La négociation IKE du mode rapide (également appelé Phase 2) crée un canal sécurisé entre deux ordinateurs pour protéger les données. Cette phase implique la mise en place d’associations de sécurité négociées au nom du service IPsec, si bien que les associations de sécurité créées en mode rapide sont appelées associations de sécurité IPsec. En mode rapide, le support de gestion des clés est actualisé ou, si nécessaire, de nouvelles clés sont générées. Une suite de protections qui protège le trafic IP spécifié est également sélectionnée. Une suite de protections est un ensemble défini de données d’intégrité ou de paramètres de chiffrement de données. Le mode rapide n’est pas considéré comme un échange complet car il dépend d’un échange de clés réalisé en mode principal.
L’analyse des associations de sécurité du mode rapide peut fournir des informations permettant de déterminer, notamment, quels homologues sont actuellement connectés à l’ordinateur local ou quelle suite de protections a été utilisée pour créer l’association de sécurité.
Filtres génériques
Les filtres génériques sont des filtres IP configurés pour utiliser toutes les options d’adresse IP en tant qu’adresse source ou adresse de destination. IPsec vous autorise également à utiliser des mots clés, tels que Mon adresse IP, Serveur DNS, Serveur DHCP, Serveurs WINS et Passerelle par défaut, dans la configuration des filtres. Lorsque vous utilisez des mots clés, les filtres génériques affichent ces derniers dans le composant logiciel enfichable Moniteur de sécurité IP. Les filtres spécifiques sont obtenus à partir des filtres génériques en développant les mots clés dans des adresses IP.
Ajout, suppression et tri des colonnes
Vous pouvez ajouter, supprimer, réorganiser et trier les colonnes dans le volet de résultats :
- Nom.
- Source. Adresse IP de la source du paquet.
- Destination. Adresse IP de la destination du paquet.
- Port source. Port TCP ou UDP du paquet source.
- Port de destination. Port TCP ou UDP du paquet de destination.
- Point de sortie du tunnel source. Point de sortie du tunnel le plus proche de l’ordinateur local, s’il a été spécifié.
- Point de sortie du tunnel de destination. Point de sortie du tunnel le plus proche de l’ordinateur de destination, s’il a été spécifié.
- Protocole. Protocole spécifié dans le filtre.
- Action entrante. Indique si le trafic entrant est Autorisé, Bloqué ou s’il utilise l’action Négocier la sécurité.
- Action sortante. Indique si le trafic sortant est Autorisé, Bloqué ou s’il utilise l’action Négocier la sécurité.
- Stratégie de négociation. Nom de la stratégie de négociation de mode rapide ou paramètres de chiffrement.
- Type de connexion. Il s’agit du type de connexion auquel s’applique ce filtre, que ce soit un réseau local, un accès distant ou tout autre type de connexion réseau.
Filtres spécifiques
Les filtres spécifiques sont développés à partir des filtres génériques en utilisant les adresses IP de l’ordinateur source ou de destination pour la connexion réelle. Par exemple, si vous avez un filtre qui a utilisé l’option Mon adresse IP comme adresse source et l’option Serveur DHCP comme adresse de destination, lorsque la connexion s’établit au moyen de ce filtre, un filtre comportant l’adresse IP de votre ordinateur et l’adresse IP du serveur DHCP utilisée par l’ordinateur local est créé automatiquement.
Ajout, suppression et tri des colonnes
Vous pouvez ajouter, supprimer, réorganiser et trier les colonnes dans le volet de résultats :
- Nom.
- Source. Adresse IP de la source du paquet.
- Destination. Adresse IP de la destination du paquet.
- Port source. Port TCP ou UDP du paquet source.
- Port de destination. Port TCP ou UDP du paquet de destination.
- Point de sortie du tunnel source. Point de sortie du tunnel le plus proche de l’ordinateur local, s’il a été spécifié.
- Point de sortie du tunnel de destination. Point de sortie du tunnel le plus proche de l’ordinateur de destination, s’il a été spécifié.
- Protocole. Protocole spécifié dans le filtre.
- Action entrante. Indique si le trafic entrant est Autorisé, Bloqué ou s’il utilise l’action Négocier la sécurité.
- Action sortante. Indique si le trafic sortant est Autorisé, Bloqué ou s’il utilise l’action Négocier la sécurité.
- Stratégie de négociation. Nom de la stratégie de négociation de mode rapide ou paramètres de chiffrement.
- Poids. Il s’agit de la priorité que le service IPsec donne au filtre. Le poids découle d’un certain nombre de facteurs. Pour plus d’informations sur les poids des filtres, voir
https://go.microsoft.com/fwlink/?LinkId=62212 (éventuellement en anglais) .
Remarques La valeur de la propriété de poids est toujours 0 sur les ordinateurs exécutant Windows Vista®, Windows Server® 2008 ou des versions ultérieures de Windows.
Stratégies de négociation
La stratégie de négociation est l’ordre de préférence des méthodes de sécurité que les deux ordinateurs homologues utilisent pour communiquer entre eux durant les négociations de mode rapide.
