Ana Mod Internet Anahtar Değişimi (IKE) anlaşması, iki bilgisayar arasında Internet Güvenlik İlişkisi ve Anahtar Yönetimi Protokolü (ISAKMP) güvenlik ilişkisi (SA) olarak bilinen güvenli kanalı oluşturur. ISAKMP SA, Hızlı Mod anlaşması olarak bilinen iki eş bilgisayar arasındaki birbirini izleyen anahtar değişimlerini korumak için kullanılır. Güvenli bir kanal oluşturmak için Ana Mod anlaşması şifreleme koruma grupları kümesini belirler, paylaşılan gizli anahtarı oluşturmak üzere anahtarlama malzemesini değiştirir ve bilgisayar kimliklerini doğrular.
Ana Mod SA'larının izlenmesi, bu bilgisayara o sırada hangi eşlerin bağlı olduğu, SA'nın ne zaman şekillendirilmiş olduğu, SA'yı şekillendirmek için kullanılan koruma grubu gibi bilgileri ve diğer bilgileri sağlayabilir.
Genel filtreler
Genel filtreler herhangi bir IP adresi seçeneğini kaynak veya hedef adresi olarak kullanmak üzere yapılandırılan IP filtreleridir. IPsec, filtrelerin yapılandırmasında IP Adresim, DNS Sunucusu, DHCP Sunucusu, WINS Sunucuları ve Varsayılan Ağ Geçidi gibi anahtar sözcükler kullanmanıza olanak sağlar. Anahtar sözcükler kullanıldığında genel filtreler anahtar sözcükleri IP Güvenlik İzleme ek bileşeninde görüntüler. Anahtar sözcükler IP adreslerine genişletilerek belirli filtreler türetilir.
Sütunları ekleme, kaldırma ve sıralama
Sonuçlar bölmesinde sütun ekleyebilir, kaldırabilir ve bu sütunlara göre sıralama yapabilirsiniz:
- Ad.
- Kaynak. Bu, paket kaynağının IP adresidir.
- Hedef. Bu, paket hedefinin IP adresidir.
- IKE İlkesi. Bu, IPsec İlkesi ek bileşenini kullanarak oluşturduğunuz IPsec ilkesinin adı değil, bu genel filtreyle ilişkilendirilmiş IKE ilkesinin adıdır. Hangi şifreleme algoritmalarının kullanıldığı gibi ilke ayrıntıları, IKE İlkesi öğesinde görüntülenebilir.
- Kimlik Doğrulama Yöntemleri. Bu, tercih sırasına göre filtrenin kullanabileceği tüm kimlik doğrulama yöntemlerinin listesidir.
- Bağlantı Türü. Bu, söz konusu filtrenin uygulandığı bağlantı türü, yerel ağ (LAN), uzaktan erişim veya tüm ağ bağlantısı türleridir.
Belirli filtreler
Belirli filtreler, geçerli bağlantının kaynak veya hedef bilgisayar IP adreslerini kullanarak genel filtrelerden genişletilir. Örneğin, kaynak adres olarak IP Adresim seçeneğini, hedef adres olarak DHCP Sunucusu seçeneğini kullanan bir filtreniz varsa, bu filtreyi kullanarak bir bağlantı oluşturulduğunda, bilgisayarınızın IP adresi ve bu bilgisayarın kullandığı DHCP sunucusunun IP adresinin olduğu bir filtre oluşturulur.
Not | |
IP Güvenlik Monitörü ek bileşeni aynı zamanda Hızlı Mod klasöründeki Belirli Filtreler klasörü için IP adreslerini DNS adlarına çözümleyebilir, ancak Ana Mod klasöründekileri çözümleyemez. |
Sütunları ekleme, kaldırma ve sıralama
Sonuçlar bölmesinde sütun ekleyebilir, kaldırabilir ve bu sütunlara göre sıralama yapabilirsiniz:
- Ad.
- Kaynak. Bu, paket kaynağının IP adresidir.
- Hedef. Bu, paket hedefinin IP adresidir.
- Yön. Bu, filtrenin gelen mi yoksa giden mi olduğunu belirtir.
- IKE İlkesi. Bu, IPsec İlkesi ek bileşenini kullanarak oluşturduğunuz IPsec ilkesinin adı değil, IKE ilkesinin adıdır. Hangi şifreleme algoritmalarının kullanıldığı gibi ilke ayrıntıları, IKE İlkesi öğesinde görüntülenebilir.
- Kimlik Doğrulama Yöntemleri. Bu, tercih sırasına göre filtrenin kullanabileceği tüm kimlik doğrulama yöntemlerinin listesidir.
