La negociación IKE de modo rápido (o fase 2) establece un canal seguro entre dos equipos para proteger los datos. Como esta fase implica el establecimiento de asociaciones de seguridad (SA) que se negocian en nombre del servicio IPsec, las SA creadas durante el modo rápido se denominan SA de IPsec. Durante el modo rápido, el material de creación de claves se actualiza o, si es necesario, se generan nuevas claves. También se selecciona un conjunto de protección que protege el tráfico IP especificado. Un conjunto de protección es un conjunto definido de valores de configuración de integridad de datos o cifrado de datos. El modo rápido no se considera un intercambio completo porque depende de un intercambio de modo principal.
La supervisión de las SA de modo rápido puede proporcionar información acerca de los equipos del mismo nivel actualmente conectados al equipo, el conjunto de protección que se usó para generar la SA y otra información.
Filtros genéricos
Los filtros genéricos son filtros IP configurados para usar cualquiera de las opciones de dirección IP, ya sea como dirección de origen o como dirección de destino. IPsec permite usar palabras clave en la configuración de los filtros, como Mi dirección IP, Servidor DNS, Servidor DHCP, Servidores WINS y Puerta de enlace predeterminada. Si se usan palabras clave, los filtros genéricos muestran dichas palabras clave en el complemento Monitor de seguridad IP. Los filtros específicos se derivan de los genéricos expandiendo las palabras clave en direcciones IP.
Adición, eliminación y ordenación de columnas
Puede agregar, quitar, reorganizar y ordenar en función de las siguientes columnas del panel de resultados:
- Nombre.
- Origen. Dirección IP del origen del paquete.
- Destino. Dirección IP del destino del paquete.
- Puerto de origen. Puerto TCP o UDP del origen del paquete.
- Puerto de destino. Puerto TCP o UDP del destino del paquete.
- Extremo de túnel origen. Extremo de túnel más próximo al equipo local, en caso de que se especificara.
- Extremo de túnel destino. Extremo de túnel más próximo al equipo de destino, en caso de que se especificara.
- Protocolo. Protocolo que se especifica en el filtro.
- Acción de entrada. Indica si el tráfico entrante está permitido, bloqueado o si usa una acción de negociación de la seguridad.
- Acción de salida. Indica si el tráfico saliente está permitido, bloqueado o si usa una acción de negociación de la seguridad.
- Directiva de negociación. Nombre de la directiva de negociación de modo rápido o configuración de cifrado.
- Tipo de conexión. Tipo de conexión (tipo de conexión al que se aplica este filtro, ya sea una red local (LAN), acceso remoto o todos los tipos de conexión de red).
Filtros específicos
Los filtros específicos se expanden a partir de los filtros genéricos mediante el uso de direcciones IP del equipo de origen o de destino para la conexión real. Por ejemplo, si dispone de un filtro que usa la opción Mi dirección IP como dirección de origen y la opción Servidor DHCP como dirección de destino, cuando se cree una conexión con este filtro, se creará automáticamente un filtro que incluya la dirección IP de su equipo y la dirección IP del servidor DHCP que este equipo usa.
Adición, eliminación y ordenación de columnas
Puede agregar, quitar, reorganizar y ordenar por las siguientes columnas del panel de resultados:
- Nombre.
- Origen. Dirección IP del origen del paquete.
- Destino. Dirección IP del destino del paquete.
- Puerto de origen. Puerto TCP o UDP del origen del paquete.
- Puerto de destino. Puerto TCP o UDP del destino del paquete.
- Extremo de túnel origen. Extremo de túnel más próximo al equipo local, en caso de que se especificara.
- Extremo de túnel destino. Extremo de túnel más próximo al equipo de destino, en caso de que se especificara.
- Protocolo. Protocolo que se especifica en el filtro.
- Acción de entrada. Indica si el tráfico entrante está permitido, bloqueado o si usa una acción de negociación de la seguridad.
- Acción de salida. Indica si el tráfico saliente está permitido, bloqueado o si usa una acción de negociación de la seguridad.
- Directiva de negociación. Nombre de la directiva de negociación de modo rápido o configuración de cifrado.
- Peso. Prioridad que el servicio IPsec otorga al filtro. El peso se deriva de una serie de factores. Para obtener más información acerca de los pesos de filtro, vea
https://go.microsoft.com/fwlink/?LinkId=62212 (puede estar en inglés) .
Nota La propiedad de peso se establece siempre en 0 en equipos que ejecutan Windows Vista®, Windows Server® 2008 o versiones posteriores de Windows.
Directivas de negociación
La directiva de negociación es el orden de preferencia de los métodos de seguridad que los dos equipos del mismo nivel acuerdan usar al comunicarse entre sí durante las negociaciones de modo rápido.
