IKE-forhandlinger (Internet Key Exchange-forhandlinger) i hovedmodus oppretter en sikker kanal mellom to datamaskiner. Denne kanalen er en sikkerhetstilordning som går under navnet ISAKMP (Internet Security Association and Key Management). ISAKMP-sikkerhetstilordningen brukes til å beskytte etterfølgende nøkkelutvekslinger mellom motparter, kjent som hurtigmodusforhandlinger. For å opprette den sikre kanalen, vil hovedmodusforhandlingene bestemme et sett med kryptografiske beskyttelsesserier, utveksle nøkkelmateriale for å opprette den hemmelige nøkkelen som skal deles, og godkjenne datamaskinidentiteter.
Overvåking av hovedmodus-sikkerhetstilordninger kan gi informasjon om hvilke datamaskiner som er tilkoblet denne datamaskinen, når sikkerhetstilordningene ble opprettet, hvilke beskyttelsesserier som ble brukt for å opprette sikkerhetstilordningen, samt annen informasjon.
Generiske filtre
Generiske filtre er IP-filtre som konfigureres for å bruke et av IP-adressealternativene enten som kilde- eller måladresser. IPSec tillater bruk av nøkkelord, for eksempel Min IP-adresse, DNS-server, DHCP-server, WINS-servere og standard gateway, når du konfigurerer filtre. Når du bruker nøkkelord, viser de generiske filtrene nøkkelordene i snapin-modulen IP-sikkerhetsovervåking. Spesifikke filtre utledes ved å utvide nøkkelord til IP-adresser.
Legge til, fjerne og sortere kolonner
Du kan legge til, fjerne, endre og sortere etter disse kolonnene i resultatruten:
- Navn.
- Kilde. Dette er IP-adressen til pakkekilden.
- Mål. Dette er IP-adressen til pakkemålet.
- IKE-policy. Dette er navnet på IKE-policyen tilknyttet dette generiske filteret, og ikke navnet på IPSec-policyen du opprettet ved hjelp av snapin-modulen IPSec-policy. Policydetaljer, for eksempel hvilket sett med kryptografiske algoritmer som ble brukt, kan vises i elementet IKE-policy.
- Godkjenningsmetoder. Dette er en liste over alle godkjenningsmetodene som filteret kan bruke, i ønsket rekkefølge.
- Tilkoblingstype. Dette er tilkoblingstypen som dette filteret brukes for, enten lokalnett (LAN), ekstern pålogging eller alle typer nettverkstilkoblinger.
Spesifikke filtre
Spesifikke filtre utledes fra generiske filtre ved å bruke IP-adressen til kilde- eller måldatamaskinen for den faktiske tilkoblingen. Tenk deg at du har et filter som bruker alternativet Min IP-adresse som kildeadresse, og alternativet DHCP-server som måladresse. Når det opprettes en tilkobling som bruker dette filteret, blir det automatisk opprettet et filter som har IP-adressen til datamaskinen og IP-adressen til DHCP-serveren som datamaskinen bruker.
Obs! | |
Snapin-modulen IP-sikkerhetsovervåking kan også løse IP-adresser til DNS-navn for de spesifikke filtrene i hurtigmodusmappen, men ikke i hovedmodusmappen. |
Legge til, fjerne og sortere kolonner
Du kan legge til, fjerne, endre og sortere etter disse kolonnene i resultatruten:
- Navn.
- Kilde. Dette er IP-adressen til pakkekilden.
- Mål. Dette er IP-adressen til pakkemålet.
- Retning. Angir om filteret er innkommende eller utgående.
- IKE-policy. Dette er navnet på IKE-policyen, og ikke navnet på IPSec-policyen du opprettet ved hjelp av snapin-modulen IPSec-policy. Policydetaljer, for eksempel hvilket sett med kryptografiske algoritmer som ble brukt, kan vises i elementet IKE-policy.
- Godkjenningsmetoder. Dette er en liste over alle godkjenningsmetodene som filteret kan bruke, i ønsket rekkefølge.
- Vekt. Dette er prioriteten som IPSec-tjenesten gir til filteret. Vekt utledes fra en rekke faktorer. Se
https://go.microsoft.com/fwlink/?LinkId=62212 (kan være på engelsk) hvis du vil ha mer informasjon om filtervekter.
