Pikatilan (eli vaiheen 2) IKE-neuvottelu muodostaa suojatun kanavan kahden tietokoneen välille tietojen suojaamiseksi. Koska tässä vaiheessa muodostetaan suojaussidoksia, jotka neuvotellaan IPsec-palvelun puolesta, pikatilassa luotuja suojaussidoksia kutsutaan IPsec-suojaussidoksiksi. Pikatilassa avainten luontimateriaali päivitetään ja tarvittaessa luodaan uusia avaimia. Myös määritettyä IP-liikennettä suojaava suojaussarja valitaan. Suojausasetusryhmä koostuu joukosta aitous- tai salausasetuksia. Pikatilaa ei pidetä täydellisenä vaihtona, koska se on riippuvainen päätilan vaihdosta.
Pikatilan suojaussidosten valvonnan avulla saadaan tietoja esimerkiksi siitä, millä vertaiskoneilla on yhteys tietokoneeseen ja mitä suojausasetusryhmää suojaussidoksen muodostamisessa käytettiin.
Yleiset suodattimet
Yleiset suodattimet ovat IP-suodattimia, jotka on määritetty käyttämään mitä tahansa IP-osoiteasetusta joko lähde- tai kohdeosoitteena. IP-suojauksen avulla voit lisäksi käyttää suodattimien määrityksessä avainsanoja, kuten Oma IP-osoite, DNS-palvelin, DHCP-palvelin, WINS-palvelimet ja Oletusyhdyskäytävä. Avainsanoja käytettäessä yleiset suodattimet näyttävät avainsanat IP-suojauksen valvontalaajennuksessa. Suodattimet johdetaan yleisistä suodattimista laajentamalla avainsanoja IP-osoitteiksi.
Sarakkeiden lisääminen, poistaminen ja lajitteleminen
Voit lisätä, poistaa, järjestää ja lajitella tietoja näiden sarakkeiden mukaan tuloskentässä:
- Nimi.
- Lähde. Tämä on paketin lähteen IP-osoite.
- Kohde. Tämä on paketin kohteen IP-osoite.
- Lähdeportti. Tämä on paketin lähteen TCP- tai UDP-portti.
- Kohdeportti. Tämä on paketin kohteen TCP- tai UDP-portti.
- Lähdetunnelin päätepiste. Tämä on paikallista tietokonetta lähimpänä olevan tunnelin päätepiste, jos sellainen on määritetty.
- Kohdetunnelin päätepiste. Tämä on kohdetietokonetta lähimpänä olevan tunnelin päätepiste, jos sellainen on määritetty.
- Protokolla. Tämä on suodattimessa määritetty protokolla.
- Saapuva toiminto. Tämä ilmaisee, onko saapuva tietoliikenne sallittu vai estetty vai käyttääkö se suojauksen neuvottelua.
- Lähtevä toiminto. Tämä ilmaisee, onko lähtevä tietoliikenne sallittu vai estetty vai käyttääkö se suojauksen neuvottelua.
- Neuvottelukäytäntö. Tämä on pikatilan neuvottelukäytännön tai salausasetusten nimi.
- Yhteyslaji. Tämä on yhteyslaji, jossa tätä suodatinta käytetään (lähiverkko, etäkäyttö tai kaikki verkkoyhteyslajit).
Tietyt suodattimet
Tietyt suodattimet laajennetaan yleisistä suodattimista yhteyden lähde- tai kohdetietokoneen IP-osoitteiden avulla. Jos esimerkiksi suodattimessa käytettiin lähdeosoitteena Oma IP-osoite -asetusta ja kohdeosoitteena DHCP-palvelin-asetusta ja yhteys muodostetaan tämän suodattimen avulla, järjestelmä luo automaattisesti suodattimen, jolla on oman tietokoneesi IP-osoite ja tämän tietokoneen käyttämän DHCP-palvelimen IP-osoite.
Sarakkeiden lisääminen, poistaminen ja lajitteleminen
Voit lisätä, poistaa, järjestää ja lajitella tietoja näiden sarakkeiden mukaan tuloskentässä:
- Nimi.
