Az alapmódú internetes kulcscsere (IKE) egyeztetés egy biztonságos csatornát hoz létre két számítógép között, az úgynevezett internetes biztonsági társítást és az ISAKMP biztonsági társítást. Az ISAKMP biztonsági társítás használható két számítógép között egymást követő kulcscserék védelmére, ez a Gyorsmódú egyeztetés. A biztonságos csatorna létrehozásához az Alapmódú egyeztetés meghatároz több kriptográfiai védelmi készletet, a közös titkos kulcs meghatározásához átküldi a kulcsanyagot, és hitelesíti a számítógép-azonosítókat.
Az Alapmódú biztonsági társítások figyelése többek között információkat biztosít arról, hogy jelenleg mely számítógépek kapcsolódnak a számítógéphez, mikor lett a biztonsági társítás létrehozva, melyik védelmi készletet használta a rendszer a biztonsági társítás kialakításához.
Általános szűrők
Az általános szűrők olyan IP szűrők, amelyek IP-cím beállítások bármelyikét forrás vagy cél címként is tudják használni. Az IPsec beállításai lehetővé teszik a szűrők konfigurációjában olyan kulcsszavak használatát is, mint Saját IP-cím, DNS-kiszolgáló, DHCP-kiszolgáló, WINS-kiszolgálók és Alapértelmezett átjáró. A kulcsszavak használatakor az általános szűrők az IPsec figyelése beépülő modulban jelenítik meg a kulcsszavakat. Az egyes szűrők a kulcsszavak IP-címmé bővítéséből származnak.
Oszlopok hozzáadása, eltávolítása és rendezése
Az Eredmények ablaktáblában található oszlopok hozzáadhatók, eltávolíthatók, átrendezhetők és rendezhetők:
- Név.
- Forrás. Az IP-csomag forráscíme.
- Cél. Az IP-csomag célcíme.
- Internetes kulcscsere házirendje. Az általános szűrőhöz kapcsolódó internetes kulcscsere házirend neve, nem az IPsec-házirend beépülő modullal létrehozott IPsec-házirendé. A házirend részletei, például a használt kriptográfiai algoritmusok megtekinthetők az internetes kulcscsere házirend elemben.
- Hitelesítési módszerek. A szűrők számára elérhető hitelesítési módszerek listája, választható sorrendben.
- Kapcsolat típusa. A szűrőhöz rendelt kapcsolat típusa, amely lehet helyi hálózat (LAN), távelérés vagy minden hálózati kapcsolat típus.
Konkrét szűrők
A konkrét szűrők az aktuális kapcsolat forrás vagy célszámítógépének az IP-címét felhasználva az általános szűrők kibővítésével jönnek létre. Ha például van egy szűrő, amely forráscímként a Saját IP-cím beállítást és célcímként a DHCP-kiszolgáló beállítást használta, amikor a szűrővel felépülő kapcsolat kialakítása során a saját számítógép IP-címét használó szűrő és a számítógép által használt DHCP-kiszolgáló IP-címe is automatikusan létrejön.
Megjegyzés | |
Az IP-biztonság figyelője beépülő modul az IP-címeket szintén DNS-névként oldja fel a gyors mód mappa Konkért szűrő mappájában, az alapmód mappában azonban nem. |
Oszlopok hozzáadása, eltávolítása és rendezése
Az Eredmények ablaktáblában található oszlopok hozzáadhatók, eltávolíthatók, átrendezhetők és rendezhetők:
- Név.
- Forrás. Az IP-csomag forráscíme.
- Cél. Az IP-csomag célcíme.
- Irány. Megadja, hogy a szűrő bejövő vagy kimenő.
- Internetes kulcscsere házirendje. Az internetes kulcscsere házirend neve, nem az IPsec-házirend beépülő modullal létrehozott IPsec-házirendé. A házirend részletei, például a használt kriptográfiai algoritmusok megtekinthetők az internetes kulcscsere házirend elemben.
- Hitelesítési módszerek. A szűrők számára elérhető hitelesítési módszerek listája, választható sorrendben.
- Súlyozó faktor. A szűrő prioritása az IPsec szolgáltatásban. A súlyozó faktor több faktorból származik. A szűrő súlyozó faktoraival kapcsolatos további információ a
https://go.microsoft.com/fwlink/?LinkId=62212 címen talál (előfordulhat, hogy a lap angol nyelven jelenik meg).
