MCP70-642 Windows Server 2008 Network Infrastructure, Configuring のメモです。

参考書は下記を使用。

IPSecはよく聞くんですが、いまだに使ったことないのでいまいちイメージわきにくいです。(基本的なことは理解してるつもりなんですがね。。)

なんかNATやNAPTがかかわるとややこしいみたいな話があったような。。。

Windows Server 2008ではIPSecの構成がWindowsファイアウォールと統合。(Vistaも同じ)

■1.4.1 IPSecとは

・IKE

　SAの作成・暗号化に用いる鍵の交換等に使用するプロトコル。

・SA

　IPSecにおける論理的コネクション。

・AH

　完全性の確保(改ざん防止)と、送信元の認証(オレオレ防止)を提供。暗号化はしない。よって今はあんまり実用価値無し。

・ESP

　AHの機能に加え,暗号化の機能を提供。

IPSecの認証方式として Windows Server は下記の3つを実装。

Kerberos V5

　Kerberosプロトコルを使うので、特別な構成なしで簡単に認証。ActiveDirectoryが必須(?)。クライアントがドメインに参加してないとダメ。

事前共有キー

　パスワード方式だが、IPSecポリシーに平文で保存されるのでリスクは一番高い。

証明書

　CAから発行された証明書を使う。(内部CAでもOK) 一番安全性も高いが、手間と費用(商用CA利用の時)がかかる。

■1.4.2 IPセキュリティポリシー

IPSecはグループポリシーで設定を行う。

GPOのリンクを特定のOUやドメインに対して設定する。(よくわかりませんが。。。)

デフォルトでは下記3つのポリシーが用意されている。(ActiveDirectoryのグループポリシーでしかないようです。ローカルグループポリシー、ローカルセキュリティポリシーにはありませんでした。)

クライアント

　通信相手からネゴシエーションを要求されないとIPSecを使用しない。

サーバー

　通信開始時に相手にIPSecでの通信を要求する。相手が応じなければ通常通信。

セキュリティで保護されたサーバー

　通信開始時に相手にIPSecでの通信を要求する。相手が応じなければ通信しない。(まるで駄々っ子みたいw)

これでとりあえず第1章がおわり。。。

章末の練習問題は正答率7/8。まあ簡単な内容だったので結構あいました。本番もこれくらいのレベルだとうれしいんですが。。

でも、このペース明らかにやばすぎです。。

明日からはスピードアップしなくては。。