- Ağırlık. Bu, IPsec hizmetinin filtreye verdiği önceliktir. Ağırlık çok sayıda etkenden türetilir. Filtre ağırlıkları hakkında daha fazla bilgi için, bkz.
https://go.microsoft.com/fwlink/?LinkId=62212 (Bu sayfa İngilizce içeriğe sahip olabilir) .
Not Windows Vista®, Windows Server® 2008 veya sonraki Windows sürümlerini çalıştıran bilgisayarlarda ağırlık özelliği her zaman 0 değerine ayarlıdır.
IKE ilkeleri
IKE ilkesi, Ana Mod anahtar değişiminde iki eş bilgisayarın üzerinde anlaşabileceği sağlamlık veya şifreleme yöntemlerini belirtir.
İstatistikler
Bu tablo Ana Mod İstatistikler görünümünden kullanılabilecek istatistikleri görüntülemektedir:
Not | |
Bu istatistiklerden bazıları, Windows Vista, Windows Server 2008 veya sonraki Windows sürümlerini çalıştıran bilgisayarlar için geçerli değildir. |
IKE İstatistikleri | Açıklama |
---|---|
Etkin Edinme | Edinme, IKE'nin bir görevi yerine getirmesi için IPsec sürücüsünün sunduğu istektir. Etkin Edinme istatistiği, varsa, bekleyen isteği ve sıradaki isteklerin sayısını içerir. Genellikle etkin edinme sayısı 1'dir. Ağır yük olduğunda etkin edinme sayısı 1'dir ve işlemek üzere IKE tarafından sıraya alınan isteklerin sayısı artar. |
Etkin Alma | İşlenmek üzere sıraya konmuş alınan IKE iletilerinin sayısıdır. |
Başarısız Edinme Sayısı | Edinmenin başarısızlık sayısı. |
Başarısız Alma Sayısı | Windows Sockets WSARecvFrom() işlevinin IKE iletilerini alma sırasındaki başarısızlık sayısı. |
Başarısız Gönderme Sayısı | Windows Sockets WSASendTo() işlevinin IKE iletilerini gönderme sırasındaki başarısızlık sayısı. |
Edinme Yığını Boyutu | Etkin edinmeleri depolayan edinme yığınındaki giriş sayısı. Ağır yük olduğunda bu sayı artar ve edinme yığını temizlendikçe zaman içinde düzenli olarak azalır. |
Alma Yığını Boyutu | Gelen IKE iletileri için arabellekleri alan IKE'deki giriş sayısı. |
Başarısız Kimlik Doğrulama Sayısı | Ana Mod anlaşması sırasında gerçekleşen toplam kimlik doğrulama (Kerberos, sertifika ve önceden paylaşılmış anahtar) başarısızlıklarının sayısı. Güvenli biçimde iletişim kurmada zorluk yaşıyorsanız, iletişim kurmayı deneyin ve sayının artıp artmadığını görmek için bu istatistiklere başvurun. Artıyorsa, kimlik doğrulama ayarlarınızda eşleşmeyen bir kimlik doğrulama yöntemi veya yanlış bir kimlik doğrulama yöntemi yapılandırması (örneğin, eşleşmeyen önceden paylaşılan anahtarların kullanımı) olup olmadığını denetleyin. |
Başarısız Anlaşma Sayısı | Ana Mod veya Hızlı Mod anlaşmaları sırasında gerçekleşen anlaşma hatalarının toplam sayısıdır. Güvenli biçimde iletişim kurmada zorluk yaşıyorsanız, iletişim kurmayı deneyin ve sayının artıp artmadığını görmek için bu istatistiklere başvurun. Artıyorsa, kimlik doğrulama ve güvenlik yöntemi ayarlarınızda eşleşmeyen bir kimlik doğrulama yöntemi, yanlış bir kimlik doğrulama yöntemi yapılandırması (örneğin, eşleşmeyen önceden paylaşılan anahtarların kullanımı) veya eşleşmeyen güvenlik yöntemleri veya ayarları olup olmadığını denetleyin. |
Alınan Geçersiz Tanımlama Bilgileri Sayısı | Tanımlama bilgisi, etkin Ana Mod'un durumunu görmek için IKE tarafından kullanılan, alınmış IKE iletisindeki değerdir. Etkin Ana Mod ile eşleştirilemeyen, alınmış IKE iletisindeki tanımlama bilgisi geçersizdir. |
Toplam Edinme Sayısı | IKE tarafından IPsec sürücüsüne gönderilen toplam iş isteği sayısı. |
Toplam SPI Alma Sayısı | Benzersiz Güvenlik Parametreleri Dizini (SPI) edinmek üzere IKE tarafından IPsec sürücüsüne gönderilen toplam istek sayısı. |
