La negoziazione IKE (Internet Key Exchange) in modalità principale consente di stabilire tra due computer un canale sicuro, noto come associazione di sicurezza (SA, Security Association) ISAKMP (Internet Security Association and Key Management Protocol). L'associazione di sicurezza ISAKMP viene utilizzata per proteggere i successivi scambi di chiave tra computer peer, operazione conosciuta come negoziazione in modalità rapida. Per stabilire il canale sicuro, la negoziazione in modalità principale determina un insieme di suite di protezione crittografica, scambia materiale per le chiavi per stabilire la chiave privata condivisa e autentica le identità dei computer.
Monitorando le associazioni di sicurezza in modalità principale è possibile ottenere informazioni sui peer attualmente connessi al computer, sulla data di creazione dell'associazione di sicurezza, sulla suite di protezione utilizzata per creare l'associazione di sicurezza e così via.
Filtri generici
I filtri generici sono filtri IP configurati per utilizzare qualsiasi opzione per l'indirizzo IP come indirizzo di origine o di destinazione. IPSec consente di utilizzare parole chiave nella configurazione dei filtri, ad esempio Indirizzo IP, Server DNS, Server DHCP, Server WINS e Gateway predefinito. Quando vengono utilizzate parole chiave, i filtri generici visualizzano le parole chiave nello snap-in Monitor di sicurezza IP. È possibile ottenere filtri specifici espandendo le parole chiave in indirizzi IP.
Aggiungere, rimuovere e ordinare le colonne
Nel riquadro dei risultati è possibile aggiungere, rimuovere e ridisporre le colonne seguenti, nonché eseguire ordinamenti in base a esse:
- Nome.
- Origine. Indirizzo IP dell'origine del pacchetto.
- Destinazione. Indirizzo IP della destinazione del pacchetto.
- Criterio IKE. Indica il nome del criterio IKE associato al filtro generico e non il nome del criterio IPSec creato utilizzando lo snap-in Criteri di sicurezza IP. I dettagli relativi al criterio, ad esempio l'insieme di algoritmi di crittografia utilizzato, sono visibili nel nodo Criterio IKE.
- Metodi di autenticazione. Elenco di tutti i metodi di autenticazione disponibili per il filtro, in ordine di preferenza.
- Tipo di connessione. Tipo di connessione a cui è applicato il filtro, ovvero rete locale (LAN), accesso remoto o tutti i tipi di connessione di rete.
Filtri specifici
Per utilizzare filtri specifici, è necessario espandere i filtri generici utilizzando gli indirizzi IP del computer di origine o di destinazione per la connessione effettiva. Se ad esempio si dispone di un filtro che utilizza l'opzione Indirizzo IP come indirizzo di origine e l'opzione Server DHCP come indirizzo di destinazione, quando si crea una connessione con tale filtro, verrà creato automaticamente un filtro con l'indirizzo IP del computer e l'indirizzo IP del server DHCP utilizzato dal computer.
 | Nota |
Lo snap-in Monitor di sicurezza IP è inoltre in grado di risolvere gli indirizzi IP in nomi DNS per la sottocartella Filtri specifici della cartella Modalità rapida, ma non della cartella Modalità principale. |
Aggiungere, rimuovere e ordinare le colonne
Nel riquadro dei risultati è possibile aggiungere, rimuovere e ridisporre le colonne seguenti, nonché eseguire ordinamenti in base a esse:
- Nome.
- Origine. Indirizzo IP dell'origine del pacchetto.
- Destinazione. Indirizzo IP della destinazione del pacchetto.
- Direzione. Specifica se il filtro è in ingresso o in uscita.
- Criterio IKE. Indica il nome del criterio IKE e non il nome del criterio IPSec creato utilizzando lo snap-in Criteri di sicurezza IP. I dettagli relativi al criterio, ad esempio l'insieme di algoritmi di crittografia utilizzato, sono visibili nel nodo Criterio IKE.
- Metodi di autenticazione. Elenco di tutti i metodi di autenticazione disponibili per il filtro, in ordine di preferenza.
