请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
楼主: nmyp007

【跟我一起读】Cisco IPSec VPN实战指南

[复制链接]
发表于 2018-6-12 23:50:35 | 显示全部楼层
本帖最后由 yangkai_716 于 2018-6-13 00:31 编辑

1.IPSec对VPN流量提供哪三个方面的保护?
私密性(confidentiality),完整性(Integrity),源认证(Authenticity)

2.加密算法的分类及各个算法的优缺点、主流协议?
加密算法可以分为对称密钥算法和非对称密钥算法

对称密钥算法的优点:速度快、安全、紧凑。
对称密钥算法的缺点:明文传输共享密钥,容易出现中途劫持和窃听的问题;随着参与者数量的增加,密钥数量急剧膨胀((n*(n-1))/2);因为密钥数量过多,对密钥的管理和存储是一个很大的问题;不支持数字签名和不可否认性。

非对称密钥算法的优点:安全,由于不必担心交换的公钥被劫持,所以非对称密钥的分发更安全;密钥数目和参与者数目相同;在交换公钥之前不需要预先建立某种信任关系;支持数字签名和不可否认性。
非对称密钥算法的缺点:加密速度很慢;密文会变长。

对称密钥算法的主流协议有:DES、3DES、AES和RC4;非对称密钥算法的主流协议有:RSA、DH和ECC。

3.IKE的两个阶段和三个模式是什么?

IKE协商分为两个不同的阶段。

第一阶段用于协商IKE策略集、认证对等体并在对等体之间建立安全的信道。包括主模式MM(Main Mode)和积极模式AM(Aggressive Mode)。
主模式MM在发送端和接收端有3次双向交换。第一次:用于商定IKE通信安全的算法和散列;第二次:使用DH交换来产生共享密钥;第三次:验证对端身份、认证远端对等体。主模式的主要结果是为对等体之间的后续交换建立一个安全通道。
积极模式AM较主模式而言,交换次数和信息较少。在第一次交换中,就将主模式第一二三次交换的信息压缩在一起发给对端,接收方返回所需内容。

第二阶段执行以下功能:
a.协商IPsec安全性参数和IPsec转换集;
b.建立IPsec的SA;
c.定期重协商IPsec的SA,以确保安全性;
d.可执行额外的DH交换。
IKE协商第二阶段只有一种模式:快速模式QM(Quick Mode)。该阶段的最终目的是在端点间建立一个安全的IPsec会话。过程中,端点间要协商所需的安全性的级别(如数据的机密和认证算法)。这些内容被统一到IPsec转换集中。在快捷模式QM下,IPsec转换集在对等体之间交换。如集合匹配则IPsec会话的流程继续进行,没发现匹配转换集则终止协商。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-6-13 07:39:27 | 显示全部楼层
1、IPSec对VPN流量提供哪三个方面的保护?
(1)对数据的加密
(2)对数据完整性的校验
(3)对数据源的合法认证

2、加密算法的分类及各个算法的优缺点、主流协议?
对称加密算法:des,3des,aes
非对称加密算是:rsa, dh

对称加密算法 的优点是加密速度快,缺点是密钥一旦被窃取,加密就失效
推荐使用3des和高强度的aes256

非对称加密算法 的优点是更安全,不用担心公钥被窃取,可用于数据加密和数字签名,缺点是消耗资源,加密速度慢
推荐使用rsa2048以上级别和dh group 14以上级别

3、IKE的2个阶段与3个模式是什么?

