Via IKE-onderhandeling in de snelle modus (ook wel Fase 2 genaamd) wordt tussen twee computers een beveiligd kanaal tot stand gebracht om gegevens te beveiligen. Tijdens deze fase worden beveiligingskoppelingen (Security Associations, afgekort SA's) vastgesteld waarover wordt onderhandeld ten behoeve van de IPSec-service. Daarom worden de SA's die tijdens de snelle modus worden gemaakt, de IPSec-SA's genoemd. Tijdens de snelle modus wordt sleutelmateriaal vernieuwd of worden indien nodig nieuwe sleutels gegenereerd. Tevens wordt een beschermingspakket geselecteerd dat specifiek IP-verkeer beschermt. Een beschermingspakket is een gedefinieerde set instellingen voor gegevensintegriteit of gegevensversleuteling. De snelle modus wordt niet beschouwd als een volledige uitwisseling omdat deze afhankelijk is van een uitwisseling in de hoofdmodus.
Het controleren van SA's in de snelle modus kan nuttige informatie verschaffen, bijvoorbeeld welke peers momenteel met deze computer zijn verbonden en welk beschermingspakket is gebruikt om de SA te vormen.
Algemene filters
Algemene filters zijn IP-filters die worden geconfigureerd om een van de IP-adresopties te gebruiken als bron- of doeladres. Met IPSec kunt u bij het configureren van filters ook sleutelwoorden gebruiken, zoals Mijn IP-adres, DNS-server, DHCP-server, WINS-servers en Standaardgateway. Wanneer sleutelwoorden worden gebruikt, laten algemene filters de sleutelwoorden zien in de IPSec-controlemodule. Specifieke filters worden afgeleid van de algemene filters door sleutelwoorden uit te breiden naar IP-adressen.
Kolommen toevoegen, verwijderen en sorteren
U kunt in het resultatenvenster de volgende kolommen toevoegen, verwijderen en opnieuw ordenen, en op deze kolommen sorteren:
- Naam.
- Bron. Dit is het IP-adres van de pakketbron.
- Doel. Dit is het IP-adres van het pakketdoel.
- Bronpoort. Dit is de TCP- of UDP-poort van de pakketbron.
- Doelpoort. Dit is de TCP- of UDP-poort van het pakketdoel.
- Tunneleindpunt van bron. Dit is het tunneleindpunt het dichtst bij de lokale computer, indien een eindpunt is opgegeven.
- Tunneleindpunt van bestemming. Dit is het tunneleindpunt het dichtst bij de doelcomputer, indien een eindpunt is opgegeven.
- Protocol. Dit is het protocol dat in het filter is opgegeven.
- In-actie. Hiermee wordt aangegeven of binnenkomend netwerkverkeer wordt Toegestaan, wordt Geblokkeerd of gebruikmaakt van de actie Onderhandelen over beveiliging.
- Uit-actie. Hiermee wordt aangegeven of uitgaand netwerkverkeer wordt Toegestaan, wordt Geblokkeerd of gebruikmaakt van de actie Onderhandelen over beveiliging.
- Onderhandelingsbeleid. Dit is de naam van het onderhandelingsbeleid voor de snelle modus, of cryptografische instellingen.
- Type verbinding. Dit is het type verbinding waarop dit filter wordt toegepast: lokaal netwerk (LAN), externe toegang of alle netwerkverbindingstypen.
Specifieke filters
Specifieke filters worden samengesteld aan de hand van algemene filters met behulp van de IP-adressen van de bron- of doelcomputer voor de huidige verbinding. Bijvoorbeeld: u hebt een filter waarin de optie Mijn IP-adres als bronadres en de optie DHCP-server als doeladres worden gebruikt. Wanneer met dit filter een verbinding wordt gevormd, wordt er automatisch een filter gemaakt met het IP-adres van uw computer en het IP-adres van de DHCP-server die door deze computer wordt gebruikt.
