Tryb szybki (znany też jako Faza 2) negocjacji IKE ustanawia bezpieczny kanał między komputerami w celu ochrony danych. Ponieważ ta faza obejmuje tworzenie skojarzeń zabezpieczeń (SA), które są negocjowane w imieniu usługi IPsec, skojarzenia zabezpieczeń utworzone w trybie szybkim określane są mianem skojarzeń zabezpieczeń IPsec. W trybie szybkim materiał kluczy jest odświeżany lub w razie potrzeby generowane są nowe klucze. Jest też wybierany zestaw ochronny, który służy do ochrony określonego ruchu IP. Zestaw zabezpieczeń jest zdefiniowanym zbiorem ustawień dotyczących integralności danych lub szyfrowania danych. Tryb szybki nie jest uważany za pełną wymianę, ponieważ jest zależny od wymiany w trybie głównym.
Monitorowanie skojarzeń zabezpieczeń trybu szybkiego może dostarczyć informacji o innych komputerach aktualnie podłączonych do tego komputera, o zestawie zabezpieczeń użytych do utworzenia skojarzenia zabezpieczeń oraz innych informacji.
Filtry rodzajowe
Filtry rodzajowe są filtrami IP skonfigurowanymi do używania dowolnej opcji adresu IP jako adresu źródłowego lub adresu docelowego. Protokół IPsec pozwala również na stosowanie w konfiguracji filtrów słów kluczowych, takich jak Mój adres IP, Serwer DNS, Serwer DHCP, Serwery WINS i Brama domyślna. Jeśli słowa kluczowe są używane, filtry rodzajowe pokazują słowa kluczowe w przystawce Monitorowanie zabezpieczeń IP. Określone filtry uzyskuje się z filtrów rodzajowych przez rozwinięcie słów kluczowych do określonych adresów IP.
Dodawanie, usuwanie i sortowanie kolumn
W okienku wyników można dodawać, usuwać, zmieniać kolejność i sortować według następujących kolumn:
- Nazwa.
- Źródło. To jest adres IP źródła pakietu.
- Miejsce docelowe. To jest adres IP miejsca docelowego pakietu.
- Port źródłowy. To jest port TCP lub UDP źródła pakietu.
- Port docelowy. To jest port TCP lub UDP miejsca docelowego pakietu.
- Punkt końcowy tunelu źródłowego. To jest punkt końcowy tunelu najbliżej komputera lokalnego, jeśli został określony.
- Punkt końcowy tunelu docelowego. To jest punkt końcowy tunelu najbliżej komputera docelowego, jeśli został określony.
- Protokół. To jest protokół określony w filtrze.
- Akcja przychodząca. To ustawienie określa, czy ruch przychodzący jest Dozwolony, Zablokowany lub czy korzysta z akcji Negocjuj protokół zabezpieczeń.
- Akcja wychodząca. To ustawienie określa, czy ruch wychodzący jest Dozwolony, Zablokowany lub czy korzysta z akcji Negocjuj protokół zabezpieczeń.
- Zasada negocjowania. To jest nazwa zasady negocjowania trybu szybkiego lub ustawień kryptograficznych.
- Typ połączenia. To jest typ połączenia, do którego dany filtr ma zastosowanie: sieć lokalna, dostęp zdalny lub wszystkie typy połączeń sieciowych.
Określone filtry
Określone filtry są rozwijane z filtrów rodzajowych na podstawie adresów IP komputera źródłowego lub docelowego w rzeczywistym połączeniu. Na przykład jeśli w filtrze została użyta opcja Mój adres IP jako adres źródłowy oraz opcja Serwer DHCP jako adres docelowy, to w czasie, kiedy połączenie jest tworzone za pomocą tego filtra, zostanie automatycznie utworzony filtr zawierający adres IP używanego komputera oraz adres IP serwera DHCP, z którego ten komputer korzysta.
Dodawanie, usuwanie i sortowanie kolumn
W okienku wyników można dodawać, usuwać i sortować poniższe kolumny oraz zmieniać ich kolejność:
- Nazwa.
