IKE-forhandling i hurtigtilstand (også kendt som Fase 2) opretter en sikker kanal mellem to computere med henblik på at beskytte data. Da denne fase omfatter oprettelsen af sikkerhedstilknytninger (SA'er – Security Associations), der forhandles på vegne af IPsec-tjenesten, kaldes de SA'er, der oprettes i hurtigtilstand, for IPsec SA'er. I hurtigtilstand opdateres nøglemateriale, og nye nøgler genereres, hvis det er nødvendigt. Der vælges også en beskyttelsespakke, som beskytter angivet IP-trafik. En beskyttelsespakke er et defineret sæt indstillinger for dataintegritet eller datakryptering. Hurtigtilstand anses ikke for at være en fuldstændig udveksling, fordi den er afhængig af en hovedtilstandsudveksling.

Overvågning af sikkerhedstilknytninger i hurtigtilstand kan levere oplysninger om, hvilke peers der i øjeblikket er tilsluttet computeren, hvilken beskyttelsespakke der er anvendt til udformning af sikkerhedstilknytningen samt andre oplysninger.

Standardfiltre

Standardfiltre er IP-filtre, der er konfigureret til at bruge IP-adresseindstillingerne som enten en kilde- eller destinationsadresse. Med IPsec kan du også bruge nøgleord som Min IP-adresse, DNS-server, DHCP-server, WINS-servere og Standardgateway i forbindelse med konfiguration af filtre. Ved anvendelse af nøgleord viser standardfiltre nøgleordene i snap-in'en IP-sikkerhedsovervågning. Bestemte filtre afledes af standardfiltre ved at udvide nøgleord til IP-adresser.

Tilføje, fjerne og sortere kolonner

Du kan tilføje, fjerne, omarrangere og sortere efter disse kolonner i resultatruden:

  • Navn.

  • Kilde. Pakkekildens IP-adresse.

  • Destination. Pakkedestinationens IP-adresse.

  • Kildeport. Pakkekildens TCP- eller UDP-port.

  • Destinationsport. Pakkedestinationens TCP- eller UDP-port.

  • Slutpunkt for kildetunnel. Det tunnelslutpunkt, der er nærmest den lokale computer, hvis der er angivet et sådant.

  • Slutpunkt for destinationstunnel. Det tunnelslutpunkt, der er nærmest destinationscomputeren, hvis der er angivet et sådant.

  • Protokol. Den protokol, der er angivet i filteret.

  • Indgående handling. Angiver, om den indgående trafik er Tilladt, Blokeret eller bruger handlingen Aftal sikkerhed.

  • Udgående handling. Angiver, om den udgående trafik er Tilladt, Blokeret eller bruger handlingen Aftal sikkerhed.

  • Aftalepolitik. Navnet på aftalepolitikken i hurtigtilstand eller kryptografiske indstillinger.

  • Forbindelsestype. Den forbindelsestype, som dette filter gælder for, enten lokalt netværk (LAN), fjernadgang eller alle netværksforbindelsestyper.

Bestemte filtre

Bestemte filtre udvides på baggrund af standardfiltre ved at bruge IP-adresserne på kilde- eller destinationscomputeren til den aktuelle forbindelse. Hvis du f.eks. har et filter, der har brugt indstillingen Min IP-adresse som kildeadresse og indstillingen DHCP-server som destinationsadresse, og der oprettes forbindelse ved hjælp af dette filter, oprettes der automatisk et filter, som har din computers IP-adresse og IP-adressen på den DHCP-server, som computeren benytter.

Tilføje, fjerne og sortere kolonner

Du kan tilføje, fjerne, omarrangere og sortere efter disse kolonner i resultatruden:

  • Navn.

  • Kilde. Pakkekildens IP-adresse.

  • Destination. Pakkedestinationens IP-adresse.

  • Kildeport. Pakkekildens TCP- eller UDP-port.

  • Destinationsport. Pakkedestinationens TCP- eller UDP-port.

  • Slutpunkt for kildetunnel. Det tunnelslutpunkt, der er nærmest den lokale computer, hvis der er angivet et sådant.

  • Slutpunkt for destinationstunnel. Det tunnelslutpunkt, der er nærmest destinationscomputeren, hvis der er angivet et sådant.

  • Protokol. Den protokol, der er angivet i filteret.

  • Indgående handling. Angiver, om den indgående trafik er Tilladt, Blokeret eller bruger handlingen Aftal sikkerhed.

  • Udgående handling. Angiver, om den udgående trafik er Tilladt, Blokeret eller bruger handlingen Aftal sikkerhed.

  • Aftalepolitik. Navnet på aftalepolitikken i hurtigtilstand eller kryptografiske indstillinger.

  • Vægt. Den prioritet, som IPsec-tjenesten tildeler filteret. Vægt er afledt af en række faktorer. Du kan finde flere oplysninger om filtervægte (siden er evt. på engelsk) på https://go.microsoft.com/fwlink/?LinkId=67685.

    Bemærk!

    Vægtegenskaben er altid angivet til 0 på computere, der kører Windows Vista®, Windows Server® 2008 eller en nyere version af Windows.

Forhandlingspolitikker

Forhandlingspolitikken er den prioritetsrækkefølge i forbindelse med sikkerhedsmetoder, som to peercomputere bliver enige om at benytte, når de kommunikerer med hinanden under forhandlinger i hurtigtilstand.

