IKE-forhandlinger i hurtigmodus (også kjent som fase 2) oppretter en sikker kanal mellom to datamaskiner for å beskytte data. Under denne fasen blir det opprettet sikkerhetstilordninger (SA) som forhandles på vegne av IPSec-tjenesten, og sikkerhetstilordningene som opprettes i hurtigmodus, vil derfor bli kalt IPSec-sikkerhetstilordninger. Nøkkelmateriale oppdateres under hurtigmodus, og hvis det er nødvendig, genereres nye nøkler. Det velges også et beskyttelsessett som beskytter den spesifiserte IP-trafikken. Et beskyttelsessett er et definert sett med innstillinger for dataintegritet eller datakryptering. Hurtigmodus regnes ikke som en komplett utveksling, fordi den avhenger av en hovedmodusutveksling.
Overvåking av sikkerhetstilordninger for hurtigmodus kan blant annet gi informasjon om hvilke motparter som er koblet til denne datamaskinen, og om hvilket beskyttelsessett som ble brukt til å utforme sikkerhetstilordningene.
Generiske filtre
Generiske filtre er IP-filtre som konfigureres for å bruke et av IP-adressealternativene enten som kilde- eller måladresser. IPSec tillater også bruk av nøkkelord, for eksempel Min IP-adresse, DNS-server, DHCP-server, WINS-servere og standard gatewayer, når du konfigurerer filtre. Når du bruker nøkkelord, viser de generiske filtrene nøkkelordene i snapin-modulen for IP-sikkerhetsovervåking. Spesifikke filtre avledes fra de generiske filtrene ved å utvide nøkkelord til IP-adresser.
Legge til, fjerne og sortere kolonner
Du kan legge til, fjerne, endre og sortere etter disse kolonnene i resultatruten:
- Navn.
- Kilde. Dette er IP-adressen til pakkekilden.
- Mål. Dette er IP-adressen til pakkemålet.
- Kildeport. Dette er TCP- eller UDP-porten til pakkekilden.
- Målport. Dette er TCP- eller UDP-porten til pakkemålet.
- Kildetunnelendepunkt. Dette er tunnelendepunktet som er nærmest den lokale datamaskinen, hvis spesifisert.
- Måltunnelendepunkt. Dette er tunnelendepunktet som er nærmest måldatamaskinen, hvis spesifisert.
- Protokoll. Dette er protokollen som er angitt i filteret.
- Innkommende handling. Dette angir om innkommende trafikk er Tillatt, Blokkert eller bruker handlingen Forhandle frem sikkerhet.
- Utgående handling. Dette angir om utgående trafikk er Tillatt, Blokkert eller bruker handlingen Forhandle frem sikkerhet.
- Forhandlingspolicy. Dette er navnet på forhandlingspolicyen i hurtigmodus eller kryptografiinnstillingene.
- Tilkoblingstype. Dette er tilkoblingstypen som dette filteret anvendes på, enten lokalnett (LAN), ekstern pålogging eller alle typer nettverkstilkoblinger.
Spesifikke filtre
Spesifikke filtre utledes fra generiske filtre ved å bruke IP-adressene til kilde- eller måldatamaskinen til den faktiske tilkoblingen. Si for eksempel at du har et filter som bruker alternativet Min IP-adresse som kildeadresse, og alternativet DHCP-server som måladresse. Når en tilkobling opprettes som bruker dette filteret, vil det automatisk opprettes et filter som har IP-adressen til datamaskinen din og IP-adressen til DHCP-serveren som datamaskinen din bruker.
Legge til, fjerne og sortere kolonner
Du kan legge til, fjerne, endre og sortere etter disse kolonnene i resultatruten:
- Navn.
- Kilde. Dette er IP-adressen til pakkekilden.
- Mål. Dette er IP-adressen til pakkemålet.
- Kildeport. Dette er TCP- eller UDP-porten til pakkekilden.
- Målport. Dette er TCP- eller UDP-porten til pakkemålet.
- Kildetunnelendepunkt. Dette er tunnelendepunktet som er nærmest den lokale datamaskinen, hvis spesifisert.
- Måltunnelendepunkt. Dette er tunnelendepunktet som er nærmest måldatamaskinen, hvis spesifisert.
- Protokoll. Dette er protokollen som er angitt i filteret.
- Innkommende handling. Dette angir om innkommende trafikk er Tillatt, Blokkert eller bruker handlingen Forhandle frem sikkerhet.
- Utgående handling. Dette angir om utgående trafikk er Tillatt, Blokkert eller bruker handlingen Forhandle frem sikkerhet.
- Forhandlingspolicy. Dette er navnet på forhandlingspolicyen i hurtigmodus eller kryptografiinnstillingene.
- Vekt. Dette er prioriteten som IPSec-tjenesten gir til filteret. Vekt utledes fra en rekke faktorer. Hvis du vil ha Informasjon om filtervekter, kan du se
https://go.microsoft.com/fwlink/?LinkId=62212 (kan være på engelsk).
Obs! Vektegenskapen settes alltid til 0 på datamaskiner som kjører Windows Vista®, Windows Server® 2008 eller nyere versjoner av Windows.
Forhandlingspolicyer.
Forhandlingspolicyen er den foretrukne rekkefølgen på sikkerhetsmetodene som to datamaskiner blir enige om å bruke når de kommuniserer med hverandre under hurtigmodusforhandlinger.
Statistikk
Denne tabellen viser statistikken som er tilgjengelig fra Statistikk-visningen i hurtigmodus.
