A negociação IKE de Modo Rápido (também conhecida como Fase 2) estabelece um canal seguro entre dois computadores para a protecção de dados. Visto que esta fase envolve o estabelecimento de associações de segurança (SAs) negociadas em nome do serviço IPsec, as SAs criadas durante o Modo Rápido são chamadas SAs IPsec. Durante o Modo Rápido, o material de codificação é actualizado ou, se necessário, são geradas novas chaves. Também é seleccionado um conjunto de protecção que protege tráfego IP especificado. Um conjunto de protecção é um conjunto estabelecido de definições de integridade ou encriptação de dados. O Modo Rápido não é considerado uma troca completa porque depende de uma troca do Modo Principal.
A monitorização das SAs de Modo Rápido pode fornecer informações sobre os elementos que estão actualmente ligados a este computador, o conjunto de protecção utilizado para formar a SA e outras informações.
Filtros genéricos
Os filtros genéricos são filtros IP configurados para utilização de qualquer opção do endereço IP como endereço de origem ou destino. O IPsec também permite a utilização de palavras-chave, tais como O Meu Endereço IP, Servidor DNS, Servidor DHCP, Servidores WINS e Gateway Predefinido, na configuração dos filtros. Quando são utilizadas palavras-chave, os filtros genéricos mostram as palavras-chave no snap-in Monitorização de Segurança IP. Os filtros específicos são derivados de filtros genéricos através da expansão de palavras-chave em endereços IP.
Adicionar, remover e ordenar colunas
Pode adicionar, remover, alterar a disposição e ordenar pelas seguintes colunas no painel de resultados:
- Nome.
- Origem. É o endereço IP da origem do pacote.
- Destino. É o endereço IP do destino do pacote.
- Porta de Origem. É a porta TCP ou UDP da origem do pacote.
- Porta de Destino. É a porta TCP ou UDP do destino do pacote.
- Ponto Final do Túnel de Origem. É o ponto final do túnel mais perto do computador local, se tiver sido especificado um.
- Ponto Final do Túnel de Destino. É o ponto final do túnel mais perto do computador de destino, se tiver sido especificado um.
- Protocolo. É o protocolo especificado no filtro.
- Acção de Entrada. Indica se o tráfego de entrada é Permitido, Bloqueado ou utiliza a acção Negociar Segurança.
- Acção de Saída. Indica se o tráfego de saída é Permitido, Bloqueado ou utiliza a acção Negociar Segurança.
- Política de Negociação. É o nome da política de negociação de Modo Rápido ou as definições criptográficas.
- Tipo de Ligação. É o tipo de ligação ao qual este filtro é aplicado: rede local (LAN), acesso remoto ou todos os tipos de ligação de rede.
Filtros específicos
Os filtros específicos são expandidos a partir dos filtros genéricos através da utilização dos endereços IP do computador de origem ou destino da ligação real. Por exemplo, se tiver um filtro que utilizava a opção O Meu Endereço IP como endereço de origem e a opção Servidor DHCP como endereço de destino, quando for formada uma ligação que utilize este filtro, é criado um filtro que tem o endereço IP do seu computador e o endereço do servidor DHCP utilizado por este computador é criado automaticamente.
Adicionar, remover e ordenar colunas
Pode adicionar, remover, alterar a disposição e ordenar pelas seguintes colunas no painel de resultados:
- Nome.
- Origem. É o endereço IP da origem do pacote.
- Destino. É o endereço IP do destino do pacote.
- Porta de Origem. É a porta TCP ou UDP da origem do pacote.
- Porta de Destino. É a porta TCP ou UDP do destino do pacote.
- Ponto Final do Túnel de Origem. É o ponto final do túnel mais perto do computador local, se tiver sido especificado um.
- Ponto Final do Túnel de Destino. É o ponto final do túnel mais perto do computador de destino, se tiver sido especificado um.
- Protocolo. É o protocolo especificado no filtro.
- Acção de Entrada. Indica se o tráfego de entrada é Permitido, Bloqueado ou utiliza a acção Negociar Segurança.
- Acção de Saída. Indica se o tráfego de saída é Permitido, Bloqueado ou utiliza a acção Negociar Segurança.
- Política de Negociação. É o nome da política de negociação de Modo Rápido ou as definições criptográficas.
- Importância. É a prioridade atribuída ao filtro pelo serviço IPsec. A importância é derivada de vários factores. Para obter mais informações sobre a importância de pacotes, consulte
https://go.microsoft.com/fwlink/?LinkId=62212 (pode estar em inglês).
Nota A propriedade importância está sempre definida para 0 em computadores que executam o Windows Vista®, Windows Server® 2008 ou versões posteriores do Windows.
Políticas de negociação
A política de negociação é a ordem de preferência de métodos de segurança que dois computadores numa rede ponto a ponto concordam em utilizar quando comunicam entre si durante as negociações de Modo Rápido.
