Met onderhandeling via IKE (Internet Key Exchange) in de hoofdmodus wordt tussen twee computers een beveiligd kanaal tot stand gebracht, de zogeheten ISAKMP-beveiligingskoppeling (Internet Security Association and Key Management Protocol). Deze ISAKMP-SA (Security Association, beveiligingskoppeling) wordt gebruikt om opeenvolgende sleuteluitwisselingen tussen peercomputers te beveiligen. Dit wordt ook snelle-modusonderhandeling genoemd. Om het beveiligd kanaal tot stand te brengen, wordt via onderhandeling in de hoofdmodus een verzameling cryptografische beschermingspakketten bepaald, wordt sleutelmateriaal uitgewisseld om de gedeelde geheime sleutel in te stellen en worden computeridentiteiten geverifieerd.
Het controleren van SA's in de hoofdmodus kan informatie verschaffen over welke peers momenteel met deze computer zijn verbonden, wanneer de SA is gevormd, welk beschermingspakket is gebruikt om de SA te vormen, enzovoort.
Algemene filters
Algemene filters zijn IP-filters die worden geconfigureerd om een van de IP-adresopties te gebruiken als bron- of doeladres. Met IPSec kunt u bij het configureren van filters sleutelwoorden gebruiken, zoals Mijn IP-adres, DNS-server, DHCP-server, WINS-servers en Standaardgateway. Wanneer sleutelwoorden worden gebruikt, laten algemene filters de sleutelwoorden zien in de IPSec-controlemodule. Specifieke filters worden afgeleid door sleutelwoorden uit te breiden naar IP-adressen.
Kolommen toevoegen, verwijderen en sorteren
U kunt in het resultatenvenster de volgende kolommen toevoegen, verwijderen en opnieuw ordenen, en op deze kolommen sorteren:
- Naam.
- Bron. Dit is het IP-adres van de pakketbron.
- Doel. Dit is het IP-adres van het pakketdoel.
- IKE-beleid. Dit is de naam van het IKE-beleid dat aan dit algemene filter is gekoppeld, niet de naam van het IPsec-beleid dat u met de module IPsec-beleid hebt gemaakt. De beleidsdetails, zoals welke verzameling cryptografische algoritmen is gebruikt, kunnen worden bekeken in het item IKE-beleid.
- Verificatiemethoden. Dit is een lijst met alle verificatiemethoden die voor het filter beschikbaar zijn, in volgorde van voorkeur.
- Type verbinding. Dit is het type verbinding waarop dit filter wordt toegepast: lokaal netwerk (LAN), externe toegang of alle netwerkverbindingstypen.
Specifieke filters
Specifieke filters worden samengesteld aan de hand van algemene filters met behulp van de IP-adressen van de bron- of doelcomputer voor de huidige verbinding. Bijvoorbeeld: u hebt een filter waarin de optie Mijn IP-adres als bronadres en de optie DHCP-server als doeladres worden gebruikt. Wanneer met dit filter een verbinding wordt gevormd, wordt er automatisch een filter gemaakt met het IP-adres van uw computer en het IP-adres van de DHCP-server die door deze computer wordt gebruikt.
 | Opmerking |
Met de IPSec-controlemodule kunnen ook IP-adressen worden omgezet in DNS-namen voor de map Specifieke filters in de map Snelle modus. Dit is echter niet mogelijk voor de map Specifieke filters in de map Hoofdmodus. |
Kolommen toevoegen, verwijderen en sorteren
U kunt in het resultatenvenster de volgende kolommen toevoegen, verwijderen en opnieuw ordenen, en op deze kolommen sorteren:
- Naam.
- Bron. Dit is het IP-adres van de pakketbron.
- Doel. Dit is het IP-adres van het pakketdoel.
- Richting. Hiermee wordt aangegeven of het filter binnenkomend of uitgaand is.
- IKE-beleid. Dit is de naam van het IKE-beleid, niet de naam van het IPsec-beleid dat u met de module IPsec-beleid hebt gemaakt. De beleidsdetails, zoals welke verzameling cryptografische algoritmen is gebruikt, kunnen worden bekeken in het item IKE-beleid.
- Verificatiemethoden. Dit is een lijst met alle verificatiemethoden die voor het filter beschikbaar zijn, in volgorde van voorkeur.
- Gewicht. Dit is de prioriteit die de IPSec-service aan het filter geeft. Het gewicht is afhankelijk van een aantal factoren. Zie
https://go.microsoft.com/fwlink/?LinkId=89010 (Deze pagina is mogelijk Engelstalig) voor meer informatie over het gewicht van filters.
