(MCP70-642)1.4 IPSecを構成する
MCP70-642 Windows Server 2008 Network Infrastructure, Configuring のメモです。
参考書は下記を使用。
IPSecはよく聞くんですが、いまだに使ったことないのでいまいちイメージわきにくいです。(基本的なことは理解してるつもりなんですがね。。)
なんかNATやNAPTがかかわるとややこしいみたいな話があったような。。。
Windows Server 2008ではIPSecの構成がWindowsファイアウォールと統合。(Vistaも同じ)
■1.4.1 IPSecとは
・IKE
SAの作成・暗号化に用いる鍵の交換等に使用するプロトコル。
・SA
IPSecにおける論理的コネクション。
・AH
完全性の確保(改ざん防止)と、送信元の認証(オレオレ防止)を提供。暗号化はしない。よって今はあんまり実用価値無し。
・ESP
AHの機能に加え,暗号化の機能を提供。
IPSecの認証方式として Windows Server は下記の3つを実装。
Kerberos V5
Kerberosプロトコルを使うので、特別な構成なしで簡単に認証。ActiveDirectoryが必須(?)。クライアントがドメインに参加してないとダメ。
事前共有キー
パスワード方式だが、IPSecポリシーに平文で保存されるのでリスクは一番高い。
証明書
CAから発行された証明書を使う。(内部CAでもOK) 一番安全性も高いが、手間と費用(商用CA利用の時)がかかる。
■1.4.2 IPセキュリティポリシー
IPSecはグループポリシーで設定を行う。
GPOのリンクを特定のOUやドメインに対して設定する。(よくわかりませんが。。。)
デフォルトでは下記3つのポリシーが用意されている。(ActiveDirectoryのグループポリシーでしかないようです。ローカルグループポリシー、ローカルセキュリティポリシーにはありませんでした。)
クライアント
通信相手からネゴシエーションを要求されないとIPSecを使用しない。
サーバー
通信開始時に相手にIPSecでの通信を要求する。相手が応じなければ通常通信。
セキュリティで保護されたサーバー
通信開始時に相手にIPSecでの通信を要求する。相手が応じなければ通信しない。(まるで駄々っ子みたいw)
これでとりあえず第1章がおわり。。。
章末の練習問題は正答率7/8。まあ簡単な内容だったので結構あいました。本番もこれくらいのレベルだとうれしいんですが。。
でも、このペース明らかにやばすぎです。。
明日からはスピードアップしなくては。。