Estadísticas
En esta tabla se muestran las estadísticas disponibles en la vista Estadísticas del modo rápido:
Estadística de IPsec | Descripción |
---|---|
Asociaciones de seguridad activas | Número de SA de IPsec activas. |
Asociaciones de seguridad descargadas | Número de SA de IPsec activas y descargadas en el hardware. |
Operaciones de clave pendientes | Número de operaciones de clave de IPsec en curso. |
Adiciones de claves | Número total de negociaciones de SA de IPsec correctas. |
Eliminaciones de clave | Número de eliminaciones de claves de las SA de IPsec. |
Regeneraciones de claves | Número de operaciones de regeneración de claves de las SA de IPsec. |
Túneles activos | Número de túneles de IPsec activos. |
Paquetes SPI dañados | Número total de paquetes cuyo Índice de parámetros de seguridad (SPI) era incorrecto. El SPI se usa para comprobar la correspondencia de los paquetes entrantes con las SA. Si el SPI no es correcto, puede indicar que la SA entrante expiró y que llegó recientemente un paquete que usa el SPI antiguo. Probablemente, este número aumentará si los intervalos de regeneración de claves son cortos y hay un número elevado de SA. Las SA expiran en condiciones normales; por ello, la existencia de paquetes SPI dañados no indica necesariamente que haya errores en IPsec. |
Paquetes sin descifrar | Número total de paquetes que generaron errores al descifrarse. Estos errores pueden indicar que llegó un paquete para una SA que expiró. Si la SA expira, la clave de sesión usada para descifrar el paquete también se elimina. Esto no indica necesariamente que haya errores en IPsec. |
Paquetes sin autenticar | Número total de paquetes cuyos datos no se pudieron comprobar. La causa más probable de este error es que una SA expiró. |
Paquetes con detección de reproducción | Número total de paquetes que contenían un campo Número de secuencia válido. |
Bytes confidenciales enviados | Número total de bytes enviados con el protocolo ESP. |
Bytes confidenciales recibidos | Número total de bytes recibidos con el protocolo ESP. |
Bytes autenticados enviados | Número total de bytes enviados con el protocolo AH. |
Bytes autenticados recibidos | Número total de bytes recibidos con el protocolo AH. |
Bytes de transporte enviados | Número total de bytes enviados con el modo de transporte de IPsec. |
Bytes de transporte recibidos | Número total de bytes recibidos con el modo de transporte de IPsec. |
Bytes enviados en los túneles | Número total de bytes enviados con el modo de túnel de IPsec. |
Bytes recibidos en los túneles | Número total de bytes recibidos con el modo de túnel de IPsec. |
Bytes de descarga enviados | Número total de bytes enviados con la descarga de hardware. |
Bytes de descarga recibidos | Número total de bytes recibidos con la descarga de hardware. |
Nota | |
Algunas de estas estadísticas pueden usarse para detectar intentos de ataques de red. |
Asociaciones de seguridad
En esta vista se muestran las SA activas con este equipo. Una SA es la combinación de una clave negociada, un protocolo de seguridad y el SPI, que conjuntamente definen el método de seguridad usado para proteger la comunicación desde el remitente hasta el receptor. Por lo tanto, si se observan las asociaciones de seguridad del equipo, se pueden determinar los equipos conectados al equipo, el tipo de cifrado e integridad de datos que se está usando para estas conexiones y otra información.
Esta información puede resultar de gran ayuda para probar las directivas IPsec y solucionar problemas de acceso.
Adición, eliminación y ordenación de columnas
Puede agregar, quitar, reorganizar y ordenar por las siguientes columnas del panel de resultados:
- Yo . Dirección IP del equipo local.
- Del mismo nivel. Dirección IP del equipo remoto.
- Protocolo. Protocolo que se especifica en el filtro.
- Mi puerto. Puerto TCP o UDP del equipo local especificado en el filtro.
- Puerto de mismo nivel. Puerto TCP o UDP del equipo remoto especificado en el filtro.
- Directiva de negociación. Nombre de la directiva de negociación de modo rápido o configuración de cifrado.
- Integridad AH: Método de integridad de datos específico del protocolo AH usado para las comunicaciones entre equipos del mismo nivel.
- Confidencialidad ESP. Método de cifrado específico del protocolo ESP usado para las comunicaciones entre equipos del mismo nivel.
- Integridad ESP. Método de integridad de datos específico del protocolo ESP usado para las comunicaciones entre equipos del mismo nivel.
- Mi extremo del túnel. Extremo de túnel más próximo al equipo local, en caso de que se especificara.
- Extremo del túnel de mismo nivel. Extremo de túnel más próximo al equipo local, en caso de que se especificara.