Bei der IKE-Aushandlung im Schnellmodus (auch als Phase 2 bekannt) wird zum Schutz der Daten ein sicherer Kanal zwischen zwei Computern hergestellt. Da diese Phase die Herstellung von Sicherheitszuordnungen umfasst, die für den IPSec-Dienst ausgehandelt werden, werden die während des Schnellmodus ausgehandelten Sicherheitszuordnungen IPSec-Sicherheitszuordnungen genannt. Während des Schnellmodus wird das Schlüsselerstellungsmaterial aktualisiert, oder es werden ggf. neue Schlüssel erstellt. Zudem wird eine Schutzsammlung zum Schützen des angegebenen IP-Datenverkehrs ausgewählt. Eine Schutzsammlung besteht aus einer Gruppe festgelegter Datenintegritäts- oder Datenverschlüsselungseinstellungen. Der Schnellmodus wird nicht als vollständiger Austausch betrachtet, da er von einem Hauptmodusaustausch abhängig ist.
Das Überwachen von Schnellmodus-Sicherheitszuordnungen kann Informationen dazu liefern, welche Peers aktuell mit dem Computer verbunden sind, welche Schutzsammlung zur Bildung der Sicherheitszuordnung verwendet wurde etc.
Generische Filter
Bei generischen Filtern handelt es sich um IP-Filter, die so konfiguriert sind, dass sie die IP-Adressoptionen als Quell- oder als Zieladresse verwenden können. Bei IPsec können Sie in der Filterkonfiguration auch Schlüsselwörter verwenden, beispielsweise Eigene IP-Adresse, DNS-Server, DHCP-Server, WINS-Server und Standardgateway. Bei Verwendung von Schlüsselwörtern werden diese im IP-Sicherheitsmonitor-Snap-In in den Standardfiltern angezeigt. Spezialfilter werden aus den Standardfiltern abgeleitet, indem IP-Adressen aus Schlüsselwörtern gebildet werden werden.
Hinzufügen, Entfernen und Sortieren von Spalten
Folgende Spalten können Sie im Ergebnisfeld hinzufügen, entfernen, neu anordnen und sortieren:
- Name.
- Quelle. Dies ist die IP-Adresse der Paketquelle.
- Ziel. Dies ist die IP-Adresse des Paketziels.
- Quellport. Dies ist der TCP- oder UDP-Port der Paketquelle.
- Zielport. Dies ist der TCP- oder UDP-Port des Paketziels.
- Quelltunnelendpunkt. Dies ist der Tunnelendpunkt, der dem lokalen Computer am nächsten ist, sofern einer angegeben wurde.
- Zieltunnelendpunkt. Dies ist der Tunnelendpunkt, der dem Zielcomputer am nächsten ist, sofern einer angegeben wurde.
- Protokoll. Dies ist das im Filter angegebene Protokoll.
- Eingehende Aktion. Gibt an, ob der eingehende Datenverkehr Zugelassen oder Blockiert ist oder ob die Aktion Sicherheit aushandeln verwendet wird.
- Ausgehende Aktion. Gibt an, ob der ausgehende Datenverkehr Zugelassen oder Blockiert ist oder ob die Aktion Sicherheit aushandeln verwendet wird.
- Aushandlungsrichtlinie. Dies ist der Name der Schnellmodus-Aushandlungsrichtlinie oder der kryptografischen Einstellungen.
- Verbindungstyp. Dies ist der Typ der Verbindung, auf den dieser Filter angewendet wird: entweder lokales Netzwerk (Local Area Network, LAN), Remotezugriff oder alle Netzwerkverbindungstypen.
Spezifische Filter
Spezialfilter werden aus Standardfiltern gebildet, indem die IP-Adressen des Quell- und Zielcomputers für die tatsächliche Verbindung verwendet werden. Angenommen, Sie haben einen Filter, für den die Option Eigene IP-Adresse als Quelladresse und die Option DHCP-Server als Zieladresse verwendet wird. Wird dann mithilfe dieses Filters eine Verbindung hergestellt, wird automatisch ein Filter erstellt, der die IP-Adresse des Computers und die IP-Adresse des vom Computer verwendeten DHCP-Servers enthält.
Hinzufügen, Entfernen und Sortieren von Spalten
Sie können die folgenden Spalten im Ergebnisbereich hinzufügen, entfernen, neu anordnen und sortieren:
- Name.
- Quelle. Dies ist die IP-Adresse der Paketquelle.
- Ziel. Dies ist die IP-Adresse des Paketziels.