第一阶段: 协商isakmp sa
主动模式:使用预共享密钥的远程拨号VPN(即思科的EZVPN),这种模式下第一阶段只有3个包
主模式:最常用的IPSEC VPN,该模式下第一阶段6个包
第二阶段: 协商ipsec sa
快速模式:3个包
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-6-13 10:11:36 | 显示全部楼层
1、IPSec对VPN流量提供哪三个方面的保护?
认证性,完整性,机密性
2、加密算法的分类及各个算法的优缺点、主流协议?
加密技术分为对称加密技术和非对称加密技术
一、对称加密
对称密码技术基于异或计算(相同为0,不同为1)
优点:速度快
缺点:分发密钥比较难
二、非对称加密
优点:分发特别容易
缺点:加密特别慢
对称加密算法:DES,3DES,AES
非对称加密算法:RSA
3、IKE的2个阶段与3个模式是什么?
IKE分为两个阶段:
1.    第一个阶段用来协商五个参数,即IKE SA,对通信双方进行身份认证,并在两端之间建立一条安全的通道
a)      Authentication----------认证,默认是数字证书,一般使用预共享
b)      Encryption---------机密性,默认是DES
c)      Hash-----------完整性,默认是SHA
d)      Lifetime-----------SA的生存时间,默认3600
e)      Group-------------密钥程度,分为1~7,思科只有1,2,5,越大越安全
2.    第二个阶段协商的参数,也就是IPSec SA,在上述安全通道上协商IPSec参数
a)      机密性
b)      数据完整性
c)      使用哪种协议:ESP还是AH
d)      使用哪种模式:隧道模式还是传输模式
注:第一阶段有两个模式:
main mode(主模式):使用6个包
aggressive mode(积极模式):使用3个包------------易受个攻击
第二阶段有一个模式:
Quick mode(快速模式)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (4 评价)
发表于 2018-6-13 10:27:42 | 显示全部楼层
oceanyang 发表于 2018-6-13 07:39
1、IPSec对VPN流量提供哪三个方面的保护?
(1)对数据的加密
(2)对数据完整性的校验

兄弟,直接的复制前面的答案,这不合适吧……还是希望能多看看书,说说自己的理解
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (2 评价)
发表于 2018-6-13 16:37:56 | 显示全部楼层
1、IPSec对VPN流量提供哪三个方面的保护?
答:1).私密性,对数据进行加密处理;2).完整性,要确保数据在传输过程中没有被第三方篡改;3).源认证,对发送数据包的源进行认证,确保合法源发送数据。
2、加密算法的分类及各个算法的优缺点、主流协议?
答:分为两类:对称加密算法(秘密钥匙加密)和非对称加密算法(公开密钥加密)。
对称加密算法 的优点是加密速度快,缺点是密钥一旦被窃取,加密就失效。
非对称加密算法 的优点是更安全,不用担心公钥被窃取,可用于数据加密和数字签名,缺点是消耗资源,加密速度慢。
对称加密算法用来对敏感数据等信息进行加密,常用的算法及主流协议包括:
DES(Data Encryption Standard):数据加密标准,速度较快,适用于加密大量数据的场合。
3DES(Triple DES):是基于DES,对一块数据用三个不同的密钥进行三次加密,强度更高。
AES(Advanced Encryption Standard):高级加密标准,是下一代的加密算法标准,速度快,安全级别高;
非对称加密算法及主流协议有:
RSA:由 RSA 公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件块的长度也是可变的;
DSA(Digital Signature Algorithm):数字签名算法,是一种标准的 DSS(数字签名标准);
ECC(Elliptic Curves Cryptography):椭圆曲线密码编码学。
3、IKE的2个阶段与3个模式是什么?
答:IKE第一阶段目的是建立一个保密和验证无误的通信信道(IKE SA),以及建立验证过的密钥。为双方的IKE通信提供机密性,消息完整性以及消息验证服务。
IKE第一阶段的两种模式:(1)主模式:可以使用IP来区分不同的对象 (2)野蛮模式:在发起者IP为动态分配的时候,发起者的IP不能被提前知道。
IKE第二阶段快速模式:第二阶段交换的目的是为其他协议生成SA,这一阶段是通过快速模式来实现的。在单独的一个IKE SA保护下,可以并发执行多个快速模式交换。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (2 评价)
发表于 2018-6-13 16:47:17 | 显示全部楼层
3、IKE的2个阶段与3个模式是什么

IKE第一阶段:该阶段用于协商IKE策略集、认证对等体并在对等体之间建立安全的信道。
它包括两种模式:主模式 和 积极模式
1、 主模式在发送端和接收端有3次双向交换
    第一次:用于商定IKE通信安全的算法和散列;
    第二次:使用DH交换 来产生共享密钥
    第三次:验证对端身份,认证远端对等体。
    主模式的主要结果是为对等体之间的后续交换建立一个安全通道。

2、 积极模式 较主模式而言,交换次数和信息较少。
在第一次交换中,就将主模式1.2.3次交换的信息压缩在一起发给对端,接收方返回所需内容,等待确认。

IKE第二阶段该阶段用于协商IPSec安全性参数和IPSec转换集;建立IPSec的SA;定期重协商IPSec的SA,以确保安全性和可执行额外的DH交换。

IKE第二阶段只有一种模式:快捷模式。
该阶段的最终目的是在端点间建立一个安全的IPSec 会话。过程中,端点间要协商所需的安全性的级别(如:数据的机密和认证算法)。这些内容被统一到IPSec转换集中。在快捷模式下(即:IKE2),IPSec转换集在对等体之间交换。如集合匹配则IPSec会话的流程继续进行,没发现匹配转换集则终止协商。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
发表于 2018-6-15 09:45:55 | 显示全部楼层
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-6-15 13:54:32 | 显示全部楼层
1、IPSec对VPN流量提供哪三个方面的保护?
     私密性,完整性,源认证

2、加密算法的分类及各个算法的优缺点、主流协议?