IPSec-statistikk | Beskrivelse |
---|---|
Aktive sikkerhetstilordninger | Dette er antall aktive IPSec-sikkerhetstilordninger. |
Avlastede sikkerhetstilordninger | Dette er antall aktive IPSec-sikkerhetstilordninger som lastes til maskinvaren. |
Ventende nøkkeloperasjoner | Dette er antall IPSec nøkkeloperasjoner som pågår. |
Nøkkeltillegg | Dette er det totale antall vellykkede forhandlinger om IPSec-sikkerhetstilordning. |
Nøkkelslettinger | Dette er antall nøkkelslettinger for IPSec-sikkerhetstilordninger. |
Omnøkling | Dette er antall omnøklingsoperasjoner for IPSec-sikkerhetstilordninger. |
Aktive tunneler | Dette er antall aktive IPSec-tunneler. |
Skadete SPI-pakker | Dette er det totale antall pakker der SPIen er feil. SPIen brukes til å koble innkommende pakker med sikkerhetstilordninger. Hvis SPIen er feil, kan det bety at den innkommende sikkerhetstilordningen har utløpt og det nylig har ankommet en pakke som bruker den gamle SPIen. Dette antallet vil sannsynligvis øke hvis omnøklingsintervallene er korte, og det finnes et stort antall sikkerhetstilordninger. Siden sikkerhetstilordninger utløper under normale forhold, betyr ikke nødvendigvis en ugyldig SPI-pakke at IPSec er i ferd med å mislykkes. |
Ikke-krypterte pakker | Dette er det totale antall pakker som ikke ble dekryptert. Denne feilen kan tyde på at det har ankommet en pakke der sikkerhetstilordningen er utløpt. Hvis sikkerhetstilordningen utløper, slettes også øktnøkkelen som brukes til å dekryptere pakken. Dette tyder nødvendigvis ikke på at IP-sikkerheten er i ferd med å mislykkes. |
Ikke godkjente pakker | Dette er det totale antall pakker der dataene ikke kunne bekreftes. Denne feilen skyldes mest sannsynlig en utløpt sikkerhetstilordning. |
Pakker med avspillingsoppdagelse | Dette er det totale antall pakker som inneholdt et gyldig sekvensnummerfelt. |
Sendte konfidensialitetsbyte | Dette er totalt antall byte sendt ved hjelp av ESP-protokollen. |
Mottatte konfidensialitetsbyte | Dette er totalt antall byte mottatt ved hjelp av ESP-protokollen. |
Sendte godkjenningsbyte | Dette er totalt antall byte sendt ved hjelp av AH-protokollen. |
Mottatte godkjenningsbyte | Dette er totalt antall byte mottatt ved hjelp av AH-protokollen. |
Overføringsbyte sendt | Dette er totalt antall byte sendt ved hjelp av IPSec-transportmodus. |
Overføringsbyte mottatt | Dette er totalt antall byte mottatt ved hjelp av IPSec-transportmodus. |
Byte sendt i tunneler | Dette er totalt antall byte sendt ved hjelp av IPSec-tunnelmodus. |
Byte mottatt i tunneler | Dette er totalt antall byte mottatt ved hjelp av IPSec-tunnelmodus. |
Avlastede byte sendt | Dette er totalt antall byte sendt ved hjelp av maskinvareavlastning. |
Avlastede byte mottatt | Dette er totalt antall byte mottatt ved hjelp av maskinvareavlastning. |
Obs! | |
Deler av denne statistikken kan brukes til å oppdage angrepsforsøk på nettverk. |
Sikkerhetstilordninger
Denne visningen viser de aktive sikkerhetstilordningene på denne datamaskinen. En sikkerhetstilordning (SA) er en kombinasjon av en forhandlet nøkkel, sikkerhetsprotokoll og SPI (Security Parameters Index), som sammen definerer sikkerheten som brukes for å beskytte kommunikasjonen fra sender til mottaker. Ved å se på sikkerhetstilordningene til denne datamaskinen, kan du altså bestemme hvilke datamaskiner som er koblet til datamaskinen, hvilken type dataintegritet og -kryptering som tilkoblingen bruker, og annen informasjon.
Denne informasjonen kan være nyttig når du tester IPSec-policyer og feilsøker tilgangsproblemer.
Legge til, fjerne og sortere kolonner
Du kan legge til, fjerne, endre og sortere etter disse kolonnene i resultatruten:
- Meg. Dette er IP-adressen til den lokale datamaskinen.
- Motpart. Dette er IP-adressen til den eksterne datamaskinen.
- Protokoll. Dette er protokollen som er angitt i filteret.
- Min port. Dette er TCP- eller UDP-porten til den lokale datamaskinen som er spesifisert i filteret.
- Motparts port. Dette er TCP- eller UDP-porten til den eksterne datamaskinen som er spesifisert i filteret.
- Forhandlingspolicy. Dette er navnet på forhandlingspolicyen i hurtigmodus eller kryptografiinnstillingene.
- AH-integritet. Dette er den AH-protokollspesifikke dataintegritetsmetoden som brukes til motpartskommunikasjon.
- ESP-konfidensialitet. Dette er den ESP-protokollspesifikke krypteringsmetoden som brukes til motpartskommunikasjon.
- ESP-integritet. Dette er den ESP-protokollspesifikke dataintegritetsmetoden som brukes til motpartskommunikasjon.
- Mitt tunnelendepunkt. Dette er tunnelendepunktet som er nærmest den lokale datamaskinen, hvis spesifisert.
- Motparts tunnelendepunkt. Dette er tunnelendepunktet som er nærmest den lokale datamaskinen, hvis spesifisert.