A negociação IKE do Modo Rápido (também conhecido como Fase 2) estabelece um canal seguro entre dois computadores para proteger dados. Como essa fase envolve o estabelecimento de associações de segurança (SAs) negociadas em nome do serviço IPsec, as SAs criadas durante o Modo Rápido são chamadas SAs IPsec. Durante o Modo Rápido, o material de chave é atualizado ou, se necessário, novas chaves são geradas. Um pacote de proteção que protege o tráfego de IP especificado também é selecionado. Um pacote de proteção é um conjunto definido de configurações de integridade de dados ou de criptografia de dados. O Modo Rápido não é considerado uma troca completa, pois é dependente de uma troca do Modo Principal.

O monitoramento das SAs do Modo Rápido pode fornecer informações sobre quais pontos estão atualmente conectados a este computador, qual pacote de proteção foi usado para formar a SA e outras informações.

Filtros genéricos

Filtros genéricos são filtros IP configurados para usar qualquer uma das opções de endereço IP, como um endereço de origem ou de destino. O IPsec também permite usar palavras-chave, como Meu Endereço IP, Servidor DNS, Servidor DHCP, Servidores WINS e Gateway Padrão, na configuração de filtros. Quando palavras-chave são usadas, filtros genéricos mostram as palavras-chave no snap-in Monitoramento de Segurança IP. Filtros específicos são derivados de filtros genéricos com a expansão de palavras-chave em endereços IP.

Adicionando, removendo e classificando colunas

É possível adicionar, remover, reorganizar e classificar de acordo com essas colunas no painel de resultados:

  • Nome.

  • Origem. Esse é o endereço IP da origem do pacote.

  • Destino. Esse é o endereço IP do destino do pacote.

  • Porta de Origem. Essa é a porta TCP ou UDP da origem do pacote.

  • Porta de Destino. Essa é a porta TCP ou UDP do destino do pacote.

  • Ponto de Extremidade do Túnel de Origem. Este é o ponto de extremidade de túnel mais próximo do computador local, se tiver sido especificado.

  • Ponto de Extremidade do Túnel de Destino. Esse é o ponto de extremidade de túnel mais próximo do computador de destino, se tiver sido especificado.

  • Protocolo. Esse é o protocolo especificado no filtro.

  • Ação de Entrada. Indica se o tráfego de entrada é Permitido, Bloqueado ou usa uma ação Negociar Segurança.

  • Ação de Saída. Indica se o tráfego de saída é Permitido, Bloqueado ou usa uma ação Negociar Segurança.

  • Diretiva de Negociação. É o nome da diretiva de negociação do Modo Rápido ou as configurações criptográficas.

  • Tipo de Conexão. É o tipo de conexão a que esse filtro é aplicado, seja o tipo de conexão uma conexão de rede de área local (LAN), acesso remoto ou todos os tipos de conexão.

Filtros específicos

Filtros específicos são expandidos em filtros genéricos usando os endereços IP do computador de origem ou de destino para a conexão real. Por exemplo, se você tiver um filtro que usou a opção Meu Endereço IP como o endereço de origem e a opção Servidor DHCP como o endereço de destino, quando uma conexão for formada usando esse filtro, um filtro que tem o endereço IP do seu computador e o endereço IP do servidor DHCP que esse computador usa será criado automaticamente.

Adicionando, removendo e classificando colunas

É possível adicionar, remover, reorganizar e classificar de acordo com essas colunas no painel de resultados:

  • Nome.

  • Origem. Esse é o endereço IP da origem do pacote.

  • Destino. Esse é o endereço IP do destino do pacote.

  • Porta de Origem. Essa é a porta TCP ou UDP da origem do pacote.

  • Porta de Destino. Essa é a porta TCP ou UDP do destino do pacote.

  • Ponto de Extremidade do Túnel de Origem. Esse é o ponto de extremidade de túnel mais próximo do computador local, se tiver sido especificado.

  • Ponto de Extremidade do Túnel de Destino. Esse é o ponto de extremidade de túnel mais próximo do computador de destino, se tiver sido especificado.

  • Protocolo. Esse é o protocolo especificado no filtro.

  • Ação de Entrada. Indica se o tráfego de entrada for Permitido, Bloqueado ou usar uma ação Negociar Segurança.

  • Ação de Saída. Indica se o tráfego de saída é Permitido, Bloqueado ou usa uma ação Negociar Segurança.

  • Diretiva de Negociação. É o nome da diretiva de negociação do Modo Rápido ou as configurações criptográficas.

  • Peso. É a prioridade que o serviço IPsec dá ao filtro. O peso é derivado de vários fatores. Para obter mais informações sobre pesos de filtros, consulte https://go.microsoft.com/fwlink/?LinkId=62212 (a página pode estar em inglês).

    Observação

    A propriedade peso sempre é definida como 0 em computadores que executam o Windows Vista®, Windows Server® 2008 ou versões posteriores do Windows.

Diretivas de negociação

A diretiva de negociação é a ordem de preferência do método de segurança que os dois computadores de mesmo nível concordam em usar ao se comunicar um com o outro durante as negociações do Modo Rápido.