常见加密算法分类

对称加密算法:DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6和AES
非对称加密算法:RSA、ECC(移动设备用)、Diffie-Hellman、El Gamal、DSA(数字签名用)
Hash算法:MD2、MD4、MD5、HAVAL、SHA、SHA-1、HMAC、HMAC-MD5、HMAC-SHA1
对称密钥算法的优点:速度快、安全,缺点:明文传输共享密钥
非对称加密算法:安全,私钥只能由一方保管,不能外泄。缺点:加密速度较慢

3、IKE的2个阶段与3个模式是什么?
IKE第一阶段主模式由6个ISAKMP数据包来完成:
第1-2个数据包主要完成两个任务:
(1)       核对收到的ISAKMP数据包的源IP地址,来确认收到的ISAKMP数据包是否来自于合法的对等体。
(2)       协商IKE策略(加密策略,散列函数,DH组,认证方式,密钥存活时间)
注:ISAKMP数据包使用UDP传输,源和目的端口都是500.

第3-4个数据包的任务:
DH交换,产生用于加密感兴趣流的密钥资源。
第5-6个数据包的任务:
   在安全的环境下进行认证,并建立ISAKMP/IKE双向安全关联SA。这个SA维护了处理ISAKMP/IKE流量的相关策略,对等体双方会继续使用这个SA,来安全保护后续的IKE快速模式1-3包交换。


IKE第二阶段快速模式由3个数据包来完成:
第1个数据包的任务:它把感兴趣流相关的IPSEC策略一起发送给接收方,并有接收方来选择适当的策略。
第2个数据包的任务:接收方产生SPI,并发送个发起方,建立单向IPSEC SA。
第3个数据包的任务:发起方产生另一个SPI,并发送给接收方,建立单向IPSEC SA。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (2 评价)
发表于 2018-6-16 16:37:34 | 显示全部楼层
IKE的2个阶段与3个模式是什么
答:SAKMP/IKE第一阶段称为ISAKMP/IKE的管理连接阶段.使用双向的UDP端口为500的数据连接,来共享IPSEC消息。有主模式和积极模式2种。
主模式执行3步,6个数据包的双向交换.过程如下:
1.对等体间协商如何来保护管理连接.(使用加密变换集来保护)
2.对等体间使用DH算法来共享密钥以及保护连接.
3.对等体间进行彼此的验证.
积极模式执行的过程:
1.交换保护管理连接的策略,DH算法建立公钥/密钥对并在对等体间进行认证.
2.对收到的数据包做验证,DH算法来共享加密的密钥,并查看连接是否成功建立.
PS:除了预共享密钥认证外.其他的认证方式默认为主模式.
第二阶段协商IPSEC 单向SA,为保护IPS数据流而创建。有快速模式1种。
快速模式协商IPSEC SA使用的安全参数,创建IPSEC SA,使用AH或ESP来加密IP数据流。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
发表于 2018-6-16 21:43:19 | 显示全部楼层
1、IPSec对VPN流量提供哪三个方面的保护?
私密性,对数据进行加密
完整性, 确保数据在传输过程中没有被串改
源认证,对发送数据包的源进行认证。
2、加密算法的分类及各个算法的优缺点、主流协议?
2大类 对称加密和非对称加密
对称的优点 速度快,安全,缺点密钥数量多,不支持数字签名和不可否认性
非对称的优点 安全,完整性校验,源认证 缺点 加密慢,密文变长
对称主流协议 des,3des,aes,rc4
非对称主流协议 RSA,DH,ECC
3、IKE的2个阶段与3个模式是什么?
第一阶段 产生ike sa
2个模式 主模式mm(main mode)6个包交换和主动模式am(aggressive mode)3个包交换。
第二阶段 产生 ipsec sa
快速模式 qm(quick mode)
Ike第二阶段 产生 ipsec sa 3个包的交换。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (4 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-10-21 04:11 , Processed in 0.086874 second(s), 51 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表