Kolommen toevoegen, verwijderen en sorteren
U kunt in het resultatenvenster de volgende kolommen toevoegen, verwijderen en opnieuw ordenen, en op deze kolommen sorteren:
- Naam.
- Bron. Dit is het IP-adres van de pakketbron.
- Doel. Dit is het IP-adres van het pakketdoel.
- Bronpoort. Dit is de TCP- of UDP-poort van de pakketbron.
- Doelpoort. Dit is de TCP- of UDP-poort van het pakketdoel.
- Tunneleindpunt van bron. Dit is het tunneleindpunt het dichtst bij de lokale computer, indien een eindpunt is opgegeven.
- Tunneleindpunt van bestemming. Dit is het tunneleindpunt het dichtst bij de doelcomputer, indien een eindpunt is opgegeven.
- Protocol. Dit is het protocol dat in het filter is opgegeven.
- In-actie. Hiermee wordt aangegeven of binnenkomend verkeer wordt Toegestaan, wordt Geblokkeerd of gebruikmaakt van de actie Onderhandelen over beveiliging.
- Uit-actie. Hiermee wordt aangegeven of uitgaand verkeer wordt Toegestaan, wordt Geblokkeerd of gebruikmaakt van de actie Onderhandelen over beveiliging.
- Onderhandelingsbeleid. Dit is de naam van het onderhandelingsbeleid voor de snelle modus, of cryptografische instellingen.
- Gewicht. Dit is de prioriteit die de IPSec-service aan het filter geeft. Het gewicht is afhankelijk van een aantal factoren. Zie
https://go.microsoft.com/fwlink/?LinkId=89010 (Deze pagina is mogelijk Engelstalig) voor meer informatie over het gewicht van filters.
Opmerking De eigenschap Gewicht wordt altijd ingesteld op 0 op computers met Windows Vista®, Windows Server® 2008 of een hogere versie van Windows.
Onderhandelingsbeleid
Het onderhandelingsbeleid is de voorkeursvolgorde van de beveiligingsmethode die de twee peercomputers met elkaar afspreken voor onderlinge communicatie tijdens onderhandelingen in de snelle modus.
Statistieken
In deze tabel worden de statistieken weergegeven die beschikbaar zijn in de snelle-modusweergave Statistieken.
| IPSec-gegeven | Beschrijving |
|---|---|
Actieve beveiligingskoppelingen | Dit is het aantal actieve IPSec-SA's. |
Offloaded beveiligingskoppelingen | Dit is het aantal actieve IPSec-SA's dat aan de hardware is overgedragen. |
In behandeling zijnde sleutelbewerkingen | Dit is het aantal actieve IPSec-sleutelbewerkingen. |
Sleuteltoevoegingen | Dit is het totale aantal geslaagde onderhandelingen over IPSec-SA's. |
Verwijderde sleutels | Dit is het aantal sleutelverwijderingen voor IPSec-SA's. |
Nieuwe sleutels genereren | Dit is het aantal keren dat een nieuwe sleutel wordt gemaakt voor IPSec-SA's. |
Actieve tunnels | Dit is het aantal actieve IPSec-tunnels. |
Ongeldige SPI-pakketten | Dit is het totale aantal pakketten waarvoor de Security Parameters Index (SPI) onjuist is. Binnenkomende pakketten worden op grond van de SPI vergeleken met SA's. Als de SPI onjuist is, kan dit betekenen dat de binnenkomende SA is verlopen en dat er in de tussentijd een pakket is aangekomen met de oude SPI. Dit aantal neemt toe als de intervallen voor het genereren van nieuwe sleutels kort zijn en er een groot aantal SA's is. Aangezien SA's onder normale omstandigheden verlopen, hoeft een ongeldig SPI-pakket niet te betekenen dat IPSec niet goed werkt. |
Niet-versleutelde pakketten | Dit is het totale aantal pakketten dat niet kan worden ontsleuteld. Dit kan erop wijzen dat een pakket is aangekomen voor een SA die is verlopen. Als de SA verloopt, wordt de sessiesleutel waarmee het pakket wordt ontsleuteld, ook verwijderd. Dit hoeft niet te betekenen dat IPSec niet goed werkt. |