Anahtar Eklemeleri | IKE tarafından IPsec sürücüsüne eklenen giden Hızlı Mod SA sayısı. |
Anahtar Güncelleştirme Sayısı | IKE tarafından IPsec sürücüsüne eklenen gelen Hızlı Mod SA sayısı. |
Başarısız SPI Alma Sayısı | Benzersiz SPI edinmek üzere IKE tarafından IPsec sürücüsüne gönderilen başarısız istek sayısı. |
Başarısız Anahtar Ekleme Sayısı | IKE tarafından IPsec sürücüsüne gönderilen, başarısız olmuş, giden Hızlı Mod SA ek isteklerinin sayısı. |
Başarısız Anahtar Güncelleştirme Sayısı | IKE tarafından IPsec sürücüsüne gönderilen, başarısız olmuş, gelen Hızlı Mod SA ek isteklerinin sayısı. |
ISADB Listesi Boyutu | Üzerinde anlaşılan Ana Modlar, ilerlemekte olan Ana Modlar ile başarısız olmuş ve silinmemiş Ana Modları içeren Ana Mod durumu girişi sayısı. |
Bağlantı Listesi Boyutu | Hızlı Mod durum girdileri sayısı. |
IKE Ana Modu | Ana Mod anlaşmaları sırasında oluşturulan toplam başarılı SA sayısı. |
IKE Hızlı Modu | Hızlı Mod anlaşmaları sırasında oluşturulan toplam başarılı SA sayısı. Her Ana Mod SA'sı için genellikle birden çok Hızlı Mod SA'sı oluşturulduğundan, bu sayının Ana Mod sayısı ile eşleşmesi gerekmez. |
Yazılım İlişkileri Sayısı | Düz metin kullanımıyla (yazılım SA'ları olarak da bilinir) sonuçlanan toplam anlaşma sayısı. Bu genellikle, Ana Mod anlaşma denemelerine yanıt vermeyen bilgisayarlarla oluşturulan ilişki sayısını belirtir. Bu, IPsec uyumlu olmayan ve IPsec uyumlu olan ancak bu IPsec eşiyle güvenlik anlaşması yapmak için IPsec ilkesi olmayan bilgisayarları içerebilir. Yazılım SA'ları Ana Mod ve Hızlı Mod anlaşmalarının sonucu olmasa bile, yine de Hızlı Mod SA'ları olarak ele alınırlar. |
Alınan Geçersiz Paket Sayısı | Geçersiz başlık alanları, yanlış yük uzunlukları ve yanıtlayan tanımlama bilgisi için yanlış değerleri olan (0 olarak ayarlanması gerektiği halde) IKE iletilerinin de dahil olduğu alınan geçersiz IKE iletilerinin sayısı. Geçersiz IKE iletileri genellikle, yeniden iletilen eski IKE iletileri veya IPsec eşleri arasında eşleşmeyen, önceden paylaşılmış anahtar nedeniyle ortaya çıkar. |
Not | |
Bu istatistiklerin bazıları ağ üzerinden saldırı girişimlerini algılamak için kullanılabilir. |
Güvenlik ilişkileri
Bu görünüm bu bilgisayardaki etkin SA'ları görüntüler. SA, üzerinde anlaşılmış bir anahtar, güvenlik protokolü ve SPI birleşiminden oluşur. Bunlar birlikte kullanıldığında, gönderenden alana doğru iletişimi korumak için kullanılan güvenliği tanımlar. Bu nedenle, bilgisayarın güvenlik ilişkilerine bakarak bu bilgisayarla bağlantı kuran bilgisayarları, bağlantı için kullanılan veri bütünlüğü ve şifreleme türünü ve diğer bilgileri belirleyebilirsiniz.
Bu bilgiler IPsec ilkelerini sınarken ve erişim sorunlarını giderirken yardımcı olabilir.
Sütunları ekleme, kaldırma ve sıralama
Sonuçlar bölmesinde sütun ekleyebilir, kaldırabilir ve bu sütunlara göre sıralama yapabilirsiniz:
- Ben . Bu, yerel bilgisayarın IP adresidir.
- Kimliğim. Bu, yerel bilgisayarın DNS adıdır.
- Eş. Bu, uzak bilgisayarın veya eşin IP adresidir.
- Eş Kimliği. Bu, uzak bilgisayarın veya eşin DNS adıdır.
- Kimlik doğrulama. Bu, SA'yı oluştururken kullanılan kimlik doğrulama yöntemidir.
- Şifreleme. Bu, Hızlı Mod anahtar değişimleri için SA tarafından kullanılan şifreleme yöntemidir.
- Bütünlük. Bu, Hızlı Mod anahtar değişimleri için SA tarafından kullanılan veri bütünlüğü yöntemidir.
- Diffie-Hellman. Bu, Ana Mod SA'sı oluşturmak için kullanılan Diffie-Hellman grubudur.