Opmerking De eigenschap Gewicht wordt altijd ingesteld op 0 op computers met Windows Vista®, Windows Server® 2008 of een hogere versie van Windows.
IKE-beleid
Het IKE-beleid betreft de integriteits- en versleutelingsmethoden waarmee de twee peercomputers kunnen onderhandelen via sleuteluitwisseling in de hoofdmodus.
Statistieken
In deze tabel worden de statistieken weergegeven die beschikbaar zijn in de weergave Statistieken in de hoofdmodus.
| Opmerking |
Sommige van deze statistieken zijn niet van toepassing op computers met Windows Vista, Windows Server 2008 of een hogere versie van Windows. |
| IKE-gegeven | Beschrijving |
|---|---|
Actief opgehaald | Een ophaalverzoek (acquire) is een verzoek van het IPSec-stuurprogramma om uitvoering van een taak door IKE. Deze actief opgehaalde statistische gegevens bevatten het uitstaande verzoek en het aantal verzoeken in de wachtrij, indien aanwezig. Het aantal actieve verzoeken is doorgaans 1. Bij een zware belasting is het aantal 1 en stijgt het aantal verzoeken dat door IKE in de wachtrij is gezet voor verwerking. |
Actief ontvangen | Het aantal ontvangen IKE-berichten dat in de wachtrij staat voor verwerking. |
Ophaalfouten | Het aantal keren dat een verzoek is mislukt. |
Ontvangstfouten | Het aantal keren dat de functie WSARecvFrom() van Windows Sockets is mislukt bij het ontvangen van IKE-berichten. |
Verzendfouten | Het aantal keren dat de functie WSASendTo() van Windows Sockets is mislukt bij het verzenden van IKE-berichten. |
Grootte van ophaal-heap | Het aantal items in de ophaal-heap, waar actieve ophaalverzoeken worden opgeslagen. Dit aantal stijgt bij zware belasting en daalt vervolgens geleidelijk, terwijl de ophaal-heap wordt afgehandeld. |
Grootte van ontvangst-heap | Het aantal items in de ontvangstbuffers van IKE voor binnenkomende IKE-berichten. |
Mislukte verificaties | Het totale aantal mislukte identiteitsverificaties (Kerberos, certificaat en vooraf gedeelde sleutel) dat zich heeft voorgedaan tijdens de onderhandeling in de hoofdmodus. Als u problemen ondervindt bij beveiligde communicatie, doet u een poging tot communicatie en raadpleegt u dit gegeven om te zien of dit aantal groter wordt. Als dit het geval is, controleert u de instellingen voor verificatie op een niet-overeenkomende verificatiemethode of een onjuiste configuratie voor de verificatiemethode (bijvoorbeeld het gebruik van vooraf gedeelde sleutels die niet overeenkomen). |
Onderhandelingsfouten | Het totale aantal mislukte onderhandelingen tijdens de onderhandelingen in de hoofdmodus of in de snelle modus. Als u problemen ondervindt bij beveiligde communicatie, doet u een poging tot communicatie en raadpleegt u dit gegeven om te zien of dit aantal groter wordt. Als dit het geval is, controleert u de instellingen voor verificatie en de beveiligingsmethode op een niet-overeenkomende verificatiemethode, een onjuiste configuratie voor de verificatiemethode (bijvoorbeeld het gebruik van vooraf gedeelde sleutels die niet overeenkomen) of niet-overeenkomende beveiligingsmethoden en -instellingen. |
Ontvangen ongeldige cookies | Een cookie is een waarde in een ontvangen IKE-bericht die door IKE wordt gebruikt voor het vinden van de status van een actieve hoofdmodus. Een cookie in een ontvangen IKE-bericht die niet overeenkomt met een actieve hoofdmodus, is ongeldig. |
Totaal opgehaald | Het totale aantal werkverzoeken dat door IKE is ingediend bij het IPSec-stuurprogramma. |
Totaal opgehaald (SPI) | Het totale aantal verzoeken dat door IKE is ingediend bij het IPSec-stuurprogramma voor het verkrijgen van een unieke beveiligingsparameterindex (SPI). |
Sleuteltoevoegingen | Het aantal uitgaande SA's in de snelle modus dat door IKE aan het IPSec-stuurprogramma is toegevoegd. |
Bijgewerkte sleutels | Het aantal binnenkomende SA's in de snelle modus dat door IKE aan het IPSec-stuurprogramma is toegevoegd. |
