(MCP70-642)1.4 IPSecを構成する
MCP70-642 Windows Server 2008 Network Infrastructure, Configuring のメモです。
参考書は下記を使用。
MCP教科書 Windows Server 2008 Network編(試験番号:70-642) (MCP教科書)


IPSecはよく聞くんですが、いまだに使ったことないのでいまいちイメージわきにくいです。(基本的なことは理解してるつもりなんですがね。。)
なんかNATやNAPTがかかわるとややこしいみたいな話があったような。。。


Windows Server 2008ではIPSecの構成がWindowsファイアウォールと統合。(Vistaも同じ)

■1.4.1 IPSecとは
・IKE
 SAの作成・暗号化に用いる鍵の交換等に使用するプロトコル。
・SA
 IPSecにおける論理的コネクション。
・AH
 完全性の確保(改ざん防止)と、送信元の認証(オレオレ防止)を提供。暗号化はしない。よって今はあんまり実用価値無し。
・ESP
 AHの機能に加え,暗号化の機能を提供。

IPSecの認証方式として Windows Server は下記の3つを実装。
Kerberos V5
 Kerberosプロトコルを使うので、特別な構成なしで簡単に認証。ActiveDirectoryが必須(?)。クライアントがドメインに参加してないとダメ。
事前共有キー
 パスワード方式だが、IPSecポリシーに平文で保存されるのでリスクは一番高い。
証明書
 CAから発行された証明書を使う。(内部CAでもOK) 一番安全性も高いが、手間と費用(商用CA利用の時)がかかる。


■1.4.2 IPセキュリティポリシー
IPSecはグループポリシーで設定を行う。
GPOのリンクを特定のOUやドメインに対して設定する。(よくわかりませんが。。。)

デフォルトでは下記3つのポリシーが用意されている。(ActiveDirectoryのグループポリシーでしかないようです。ローカルグループポリシー、ローカルセキュリティポリシーにはありませんでした。)
クライアント
 通信相手からネゴシエーションを要求されないとIPSecを使用しない。
サーバー
 通信開始時に相手にIPSecでの通信を要求する。相手が応じなければ通常通信。
セキュリティで保護されたサーバー
 通信開始時に相手にIPSecでの通信を要求する。相手が応じなければ通信しない。(まるで駄々っ子みたいw)


これでとりあえず第1章がおわり。。。
章末の練習問題は正答率7/8。まあ簡単な内容だったので結構あいました。本番もこれくらいのレベルだとうれしいんですが。。
でも、このペース明らかにやばすぎです。。
明日からはスピードアップしなくては。。
[PR]
by jehoshaphat | 2009-06-16 21:28 | サーバがらみ | Trackback | Comments(0)
トラックバックURL : http://jehupc.exblog.jp/tb/10443931
トラックバックする(会員専用) [ヘルプ]
※このブログはトラックバック承認制を適用しています。 ブログの持ち主が承認するまでトラックバックは表示されません。


<< サーバOSの時刻狂いが異常 (MCP70-642)1.3 ... >>