Estatísticas
Este rótulo apresenta as estatísticas disponíveis a partir da vista Estatísticas de Modo Rápido:
| Estatística IPsec | Descrição |
|---|---|
Associações de Segurança Activas | É o número de SAs IPSec activas. |
Associações de Segurança Descarregadas | É o número de SAs IPSec activas descarregadas para o hardware. |
Operações com Chave Pendentes | É o número de operações com chave IPSec em curso. |
Adições de Chaves | É o número total de negociações de SA IPSec com êxito. |
Eliminações de Chave | É o número de eliminações de chave SAs IPSec. |
Recodificações | É o número de operações de recodificação SAs IPSec. |
Túneis Activos | É o número de túneis IPSec activos. |
Pacotes SPI Incorrectos | É o número total de pacotes para os quais o Índice de Parâmetros de Segurança (SPI) estava incorrecto. O SPI é utilizado para fazer corresponder pacotes de entrada a SAs. Se o SPI estiver incorrecto, poderá significar que a SA de entrada expirou e que chegou recentemente um pacote que utiliza o SPI antigo. Este número poderá aumentar se os intervalos de recodificação forem curtos e se houver um grande número de SAs. Visto que as SAs expiram em condições normais, um pacote SPI incorrecto não significa necessariamente que o IPSec está a falhar. |
Pacotes não Desencriptados | É o número total de pacotes que falharam a desencriptação. Esta falha poderá indicar que chegou um pacote para uma SA que tinha expirado. Se a SA expirar, a chave de sessão utilizada para desencriptar o pacote será também eliminada. Isto não significa necessariamente que o IPSec está a falhar. |
Pacotes não Autenticados | É o número total de pacotes cujos dados não puderam ser verificados. É provável que esta falha seja causada por uma SA expirada. |
Pacotes com Detecção de Reprodução | É o número total de pacotes que continham um campo Número de Sequência válido. |
Bytes Confidenciais Enviados | É o número total de bytes enviados através do protocolo ESP. |
Bytes Confidenciais Recebidos | É o número total de bytes recebidos através do protocolo ESP. |
Bytes Autenticados Enviados | É o número total de bytes enviados através do protocolo AH. |
Bytes Autenticados Recebidos | É o número total de bytes recebidos através do protocolo AH. |
Bytes de Transporte Enviados | É o número total de bytes enviados através do Modo de Transporte IPSec. |
Bytes de Transporte Recebidos | É o número total de bytes recebidos através do Modo de Transporte IPSec. |
Bytes Enviados em Túneis | É o número total de bytes enviados através do Modo de Túnel IPSec. |
Bytes Recebidos em Túneis | É o número total de bytes recebidos através do Modo de Túnel IPSec. |
Bytes Descarregados Enviados | É o número total de bytes enviados através da descarga para o hardware. |
Bytes Descarregados Recebidos | É o número total de bytes recebidos através da descarga para o hardware. |
| Nota |
Algumas destas estatísticas podem ser utilizadas para detectar tentativas de ataque à rede. |
Associações de segurança
Esta vista apresenta as SAs activas neste computador. Uma SA é a combinação de uma chave negociada, de um protocolo de segurança e de SPI que, em conjunto, definem a segurança utilizada para proteger a comunicação entre o emissor e o receptor. Consequentemente, observando as associações de segurança deste computador, pode determinar os computadores que tiveram ligações com este computador, o tipo de integridade e encriptação de dados utilizado nessas ligações e outras informações.
Estas informações podem ser úteis quando estiver a testar as políticas IPsec e a resolver problemas de acesso.
Adicionar, remover e ordenar colunas
Pode adicionar, remover, alterar a disposição e ordenar pelas seguintes colunas no painel de resultados:
- Eu . É o endereço IP do computador local.
- Elemento da rede. É o endereço IP do computador remoto.
- Protocolo. É o protocolo especificado no filtro.
- A Minha Porta. É a porta TCP ou UDP do computador local especificada no filtro.
- Porta do Computador Remoto. É a porta TCP ou UDP do computador remoto especificada no filtro.
- Política de Negociação. É o nome da política de negociação de Modo Rápido ou as definições criptográficas.
- Integridade AH É o método de integridade de dados específico do protocolo AH utilizado para comunicações entre elementos.
- Confidencialidade ESP. É o método de encriptação específico do protocolo ESP utilizado para comunicações entre elementos.
- Integridade ESP. É o método de integridade de dados específico do protocolo ESP utilizado para comunicações entre elementos.
- Ponto Final do Meu Túnel. É o ponto final do túnel mais perto do computador local, se tiver sido especificado um.
- Ponto Final do Túnel do Peer. É o ponto final do túnel mais perto do computador local, se tiver sido especificado um.