Ophaalfouten (SPI) | Het aantal mislukte verzoeken dat door IKE is ingediend bij het IPSec-stuurprogramma voor het verkrijgen van een unieke SPI. |
Fouten bij toevoegen van sleutels | Het aantal mislukte verzoeken dat door IKE is ingediend bij het IPSec-stuurprogramma voor het toevoegen van een uitgaande SA in de snelle modus. |
Fouten bij bijwerken van sleutels | Het aantal mislukte verzoeken dat door IKE is ingediend bij het IPSec-stuurprogramma voor het toevoegen van een binnenkomende SA in de snelle modus. |
Grootte van ISADB-lijst | Het aantal items dat zich in de hoofdmodus bevindt: overeengekomen hoofdmodi, actieve hoofdmodi en hoofdmodi die zijn mislukt en niet zijn verwijderd. |
Grootte van verbindingenlijst | Het aantal items dat zich in de snelle modus bevindt. |
Hoofdmodus van IKE | Het totale aantal geslaagde SA's dat is gemaakt tijdens onderhandelingen in de hoofdmodus. |
Snelle modus van IKE | Het totale aantal geslaagde SA's dat is gemaakt tijdens onderhandelingen in de snelle modus. Dit aantal hoeft niet gelijk te zijn aan het aantal voor de hoofdmodus, omdat er doorgaans meerdere SA's in de snelle modus worden gemaakt voor elke SA in de hoofdmodus. |
Softwarekoppelingen | Het totale aantal onderhandelingen dat heeft geresulteerd in het gebruik van leesbare tekst (ook wel zachte SA's genoemd). Dit geeft doorgaans het aantal koppelingen weer dat is gevormd met computers die niet hebben gereageerd op pogingen tot onderhandeling in de hoofdmodus. Dit kan betrekking hebben op niet-IPSec-compatibele en IPSec-compatibele computers die geen IPSec-beleid hebben om te onderhandelen over beveiliging met deze IPSec-peer. Zachte SA's zijn niet het resultaat van onderhandelingen in de hoofdmodus en de snelle modus, maar worden wel behandeld als SA's in de snelle modus. |
Ongeldige pakketten ontvangen | Het aantal ontvangen IKE-berichten dat ongeldig is: IKE-berichten met ongeldige header-velden, ongeldige lengten van nettoladingen en onjuiste waarden voor het antwoordcookie (wanneer dit moet zijn ingesteld op 0). Ongeldige IKE-berichten worden meestal veroorzaakt door verlopen en opnieuw verzonden IKE-berichten of door een niet-overeenkomende vooraf gedeelde sleutel tussen de IPSec-peers. |
| Opmerking |
Sommige van deze gegevens kunnen worden gebruikt voor het detecteren van pogingen om het netwerk aan te vallen. |
Beveiligingskoppelingen
In deze weergave worden de actieve beveiligingskoppelingen met deze computer weergegeven. Een SA is de combinatie van een onderhandelde sleutel, een beveiligingsprotocol en een beveiligingsparameterindex (SPI, Security Parameters Index). Samen bepalen deze de beveiliging waarmee de communicatie tussen verzender en ontvanger wordt beschermd. Daarom kunt u, door naar de beveiligingskoppelingen voor deze computer te kijken, onder meer bepalen welke computers met deze computer zijn verbonden en welk type gegevensintegriteit en versleuteling wordt gebruikt voor deze verbinding.
Deze informatie kan nuttig zijn bij het testen van IPSec-beleid en bij het oplossen van toegangsproblemen.
Kolommen toevoegen, verwijderen en sorteren
U kunt in het resultatenvenster de volgende kolommen toevoegen, verwijderen en opnieuw ordenen, en op deze kolommen sorteren:
- Ik. Dit is het IP-adres van de lokale computer.
- Mijn id. Dit is de DNS-naam van de lokale computer.
- Peer. Dit is het IP-adres van de externe computer of peer.
- Id van peer. Dit is de DNS-naam van de externe computer of peer.
- Verificatie. Dit is de verificatiemethode die wordt gebruikt bij het maken van de SA.
- Versleuteling. Dit is de versleutelingsmethode die door de SA wordt gebruikt voor sleuteluitwisselingen in de snelle modus.
- Integriteit. Dit is de methode voor gegevensintegriteit die door de SA wordt gebruikt voor sleuteluitwisselingen in de snelle modus.
- Diffie-Hellman. Dit is de Diffie-Hellman-groep waarmee de SA in de hoofdmodus wordt gemaakt.