- Peso. Priorità assegnata al filtro dal servizio IPsec. Il peso dipende da numerosi fattori. Per ulteriori informazioni sui pesi dei filtri, visitare il sito Web all'indirizzo
https://go.microsoft.com/fwlink/?LinkId=62212 .
Nota La proprietà relativa al peso è sempre impostata su 0 nei computer che eseguono Windows Vista®, Windows Server® 2008 o versioni successive di Windows.
Criteri IKE
Il criterio IKE è relativo ai metodi di integrità o crittografia che i due computer peer possono utilizzare per le negoziazioni durante lo scambio di chiave in modalità principale.
Statistiche
In questa tabella sono riportate le statistiche disponibili dalla visualizzazione Statistiche della modalità principale:
| Nota |
Alcune di queste statistiche non si applicano ai computer che eseguono Microsoft Windows Vista, Windows Server 2008 o versioni successive di Windows. |
| Statistica IKE | Descrizione |
|---|---|
Acquisizione attiva | Un'acquisizione è una richiesta di esecuzione di un'attività da parte di IKE avanzata dal driver IPSec. Queste informazioni includono la richiesta in attesa e il numero di eventuali richieste in coda. Il numero delle acquisizioni attive è in genere uguale a 1. In caso di un carico elevato, il numero è comunque uguale a 1, mentre aumenta il numero delle richieste accodate da IKE per l'elaborazione. |
Ricezione attiva | Numero dei messaggi IKE ricevuti accodati per l'elaborazione. |
Acquisizione non riuscite | Numero delle volte in cui un'acquisizione ha avuto esito negativo. |
Ricezioni non riuscite | Numero delle volte in cui la funzione Windows Sockets WSARecvFrom() ha avuto esito negativo durante la ricezione di messaggi IKE. |
Invii non riusciti | Numero delle volte in cui la funzione Windows Sockets WSASendTo() ha avuto esito negativo durante l'invio di messaggi IKE. |
Acquisizione dimensioni heap | Numero delle voci nell'heap di acquisizione, nel quale vengono archiviate le acquisizioni attive. Il valore aumenta in caso di carico elevato e diminuisce man mano che l'heap di acquisizione viene svuotato. |
Ricezione dimensioni heap | Numero di voci nei buffer di ricezione IKE per i messaggi IKE in ingresso. |
Errori di autenticazione | Numero totale degli errori di autenticazione dell'identità (Kerberos, certificato e chiave già condivisa) che si sono verificati durante la negoziazione in modalità principale. In caso di problemi nelle comunicazioni sicure, tentare la comunicazione e verificare in questa statistica se il valore aumenta. Se il valore aumenta, controllare se nelle impostazioni di autenticazione è presente un metodo senza corrispondenze o una configurazione di un metodo di autenticazione non corretta, ad esempio chiavi già condivise non corrispondenti. |
Negoziazioni non riuscite | Numero totale di negoziazioni non riuscite durante le negoziazioni in modalità principale o in modalità rapida. In caso di problemi nelle comunicazioni sicure, tentare la comunicazione e verificare in questa statistica se il valore aumenta. Se il valore aumenta, controllare se nelle impostazioni dei metodi di autenticazione e di sicurezza è presente un metodo di autenticazione senza corrispondenze, una configurazione di un metodo di autenticazione non corretta, ad esempio chiavi già condivise non corrispondenti, o metodi e impostazioni di sicurezza senza corrispondenze. |
Ricevuti cookie non validi | Un cookie è un valore contenuto in un messaggio IKE ricevuto, utilizzato da IKE per trovare lo stato di una modalità principale attiva. Un cookie in un messaggio IKE ricevuto che non corrisponde a una modalità principale attiva non è valido. |
Totale acquisizioni | Numero totale delle richieste di elaborazione inviate da IKE al driver IPSec. |
Totale ricerche SPI | Numero totale delle richieste inviate da IKE al driver IPSec per ottenere un indice dei parametri di sicurezza (SPI, Security Parameters Index) univoco. |
Aggiunte chiavi | Numero delle associazioni di sicurezza in modalità rapida in uscita aggiunte da IKE al driver IPSec. |
Aggiornamenti chiavi | Numero delle associazioni di sicurezza in modalità rapida in ingresso aggiunte da IKE al driver IPSec. |