Obs! Vektegenskapen er alltid satt til 0 på datamaskiner som kjører Windows Vista®, Windows Server® 2008 eller senere versjoner av Windows.
IKE-policyer
IKE-policyen refererer til integritets- eller krypteringsmetodene som de to datamaskinene kan forhandle med i nøkkelutvekslingen i hovedmodus.
Statistikk
Denne tabellen viser statistikken som er tilgjengelig fra Statistikk-visningen i hovedmodus.
Obs! | |
Ikke all statistikk brukes for datamaskiner som kjører Windows Vista, Windows Server 2008 eller senere versjoner av Windows. |
IKE-statistikk | Beskrivelse |
---|---|
Aktiv henting | En henting er en forespørsel fra IPSec-driveren for å få IKE til å utføre en oppgave. Statistikken for aktiv henting inneholder den utestående forespørselen og antall eventuelt andre forespørsler i køen. Vanligvis er antall aktive hentinger 1. Under tung belastning er antall aktive hentinger 1 og antall forespørsler som IKE har lagt i køen for behandling, øker. |
Aktivt mottak | Antall IKE-meldinger som er mottatt og som er lagt i kø for behandling. |
Hentefeil | Antall ganger en henting har mislyktes. |
Mottaksfeil | Antall ganger Windows Sockets-funksjonen WSARecvFrom() har mislyktes ved mottak av IKE-meldinger. |
Sendefeil | Antall ganger Windows Sockets-funksjonen WSASendTo() har mislyktes ved sending av IKE-meldinger. |
Henteheapstørrelse | Antall oppføringer i henteheapen, som lagrer aktive hentinger. Dette antallet øker under stor belastning og reduseres deretter over tid, etter hvert som henteheapen blir tømt. |
Mottaksheapstørrelse | Antall oppføringer i IKE-mottaksbufferne for innkommende IKE-meldinger. |
Mislykkede godkjenninger | Det totale antall mislykkede identitetsgodkjenninger (Kerberos, sertifikat og forhåndsdelt nøkkel) som inntraff under hovedmodusforhandling. Hvis du har problemer med å kommunisere sikkert, kan du prøve å kommunisere og kontrollere denne statistikken for å se om tallet øker. Hvis det gjør det, kan du kontrollere godkjenningsinnstillingene for en godkjenningsmetode som ikke samsvarer eller feil konfigurasjon av godkjenningsmetode (for eksempel bruken av forhåndsdelte nøkler som ikke samsvarer). |
Forhandlingsfeil | Det totale antall forhandlingsfeil som oppstod under hovedmodus- eller hurtigmodusforhandlinger. Hvis du har problemer med å kommunisere sikkert, kan du prøve å kommunisere og kontrollere denne statistikken for å se om tallet øker. Hvis det gjør det, kan du kontrollere godkjennings- og sikkerhetsmetodeinnstillingene for en godkjenningsmetode som ikke samsvarer, feil konfigurasjon av godkjenningsmetode (for eksempel bruken av forhåndsdelte nøkler som ikke samsvarer) eller sikkerhetsmetoder eller innstillinger som ikke samsvarer. |
Ugyldige informasjonskapsler mottatt | En informasjonskapsel (cookie) er en verdi i en mottatt IKE-melding som brukes av IKE til å finne statusen for en aktiv hovedmodus. En informasjonskapsel i en mottatt IKE-melding som ikke samsvarer med en aktiv hovedmodus, er ugyldig. |
Total henting | Det totale antall arbeidsforespørsler som er sendt av IKE til IPSec-driveren. |
Total Hent SPI | Det totale antall forespørsler sendt av IKE til IPSec-driveren for å hente en sikkerhetsparameterindeks (SPI). |
Nøkkeltillegg | Antall innkommende sikkerhetstilordninger (SA) i hurtigmodus lagt til av IKE i IPSec-driveren. |
Nøkkeloppdateringer | Antall innkommende sikkerhetstilordninger (SA) i hurtigmodus lagt til av IKE i IPSec-driveren. |
Hent SPI-feil | Antall mislykkede forespørsler sendt av IKE til IPSec-driveren for å hente en unik SPI. |