Statistik

I denne tabel vises de statistikker, der tilgængelige i statistikvisningen i hurtigtilstand:

IPsec-statistikBeskrivelse

Aktive sikkerhedstilknytninger

Antallet af aktive IPsec-sikkerhedstilknytninger.

Aflastede sikkerhedstilknytninger

Antallet af aktive IPsec-sikkerhedstilknytninger, der er lagt over på hardware.

Ventende nøglehandlinger

Antallet af igangværende IPsec-nøgleoperationer.

Nøgletilføjelser

Det samlede antal vellykkede IPsec-forhandlinger om sikkerhedstilknytninger.

Nøglesletninger

Antallet af nøglesletninger for IPsec-sikkerhedstilknytninger.

Nøglefornyelser

Antallet af handlinger for nye nøgler for IPsec-sikkerhedstilknytninger.

Aktive tunneler

Antallet af aktive IPsec-tunneller.

Ugyldige SPI-pakker

Det samlede antal pakker, som SPI (Security Parameters Index) var forkert for. SPI benyttes til at finde sikkerhedstilknytninger, der svarer til indgående pakker. Hvis SPI er forkert, kan det betyde, at den indgående sikkerhedstilknytning er udløbet, og at der er kommet en pakke med den gamle SPI. Dette antal vil sandsynligvis øges, hvis intervallerne for oprettelse af nye nøgler er korte, og der er mange sikkerhedstilknytninger. Da det er helt normalt, at sikkerhedstilknytninger udløber, betyder en ugyldig SPI-pakke ikke nødvendigvis, at der er problemer med IPsec.

Pakker, ikke dekrypteret

Det samlede antal pakker, det ikke lykkedes at dekryptere. Det kan skyldes, at der er kommet en pakke til en sikkerhedstilknytning, som er udløbet. Hvis sikkerhedstilknytningen udløber, slettes sessionsnøglen til dekryptering af pakken også. Dette betyder ikke nødvendigvis, at der er problemer med IPsec.

Pakker, ikke godkendte

Det samlede antal pakker, hvor data ikke kunne bekræftes. Dette skyldes sandsynligvis en udløbet sikkerhedstilknytning.

Pakker med sporing af genafspilning

Det samlede antal pakker, der indeholdt et gyldigt sekvensnummer.

Hemmelige byte sendt

Det samlede antal byte, der er sendt med ESP-protokollen.

Hemmelige byte modtaget

Det samlede antal byte, der er modtaget med ESP-protokollen.

Godkendte byte sendt

Det samlede antal byte, der er sendt med AH-protokollen.

Godkendte byte modtaget

Det samlede antal byte, der er modtaget med AH-protokollen.

Transportbyte sendt

Det samlede antal byte, der er sendt i IPsec-transporttilstand.

Transportbyte modtaget

Det samlede antal byte, der er modtaget i IPsec-transporttilstand.

Byte sendt i tunneler

Det samlede antal byte, der er sendt i IPsec-tunneltilstand.

Byte modtaget i tunneler

Det samlede antal byte, der er modtaget i IPsec-tunneltilstand.

Aflastede byte sendt

Det samlede antal byte, der er sendt ved hjælp af hardwareaflastning.

Aflastede byte modtaget

Det samlede antal byte, der er modtaget ved hjælp af hardwareaflastning.

Bemærk!

Nogle af disse statistikker kan bruges til at registrere angrebsforsøg på netværket.

Sikkerhedstilknytninger

I denne visning vises de aktive sikkerhedstilknytninger, der er forbundet med denne computer. En sikkerhedstilknytning er en kombination af en forhandlet nøgle, en sikkerhedsprotokol og SPI, som tilsammen definerer den sikkerhed, der bruges til at beskytte kommunikationen fra afsender til modtager. Ved at se på computerens sikkerhedstilknytninger kan du derfor fastslå, hvilke computere der har forbindelse til computeren, hvilken type dataintegritet og -kryptering der anvendes på den pågældende forbindelse samt andre oplysninger.

Disse oplysninger kan være nyttige, når du tester IPsec-politikker og foretager fejlfinding i forbindelse med adgangsproblemer.

Tilføje, fjerne og sortere kolonner

Du kan tilføje, fjerne, omarrangere og sortere efter disse kolonner i resultatruden:

  • Mig . Den lokale computers IP-adresse.

  • Peer. Fjerncomputerens IP-adresse.

  • Protokol. Den protokol, der er angivet i filteret.

  • Min port. Den TCP- eller UDP-port på den lokale computer, der er angivet i filteret.

  • Peer-port. Den TCP- eller UDP-port på fjerncomputeren, der er angivet i filteret.

  • Aftalepolitik. Navnet på aftalepolitikken i hurtigtilstand eller kryptografiske indstillinger.

  • AH-integritet. Den AH-protokolspecifikke dataintegritetsmetode, der bruges ved peerkommunikation.

  • ESP-fortrolighed. Den ESP-protokolspecifikke krypteringsmetode, der bruges ved peerkommunikation.

  • ESP-integritet. Den ESP-protokolspecifikke dataintegritetsmetode, der bruges ved peerkommunikation.

  • Mit tunnelslutpunkt. Det tunnelslutpunkt, der er nærmest den lokale computer, hvis der er angivet et sådant.

  • Peer-tunnelslutpunkt. Det tunnelslutpunkt, der er nærmest den lokale computer, hvis der er angivet et sådant.

Yderligere referencer