Niet-geverifieerde pakketten | Dit is het totale aantal pakketten waarvoor de gegevens niet kunnen worden geverifieerd. Dit is waarschijnlijk veroorzaakt door een verlopen SA. |
Pakketten met replaydetectie | Dit is het totale aantal pakketten met een geldig volgnummerveld. |
Verzonden vertrouwelijke bytes | Dit is het totale aantal bytes dat is verzonden met het ESP-protocol. |
Ontvangen vertrouwelijke bytes | Dit is het totale aantal bytes dat is ontvangen met het ESP-protocol. |
Verzonden geverifieerde bytes | Dit is het totale aantal bytes dat is verzonden met het AH-protocol. |
Ontvangen geverifieerde bytes | Dit is het totale aantal bytes dat is ontvangen met het AH-protocol. |
Verzonden transportbytes | Dit is het totale aantal bytes dat is verzonden in de IPSec-transportmodus. |
Ontvangen transportbytes | Dit is het totale aantal bytes dat is ontvangen in de IPSec-transportmodus. |
In tunnels verzonden bytes | Dit is het totale aantal bytes dat is verzonden in de IPSec-tunnelmodus. |
In tunnels ontvangen bytes | Dit is het totale aantal bytes dat is ontvangen in de IPSec-tunnelmodus. |
Offloaded bytes (verzonden) | Dit is het totale aantal bytes dat is verzonden met hardware-offload. |
Offloaded bytes (ontvangen) | Dit is het totale aantal bytes dat is ontvangen met hardware-offload. |
| Opmerking |
Sommige van deze gegevens kunnen worden gebruikt voor het detecteren van pogingen om het netwerk aan te vallen. |
Beveiligingskoppelingen
In deze weergave worden de actieve beveiligingskoppelingen (SA's) met deze computer weergegeven. Een SA is de combinatie van een onderhandelde sleutel, een beveiligingsprotocol en een beveiligingsparameterindex (SPI, Security Parameters Index). Samen bepalen deze de beveiliging waarmee de communicatie tussen verzender en ontvanger wordt beschermd. Daarom kunt u, door naar de beveiligingskoppelingen voor deze computer te kijken, onder meer bepalen welke computers met deze computer zijn verbonden en welk type gegevensintegriteit en versleuteling wordt gebruikt voor deze verbinding.
Deze informatie kan nuttig zijn bij het testen van IPSec-beleid en bij het oplossen van toegangsproblemen.
Kolommen toevoegen, verwijderen en sorteren
U kunt in het resultatenvenster de volgende kolommen toevoegen, verwijderen en opnieuw ordenen, en op deze kolommen sorteren:
- Ik. Dit is het IP-adres van de lokale computer.
- Peer. Dit is het IP-adres van de externe computer.
- Protocol. Dit is het protocol dat in het filter is opgegeven.
- Mijn poort. Dit is de TCP- of UDP-poort van de lokale computer die in het filter is opgegeven.
- Poort van peer. Dit is de TCP- of UDP-poort van de externe computer die in het filter is opgegeven.
- Onderhandelingsbeleid. Dit is de naam van het onderhandelingsbeleid voor de snelle modus, of cryptografische instellingen.
- AH-integriteit. Dit is de AH-protocolspecifieke methode voor gegevensintegriteit die voor peercommunicatie wordt gebruikt.
- ESP-vertrouwelijkheid. Dit is de ESP-protocolspecifieke versleutelingsmethode die voor peercommunicatie wordt gebruikt.
- ESP-integriteit. Dit is de ESP-protocolspecifieke methode voor gegevensintegriteit die voor peercommunicatie wordt gebruikt.
- Mijn tunneleindpunt. Dit is het tunneleindpunt het dichtst bij de lokale computer, indien een eindpunt is opgegeven.
- Tunneleindpunt van peer. Dit is het tunneleindpunt het dichtst bij de lokale computer, indien een eindpunt is opgegeven.