Megjegyzés A súlyozó faktor tulajdonság értéke mindig 0 a Windows Vista®,a Windows Server® 2008 rendszert és a Windows későbbi verzióit futtató számítógépeken.
Internetes kulcscsere házirendje
Az internetes kulcscsere házirendje az alapmód kulcscserében a két társszámítógéppel egyeztetett sértetlenség vagy titkosítási módszerre vonatkozik.
Statisztika
A következő táblázat az alapmód Statisztika nézetéből származó statisztikát jeleníti meg:
Megjegyzés | |
Egyes statisztikák nem vonatkoznak a Windows Vista, a Windows Server 2008 rendszert vagy a Windows későbbi verzióit futtató számítógépekre. |
Internetes kulcscsere statisztika | Leírás |
---|---|
Aktív beolvasás | A beolvasás művelet során az IPsec-illesztőprogram kéri az internetes kulcscsere eszközt egy feladat végrehajtására. Az Aktív beolvasás statisztika tartalmazza a feldolgozandó kérelmet és a sorban álló kérelmek számát, ha van ilyen. Az aktív beolvasások száma általában 1. Nagy terhelés alatt az aktív beolvasások száma 1 és az internetes kulcscsere által végrehajtandó, sorban álló kérelmek száma növekszik. |
Aktív fogadás | A beérkezett és várólistára helyezett IKE-üzenetek száma. |
Beolvasási hibák száma | A hibás beolvasások száma. |
Fogadási hibák | A sikertelen Windows Sockets WSARecvFrom() funkciók száma internetes kulcscsere üzenet fogadása közben. |
Küldési hibák | A sikertelen Windows Sockets WSASendTo() funkciók száma internetes kulcscsere üzenet küldése közben. |
Beolvasási halom mérete | Az aktív beolvasásokat tároló beolvasási halommemóriába kerülő bejegyzések száma. Nagy terhelés alatt a szám növekszik, majd idővel fokozatosan csökken, ahogy a beolvasási halommemória törlődik. |
Fogadási halom mérete | A bejövő internetes kulcscsere üzeneteket tárolására használt internetes kulcscsere fogadó pufferekbe kerülő bejegyzések száma. |
Sikertelen hitelesítési kísérletek | Az alapmód egyeztetések során jelentkező sikertelen hitelesítési kísérletek száma (Kerberos, tanúsítvány és előmegoszott kulcs). Amennyiben probléma merül fel a biztonságos kommunikációval kapcsolatban, próbálja ki a kommunikációt és figyelje meg a statisztikában ennek a számnak a növekedését. Ha az érték nőtt, ellenőrizze, hogy a hitelesítési beállítások között vannak-e nem egyeztetett vagy helytelenül beállított hitelesítési módszerek (például össze nem illő előmegosztott kulcsok használata). |
Egyeztetési hibák | Az alapmódú, illetve a gyors módú egyeztetések során felmerült egyeztetési hibák száma. Amennyiben probléma merül fel a biztonságos kommunikációval kapcsolatban, próbálja ki a kommunikációt és figyelje meg a statisztikában ennek a számnak a növekedését. Ha az érték nőtt, ellenőrizze, hogy a hitelesítési és biztonsági beállítások között vannak-e nem egyeztetett, helytelenül beállított hitelesítési módszerek (például össze nem illő előmegosztott kulcsok használata), vagy össze nem illő biztonsági módszerek vagy beállítások. |
Fogadott érvénytelen cookie-k | A cookie egy olyan internetes kulcscsere üzenetben fogadott érték, amelyet az aktív alapmód egyik állapotának keresésére használ az internetes kulcscsere szolgáltatás. Érvénytelen minden olyan internetes kulcscsere üzenetben fogadott cookie, amelyet nem lehet egy aktív alapmóddal egyeztetni. |
Beolvasás összesen | Az internetes kulcscsere szolgáltatástól az IPsec-illesztőprogramnak küldött munkahelyi kérések száma. |
SPI-lekérdezés összesen | Az internetes kulcscsere szolgáltatástól az IPsec-illesztőprogramnak küldött egyedi biztonsági paraméterindex (Security Parameters Index, SPI) kérések száma. |
Kulcsfelvételek | Az internetes kulcscsere szolgáltatástól az IPsec-illesztőprogramhoz adott gyors módú kimenő biztonsági társítások száma. |
