Согласование обмена ключами в Интернете (IKE) основного режима устанавливает между двумя компьютерами защищенный канал, известный как сопоставление безопасности (SA) по протоколу ISAKMP. Сопоставление SA ISAKMP используется для защиты последующих обменов ключами между связанными компьютерами, известных как согласования быстрого режима. Для установки защищенного канала согласование основного режима определяет набор криптографических комплектов защиты, обменивается материалом для ключа с целью формирования общего секретного ключа и проверяет учетные данные компьютера.

Наблюдение SA основного режима может предоставить данные о том, какие подключения установлены к данному компьютеру в данный момент времени, когда и при помощи какого комплекта защиты было сформировано сопоставление SA и другую информацию.

Универсальные фильтры

Универсальные фильтры - это IP-фильтры, настроенные для использования любых параметров IP-адреса в адресах источника или назначения. Протокол IPsec позволяет использовать в настройках фильтра ключевые слова, такие как Мой IP-адрес, DNS-сервер, DHCP-сервер, WINS-серверы и Шлюз по умолчанию. При использовании ключевых слов универсальные фильтры отображают их в оснастке «Монитор IP-безопасности». Специальные фильтры - это результат применения ключевых слов к конкретным IP-адресам.

Добавление, удаление и сортировка по столбцам

В области результатов можно добавлять, удалять, перестраивать и сортировать при помощи следующих столбцов:

  • Имя.

  • Источник. IP-адрес источника пакета.

  • Назначение. IP-адрес назначения пакета.

  • Политика IKE. Имя политики IKE, связанной с данным универсальным фильтром, но не имя политики IPsec, создаваемой при помощи оснастки «Политика IPsec». Детали политики, такие как набор использованных криптографических алгоритмов, отображаются в элементе «Политика IKE».

  • Методы проверки подлинности. Список всех методов проверки подлинности, доступных фильтру, в порядке приоритетности.

  • Тип подключения. Тип подключения, к которому применим данный фильтр, - либо локальная сеть (LAN), удаленный доступ или все типы сетевого подключения.

Специальные фильтры

Специальные фильтры получаются из универсальных фильтров благодаря использованию в текущем подключении IP-адресов компьютера источника или назначения. Например, при формировании подключения, использующего фильтр с параметрами Мой IP-адрес для адреса источника и DHCP-сервер для адреса назначения, автоматически создается фильтр с IP-адресами данного компьютера и используемого им DHCP-сервера.

Примечание

Оснастка «Монитор IP-безопасности» может также разрешить IP-адреса в DNS-имена для папки «Специальные фильтры» в папке быстрого режима, но не в папке основного режима.

Добавление, удаление и сортировка столбцов

В области результатов можно добавлять, удалять, перестраивать и сортировать следующие столбцы.

  • Имя.

  • Источник. IP-адрес источника пакета.

  • Назначение. IP-адрес назначения пакета.

  • Направление. Указывает тип фильтра - входящий или исходящий.

  • Политика IKE. Имя политики IKE, но не имя политики IPsec, создаваемой при помощи оснастки «Политика IPsec». Детали политики, такие как набор использованных криптографических алгоритмов, отображаются в элементе «Политика IKE».

  • Методы проверки подлинности. Список всех методов проверки подлинности, доступных фильтру, в порядке приоритетности.

  • Вес. Приоритет фильтра, назначаемый службой IPsec. Вес зависит от многих факторов. Дополнительные сведения о весах фильтров см. по адресу https://go.microsoft.com/fwlink/?LinkId=62212 (страница может быть на английском языке).

    Примечание

    На компьютерах под управлением Windows Vista®, Windows Server® 2008 или более поздних версий Windows значение свойства «Вес» всегда равно 0.

Политики IKE

Политика IKE - это методы целостности данных или шифрации, которые два связанных компьютера могут согласовать при обмене ключами в основном режиме.

Статистические данные

В этой таблице отображаются статистические данные, доступные в представлении статистических данных основного режима:

Примечание

Некоторые из этих данных не применяются к компьютерам, работающим под управлением Windows Vista, Windows Server 2008 или более поздних версий Windows.

Статистика IKEОписание

Активных запросов

С помощью запросов драйвер IPsec предписывает IKE выполнить то или иное действие. Статистика активных запросов включает число невыполненных запросов и запросов в очереди, если они имеются. Обычно число активных запросов равно 1. При сильной загрузке число активных запросов равно 1 плюс число запросов, помещенных IKE в очередь на обработку.

Активных приемов

Число принятых сообщений IKE, ожидающих обработки в очереди.

Ошибок запросов

Число случаев неудачного завершения запросов.

Ошибок приема

Число сбоев функции Windows Sockets WSARecvFrom() при приеме сообщений IKE.

Ошибок отправки

Число сбоев функции Windows Sockets WSASendTo() при отправке сообщений IKE.

Размер кучи запросов

Число записей в куче запросов, хранящей активные запросы. Это число увеличивается при высокой загрузке, а затем постепенно уменьшается по мере очистки кучи.

Размер кучи приема

Число записей входящих сообщений IKE в буферах приема IKE.