- Lähde. Tämä on paketin lähteen IP-osoite.
- Kohde. Tämä on paketin kohteen IP-osoite.
- Lähdeportti. Tämä on paketin lähteen TCP- tai UDP-portti.
- Kohdeportti. Tämä on paketin kohteen TCP- tai UDP-portti.
- Lähdetunnelin päätepiste. Tämä on paikallista tietokonetta lähimpänä olevan tunnelin päätepiste, jos sellainen on määritetty.
- Kohdetunnelin päätepiste. Tämä on kohdetietokonetta lähimpänä olevan tunnelin päätepiste, jos sellainen on määritetty.
- Protokolla. Tämä on suodattimessa määritetty protokolla.
- Saapuva toiminto. Tämä ilmaisee, onko saapuva tietoliikenne sallittu vai estetty vai käyttääkö se suojauksen neuvottelua.
- Lähtevä toiminto. Tämä ilmaisee, onko lähtevä tietoliikenne sallittu vai estetty vai käyttääkö se suojauksen neuvottelua.
- Neuvottelukäytäntö. Tämä on pikatilan neuvottelukäytännön tai salausasetusten nimi.
- Painoarvo. Tämä on IP-suojauspalvelun suodattimelle antama prioriteetti. Painoarvo johdetaan useista tekijöistä. Lisätietoja suodattimien painoarvosta on Microsoftin sivuston kohdassa
https://go.microsoft.com/fwlink/?LinkId=62212 (sivu voi olla englanninkielinen) .
Huomautus Painoarvo-ominaisuuden arvo on aina 0 tietokoneissa, joissa on Windows Vista®, Windows Server® 2008 tai uudempi Windows-versio.
Neuvottelukäytännöt
Neuvottelukäytännöllä tarkoitetaan suojausmenetelmien järjestystä, jota kaksi vertaiskonetta sopivat käyttävänsä niiden välisessä yhteydessä pikatilaneuvottelun aikana.
Tilastotiedot
Tämä taulukko sisältää pikatilan tilastonäkymän tiedot:
IPsec-tilastotiedot | Kuvaus |
---|---|
Aktiiviset suojaussidokset | Tämä on aktiivisten IPsec-suojaussidosten määrä. |
Puretut suojaussidokset | Tämä on laitteistoon purettujen aktiivisten IPsec-suojaussidosten määrä. |
Odottavat avaintoiminnot | Tämä on käynnissä olevien IPsec-avaintoimintojen määrä. |
Avainlisäyksiä | Tämä on onnistuneiden IPsec-suojaussidosten neuvottelujen määrä. |
Avainpoistot | Tämä on IPsec-suojaussidosten avainten poistojen määrä. |
Avainten uudelleenluonnit | Tämä on IPsec-suojaussidosten avainten uudelleenluontien määrä. |
Aktiiviset tunnelit | Tämä on aktiivisten IPsec-tunnelien määrä. |
Virheelliset SPI-paketit | Tämä on niiden pakettien kokonaismäärä, joissa suojausparametri-indeksi (SPI) ei ollut kelvollinen. Suojausparametri-indeksiä käytetään yhdistämään tulevat paketit ja suojaussidokset. Jos suojausparametri-indeksi on virheellinen, voi olla, että tulevan liikenteen suojaussidos on vanhentunut ja vanhaa suojausparametri-indeksiä käyttävä paketti on saapunut äskettäin. Määrä todennäköisesti kasvaa, jos avainten uudelleenluontivälit ovat lyhyet ja suojaussidoksia on paljon. Koska suojaussidokset normaalisti vanhenevat, virheellinen SPI-paketti ei välttämättä tarkoita sitä, että IP-suojaus olisi uhattuna. |
Purkamattomia paketteja | Tämä on niiden pakettien määrä, joiden salauksen purku ei onnistunut. Tämä epäonnistuminen saattaa ilmaista, että vanhentunutta suojaussidosta käyttävä paketti on saapunut. Jos suojaussidos vanhentuu, sen suojauksen purkamisen mahdollistava istuntoavain poistetaan. Tämä ei välttämättä tarkoita sitä, että IP-suojaus olisi uhattuna. |