Statistiques
Ce tableau affiche les statistiques disponibles dans l’affichage Statistiques du mode rapide :
Statistique IPsec | Description |
---|---|
Associations de sécurité actives | Nombre d’associations de sécurité IPsec actives. |
Associations de sécurité déchargées | Nombre d’associations de sécurité IPsec actives déchargées vers un composant matériel. |
Opérations de clés en cours | Nombre d’opérations de clés IPsec en cours. |
Ajouts de clés | Nombre total de négociations d’association de sécurité IPsec ayant réussi. |
Suppressions de clé | Nombre de suppressions de clés des associations de sécurité IPsec. |
Nouvelles clés | Nombre d’opérations de changement de clé pour des associations de sécurité IPsec. |
Tunnels actifs | Nombre de tunnels IPsec actifs. |
Paquets SPI erronés | Nombre total de paquets pour lesquels l’index SPI (Security Parameters Index) n’était pas correct. Cet index met en correspondance les paquets entrants avec des associations de sécurité. Un index SPI incorrect peut signifier que l’association de sécurité entrante a expiré et qu’un paquet utilisant l’ancien SPI vient d’arriver. Ce nombre est susceptible d’augmenter si les intervalles de changement de clé sont courts et que le nombre d’associations de sécurité est élevé. L’expiration des associations de sécurité étant un processus normal, un paquet SPI erroné ne signifie pas nécessairement que la sécurité IP est défaillante. |
Paquets non déchiffrés | Nombre total de paquets qui n’ont pas pu être déchiffrés. Ce type d’échec peut indiquer l’arrivée d’un paquet dont l’association de sécurité a expiré. Si l’association de sécurité expire, la clé de session employée pour déchiffrer le paquet est également supprimée. Cela ne signifie pas nécessairement que la sécurité IP est défaillante. |
Paquets non authentifiés | Nombre total de paquets dont les données n’ont pas pu être vérifiées. De tels échecs sont généralement causés par l’expiration de l’association de sécurité. |
Paquets avec détection de relecture | Nombre total de paquets contenant un champ Numéro de séquence valide. |
Octets confidentiels envoyés | Nombre total d’octets envoyés à l’aide du protocole ESP. |
Octets confidentiels reçus | Nombre total d’octets reçus par le biais du protocole ESP. |
Octets authentifiés envoyés | Nombre total d’octets envoyés à l’aide du protocole AH. |
Octets authentifiés reçus | Nombre total d’octets reçus par le biais du protocole AH. |
Octets de transport envoyés | Nombre total d’octets envoyés à l’aide du mode de transport IPsec. |
Octets de transport reçus | Nombre total d’octets reçus par le biais du mode de transport IPsec. |
Octets envoyés dans les tunnels | Nombre total d’octets envoyés à l’aide du mode de tunnel IPsec. |
Octets reçus dans les tunnels | Nombre total d’octets reçus par le biais du mode de tunnel IPsec. |
Octets déchargés envoyés | Nombre total d’octets envoyés à l’aide du déchargement matériel. |
Octets déchargés reçus | Nombre total d’octets reçus par le biais du déchargement matériel. |
Remarques | |
Certaines de ces statistiques peuvent servir à détecter des tentatives d’attaques sur le réseau. |
Associations de sécurité
Cet affichage présente les associations de sécurité actives de l’ordinateur local. Une association de sécurité est la combinaison d’une clé négociée, d’un protocole de sécurité et d’un index des paramètres de sécurité (SPI, security parameters index). Cette combinaison définit la sécurité mise en œuvre pour protéger la communication de l’expéditeur au destinataire. Ainsi, en observant les associations de sécurité de l’ordinateur local, vous pouvez déterminer les ordinateurs ayant une connexion avec celui-ci, le type d’intégrité et de chiffrement des données utilisé pour cette connexion, et bien d’autres informations.
Ces informations peuvent se révéler utiles pour tester les stratégies de sécurité IP et résoudre les problèmes d’accès.
Ajout, suppression et tri des colonnes
Vous pouvez ajouter, supprimer, réorganiser et trier les colonnes dans le volet de résultats :
- Moi. Adresse IP de l’ordinateur local.
- Homologue. Adresse IP de l’ordinateur distant.
- Protocole. Protocole spécifié dans le filtre.
- Mon port. Port TCP ou UDP de l’ordinateur local spécifié dans le filtre.
- Port homologue. Port TCP ou UDP de l’ordinateur distant spécifié dans le filtre.
- Stratégie de négociation. Nom de la stratégie de négociation de mode rapide ou paramètres de chiffrement.
- Intégrité AH Méthode d’intégrité des données spécifique au protocole AH et utilisée pour les communications homologues.
- Confidentialité ESP Méthode de chiffrement spécifique au protocole ESP et utilisée pour les communications homologues.
- Intégrité ESP Méthode d’intégrité des données spécifique au protocole ESP et utilisée pour les communications homologues.
- Mon point de sortie du tunnel Point de sortie du tunnel le plus proche de l’ordinateur local, s’il a été spécifié.
- Point de sortie du tunnel homologue Point de sortie du tunnel le plus proche de l’ordinateur distant, s’il a été spécifié.