请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
楼主: nmyp007

【跟我一起读】Cisco IPSec VPN实战指南

[复制链接]
发表于 2018-6-12 23:50:35 | 显示全部楼层
本帖最后由 yangkai_716 于 2018-6-13 00:31 编辑

1.IPSec对VPN流量提供哪三个方面的保护?
私密性(confidentiality),完整性(Integrity),源认证(Authenticity)

2.加密算法的分类及各个算法的优缺点、主流协议?
加密算法可以分为对称密钥算法和非对称密钥算法

对称密钥算法的优点:速度快、安全、紧凑。
对称密钥算法的缺点:明文传输共享密钥,容易出现中途劫持和窃听的问题;随着参与者数量的增加,密钥数量急剧膨胀((n*(n-1))/2);因为密钥数量过多,对密钥的管理和存储是一个很大的问题;不支持数字签名和不可否认性。

非对称密钥算法的优点:安全,由于不必担心交换的公钥被劫持,所以非对称密钥的分发更安全;密钥数目和参与者数目相同;在交换公钥之前不需要预先建立某种信任关系;支持数字签名和不可否认性。
非对称密钥算法的缺点:加密速度很慢;密文会变长。

对称密钥算法的主流协议有:DES、3DES、AES和RC4;非对称密钥算法的主流协议有:RSA、DH和ECC。

3.IKE的两个阶段和三个模式是什么?

IKE协商分为两个不同的阶段。

第一阶段用于协商IKE策略集、认证对等体并在对等体之间建立安全的信道。包括主模式MM(Main Mode)和积极模式AM(Aggressive Mode)。
主模式MM在发送端和接收端有3次双向交换。第一次:用于商定IKE通信安全的算法和散列;第二次:使用DH交换来产生共享密钥;第三次:验证对端身份、认证远端对等体。主模式的主要结果是为对等体之间的后续交换建立一个安全通道。
积极模式AM较主模式而言,交换次数和信息较少。在第一次交换中,就将主模式第一二三次交换的信息压缩在一起发给对端,接收方返回所需内容。

第二阶段执行以下功能:
a.协商IPsec安全性参数和IPsec转换集;
b.建立IPsec的SA;
c.定期重协商IPsec的SA,以确保安全性;
d.可执行额外的DH交换。
IKE协商第二阶段只有一种模式:快速模式QM(Quick Mode)。该阶段的最终目的是在端点间建立一个安全的IPsec会话。过程中,端点间要协商所需的安全性的级别(如数据的机密和认证算法)。这些内容被统一到IPsec转换集中。在快捷模式QM下,IPsec转换集在对等体之间交换。如集合匹配则IPsec会话的流程继续进行,没发现匹配转换集则终止协商。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-6-13 07:39:27 | 显示全部楼层
1、IPSec对VPN流量提供哪三个方面的保护?
(1)对数据的加密
(2)对数据完整性的校验
(3)对数据源的合法认证

2、加密算法的分类及各个算法的优缺点、主流协议?
对称加密算法:des,3des,aes
非对称加密算是:rsa, dh

对称加密算法 的优点是加密速度快,缺点是密钥一旦被窃取,加密就失效
推荐使用3des和高强度的aes256

非对称加密算法 的优点是更安全,不用担心公钥被窃取,可用于数据加密和数字签名,缺点是消耗资源,加密速度慢
推荐使用rsa2048以上级别和dh group 14以上级别

3、IKE的2个阶段与3个模式是什么?

