La négociation IKE du mode rapide (également appelé Phase 2) crée un canal sécurisé entre deux ordinateurs pour protéger les données. Cette phase implique la mise en place d’associations de sécurité négociées au nom du service IPsec, si bien que les associations de sécurité créées en mode rapide sont appelées associations de sécurité IPsec. En mode rapide, le support de gestion des clés est actualisé ou, si nécessaire, de nouvelles clés sont générées. Une suite de protections qui protège le trafic IP spécifié est également sélectionnée. Une suite de protections est un ensemble défini de données d’intégrité ou de paramètres de chiffrement de données. Le mode rapide n’est pas considéré comme un échange complet car il dépend d’un échange de clés réalisé en mode principal.

L’analyse des associations de sécurité du mode rapide peut fournir des informations permettant de déterminer, notamment, quels homologues sont actuellement connectés à l’ordinateur local ou quelle suite de protections a été utilisée pour créer l’association de sécurité.

Filtres génériques

Les filtres génériques sont des filtres IP configurés pour utiliser toutes les options d’adresse IP en tant qu’adresse source ou adresse de destination. IPsec vous autorise également à utiliser des mots clés, tels que Mon adresse IP, Serveur DNS, Serveur DHCP, Serveurs WINS et Passerelle par défaut, dans la configuration des filtres. Lorsque vous utilisez des mots clés, les filtres génériques affichent ces derniers dans le composant logiciel enfichable Moniteur de sécurité IP. Les filtres spécifiques sont obtenus à partir des filtres génériques en développant les mots clés dans des adresses IP.

Ajout, suppression et tri des colonnes

Vous pouvez ajouter, supprimer, réorganiser et trier les colonnes dans le volet de résultats :

  • Nom.

  • Source. Adresse IP de la source du paquet.

  • Destination. Adresse IP de la destination du paquet.

  • Port source. Port TCP ou UDP du paquet source.

  • Port de destination. Port TCP ou UDP du paquet de destination.

  • Point de sortie du tunnel source. Point de sortie du tunnel le plus proche de l’ordinateur local, s’il a été spécifié.

  • Point de sortie du tunnel de destination. Point de sortie du tunnel le plus proche de l’ordinateur de destination, s’il a été spécifié.

  • Protocole. Protocole spécifié dans le filtre.

  • Action entrante. Indique si le trafic entrant est Autorisé, Bloqué ou s’il utilise l’action Négocier la sécurité.

  • Action sortante. Indique si le trafic sortant est Autorisé, Bloqué ou s’il utilise l’action Négocier la sécurité.

  • Stratégie de négociation. Nom de la stratégie de négociation de mode rapide ou paramètres de chiffrement.

  • Type de connexion. Il s’agit du type de connexion auquel s’applique ce filtre, que ce soit un réseau local, un accès distant ou tout autre type de connexion réseau.

Filtres spécifiques

Les filtres spécifiques sont développés à partir des filtres génériques en utilisant les adresses IP de l’ordinateur source ou de destination pour la connexion réelle. Par exemple, si vous avez un filtre qui a utilisé l’option Mon adresse IP comme adresse source et l’option Serveur DHCP comme adresse de destination, lorsque la connexion s’établit au moyen de ce filtre, un filtre comportant l’adresse IP de votre ordinateur et l’adresse IP du serveur DHCP utilisée par l’ordinateur local est créé automatiquement.

Ajout, suppression et tri des colonnes

Vous pouvez ajouter, supprimer, réorganiser et trier les colonnes dans le volet de résultats :

  • Nom.

  • Source. Adresse IP de la source du paquet.

  • Destination. Adresse IP de la destination du paquet.

  • Port source. Port TCP ou UDP du paquet source.

  • Port de destination. Port TCP ou UDP du paquet de destination.

  • Point de sortie du tunnel source. Point de sortie du tunnel le plus proche de l’ordinateur local, s’il a été spécifié.

  • Point de sortie du tunnel de destination. Point de sortie du tunnel le plus proche de l’ordinateur de destination, s’il a été spécifié.

  • Protocole. Protocole spécifié dans le filtre.

  • Action entrante. Indique si le trafic entrant est Autorisé, Bloqué ou s’il utilise l’action Négocier la sécurité.

  • Action sortante. Indique si le trafic sortant est Autorisé, Bloqué ou s’il utilise l’action Négocier la sécurité.

  • Stratégie de négociation. Nom de la stratégie de négociation de mode rapide ou paramètres de chiffrement.

  • Poids. Il s’agit de la priorité que le service IPsec donne au filtre. Le poids découle d’un certain nombre de facteurs. Pour plus d’informations sur les poids des filtres, voir https://go.microsoft.com/fwlink/?LinkId=62212 (éventuellement en anglais).

    Remarques

    La valeur de la propriété de poids est toujours 0 sur les ordinateurs exécutant Windows Vista®, Windows Server® 2008 ou des versions ultérieures de Windows.

Stratégies de négociation

La stratégie de négociation est l’ordre de préférence des méthodes de sécurité que les deux ordinateurs homologues utilisent pour communiquer entre eux durant les négociations de mode rapide.

