Для диагностики конфигурации IPSec существует несколько полезных средств:
· оснастка IPSec для настройки соответствующей политики;
· журнал событий;
· оснастка Групповая политика (Group Policy), используемая при настройке политик IPSec для объекта групповой политики;
· файл OAKLEY.LOG в каталоге %systemroot%\debug.
В этом разделе основное внимание уделяется двум другим инструментам: программам NETDIAG.EXE и IPSECMON.EXE (IP Security Monitor).
Программа IP Security Monitor поставляется в комплекте с Windows, а утилита NETDIAG.EXE, в свою очередь — в пакете Support Tools (<CD:>\Support\Tools), для которого требуется отдельная установка.
Программа IP Security Monitor отличается удобством в применении, отображает текущие параметры безопасности для компьютеров, с которым осуществляется связь, а также определяет факт использования IPSec (с указанием типа IPSec).
Щелчок на кнопке Options позволяет менять частоту обновления параметров IPSec.
Значение каждого параметра IP Security Monitor рассматривается далее.
Параметры программы IP Security Monitor
Active Associations |
Количество отслеживаемых активных каналов шифрования |
Confidential Bytes Send |
Общее количество байт, переданных с флагом Confidentiality, который указывает на использование для передачи пакетов протокола безопасности ESP (Encapsulating Security Payload) (десятичный идентификатор 50) |
Confidential Bytes Received |
Общее количество байт, полученных с флагом Confidentiality, который указывает на использование для передачи пакетов протокола безопасности ESP (Encapsulating Security Payload) (десятичный идентификатор 50) |
Authenticated Bytes Sent |
Общее количество байт, отправленное с указанным свойством аутентификации |
Authenticated Bytes Received |
Общее количество байт, отправленное с указанным свойством аутентификации |
Bad SPI Packet |
Общее количество пакетов данных, имеющих неправильный индекс SPI (Security Parameters Index). Возможно, это означает, что связь безопасности SA (Security Association) больше не действительна или время ее действия истекло SPI — это специальный идентификатор связи SA, дающий принимающей системе возможность выбирать необходимую связь SA, в соответствии с параметрами которой будут обрабатываться пакеты данных |
Packets Not Decrypted |
Общее количество пакетов, которые не смог расшифровать драйвер IPSec Это может указывать на истечение срока действия связи SA, неудачную аутентификацию или проверку целостности пакетов данных |
Packets Not Authenticated |
Общее количество пакетов, которые не удалось успешно аутентифицировать для драйвера IPSec. Это может указывать на истечение срока действия связи SA, информация о которой необходима драйверу IPSec для обработки пакетов данных. Кроме того, параметр может указывать на несовместимость свойств аутентификации для обоих систем (передающей и принимающей). Убедитесь в использовании общего метода аутентификации |
Key Additions |
Общее количество ключей, которые были отправлены драйверу IPSec службой ISAKMP (ISAKMP/Oakley). Это указывает на успешное утверждение связей безопасности во время второй фазы инициализации ISAKMP |
Oakley Main Modes |
Общее количество связей безопасности, утвержденных во время первой фазы инициализации ISAKMP. Это указывает на успешное завершение обмена данных, относящихся к ключам шифрования, аутентификацию всех основных функций и применение общих параметров для ключей |
Oakley Quick Modes |
Общее количество связей безопасности, утвержденных во время второй фазы инициализации ISAKMP. Это указывает на успешное завершение переговоров по использованию служб защиты при передаче данных |
Soft Associations |
Общее количество переговоров во время второй фазы инициализации ISAKMP, при которой системы “договариваются” о передаче исключительно текстовых данных (без их шифрования или подписывания) |
Authentication Failures |
Общее количество неудачных аутентификаций. Проверьте совместимость методов аутентификации, настроенных на всех системах. Параметр может указывать на истечение срока действия связей безопасности |
Программа NETDIAG.EXE, который используется для диагностики проблем в локальной сети, предоставляет более универсальные возможности. Одной из них является проверка статуса IPSec, как показано ниже:
netdiag /test:ipsec /v /debug
Gathering IPX configuration information.
Opening \Device\NwLnkIpx failed
Querying status of the Netcard drivers… Passed
Testing Domain membership… Passed
Gathering NetBT configuration information.
Gathering IP Security information
Tests complete.
Computer Name: CYPHER
DNS Host Name: cypher.microsoft.com
DNS Domain Name: microsoft.com
System Info: Windows XP Professional (Build 2195)
Processor: x86 Family 6 Model 5 Stepping 2, GenuineIntel
Hotfixes :
Installed? Name
..
..
IP Security test…………. : Passed
Directory IPSec Policy Active : ‘Server (Request Security)’
IP Security Verbose Test……: Failed
Access is denied.
The command completed successfully.