Ricerche SPI non riuscite | Numero delle richieste non riuscite inviate da IKE al driver IPSec per ottenere un indice SPI univoco. |
Aggiunta chiave non riuscita | Numero delle richieste di aggiunta di associazioni di sicurezza in modalità rapida in uscita non riuscite inviate da IKE al driver IPSec. |
Aggiornamento chiave non riuscito | Numero delle richieste di aggiunta di associazioni di sicurezza in modalità rapida in ingresso non riuscite inviate da IKE al driver IPSec. |
Dimensioni elenco ISADB | Numero delle voci di stato della modalità principale, comprendente le modalità principali negoziate, in corso e non riuscite che non sono state eliminate. |
Dimensioni elenco connessioni | Numero delle voci di stato della modalità rapida. |
Modalità principale IKE | Numero totale delle associazioni di sicurezza create durante le negoziazioni in modalità principale. |
Modalità rapida IKE | Numero totale delle associazioni di sicurezza create durante le negoziazioni in modalità rapida. Poiché in genere esistono più associazioni di sicurezza in modalità rapida per ogni associazione di sicurezza in modalità principale, il valore non corrisponde necessariamente al valore relativo alla modalità principale. |
Associazioni deboli | Numero totale delle negoziazioni che hanno portato all'utilizzo di testo non crittografato, denominate anche associazioni di sicurezza trasferibili. Questo valore in genere corrisponde al numero delle associazioni create con computer che non hanno risposto ai tentativi di negoziazione in modalità principale. Può trattarsi di computer che non supportano IPSec e di computer che supportano questo sistema di sicurezza ma che non dispongono di criteri IPSec per negoziare la sicurezza con il peer IPSec. Benché le associazioni di sicurezza trasferibili non derivino da negoziazioni in modalità principale o rapida, vengono considerate comunque come associazioni di sicurezza in modalità rapida. |
Pacchetti non validi ricevuti | Numero dei messaggi IKE ricevuti non validi, comprendente i messaggi IKE con campi di intestazione non validi, lunghezze di payload non corrette e valori non corretti per il cookie del risponditore, che di solito è impostato su 0. I messaggi IKE non validi sono in genere causati dalla ritrasmissione di messaggi IKE non aggiornati o da una chiave già condivisa non corrispondente tra i peer IPSec. |
| Nota |
Alcune di queste statistiche possono essere utilizzate per rilevare tentativi di attacco alla rete. |
Associazioni sicurezza
In questa visualizzazione vengono mostrate le associazioni di sicurezza attive nel computer. Un'associazione di sicurezza (SA, Security Association) è la combinazione di una chiave negoziata, un protocollo di sicurezza e un indice dei parametri di sicurezza (SPI, Security Parameters Index), che insieme contribuiscono a definire la sicurezza utilizzata per proteggere la comunicazione tra mittente e ricevente. Esaminando le associazioni di sicurezza relative al computer in uso, è pertanto possibile determinare quali computer stabiliscono connessioni con esso, il tipo di integrità e crittografia dei dati utilizzato per la connessione e così via.
Queste informazioni possono essere particolarmente utili durante la verifica dei criteri IPSec e la risoluzione dei problemi di accesso.
Aggiungere, rimuovere e ordinare le colonne
Nel riquadro dei risultati è possibile aggiungere, rimuovere e ridisporre le colonne seguenti, nonché eseguire ordinamenti in base a esse:
- Utente. Indirizzo IP del computer locale.
- ID. Nome DNS del computer locale.
- Peer. Indirizzo IP del computer remoto o peer.
- ID peer. Nome DNS del computer remoto o peer.
- Autenticazione. Metodo di autenticazione utilizzato per la creazione dell'associazione di sicurezza.
- Crittografia. Metodo di crittografia utilizzato dall'associazione di sicurezza per gli scambi di chiavi in modalità rapida.
- Integrità. Metodo di integrità dei dati utilizzato dall'associazione di sicurezza per gli scambi di chiavi in modalità rapida.
- Diffie-Hellman. Gruppo Diffie-Hellman utilizzato per creare l'associazione di sicurezza in modalità principale.