- Źródło. To jest adres IP źródła pakietu.
- Miejsce docelowe. To jest adres IP miejsca docelowego pakietu.
- Port źródłowy. To jest port TCP lub UDP źródła pakietu.
- Port docelowy. To jest port TCP lub UDP miejsca docelowego pakietu.
- Punkt końcowy tunelu źródłowego. To jest punkt końcowy tunelu najbliżej komputera lokalnego, jeśli został określony.
- Punkt końcowy tunelu docelowego. To jest punkt końcowy tunelu najbliżej komputera docelowego, jeśli został określony.
- Protokół. To jest protokół określony w filtrze.
- Akcja przychodząca. To ustawienie określa, czy ruch przychodzący jest Dozwolony, Zablokowany lub czy korzysta z akcji Negocjuj protokół zabezpieczeń.
- Akcja wychodząca. To ustawienie określa, czy ruch wychodzący jest Dozwolony, Zablokowany lub czy korzysta z akcji Negocjuj protokół zabezpieczeń.
- Zasada negocjowania. To jest nazwa zasady negocjowania trybu szybkiego lub ustawień kryptograficznych.
- Waga. To jest priorytet, jaki usługa IPsec nadaje filtrowi. Waga jest pochodną wielu czynników. Aby uzyskać więcej informacji o wagach filtrów, zobacz
https://go.microsoft.com/fwlink/?LinkId=62212 (strona może zostać wyświetlona w języku angielskim) .
Uwaga Na komputerach z systemami Windows Vista®, Windows Server® 2008 i nowszymi wersjami systemu Windows właściwość wagi ma zawsze ustawioną wartość 0.
Zasada negocjowania
Zasada negocjowania decyduje o kolejności wybierania metody zabezpieczeń uzgadnianej między dwoma komputerami równorzędnymi podczas negocjacji w trybie szybkim.
Statystyka
Ta tabela zawiera informacje statystyczne dostępne w widoku Statystyka trybu szybkiego:
Statystyka protokołu IPsec | Opis |
---|---|
Aktywne skojarzenia zabezpieczeń | To jest liczba aktywnych skojarzeń zabezpieczeń protokołu IPsec. |
Odciążone skojarzenia zabezpieczeń | To jest liczba aktywnych skojarzeń zabezpieczeń protokołu IPsec odciążonych sprzętowo. |
Operacje na kluczach w toku | To jest liczba operacji na kluczach IPsec będących aktualnie w toku. |
Dodatki klucza | To jest całkowita liczba pomyślnych negocjacji skojarzeń zabezpieczeń protokołu IPsec. |
Usunięcia kluczy | To jest liczba operacji usunięcia kluczy dla skojarzeń zabezpieczeń protokołu IPsec. |
Klucze ponowne | To jest liczba operacji ponownego generowania kluczy dla skojarzeń zabezpieczeń protokołu IPsec. |
Aktywne tunele | To jest liczba aktywnych tuneli IPsec. |
Pakiety z błędnym indeksem SPI | To jest całkowita liczba pakietów, dla których indeks SPI był niepoprawny. Indeks SPI jest używany w celu dopasowania pakietów przychodzących do skojarzeń zabezpieczeń. Jeśli indeks SPI jest niepoprawny, może to oznaczać, że przychodzące skojarzenie zabezpieczeń wygasło i niedawno odebrano pakiet używający starego indeksu SPI. Liczba ta może wzrastać szczególnie wtedy, gdy interwały ponownego generowania kluczy są krótkie i istnieje duża liczba skojarzeń zabezpieczeń. Ponieważ wygasanie skojarzeń zabezpieczeń jest zjawiskiem normalnym, pakiety z błędnym indeksem SPI nie muszą wskazywać, że zabezpieczenia protokołu IPsec nie działają poprawnie. |
Pakiety nieodszyfrowane | To jest całkowita liczba pakietów, których odszyfrowanie nie powiodło się. To niepowodzenie może wskazywać, że odebrano pakiet, dla którego wygasło skojarzenie zabezpieczeń. Gdy skojarzenie zabezpieczeń wygasa, klucz sesji użyty do odszyfrowania pakietu jest również usuwany. Nie musi to oznaczać, że zabezpieczenia protokołu IPsec nie działają poprawnie. |