Estatísticas

Essa tabela exibe as estatísticas disponíveis no modo de exibição Estatísticas do Modo Rápido:

Estatística do IPsecDescrição

Associações de Segurança Ativas

Esse é o número de associações de segurança IPsec ativas.

Associações de Segurança Descarregadas

Esse é o número de associações de segurança IPsec descarregadas no hardware.

Operações de Chave Pendentes

Esse é o número de operações de chave IPsec em andamento.

Adições de Chaves

Esse é o número total de negociações de associações de segurança IPsec bem-sucedidas.

Exclusões de Chave

Esse é o número de exclusões de chave nas associações de segurança IPsec.

Recriação de Chaves

Esse é o número de operações de rechaveamento nas associações de segurança IPsec.

Túneis ativos

Este é o número de túneis IPsec ativos.

Pacotes SPI com problemas

Este é o número total de pacotes para o qual a indexação de parâmetros de segurança (SPI) estava incorreta. A SPI é utilizada para estabelecer uma correspondência entre os pacotes de entrada e as associações de segurança. Se a SPI estiver incorreta, isso pode indicar que a associação de segurança de entrada expirou e que um pacote utilizando a SPI antiga chegou há pouco tempo. É provável que esse número aumente se os intervalos de novas chaves forem curtos e houver um número grande de associações de segurança. Como as associações de segurança expiram em condições normais, um pacote SPI com problemas não indica necessariamente que o IPsec apresenta falhas.

Pacotes Não Decodificados

Este é o número total de pacotes cuja decodificação falhou. Essa falha pode indicar que um pacote chegou para a associação de segurança que já havia expirado. Se a associação de segurança expirar, a chave da sessão usada para descriptografar o pacote também será excluída. Isso não indica necessariamente que o IPsec apresenta falhas.

Pacotes Não Autenticados

Este é o número total de pacotes cujos dados não puderam ser verificados. Essa falha, na maioria dos casos, ocorre devido a uma associação de segurança expirada.

Pacotes com Detecção de Repetição

Este é o número total de pacotes que continham um campo de Número Sequencial válido.

Bytes Confidenciais Enviados

Este é o número total de bytes enviados por meio do protocolo ESP.

Bytes Confidenciais Recebidos

Este é o número total de bytes recebidos por meio do protocolo ESP.

Bytes Autenticados Enviados

Este é o número total de bytes enviados por meio do protocolo AH.

Bytes Autenticados Recebidos

Este é o número total de bytes recebidos por meio do protocolo AH.

Bytes de Transporte Enviados

Este é o número total de bytes enviados por meio do Modo de Transporte IPSec.

Bytes de Transporte Recebidos

Este é o número total de bytes recebidos por meio do Modo de Transporte IPSec.

Bytes Enviados em Túneis

Este é o número total de bytes enviados por meio do Modo de Túnel IPSec.

Bytes Recebidos em Túneis

Este é o número total de bytes recebidos por meio do Modo de Túnel IPSec.

Bytes Descarregados Enviados

Este é o número total de bytes enviados por meio de offload de hardware.

Bytes Descarregados Recebidos

Este é o número total de bytes recebidos por meio de offload de hardware.

Observação

Algumas dessas estatísticas podem ser usadas para detectar tentativas de ataque da rede.

Associações de segurança

Esse modo de exibição exibe as associações de segurança ativas neste computador. Uma associação de segurança é a combinação de uma chave negociada, um protocolo de segurança e a indexação de parâmetros de segurança, que em conjunto definem a segurança usada para proteger a comunicação do remetente para o receptor. Portanto, olhando as associações de segurança deste computador, é possível determinar quais computadores têm conexões com este computador, que tipo de integridade de dados e criptografia está sendo usado para essa conexão e outras informações.

Essas informações podem ser úteis quando você está testando diretivas IPsec e solucionando problemas de acesso.

Adicionando, removendo e classificando colunas

É possível adicionar, remover, reorganizar e classificar de acordo com essas colunas no painel de resultados:

  • Eu . Esse é o endereço IP do computador local.

  • Ponto. Esse é o endereço IP do computador remoto.

  • Protocolo. Esse é o protocolo especificado no filtro.

  • Minha Porta. Essa é a porta TCP ou UDP do computador local especificado no filtro.

  • Porta de mesmo nível. Essa é a porta TCP ou UDP do computador remoto especificada no filtro.

  • Diretiva de Negociação. É o nome da diretiva de negociação do Modo Rápido ou as configurações criptográficas.

  • Integridade AH. Esse é o método de integridade de dados específico do protocolo AH usado para comunicações entre pontos.

  • Confidencialidade ESP. Esse é o método de criptografia específico do protocolo ESP usado nas comunicações entre pontos.

  • Integridade ESP. Esse é o método de integridade de dados específico do protocolo ESP usado para comunicações entre pontos.

  • Ponto de Extremidade do Meu Túnel. Esse é o ponto de extremidade de túnel mais próximo do computador local, se tiver sido especificado.

  • Ponto de Extremidade do Túnel de mesmo nível. Esse é o ponto de extremidade de túnel mais próximo do computador local, se tiver sido especificado.

Referências adicionais