- Quellport. Dies ist der TCP- oder UDP-Port der Paketquelle.
- Zielport. Dies ist der TCP- oder UDP-Port des Paketziels.
- Quelltunnelendpunkt. Dies ist der Tunnelendpunkt, der dem lokalen Computer am nächsten ist, sofern einer angegeben wurde.
- Zieltunnelendpunkt. Dies ist der Tunnelendpunkt, der dem Zielcomputer am nächsten ist, sofern einer angegeben wurde.
- Protokoll. Dies ist das im Filter angegebene Protokoll.
- Eingehende Aktion. Gibt an, ob der eingehende Datenverkehr Zugelassen oder Blockiert ist oder ob die Aktion Sicherheit aushandeln verwendet wird.
- Ausgehende Aktion. Gibt an, ob der ausgehende Datenverkehr Zugelassen oder Blockiert ist oder ob die Aktion Sicherheit aushandeln verwendet wird.
- Aushandlungsrichtlinie. Dies ist der Name der Schnellmodus-Aushandlungsrichtlinie oder der kryptografischen Einstellungen.
- Gewichtung. Dies ist die Priorität, die der IPsec-Dienst dem Filter einräumt. Die Gewichtung ist von mehreren Faktoren abhängig. Weitere Informationen zu Filtergewichtungen finden Sie unter
https://go.microsoft.com/fwlink/?LinkId=62212 (möglicherweise in englischer Sprache) .
Hinweis Die Gewichtungseigenschaft ist auf Computern unter Windows Vista®, Windows Server® 2008 oder nachfolgenden Versionen von Windows immer auf 0 gesetzt.
Aushandlungsrichtlinien
Die Aushandlungsrichtlinie ist die Reihenfolge der Sicherheitsmethode, die beide Peercomputer bei Schnellmodusaushandlungen verwenden, wenn sie miteinander kommunizieren.
Statistik
In dieser Tabelle werden die verfügbaren Statistiken aus der Statistiksicht des Schnellmodus angezeigt:
IPSec-Statistik | Beschreibung |
---|---|
Aktive Sicherheitszuordnungen | Dies ist die Anzahl der aktiven IPsec-Sicherheitszuordnungen. |
Abgeladene Sicherheitszuordnungen | Dies ist die Anzahl der auf die Hardware abgeladenen aktiven IPsec-Sicherheitszuordnungen. |
Ausstehende Schlüsselvorgänge | Dies ist die Anzahl der ausstehenden IPsec-Schlüsselvorgänge. |
Schlüsselerweiterungen | Dies ist die Gesamtanzahl der erfolgreichen IPsec-Sicherheitszuordnungsaushandlungen. |
Schlüsselentfernungen | Dies ist die Anzahl der gelöschten Schlüssel für IPsec-Sicherheitszuordnungen. |
Erneute Schlüssel | Dies ist die Anzahl der erneuten Schlüsselvorgänge für IPsec-Sicherheitszuordnungen. |
Aktive Tunnel | Dies ist die Anzahl der aktiven IPsec-Tunnel. |
Ungültige SPI-Pakete | Dies ist die Gesamtanzahl von Paketen, für die der Sicherheitsparameterindex (SPI) falsch war. Der SPI wird zum Abgleich eingehender Pakete mit Sicherheitszuordnungen verwendet. Ist der SPI unzutreffend, bedeutet dies möglicherweise, dass die Eingangssicherheitszuordnung abgelaufen ist, und ein Paket, das den alten SPI verwendet, zuvor übermittelt wurde. Die Gesamtanzahl fehlerhafter SPI-Pakete kann dann ansteigen, wenn die Intervalle zwischen Schlüsselneuerstellungen kurz sind und eine große Anzahl von Sicherheitszuordnungen vorhanden ist. Da Sicherheitszuordnungen ohnehin in der Regel ablaufen, weist ein ungültiges SPI-Paket nicht unbedingt auf mangelnde IP-Sicherheit hin. |
Nicht entschlüsselte Pakete | Dies ist die Gesamtanzahl von Paketen, bei denen die Entschlüsselung gescheitert ist. Dieser Fehler kann darauf hinweisen, dass ein Paket übermittelt wurde, dessen Sicherheitszuordnung abgelaufen ist. Wenn eine Sicherheitszuordnung nicht mehr gültig ist, wird der zum Entschlüsseln des Pakets verwendete Sitzungsschlüssel ebenfalls gelöscht. Dies weist nicht unbedingt auf mangelnde IP-Sicherheit hin. |
