70-642 Konfigurieren einer Netzwerkinfrastruktur Windows ... - Gattner
70-642 Konfigurieren einer Netzwerkinfrastruktur Windows ... - Gattner
70-642 Konfigurieren einer Netzwerkinfrastruktur Windows ... - Gattner
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
NAP-Erzwingungstypen sind Netzwerkkomponenten, die NAP erzwingen, indem<br />
sie den Netzwerkzugriff entweder erlauben oder verbieten:<br />
• IPSec-Verbindungssicherheit<br />
IPSec-Erzwingung zwingt Clients eine NAP-Integritätsprüfung zu bestehen,<br />
bevor sie ein Integritätszertifikat erhalten.<br />
IPSec-Erzwingung benötigt Integritätszertifikate, die für die IPSec-<br />
Verbindungssicherheit notwendig sind, ohne die ein Client keine IPSecgeschützte-Verbindung<br />
zu einem Host herstellen kann.<br />
IPSec-Erzwingung erlaubt es, individuell für einzelne IP-Adressen oder<br />
TCP/UDP-Portnummern, dass die Systemintegritätsanforderungen<br />
eingehalten werden.<br />
IPSec-Erzwingung benötigt eine Zertifizierungsstelle (Certification Authority,<br />
CA), auf der <strong>Windows</strong> Server 2008-Zertifikatdienste laufen. NAP muss<br />
Integritätszertifikate unterstützen.<br />
Produktivumgebungen sollten aus Redundanzgründen mindestens zwei<br />
Zertifizierungsstellen bereitstellen. PKIs (Public Key Infrastrukture) kann nicht<br />
verwendet werden.<br />
IPSec-Erzwingung bietet sehr hohe Sicherheit, schützt aber nur Computer die<br />
IPSec unterstützen.<br />
• 802.1X-Zugriffspunkte<br />
802.1X-Authentifizierung verwendet Ethernetswitches oder<br />
Drahtloszugriffspunkte.<br />
802.1X-Authentifizierung gewährt kompatiblen Computern vollständigen<br />
Netzwerkzugriff, inkompatible Computer werden in ein Wartungsnetz<br />
verbunden oder abgelehnt.<br />
802.1X-Netzwerkzugriffsgeräte können auch nach anfänglich gewährtem<br />
Zugriff reagieren, wenn Systemintegritätsanforderungen nicht mehr erfüllt<br />
sind.<br />
802.1X-Erzwingung kann zwei Methoden einsetzen, um zu steuern, welche<br />
Zugriffsebene kompatibel, inkompatibel und nicht authentifizierte Computer<br />
enthalten:<br />
o Zugriffssteuerungsliste (Access Control List, ACL) sind IPv4- und<br />
IPv6-Paketfilter, die auf 802.1X-Zugriffsgeräten konfiguriert werden.<br />
ACL werden normal auf inkompatible Computer angewendet,<br />
kompatible Computer erhalten vollen Netzwerkzugriff ohne ACL.<br />
ACL erlaubt sogar den Netzwerkverkehr von inkompatiblen Computern<br />
untereinander einzuschränken.<br />
802.1X-Zugriffsgeräte wenden ACL auf Verbindungen an und<br />
verwerfen alle Pakete, die von der ACL nicht erlaubt sind.<br />
o VLAN (Virtual Local Area Networks) sind Gruppen von Ports die auf<br />
Switches zusammengefasst werden und ein separates Netzwerk<br />
bilden.<br />
VLANs können nur kommuniziere, wenn sie über einen Router<br />
verbunden werden.<br />
VLANs werden anhand <strong>einer</strong> VLAN-ID identifiziert, die auf den<br />
Switches selbst konfiguriert werden.<br />
NAP kann festlegen in welches VLAN kompatible, inkompatible oder<br />
nicht authentifizierte Computer verschoben werden.<br />
VLAN Nachteile sind zum Beispiel:<br />
• Netzwerkkonfiguration muss geändert werden, wenn ein NAP-<br />
Client auf einen kompatiblen NAP-Client hochgestuft wird.