Puede usar el complemento Monitor de seguridad IP para ver y supervisar estadísticas relacionadas con IPsec y la directiva IPsec que se aplica a este equipo y a otros. Esta información puede ayudarle a solucionar problemas de IPsec y a probar las directivas que está creando. Para cambiar las directivas IPsec, use el complemento Directivas de seguridad IP.

Si crea una directiva con el complemento Firewall de Windows con seguridad avanzada, no podrá usar el complemento Monitor de seguridad IP para ver estas reglas. Debe usar el elemento Supervisión del complemento Firewall de Windows con seguridad avanzada.

Notas
  • El complemento Monitor de seguridad IP sólo puede usarse para supervisar IPsec en equipos con Windows XP y versiones posteriores. Para supervisar IPsec en un equipo con Windows 2000, use el comando ipsecmon.
  • El complemento Directivas de seguridad IP se puede usar para crear directivas IPsec que pueden aplicarse a equipos con Windows Vista®, Windows Server® 2008 y versiones posteriores de Windows, pero este complemento no usa los nuevos algoritmos de seguridad ni otras características nuevas que están disponibles en esas versiones posteriores. Para crear directivas IPsec con estos nuevos algoritmos, use el complemento Firewall de Windows con seguridad avanzada. El complemento Firewall de Windows con seguridad avanzada no crea directivas que puedan aplicarse a versiones anteriores de Windows.

Supervisión de tareas

Ésta es una lista breve de las tareas más habituales que puede realizar con el complemento Monitor de seguridad IP:

Adición de un equipo

Para poder supervisar IPsec en un equipo remoto, primero debe agregar el equipo al complemento. Para ello, debe tener acceso de nivel de administrador al equipo remoto.

Para agregar un equipo al complemento Monitor de seguridad IP

  1. En el árbol de consola, haga clic con el botón secundario en Monitor de seguridad IP y, a continuación, haga clic en Agregar equipo.

  2. En el cuadro de diálogo Agregar equipo, haga clic en El siguiente equipo y, a continuación, escriba el nombre del equipo remoto. O bien, haga clic en Examinar para buscarlo en la red.
Notas
  • Si no se iniciaron los servicios IPsec en el equipo que se está supervisando, el icono del servidor aparecerá como el de un servicio detenido. Para actualizar el monitor de seguridad IP después de haberse reiniciado los servicios IPsec en ese equipo, haga clic con el botón secundario en el equipo y, a continuación, haga clic en Volver a conectar.
  • En equipos con Windows Server 2003 y versiones posteriores, debe establecer la clave del Registro EnableRemoteMgmt en 1 en el equipo remoto y reiniciar el servicio IPsec. De lo contrario, se producirá un error de tipo "El servicio IPsec no se está ejecutando" en el complemento. La clave del Registro se encuentra en HKEY_LOCAL_MACHINE \SYSTEM\\CurrentControlSet\Services\PolicyAgent.

Búsqueda de un filtro específico

Existen dos formas de buscar información acerca de un filtro específico, que pueden resultar útiles, por ejemplo, para solucionar problemas: puede ordenar la vista Filtros específicos para buscar el filtro o puede buscar el filtro en la carpeta Filtros específicos de modo principal o modo rápido.

Para buscar un filtro en la lista de filtros examinándola

  1. En la carpeta Filtros específicos de la carpeta Modo principal o Modo rápido, haga clic en el encabezado de columna de la propiedad que desee examinar. Si vuelve a hacer clic en el encabezado de columna, la lista se ordenará a la inversa.

  2. Examine la lista para buscar el filtro.
Para buscar un filtro específico mediante una búsqueda

  1. En la carpeta Modo principal o Modo rápido, haga clic con el botón secundario en la carpeta Filtros específicos y, a continuación, haga clic en Buscar filtros coincidentes.

  2. En el cuadro de diálogo Buscar filtros coincidentes, seleccione los criterios con los que desea realizar la búsqueda y, a continuación, haga clic en Buscar.

    Nota

    La opción Buscar sólo la mejor coincidencia sólo buscará una coincidencia, la que mejor coincida con los criterios de búsqueda. Si no ve el filtro que está buscando, intente volver a realizar la búsqueda con la opción Buscar todas las coincidencias. La opción Cualquiera en Origen y Destino no busca cualquier origen o destino, sino que se utiliza para buscar el origen o destino "Cualquiera", tal y como se muestra en la vista de lista Filtros específicos.

Búsqueda de signos de posibles ataques

Las estadísticas recopiladas y mostradas por el complemento Monitor de seguridad IP pueden resultar útiles para buscar posibles ataques contra el equipo u otros equipos agregados al complemento. Esta información se encuentra en las carpetas Estadísticas de las carpetas Modo principal y Modo rápido. Para obtener información acerca de las estadísticas disponibles, vea Supervisión del modo principal o Supervisión del modo rápido.

Ver las asociaciones de seguridad

Una asociación de seguridad (SA) es la combinación de una clave negociada, un protocolo de seguridad y el índice de parámetros de seguridad (SPI), que conjuntamente definen el método de seguridad utilizado para proteger la comunicación desde el remitente hasta el receptor. Si se observan las SA de este equipo, se pueden determinar los equipos conectados al equipo, el tipo de cifrado e integridad de datos que se está usando para estas conexiones y otra información.

Esta información puede resultar de gran ayuda para probar las directivas IPsec o solucionar problemas de acceso.

Cambio de otras opciones de configuración

Puede configurar si el complemento actualiza automáticamente la información que proporciona. También puede configurar la frecuencia de actualización y si en las vistas se muestran las direcciones IP y los nombres DNS.

Para configurar la actualización automática

  1. En la carpeta Monitor de seguridad IP, haga clic con el botón secundario en el nodo del equipo y, a continuación, haga clic en Propiedades.

  2. En el cuadro de diálogo Propiedades del equipo, active la casilla Habilitar actualización automática.

  3. Para cambiar la frecuencia de actualización de la información del complemento, escriba el intervalo preferido.

    Nota

    De forma predeterminada, la actualización automática se habilita con un intervalo de 45 segundos. Si se configura la actualización automática con demasiada frecuencia, pueden producirse problemas de rendimiento, especialmente cuando se supervisan varios equipos desde el complemento y está habilitada la resolución de nombres DNS.
Para ver las direcciones IP como nombres DNS

  1. En la carpeta Monitor de seguridad IP, haga clic con el botón secundario en el nodo del equipo y, a continuación, haga clic en Propiedades.

  2. En el cuadro de diálogo Propiedades, active la casilla Habilitar la resolución de nombres DNS y, a continuación, haga clic en Aceptar.

    Notas
    • La resolución de nombres DNS no está habilitada de forma predeterminada. Sólo funciona en la vista Filtros específicos de modo rápido y en la vista Asociaciones de seguridad, tanto para el modo principal como para el modo rápido.
    • La resolución de nombres DNS puede afectar al rendimiento si es necesario resolver muchos elementos en esta vista.
    • Para resolver el nombre DNS a partir de su dirección IP, deben configurarse los dominios inversos y los registros de recurso de puntero (PTR) adecuados en la infraestructura DNS. Los registros de recurso PTR pueden configurarse manualmente o mediante el uso de la actualización dinámica de DNS. Para resolver el nombre NetBIOS de un equipo desde su dirección IP, debe habilitarse NetBIOS sobre TCP/IP en el equipo.

Referencias adicionales

Tabla de contenido