Eine Frage nachträglich zu 70-299

[Xanadu_v2 10]

Hallo!

 

Bei meiner 70-299 hatte ich eine Frage zu der ich gerne eure Meinung hören würde. Vielleicht kennt ihr sie ja: Internet <-> Perimeternetzwerk <-> Intranet. IDS (ntrusion Detection System) im Perimeternetzwerk. Man sollte die KommunikationPerimeternetzwerk <-> Intranet absichern. Klar, die Wahl zwischen AH und ESP ist einfach, ebenso Tunnel- oder Transportmodus. Dann war aber noch die Wahl zwischen IPSec mit Kerberos oder mit Zertifikaten. Leider stand da keine Aussage, ob das eine Domäne ist, oder zwei mit oder ohne Vertrauensstellung. Davon hängt die Wahl ja primär ab. Muss man da wirklich raten? :confused:

[ingo.O 10]

hallo,

ja ich kann mich daran erinnern...und du musst raten;)

geht um die die authentifizierung oder? kerberos oder zertifikat!?

[Xanadu_v2 10]

geht um die die authentifizierung oder? kerberos oder zertifikat!?

 

Ja, genau. Also hab ich in der Frage nichts überlesen?

[ingo.O 10]

nein hast du nicht, so weit ich noch weiss sagt ms, in der domaine kerberos, von aussen, also vom internet zertifikat, von beiden stand leider nichts...egal, hauptsache 700 punkte;)

[seehas 11]

Lösung ist einen IPsec-Tunnel mit Authentication Header (AH) Protokoll und Kerberos-Authentifizierung zuverwenden.

Zum einen wollte man nur den Datenverkehr im Perimeternetzwerk absichern, zum Anderen geht ESP nicht aufgrund des IDS.

[ingo.O 10]

n'abend,

also der tunnel ist nicht richtig, sondern transport modus, weil es nur im perimeternetzwerk ist.

wieso ist esp mit ids nicht möglich? angeblich soll es zu problemen kommen, was ich nachvollziehen kann, wenn gewisse parser nicht vorhanden sind, aber trifft das nicht auch auf dann bei ah zu? vieles wäre möglich...wird aber nicht drauf eingegangen...

[seehas 11]

Hier war nicht die Frage was möglich ist, sondern was Microsoft hören will.

[ingo.O 10]

wir einigen uns also auf raten...;)