92 Kapitel 2: Konfigurieren von IP-Diensten
Verwenden von IPSec im Tunnelmodus
In der Standardeinstellung arbeitet IPSec im Transportmodus (engl. transport mode). Dabei
bietet es Endpunkt-zu-Endpunkt-Sicherheit zwischen Computern. Die meisten IPSec-basier-
ten VPNs arbeiten mit IPSec im Transportmodus und verwenden L2TP, um die IPSec-
Verbindung durch das öffentliche Netzwerk zu tunneln.
Ist allerdings ein VPN-Gateway inkompatibel zu L2TP/IPSec, können Sie IPSec auch im
Tunnelmodus (engl. tunnel mode) betreiben. Dabei wird das gesamte IP-Paket geschützt und
dann in einem zusätzlichen, ungeschützten IP-Header gekapselt. Die IP-Adressen des äuße-
ren IP-Headers geben die Tunnelendpunkte an, die IP-Adressen des inneren IP-Headers die
eigentlichen Quell- und Zieladressen.
Der Tunnelmodus ist ein erweitertes IPSec-Feature, das Interoperabilität mit Routern, Gate-
ways oder Endsystemen bietet, die L2TP/IPSec- oder PPTP-Verbindungen nicht unterstüt-
zen. IPSec-Tunnel werden allerdings nicht für Remotezugriff-VPN unterstützt, und in der
Praxis wird der Tunnelmodus nur selten benutzt. Kapitel 3 beschäftigt sich genauer mit
Remotezugriff-VPNs.
Prüfungstipp
Für die Upgradeprüfungen müssen Sie wissen, wann der Tunnelmodus benutzt wird und in
welchen Fällen er nicht unterstützt wird. Es ist aber unwahrscheinlich, dass Details zum
IPSec-Tunnelmodus abgefragt werden.
IPSec-Authentifizierungsmethoden
IPSec benötigt einen gemeinsamen Authentifizierungsmechanismus zwischen den kommu-
nizierenden Computern. Die folgenden drei Methoden stehen zur Verfügung, um die Hosts
bei der IPSec-Kommunikation zu authentifizieren:
■ Kerberos Kerberos ist das Standardauthentifizierungsprotokoll in einer Active Di-
rectory-Umgebung. Sie können es einsetzen, wenn Sie IPSec innerhalb einer einzigen
Active Directory-Gesamtstruktur implementieren. Wenn die zwei IPSec-Endpunkte
von AD DS authentifiziert werden können, erfordert die IPSec-Authentifizierung keine
Konfiguration; die Hosts müssen lediglich Mitglieder der Domäne sein. Wenn Ihre
Netzwerkumgebung einen Kerberos-Bereich enthält, der nicht Teil einer Active Direc-
tory-Gesamtstruktur ist, können Sie diesen Kerberos-Bereich trotzdem für die Authen-
tifizierung der IPSec-Kommunikation einsetzen.
■ Zertifikate In einer Produktivumgebung, wo keine Kerberos-Authentifizierung
verfügbar ist, können Sie eine Zertifikatsinfrastruktur nutzen, um die IPSec-Kommu-
nikationspartner zu authentifizieren. Bei dieser Lösung muss jeder Host ein Computer-
zertifikat von einer öffentlichen oder privaten Zertifizierungsstelle anfordern und
installieren. Die Computerzertifikate müssen nicht alle von derselben Zertifizierungs-
stelle stammen, aber jeder Host muss der Zertifizierungsstelle vertrauen, die das Zerti-
fikat seines Kommunikationspartners ausgestellt hat. Kapitel 7, „Active Directory-
Zertifikatdienste“, beschreibt Sicherheitszertifikate genauer.
■ Vorinstallierte Schlüssel Ein vorinstallierter Schlüssel ist ein Kennwort, das beiden
Kommunikationspartnern bekannt ist. Er wird benutzt, um Daten zu ver- und zu ent-
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