Statistiques

Ce tableau affiche les statistiques disponibles dans l’affichage Statistiques du mode rapide :

Statistique IPsecDescription

Associations de sécurité actives

Nombre d’associations de sécurité IPsec actives.

Associations de sécurité déchargées

Nombre d’associations de sécurité IPsec actives déchargées vers un composant matériel.

Opérations de clés en cours

Nombre d’opérations de clés IPsec en cours.

Ajouts de clés

Nombre total de négociations d’association de sécurité IPsec ayant réussi.

Suppressions de clé

Nombre de suppressions de clés des associations de sécurité IPsec.

Nouvelles clés

Nombre d’opérations de changement de clé pour des associations de sécurité IPsec.

Tunnels actifs

Nombre de tunnels IPsec actifs.

Paquets SPI erronés

Nombre total de paquets pour lesquels l’index SPI (Security Parameters Index) n’était pas correct. Cet index met en correspondance les paquets entrants avec des associations de sécurité. Un index SPI incorrect peut signifier que l’association de sécurité entrante a expiré et qu’un paquet utilisant l’ancien SPI vient d’arriver. Ce nombre est susceptible d’augmenter si les intervalles de changement de clé sont courts et que le nombre d’associations de sécurité est élevé. L’expiration des associations de sécurité étant un processus normal, un paquet SPI erroné ne signifie pas nécessairement que la sécurité IP est défaillante.

Paquets non déchiffrés

Nombre total de paquets qui n’ont pas pu être déchiffrés. Ce type d’échec peut indiquer l’arrivée d’un paquet dont l’association de sécurité a expiré. Si l’association de sécurité expire, la clé de session employée pour déchiffrer le paquet est également supprimée. Cela ne signifie pas nécessairement que la sécurité IP est défaillante.

Paquets non authentifiés

Nombre total de paquets dont les données n’ont pas pu être vérifiées. De tels échecs sont généralement causés par l’expiration de l’association de sécurité.

Paquets avec détection de relecture

Nombre total de paquets contenant un champ Numéro de séquence valide.

Octets confidentiels envoyés

Nombre total d’octets envoyés à l’aide du protocole ESP.

Octets confidentiels reçus

Nombre total d’octets reçus par le biais du protocole ESP.

Octets authentifiés envoyés

Nombre total d’octets envoyés à l’aide du protocole AH.

Octets authentifiés reçus

Nombre total d’octets reçus par le biais du protocole AH.

Octets de transport envoyés

Nombre total d’octets envoyés à l’aide du mode de transport IPsec.

Octets de transport reçus

Nombre total d’octets reçus par le biais du mode de transport IPsec.

Octets envoyés dans les tunnels

Nombre total d’octets envoyés à l’aide du mode de tunnel IPsec.

Octets reçus dans les tunnels

Nombre total d’octets reçus par le biais du mode de tunnel IPsec.

Octets déchargés envoyés

Nombre total d’octets envoyés à l’aide du déchargement matériel.

Octets déchargés reçus

Nombre total d’octets reçus par le biais du déchargement matériel.

Remarques

Certaines de ces statistiques peuvent servir à détecter des tentatives d’attaques sur le réseau.

Associations de sécurité

Cet affichage présente les associations de sécurité actives de l’ordinateur local. Une association de sécurité est la combinaison d’une clé négociée, d’un protocole de sécurité et d’un index des paramètres de sécurité (SPI, security parameters index). Cette combinaison définit la sécurité mise en œuvre pour protéger la communication de l’expéditeur au destinataire. Ainsi, en observant les associations de sécurité de l’ordinateur local, vous pouvez déterminer les ordinateurs ayant une connexion avec celui-ci, le type d’intégrité et de chiffrement des données utilisé pour cette connexion, et bien d’autres informations.

Ces informations peuvent se révéler utiles pour tester les stratégies de sécurité IP et résoudre les problèmes d’accès.

Ajout, suppression et tri des colonnes

Vous pouvez ajouter, supprimer, réorganiser et trier les colonnes dans le volet de résultats :

  • Moi. Adresse IP de l’ordinateur local.

  • Homologue. Adresse IP de l’ordinateur distant.

  • Protocole. Protocole spécifié dans le filtre.

  • Mon port. Port TCP ou UDP de l’ordinateur local spécifié dans le filtre.

  • Port homologue. Port TCP ou UDP de l’ordinateur distant spécifié dans le filtre.

  • Stratégie de négociation. Nom de la stratégie de négociation de mode rapide ou paramètres de chiffrement.

  • Intégrité AH Méthode d’intégrité des données spécifique au protocole AH et utilisée pour les communications homologues.

  • Confidentialité ESP Méthode de chiffrement spécifique au protocole ESP et utilisée pour les communications homologues.

  • Intégrité ESP Méthode d’intégrité des données spécifique au protocole ESP et utilisée pour les communications homologues.

  • Mon point de sortie du tunnel Point de sortie du tunnel le plus proche de l’ordinateur local, s’il a été spécifié.

  • Point de sortie du tunnel homologue Point de sortie du tunnel le plus proche de l’ordinateur distant, s’il a été spécifié.

Références supplémentaires