Kulcsfrissítések | Az internetes kulcscsere szolgáltatástól az IPsec-illesztőprogramhoz adott gyors módú bejövő biztonsági társítások száma. |
SPI-lekérdezési hibák | Az internetes kulcscsere szolgáltatástól az IPsec-illesztőprogramnak küldött meghiúsult egyedi biztonsági paraméterindex (Security Parameters Index, SPI) kérések száma. |
Kulcsfelvételi hibák | Az internetes kulcscsere szolgáltatástól az IPsec-illesztőprogramhoz küldött meghiúsult gyors módú kimenő biztonsági társítás hozzáadási kérések száma. |
Kulcsfrissítési hibák | Az internetes kulcscsere szolgáltatástól az IPsec-illesztőprogramhoz küldött meghiúsult gyors módú bejövő biztonsági társítás hozzáadási kérések száma. |
ISADB-lista mérete | Az alapmódú állapotbejegyzések száma, beleértve az egyeztetett alapmódot, a folyamatban lévő alapmódot és a sikertelen, de nem törölt alapmódot. |
Kapcsolatok listájának mérete | A gyors módú állapotbejegyzések száma. |
Internetes kulcscsere – alapmód | Az alapmódú egyeztetések során létrejött sikeres biztonsági társítások száma. |
Internetes kulcscsere – gyors mód | A gyors módú egyeztetések során létrejött sikeres biztonsági társítások száma. Mivel jellemzően több gyors módú biztonsági társítás jön létre minden alapmódú biztonsági társításhoz, ez a szám nem feltétlenül egyezik meg az alapmód megfelelő számával. |
Ideiglenes társítások | Az egyszerű szöveges eredményű egyeztetések (másnéven ideiglenes biztonsági társítások) száma Ez jellemzően azokra a kapcsolatokra utal, amelyeket az alapmódú egyeztetési próbálkozásokra nem reagáló számítógéppel végeztek. Ez tartalmazza a nem IPsec-kompatibilis számítógépeket, valamint az IPsec-kompatibilis, de az IPsec partnerrel végzett biztonsági tárgyaláshoz IPsec házirenddel nem rendelkező számítógépeket. Bár az ideiglenes biztonsági társítások nem az alapmódú vagy gyors módú egyeztetések eredményei, mégis gyors módú biztonsági társításokként kezelendők. |
Fogadott érvénytelen csomagok | A fogadott érvénytelen internetes kulcscsere üzenetek száma, beleértve az érvénytelen fejléc mezőkkel rendelkező internetes kulcscsere üzeneteket, a hibás hasznos forgalom hosszokat és a válaszoló cookie helytelen értékeit (amikor 0 értékre kellene állítani). Az érvénytelen IKE-üzeneteket általában a lejárt IKE-üzenetek újraküldése vagy az IPSec-partnerek között nem egyező előmegosztott kulcsok használata eredményezi. |
Megjegyzés | |
A statisztikák némelyike a hálózat elleni esetleges támadások felderítésére alkalmas. |
Biztonsági társítások
A nézet a számítógép aktív biztonsági társításait jeleníti meg. A biztonsági társítás egy egyeztetett kulcs, egy biztonsági protokoll és egy biztonságiparaméter-index (SPI) kombinációja, amelyek együtt határozzák meg a küldő és a fogadó közti kommunikáció védelmére használt biztonsági módszert. Ezért a számítógép biztonsági társításait megtekintve meghatározható mely számítógépnek van kapcsolata ezzel a számítógéppel, milyen típusú sértetlenséget és titkosítást használ a kapcsolat, stb.
Ez az információ az IPsec házirendek és hibaelhárítási témák hozzáférésének tesztelése során lehet hasznos.
Oszlopok hozzáadása, eltávolítása és rendezése
Az Eredmények ablaktáblában található oszlopok hozzáadhatók, eltávolíthatók, átrendezhetők és rendezhetők:
- Én. A helyi számítógép IP-címe.
- Saját azonosító. A helyi számítógép DNS-neve.
- Társ. A távoli számítógép vagy társ IP-címe.
- Társazonosító. A távoli számítógép vagy társ DNS-neve.
- Hitelesítés. A biztonsági társítás létrehozása során használt hitelesítési módszer.
- Titkosítás. A biztonsági társítás által a gyors módú kulcscseréhez használt titkosítási módszer.
- Sértetlenség. A biztonsági társítás által a gyors módú kulcscseréhez használt sértetlenségi módszer.
- Diffie-Hellman. Az alapmódú biztonsági társítás létrehozásához használt Diffie-Hellman csoport.