Todentamattomat paketit | Tämä on sellaisten pakettien määrä, joiden tietoja ei voitu vahvistaa. Syynä on todennäköisesti vanhentunut suojaussidos. |
Paketit, joissa on uusintatunnistus | Tämä on kelvollisen Jaksonumero-kentän sisältäneiden pakettien määrä. |
Luottamuksellisia tavuja lähetetty | Tämä on ESP-protokollan avulla lähetettyjen tavujen määrä. |
Luottamuksellisia tavuja vastaanotettu | Tämä on ESP-protokollan avulla vastaanotettujen tavujen määrä. |
Lähetetyt todennetut tavut | Tämä on AH-protokollan avulla lähetettyjen tavujen määrä. |
Vastaanotetut todennetut tavut | Tämä on AH-protokollan avulla vastaanotettujen tavujen määrä. |
Lähetetyt siirtotavut | Tämä on IPsec-siirtotilassa lähetettyjen tavujen määrä. |
Vastaanotetut siirtotavut | Tämä on IPsec-siirtotilassa vastaanotettujen tavujen määrä. |
Tunneleissa lähetetyt tavut | Tämä on IPsec-tunnelitilassa lähetettyjen tavujen määrä. |
Tunneleissa vastaanotetut tavut | Tämä on IPsec-tunnelitilassa vastaanotettujen tavujen määrä. |
Lähetetyt puretut tavut | Tämä on laitteistopurkamisen avulla lähetettyjen tavujen määrä. |
Vastaanotetut puretut tavut | Tämä on laitteistopurkamisen avulla vastaanotettujen tavujen määrä. |
Huomautus | |
Joidenkin tilastotietojen avulla voidaan havaita verkon hyökkäyksiä. |
Suojaussidokset
Tämä näkymä sisältää tietokoneen aktiiviset suojaussidokset. Suojaussidos on neuvotellun avaimen, suojausprotokollan ja suojausparametri-indeksin (SPI) yhdistelmä. Se määrittää suojauksen, jonka avulla tiedot suojataan koko tiedonsiirron ajaksi. Tutkimalla tietokoneen suojaussidoksia saadaan selville tietokoneet, joilla on yhteyksiä tähän tietokoneeseen, yhteydessä käytettävä tietojen aitous- ja salaustyyppi sekä muita tietoja.
Näistä tiedoista voi olla hyötyä IP-suojauskäytäntöjen testauksessa ja käyttöoikeusongelmien ratkaisussa.
Sarakkeiden lisääminen, poistaminen ja lajitteleminen
Voit lisätä, poistaa, järjestää ja lajitella tietoja näiden sarakkeiden mukaan tuloskentässä:
- Minä. Tämä on paikallisen tietokoneen IP-osoite.
- Vertaiskone. Tämä on etätietokoneen IP-osoite.
- Protokolla. Tämä on suodattimessa määritetty protokolla.
- Oma portti. Tämä on suodattimessa määritetyn paikallisen tietokoneen TCP- tai UDP-portti.
- Vertaiskoneen portti. Tämä on suodattimessa määritetyn etätietokoneen TCP- tai UDP-portti.
- Neuvottelukäytäntö. Tämä on pikatilan neuvottelukäytännön tai salausasetusten nimi.
- AH-aitous. Tämä on vertaiskoneiden tiedonsiirrossa käytettävä AH-protokollakohtainen tietojen aitouden tarkistusmenetelmä.
- ESP-luottamuksellisuus. Tämä on vertaiskoneiden tiedonsiirrossa käytettävä ESP-protokollakohtainen salausmenetelmä.
- ESP-aitous. Tämä on vertaiskoneiden tiedonsiirrossa käytettävä ESP-protokollakohtainen tietojen aitouden tarkistusmenetelmä.
- Tunnelin päätepiste. Tämä on paikallista tietokonetta lähimpänä olevan tunnelin päätepiste, jos sellainen on määritetty.
- Vertaisjärjestelmän tunnelinPeer Tunnel Endpoint päätepiste. Tämä on paikallista tietokonetta lähimpänä olevan tunnelin päätepiste, jos sellainen on määritetty.