Pakiety nieuwierzytelnione | To jest całkowita liczba pakietów, dla których nie można było sprawdzić poprawności danych. Najczęściej przyczyną jest wygasłe skojarzenie zabezpieczeń. |
Pakiety z wykrywaniem powtarzania | To jest całkowita liczba pakietów z prawidłową wartością w polu Numer sekwencji. |
Wysłane bajty poufne | To jest całkowita liczba bajtów wysłanych przy użyciu protokołu ESP. |
Odebrane bajty poufne | To jest całkowita liczba bajtów odebranych przy użyciu protokołu ESP. |
Wysłane bajty uwierzytelnione | To jest całkowita liczba bajtów wysłanych przy użyciu protokołu AH. |
Odebrane bajty uwierzytelnione | To jest całkowita liczba bajtów odebranych przy użyciu protokołu AH. |
Wysłane bajty transportu | To jest całkowita liczba bajtów wysłanych w trybie transportu IPsec. |
Odebrane bajty transportu | To jest całkowita liczba bajtów odebranych w trybie transportu IPsec. |
Bajty wysłane w tunelach | To jest całkowita liczba bajtów wysłanych w trybie tunelowania IPsec. |
Bajty odebrane w tunelach | To jest całkowita liczba bajtów odebranych w trybie tunelowania IPsec. |
Odciążone bajty wysłane | To jest całkowita liczba bajtów wysłanych przy użyciu odciążenia sprzętowego. |
Odciążone bajty odebrane | To jest całkowita liczba bajtów odebranych przy użyciu odciążenia sprzętowego. |
Uwaga | |
Niektóre z tych statystyk można wykorzystać do wykrycia prób ataku z sieci. |
Skojarzenia zabezpieczeń
W tym widoku są wyświetlane aktywne skojarzenia zabezpieczeń na danym komputerze. Skojarzenie zabezpieczeń (SA) jest kombinacją wynegocjowanych kluczy, protokołu zabezpieczeń i indeksu parametrów zabezpieczeń (SPI, security parameters index), która określa zabezpieczenia używane do ochrony komunikacji między komputerem nadawczym a odbiorczym. Dlatego sprawdzając skojarzenia zabezpieczeń na danym komputerze, można między innymi ustalić, które komputery mają połączenie z tym komputerem oraz jaki typ integralności danych i szyfrowania jest używany na potrzeby tego połączenia.
Te informacje mogą być przydatne podczas testowania zasad IPsec i rozwiązywania problemów z dostępem.
Dodawanie, usuwanie i sortowanie kolumn
W okienku wyników można dodawać, usuwać i sortować poniższe kolumny oraz zmieniać ich kolejność:
- Ja. To jest adres IP komputera lokalnego.
- Węzeł równorzędny. To jest adres IP komputera zdalnego.
- Protokół. To jest protokół określony w filtrze.
- Mój port. To jest port TCP lub UDP komputera lokalnego określony w filtrze.
- Port równorzędny. To jest port TCP lub UDP komputera zdalnego określony w filtrze.
- Zasada negocjowania. To jest nazwa zasady negocjowania trybu szybkiego lub ustawień kryptograficznych.
- Integralność AH. To jest metoda zapewniania integralności danych specyficzna dla protokołu AH używana w komunikacji równorzędnej.
- Poufność ESP. To jest metoda szyfrowania specyficzna dla protokołu ESP używana w komunikacji równorzędnej.
- Integralność ESP. To jest metoda zapewniania integralności danych specyficzna dla protokołu ESP używana w komunikacji równorzędnej.
- Mój punkt końcowy tunelu. To jest punkt końcowy tunelu najbliżej komputera lokalnego, jeśli został określony.
- Punkt końcowy tunelu węzła równorzędnego. To jest punkt końcowy tunelu najbliżej komputera lokalnego, jeśli został określony.