Nicht authentifizierte Pakete | Dies ist die Gesamtanzahl von Paketen, für die Daten nicht überprüft werden konnten. Dieser Fehler wird meistens durch eine abgelaufene Sicherheitszuordnung verursacht. |
Manuelle Rahmenerkennung | Dies ist die Gesamtanzahl von Paketen mit einem gültigen Feld "Sequenznummer". |
Vertraulich gesendete Bytes | Dies ist die Gesamtanzahl von Bytes, die mit dem ESP-Protokoll gesendet wurden. |
Vertraulich empfangene Bytes | Dies ist die Gesamtanzahl von Bytes, die mit dem ESP-Protokoll empfangen wurden. |
Authentifizierte gesendete Bytes | Dies ist die Gesamtanzahl von Bytes, die mit dem AH-Protokoll gesendet wurden. |
Authentifizierte empfangene Bytes | Dies ist die Gesamtanzahl von Bytes, die mit dem AH-Protokoll empfangen wurden. |
Gesendete Transportbytes | Dies ist die Gesamtanzahl von Bytes, die mit dem IPsec-Transportmodus gesendet wurden. |
Gesendete Übertragungsbytes | Dies ist die Gesamtanzahl von Bytes, die mit dem IPsec-Transportmodus empfangen wurden. |
In Tunneln gesendete Bytes | Dies ist die Gesamtanzahl von Bytes, die mit dem IPsec-Tunnelmodus gesendet wurden. |
In Tunneln empfangene Bytes | Dies ist die Gesamtanzahl von Bytes, die mit dem IPsec-Tunnelmodus empfangen wurden. |
Abgeladene gesendete Bytes | Dies ist die Gesamtanzahl von Bytes, die mit der Hardwareabladung gesendet wurden. |
Abgeladene empfangene Bytes | Dies ist die Gesamtanzahl von Bytes, die mit der Hardwareabladung empfangen wurden. |
Hinweis | |
Einige dieser Statistiken können zur Entdeckung von Netzwerkangriffsversuchen verwendet werden. |
Sicherheitszuordnungen
In dieser Sicht werden die aktiven Sicherheitszuordnungen für diesen Computer angezeigt. Eine Sicherheitszuordnung (Security Association, SA) ist die Kombination aus einem ausgehandelten Schlüssel, einem Sicherheitsprotokoll und einem Sicherheitsparameterindex (Security Parameters Index, SPI). Damit wird der Sicherheitsgrad bestimmt, mit dem die Kommunikation zwischen Absender und Empfänger geschützt ist. Durch einen Blick auf die Sicherheitszuordnungen für den Computer können Sie demnach feststellen, welche Computer eine Verbindung zu diesem Computer haben, welcher Datenintegritäts- und -verschlüsselungstyp für die jeweilige Verbindung verwendet wird usw.
Diese Informationen können sich beim Testen von IP-Sicherheitsrichtlinien und der Behandlung von Zugriffsproblemen als nützlich erweisen.
Hinzufügen, Entfernen und Sortieren von Spalten
Sie können die folgenden Spalten im Ergebnisbereich hinzufügen, entfernen, neu anordnen und sortieren:
- Benutzer. Dies ist die IP-Adresse des lokalen Computers.
- Peer. Dies ist die IP-Adresse des Remotecomputers.
- Protokoll. Dies ist das im Filter angegebene Protokoll.
- Eigener Port. Dies ist der TCP- oder UDP-Port des lokalen Computers, der im Filter angegeben ist.
- Peerport. Dies ist der TCP- oder UDP-Port des Remotecomputers, der im Filter angegeben ist.
- Aushandlungsrichtlinie. Dies ist der Name der Schnellmodus-Aushandlungsrichtlinie oder der kryptografischen Einstellungen.
- AH-Integrität. Dies ist die für das AH-Protokoll spezifische Datenintegritätsmethode für Peerkommunikationen.
- ESP-Vertraulichkeit. Dies ist die für das ESP-Protokoll spezifische Verschlüsselungsmethode für Peerkommunikationen.
- ESP-Integrität. Dies ist die für das ESP-Protokoll spezifische Datenintegritätsmethode für Peerkommunikationen.
- Benutzer-Tunnelendpunkt. Dies ist der Tunnelendpunkt, der dem lokalen Computer am nächsten ist, sofern einer angegeben wurde.
- Peer-Tunnelendpunkt. Dies ist der Tunnelendpunkt, der dem lokalen Computer am nächsten ist, sofern einer angegeben wurde.