

Byte inviati nei tunnel

Numero totale dei byte inviati tramite la modalità tunnel IPSec.

Byte ricevuti nei tunnel

Numero totale dei byte ricevuti tramite la modalità tunnel IPSec.

Byte scaricati inviati

Numero totale dei byte inviati tramite scaricamento sull'hardware.

Byte scaricati ricevuti

Numero totale dei byte ricevuti tramite scaricamento sull'hardware.

Nota

Alcune di queste statistiche possono essere utilizzate per rilevare tentativi di attacco alla rete.

Associazioni sicurezza

In questa visualizzazione vengono mostrate le associazioni di sicurezza attive nel computer. Un'associazione di sicurezza (SA, Security Association) è la combinazione di una chiave negoziata, un protocollo di sicurezza e un indice dei parametri di sicurezza (SPI, Security Parameters Index), che insieme contribuiscono a definire la sicurezza utilizzata per la comunicazione tra mittente e ricevente. Esaminando le associazioni di sicurezza relative al computer in uso, è pertanto possibile determinare quali computer stabiliscono connessioni con esso, il tipo di integrità e crittografia dei dati utilizzato per la connessione e così via.

Queste informazioni possono essere particolarmente utili durante la verifica dei criteri IPSec o la risoluzione dei problemi di accesso.

Aggiungere, rimuovere e ordinare le colonne

Nel riquadro dei risultati è possibile aggiungere, rimuovere e ridisporre le colonne seguenti, nonché eseguire ordinamenti in base a esse:

  • Utente. Indirizzo IP del computer locale.

  • Peer. Indirizzo IP del computer remoto.

  • Protocollo. Protocollo specificato nel filtro.

  • Porta utente. Porta TCP o UDP del computer locale specificato nel filtro.

  • Porta Peer. Porta TCP o UDP del computer remoto specificato nel filtro.

  • Criterio di negoziazione. Nome del criterio di negoziazione in modalità rapida o impostazioni di crittografia.

  • Integrità AH: Metodo di integrità dei dati specifico del protocollo AH utilizzato per le comunicazioni peer.

  • Riservatezza ESP. Metodo di crittografia specifico del protocollo ESP utilizzato per le comunicazioni peer.

  • Integrità ESP. Metodo di integrità dei dati specifico del protocollo ESP utilizzato per le comunicazioni peer.

  • Endpoint tunnel. Endpoint del tunnel più vicino al computer locale, qualora ne sia stato specificato uno.

  • Endpoint tunnel peer. Endpoint del tunnel più vicino al computer locale, qualora ne sia stato specificato uno.

Ulteriori riferimenti