Ошибки проверки подлинности

Общее число сбоев при проверке учетных данных (с использованием Kerberos, сертификата и предварительного общего ключа) при согласовании основного режима. При наличии затруднений с осуществлением безопасного обмена данными попробуйте установить соединение и посмотрите, увеличится ли это число в данной статистике. Если это значение увеличится, проверьте соответствие методов проверки подлинности или правильность настройки метода проверки подлинности (например, соответствие используемых предварительных общих ключей).

Ошибки согласования

Общее число сбоев согласования, произошедших во время согласования основного режима или быстрого режима. При наличии затруднений с осуществлением безопасного обмена данными попробуйте установить соединение и посмотрите, увеличится ли это число в данной статистике. Если это значение увеличится, проверьте соответствие методов проверки подлинности, правильность настройки метода проверки подлинности (например, соответствие используемых предварительных общих ключей) или соответствие методов или параметров безопасности.

Получены недопустимые файлы cookie

Cookie представляет собой значение, содержащееся в принятом сообщении IKE, которое используется IKE для выяснения состояния активного основного режима. Недопустимым считается значение cookie в принятом сообщении IKE, которое не удается сопоставить с активным основным режимом.

Всего запросов

Общее число рабочих запросов, переданных IKE в драйвер IPsec.

Всего получено SPI

Общее число запросов, отправленных IKE в драйвер IPsec для получения уникального индекса параметров безопасности (Security Parameters Index, SPI).

Дополнения по ключам

Число исходящих сопоставлений безопасности быстрого режима, добавленных IKE в драйвер IPsec.

Обновлений ключей

Число входящих сопоставлений безопасности быстрого режима, добавленных IKE в драйвер IPsec.

Ошибок получения SPI

Число неудачных запросов, отправленных IKE в драйвер IPsec для получения SPI.

Дополнительные сбои ключей

Число неудачных исходящих запросов добавления сопоставления безопасности быстрого режима, отправленных IKE в драйвер IPsec.

Ошибок обновлений ключей

Число неудачных входящих запросов добавления сопоставления безопасности быстрого режима, отправленных IKE в драйвер IPsec.

Размер списка ISADB

Число записей состояния основного режима, включая согласованные основные режимы, текущие основные режимы, а также несогласованные основные режимы, которые не были удалены.

Размер списка подключений

Число записей состояния быстрого режима.

Главный IKE-режим

Общее число успешных сопоставлений безопасности, созданных во время согласований основного режима.

Быстрый IKE-режим

Общее число успешных сопоставлений безопасности, созданных во время согласований быстрого режима. Поскольку обычно для каждого сопоставления безопасности создается несколько сопоставлений безопасности быстрого режима, это значение не обязательно совпадает с аналогичным значением для основного режима.

«Мягкие» сопоставления

Общее число согласований, приведших к использованию незашифрованного текста (также известных как сопоставления безопасности). Обычно это значение отражает число сопоставлений с компьютерами, которые не отвечают на попытки согласования основного режима. Это могут быть компьютеры как не поддерживающие IPsec, так и поддерживающие IPSec, но не имеющие политики IPSec для согласования безопасности при соединении IPSec. Хотя сопоставления безопасности не являются результатом согласований основного и быстрого режимов, они все равно рассматриваются как сопоставления безопасности быстрого режима.

Получено неправильных пакетов

Число принятых неправильных сообщений IKE, включая сообщения IKE с недопустимыми полями заголовка, неправильным размером полезных данных и неправильными значениями cookie отвечающей стороны (когда оно должно иметь значение 0). Недопустимые сообщения IKE в основном вызываются просроченными повторно переданными сообщениями IKE или несоответствующим общим ключом между соединениями IPsec.

Примечание

Некоторые из этих данных могут быть использованы для выявления сетевых атак.

Сопоставления безопасности

Это представление отображает активные для данного компьютера сопоставления безопасности Сопоставление безопасности - это сочетание согласованного ключа, протокола безопасности и индекса параметров безопасности, вместе определяющих механизмы безопасности, используемые для защиты данных, передаваемых между сторонами соединения. Поэтому при просмотре сопоставлений безопасности данного компьютера можно определить, какие компьютеры к нему подключены, какой тип целостности данных и шифрации используется в этих соединениях, а также получить другую информацию.

Эта информация может быть полезной при тестировании политик IPsec и устранении проблем доступа.

Добавление, удаление и сортировка столбцов

В области результатов можно добавлять, удалять, перестраивать и сортировать следующие столбцы.

  • Я. IP-адрес локального компьютера.

  • Мой идентификатор. DNS-имя локального компьютера.

  • Респондент. IP-адрес удаленного компьютера или респондента.

  • Идентификатор респондента. DNS-имя удаленного компьютера или респондента.

  • Проверка подлинности. Метод проверки подлинности, использованный при создании SA.

  • Шифрование. Метод шифрования, использованный SA для обмена ключами быстрого режима.

  • Целостность. Метод целостности данных, использованный SA для обмена ключами быстрого режима.

  • Диффи-Хелман. Группа Диффи-Хелмана, используемая для создания сопоставления безопасности основного режима.

Дополнительные ссылки