第一阶段: 协商isakmp sa
主动模式:使用预共享密钥的远程拨号VPN(即思科的EZVPN),这种模式下第一阶段只有3个包
主模式:最常用的IPSEC VPN,该模式下第一阶段6个包
第二阶段: 协商ipsec sa
快速模式:3个包
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-6-13 10:11:36 | 显示全部楼层
1、IPSec对VPN流量提供哪三个方面的保护?
认证性,完整性,机密性
2、加密算法的分类及各个算法的优缺点、主流协议?
加密技术分为对称加密技术和非对称加密技术
一、对称加密
对称密码技术基于异或计算(相同为0,不同为1)
优点:速度快
缺点:分发密钥比较难
二、非对称加密
优点:分发特别容易
缺点:加密特别慢
对称加密算法:DES,3DES,AES
非对称加密算法:RSA
3、IKE的2个阶段与3个模式是什么?
IKE分为两个阶段:
1.    第一个阶段用来协商五个参数,即IKE SA,对通信双方进行身份认证,并在两端之间建立一条安全的通道
a)      Authentication----------认证,默认是数字证书,一般使用预共享
b)      Encryption---------机密性,默认是DES
c)      Hash-----------完整性,默认是SHA
d)      Lifetime-----------SA的生存时间,默认3600
e)      Group-------------密钥程度,分为1~7,思科只有1,2,5,越大越安全
2.    第二个阶段协商的参数,也就是IPSec SA,在上述安全通道上协商IPSec参数
a)      机密性
b)      数据完整性
c)      使用哪种协议:ESP还是AH
d)      使用哪种模式:隧道模式还是传输模式
注:第一阶段有两个模式:
main mode(主模式):使用6个包
aggressive mode(积极模式):使用3个包------------易受个攻击
第二阶段有一个模式:
Quick mode(快速模式)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (4 评价)
发表于 2018-6-13 10:27:42 | 显示全部楼层
oceanyang 发表于 2018-6-13 07:39
1、IPSec对VPN流量提供哪三个方面的保护?
(1)对数据的加密
(2)对数据完整性的校验

兄弟,直接的复制前面的答案,这不合适吧……还是希望能多看看书,说说自己的理解
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (2 评价)
发表于 2018-6-13 11:31:41 | 显示全部楼层
1.IPSec对VPN流量提供哪三个方面的保护?
答:私密性(Confidentiality)、完整性(Integrity)、源认证(Authenticity)。
2.加密算法的分类及各个算法的优缺点、主流协议?
答:加密算法可以分为对称密钥算法和非对称密钥算法。对称密钥算法的优点是速度快、安全、紧凑。缺点是明文传输共享密钥,容易出现中途劫持和窃听的问题。随着参与者数量的增加,密钥数量急剧膨胀。因为密钥数量过多,对密钥的管理和存储是一个很大的问题。不支持数字签名和不可否认性。非对称密钥算法的优点是安全,由于不必担心交换的公钥被劫持,所以非对称密钥的分发更安全。密钥数量和参与者数目相同。在交换公钥之前不需要预先建立某种信任关系。支持数字签名和不可否认性。缺点是加密速度很慢,密文会变长。对称密钥算法的主流协议有DES、3DES、AES和RC4。非对称密钥算法的主流协议有RSA、DH和ECC。
3.IKE的2个阶段与3个模式是什么?
答:IKE协商分为两个不同的阶段。第一阶段协商可以使用6个包交换的主模式MM(Main Mode)或者3个包交换的主模式AM(Aggressive Mode)来完成。第一阶段作用是对等体之间彼此验证对方,并协商出IKE SA,保护第二阶段中IPSec SA协商过程。第二阶段作用是协商IPSec单向SA为保护IP数据流而创建。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-6-13 11:36:59 | 显示全部楼层
认真答题,期待满分。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2018-6-13 16:37:56 | 显示全部楼层
1、IPSec对VPN流量提供哪三个方面的保护?
答:1).私密性,对数据进行加密处理;2).完整性,要确保数据在传输过程中没有被第三方篡改;3).源认证,对发送数据包的源进行认证,确保合法源发送数据。
2、加密算法的分类及各个算法的优缺点、主流协议?
答:分为两类:对称加密算法(秘密钥匙加密)和非对称加密算法(公开密钥加密)。
对称加密算法 的优点是加密速度快,缺点是密钥一旦被窃取,加密就失效。
非对称加密算法 的优点是更安全,不用担心公钥被窃取,可用于数据加密和数字签名,缺点是消耗资源,加密速度慢。
对称加密算法用来对敏感数据等信息进行加密,常用的算法及主流协议包括:
DES(Data Encryption Standard):数据加密标准,速度较快,适用于加密大量数据的场合。
3DES(Triple DES):是基于DES,对一块数据用三个不同的密钥进行三次加密,强度更高。
AES(Advanced Encryption Standard):高级加密标准,是下一代的加密算法标准,速度快,安全级别高;
非对称加密算法及主流协议有:
RSA:由 RSA 公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件块的长度也是可变的;
DSA(Digital Signature Algorithm):数字签名算法,是一种标准的 DSS(数字签名标准);
ECC(Elliptic Curves Cryptography):椭圆曲线密码编码学。
3、IKE的2个阶段与3个模式是什么?
答:IKE第一阶段目的是建立一个保密和验证无误的通信信道(IKE SA),以及建立验证过的密钥。为双方的IKE通信提供机密性,消息完整性以及消息验证服务。
IKE第一阶段的两种模式:(1)主模式:可以使用IP来区分不同的对象 (2)野蛮模式:在发起者IP为动态分配的时候,发起者的IP不能被提前知道。
IKE第二阶段快速模式:第二阶段交换的目的是为其他协议生成SA,这一阶段是通过快速模式来实现的。在单独的一个IKE SA保护下,可以并发执行多个快速模式交换。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (2 评价)
发表于 2018-6-13 16:47:17 | 显示全部楼层
3、IKE的2个阶段与3个模式是什么

