O'Reilly logo

Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 by Ian L. McLean, Orin Thomas

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

92 Kapitel 2: Konfigurieren von IP-Diensten
Verwenden von IPSec im Tunnelmodus
In der Standardeinstellung arbeitet IPSec im Transportmodus (engl. transport mode). Dabei
bietet es Endpunkt-zu-Endpunkt-Sicherheit zwischen Computern. Die meisten IPSec-basier-
ten VPNs arbeiten mit IPSec im Transportmodus und verwenden L2TP, um die IPSec-
Verbindung durch das öffentliche Netzwerk zu tunneln.
Ist allerdings ein VPN-Gateway inkompatibel zu L2TP/IPSec, können Sie IPSec auch im
Tunnelmodus (engl. tunnel mode) betreiben. Dabei wird das gesamte IP-Paket geschützt und
dann in einem zusätzlichen, ungeschützten IP-Header gekapselt. Die IP-Adressen des äuße-
ren IP-Headers geben die Tunnelendpunkte an, die IP-Adressen des inneren IP-Headers die
eigentlichen Quell- und Zieladressen.
Der Tunnelmodus ist ein erweitertes IPSec-Feature, das Interoperabilität mit Routern, Gate-
ways oder Endsystemen bietet, die L2TP/IPSec- oder PPTP-Verbindungen nicht unterstüt-
zen. IPSec-Tunnel werden allerdings nicht für Remotezugriff-VPN unterstützt, und in der
Praxis wird der Tunnelmodus nur selten benutzt. Kapitel 3 beschäftigt sich genauer mit
Remotezugriff-VPNs.
Prüfungstipp
Für die Upgradeprüfungen müssen Sie wissen, wann der Tunnelmodus benutzt wird und in
welchen Fällen er nicht unterstützt wird. Es ist aber unwahrscheinlich, dass Details zum
IPSec-Tunnelmodus abgefragt werden.
IPSec-Authentifizierungsmethoden
IPSec benötigt einen gemeinsamen Authentifizierungsmechanismus zwischen den kommu-
nizierenden Computern. Die folgenden drei Methoden stehen zur Verfügung, um die Hosts
bei der IPSec-Kommunikation zu authentifizieren:
Kerberos Kerberos ist das Standardauthentifizierungsprotokoll in einer Active Di-
rectory-Umgebung. Sie können es einsetzen, wenn Sie IPSec innerhalb einer einzigen
Active Directory-Gesamtstruktur implementieren. Wenn die zwei IPSec-Endpunkte
von AD DS authentifiziert werden können, erfordert die IPSec-Authentifizierung keine
Konfiguration; die Hosts müssen lediglich Mitglieder der Domäne sein. Wenn Ihre
Netzwerkumgebung einen Kerberos-Bereich enthält, der nicht Teil einer Active Direc-
tory-Gesamtstruktur ist, können Sie diesen Kerberos-Bereich trotzdem für die Authen-
tifizierung der IPSec-Kommunikation einsetzen.
Zertifikate In einer Produktivumgebung, wo keine Kerberos-Authentifizierung
verfügbar ist, können Sie eine Zertifikatsinfrastruktur nutzen, um die IPSec-Kommu-
nikationspartner zu authentifizieren. Bei dieser Lösung muss jeder Host ein Computer-
zertifikat von einer öffentlichen oder privaten Zertifizierungsstelle anfordern und
installieren. Die Computerzertifikate müssen nicht alle von derselben Zertifizierungs-
stelle stammen, aber jeder Host muss der Zertifizierungsstelle vertrauen, die das Zerti-
fikat seines Kommunikationspartners ausgestellt hat. Kapitel 7, „Active Directory-
Zertifikatdienste“, beschreibt Sicherheitszertifikate genauer.
Vorinstallierte Schlüssel Ein vorinstallierter Schlüssel ist ein Kennwort, das beiden
Kommunikationspartnern bekannt ist. Er wird benutzt, um Daten zu ver- und zu ent-

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required