Nøkkeltilleggsfeil | Antall mislykkede, utgående tilleggsforespørsler om sikkerhetstilordning i hurtigmodus sendt av IKE til IPSec-driveren. |
Nøkkeloppdateringsfeil | Antall mislykkede, innkommende tilleggsforespørsler om sikkerhetstilordning i hurtigmodus sendt av IKE til IPSec-driveren. |
Størrelse på ISADB-liste | Antall hovedmodusoppføringer, inkludert forhandlede hovedmodi, hovedmodi som pågår og hovedmodi som mislyktes og som ikke er slettet. |
Størrelse på tilkoblingsliste | Antall hurtigmodusoppføringer. |
IKE-hovedmodus | Det totale antall vellykkede sikkerhetstilordninger som ble opprettet under hovedmodusforhandlinger. |
IKE-hurtigmodus | Det totale antall vellykkede sikkerhetstilordninger som ble opprettet under hurtigmodusforhandlinger. Siden flere sikkerhetstilordninger for hurtigmodus vanligvis opprettes for hver sikkerhetstilordning for hovedmodus, er det ikke sikkert at dette antallet samsvarer med hovedmodusantallet. |
Myke tilordninger | Det totale antall forhandlinger som resulterte i bruken av ren tekst (også kalt løse sikkerhetstilordninger). Dette gjenspeiler vanligvis antall tilordninger som ble opprettet med datamaskiner som ikke svarte på forsøk på hovedmodusforhandlinger. Dette kan inneholde både datamaskiner som ikke er IPSec-kompatible, og datamaskiner som er IPSec-kompatible, men som ikke har IPSec-policy til å forhandle sikkerhet med denne IPSec-maskinen. Selv om løse sikkerhetstilordninger ikke er resultatet av hovedmodus- og hurtigmodusforhandlinger, behandles de fremdeles som sikkerhetstilordninger for hurtigmodus. |
Ugyldige pakker mottatt | Antall mottatte IKE-meldinger som er ugyldige, inkludert IKE-meldinger med ugyldige hodefelt, ugyldige lastlengder og ugyldige verdier for informasjonskapselen for svar (når den skulle vært satt til 0). Ugyldige IKE-meldinger forårsakes vanligvis av foreldede IKE-meldinger som sendes på nytt, eller en nøkkel som er forhåndsdelt mellom IPSec-maskinene, og som ikke samsvarer. |
Obs! | |
Deler av denne statistikken kan brukes til å oppdage angrepsforsøk på nettverk. |
Sikkerhetstilordninger
Denne visningen viser de aktive sikkerhetstilordningene på denne datamaskinen. En sikkerhetstilordning (SA) er en kombinasjon av en forhandlet nøkkel, sikkerhetsprotokoll og SPI (Security Parameters Index), som sammen definerer sikkerheten som brukes for å beskytte kommunikasjonen fra sender til mottaker. Ved å se på sikkerhetstilordningene til denne datamaskinen, kan du altså bestemme hvilke datamaskiner som er koblet til datamaskinen, hvilken type dataintegritet og -kryptering som tilkoblingen bruker, og annen informasjon.
Denne informasjonen kan være nyttig når du tester IPSec-policyer og feilsøker tilgangsproblemer.
Legge til, fjerne og sortere kolonner
Du kan legge til, fjerne, endre og sortere etter disse kolonnene i resultatruten:
- Meg. Dette er IP-adressen til den lokale datamaskinen.
- Min ID. Dette er DNS-navnet til den lokale datamaskinen.
- Motpart. Dette er IP-adressen til den eksterne datamaskinen eller motparten.
- Motparts-ID. Dette er DNS-navnet til den eksterne datamaskinen eller motparten.
- Godkjenning. Dette er godkjenningsmetoden som brukes ved oppretting av sikkerhetstilordningen.
- Kryptering. Dette er krypteringsmetoden som brukes av sikkerhetstilordningen ved nøkkelutvekslinger i hurtigmodus.
- Integritet. Dette er dataintegritetsmetoden som brukes av sikkerhetstilordningen ved nøkkelutvekslinger i hurtigmodus.
- Diffie-Hellman. Dette er Diffie-Hellman-gruppen som brukes til å opprette sikkerhetstilordningen for hovedmodus.