IKE第一阶段:该阶段用于协商IKE策略集、认证对等体并在对等体之间建立安全的信道。
它包括两种模式:主模式 和 积极模式
1、 主模式在发送端和接收端有3次双向交换
    第一次:用于商定IKE通信安全的算法和散列;
    第二次:使用DH交换 来产生共享密钥
    第三次:验证对端身份,认证远端对等体。
    主模式的主要结果是为对等体之间的后续交换建立一个安全通道。

2、 积极模式 较主模式而言,交换次数和信息较少。
在第一次交换中,就将主模式1.2.3次交换的信息压缩在一起发给对端,接收方返回所需内容,等待确认。

IKE第二阶段该阶段用于协商IPSec安全性参数和IPSec转换集;建立IPSec的SA;定期重协商IPSec的SA,以确保安全性和可执行额外的DH交换。

IKE第二阶段只有一种模式:快捷模式。
该阶段的最终目的是在端点间建立一个安全的IPSec 会话。过程中,端点间要协商所需的安全性的级别(如:数据的机密和认证算法)。这些内容被统一到IPSec转换集中。在快捷模式下(即:IKE2),IPSec转换集在对等体之间交换。如集合匹配则IPSec会话的流程继续进行,没发现匹配转换集则终止协商。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
发表于 2018-6-15 09:45:55 | 显示全部楼层
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-6-15 13:54:32 | 显示全部楼层
1、IPSec对VPN流量提供哪三个方面的保护?
     私密性,完整性,源认证

2、加密算法的分类及各个算法的优缺点、主流协议?

常见加密算法分类

对称加密算法:DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6和AES
非对称加密算法:RSA、ECC(移动设备用)、Diffie-Hellman、El Gamal、DSA(数字签名用)
Hash算法:MD2、MD4、MD5、HAVAL、SHA、SHA-1、HMAC、HMAC-MD5、HMAC-SHA1
对称密钥算法的优点:速度快、安全,缺点:明文传输共享密钥
非对称加密算法:安全,私钥只能由一方保管,不能外泄。缺点:加密速度较慢

3、IKE的2个阶段与3个模式是什么?
IKE第一阶段主模式由6个ISAKMP数据包来完成:
第1-2个数据包主要完成两个任务:
(1)       核对收到的ISAKMP数据包的源IP地址,来确认收到的ISAKMP数据包是否来自于合法的对等体。
(2)       协商IKE策略(加密策略,散列函数,DH组,认证方式,密钥存活时间)
注:ISAKMP数据包使用UDP传输,源和目的端口都是500.

第3-4个数据包的任务:
DH交换,产生用于加密感兴趣流的密钥资源。
第5-6个数据包的任务:
   在安全的环境下进行认证,并建立ISAKMP/IKE双向安全关联SA。这个SA维护了处理ISAKMP/IKE流量的相关策略,对等体双方会继续使用这个SA,来安全保护后续的IKE快速模式1-3包交换。


IKE第二阶段快速模式由3个数据包来完成:
第1个数据包的任务:它把感兴趣流相关的IPSEC策略一起发送给接收方,并有接收方来选择适当的策略。
第2个数据包的任务:接收方产生SPI,并发送个发起方,建立单向IPSEC SA。
第3个数据包的任务:发起方产生另一个SPI,并发送给接收方,建立单向IPSEC SA。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (2 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-8-15 20:57 , Processed in 0.090438 second(s), 52 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表