目录
87、IPSec Virtual Private Network的阶段一与阶段二的作用?
81、PPP 的协议过程?
PPP协议三大组件:数据包封装方式、LCP协议、NCP协议
- Dead:这是PPP工作开始和结束的阶段。当物理层变为可用状态之后,PPP进入Establish阶段。
- Establish: PPP在此阶段使用LCP协商链路层参数。如果链路层参数协商不成功, 则PPP连接建立不成功,PPP退回到Dead阶段。如果链路层参数协商成功,则PPP进入Authenticate阶段。
- Authenticate : PPP在此阶段认证对端, 如果认证失败,则PPP进入Terminate阶段;如果认证成功或者没配置认证,则PPP进入Network阶段。
- Network : PPP在此阶段使用NCP进行网络层参数协商,协商成功则PPP连接建立成功,开始传输网络层数据包。当上层协议认为应当关闭此连接(例如按需电路)或者管理员手工关闭PPP连接,则PPP进入Terminate阶段。
- Terminate : PPP在此阶段使用LCP关闭PPP连接。PPP连接关闭后,PPP进入Dead阶段。
82、CHAP 认证过程?
CHAP认证需要交互三次报文
- 主认证方发起挑战认证包括用户名、随机数。
- 被认证方将收到认证消息后,根据本地数据库,找到对应的密码并和随机数进行MD5计算,并将计算结果和本端用户名一并发给认证方。
- 认证方将收到到的MD5结果与本地计算的结果进行对比,如果一致认证成功。
83、对称性加密算法和非对称型加密算法的不同?
- 对称加密算法的双方共同维护一组相同的密钥,使用该密钥加密对方的数据,加密速度快,但对称密钥需要双方的协商,容易被人窃取。
- 非对称加密算法使用公钥和私钥,双方维护对方的公钥,各自维护自己的私钥,仅本地持有。加密过程中,通常使用对端公钥进行加密,对端接收后使用私钥进行解密,加密性较好,而且不容易被窃取,但是加密速度慢。
注:一般我们使用非对称加密算法来协商对称加密的密钥,然后使用对称加密算法来进行通信。
84、什么是 IKE?作用是什么?
InternetKeyExchange,因特网密钥交换。他的作用是协助进行安全管理。IKE在进行IPsec处理过程中对身份进行鉴别,同时进行安全策略的协商和处理会话密钥的交换工作。
- IKE为IPsec协商生成密钥,供AH/ESP加密和验证使用。
- 在IPsec通信双方之间,动态的建立安全联盟(SA),对SA进行管理和维护。
- IKE是UDP之上的一个应用层协议。通过使用安全关联(SA),IPsec能够区分对不同的数据流提供的安全服务。
85、安全关联的作用?
安全关联SA(Security Association)是单向的,在两个使用 IP Sec的实体(主机或路由器)间建立的逻辑连接,定义了实体间如何使用安全服务(如加密)进行通信。它由下列元素组成:
- 安全参数索引SPI
- IP目的地址
- 安全协议
通过使用安全关联(SA),IPsec能够区分对不同的数据流提供的安全服务。一服务器可以与多个主机建立SA,每个SA用唯一的SPI索引标识,当处理接收数据包时,服务器根据SPI值来决定该使用哪种SA。
86、ESP 和 AH 的区别?
| 安全特性 | AH | ESP |
| 协议号 | 51 | 50 |
| 数据完整性校验 | 支持 | 支持(不验证IP头) |
| 数据源验证 | 支持 | 支持 |
| 数据加解密 | 不支持 | 支持 |
| 抗重放服务 | 支持 | 支持 |
| NAT-T(NAT穿越) | 不支持 | 支持 |
87、IPSec Virtual Private Network的阶段一与阶段二的作用?
第一阶段:通信各方建立一个已经通过身份验证和安全保护的通道,此阶段的交换建立一个IKE SA。第一阶段交换有两种协商模式:主模式协商、野蛮模式协商
第二阶段:用已经建立的安全联盟(IKE SA)为IPsec协商安全服务,即为IPsec协商具体的安全联盟,建立IPsec SA,产生真正可以用来加密数据流的密钥,IPsec SA用于最终的IP数据安全传送。
88、IPSEC 第一阶段主模式和野蛮模式有什么不同?
|
| 主模式 | 野蛮模式 |
| 消息交互 | 交互6个信息 | 交互3个信息 |
| 身份ID | 以IP地址作为身份ID,自动生成本端身份ID和对端身份ID | 可以以多种形式(IP地址、字符串)手动或自动生成本端和对端的身份ID |
| 域共享密钥 | 只能基于IP地址来确定预共享密钥。 | 基于ID信息(主机名和IP地址)来确定预共享密钥 |
| 安全性 | 较高;前4个消息以明文传输,最后2个消息加密,对对端身份进行了保护 | 较低;前两个消息以明文传输,最后一个消息进行加密,不保护对端身份 |
| 速度 | 较慢 | 较快 |
89、什么是SSL/TLS?
SSL(安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。主要有两个子层,比较重要的协议为SSL握手协议和SSL记录协议。其中握手协议主要用于协商数据传输中与安全相关的一下参数,SSL记录协议主要用于数据的分段,压缩,加密等作用。
TLS(传输层安全协议),用于两个应用程序之间数据的保密性和完整性。TLS在SSL v3.0版本之上进行的改动与增强。大致与SSL协议一致。
详解:https://blog.csdn.net/weixin_43997530/article/details/108048388
90、IP Sec与SSL的比较
| 项目 | IPsec | SSL |
| 适用环境 | Site to Site | Client to Site |
| 层次 | IP 层 | 应用层 |
| 数据传输 | 隧道方式 | SSL传输 (TCP 443) |
| 客户端 | 需专用软件 | 无需专用客户端软件 |
| 部署 | 复杂 | 简单 |
| 移动连接 | 不适用 | 适用 |
| NAT支持 | 不容易 | 容易 |
| 代理访问 | 不容易 | 容易 |
| 穿越防火墙 | 不容易 | 容易 |
| 用户认证/授权 | 有限 | 好 |
IPsec Virtual Private Network与SSL Virtual Private Network比较
1.Virtual Private Network组网结构
- IPsec适用于site-to-site组网:IPsec采用隧道技术,部署时一般采用两端采用VPN网关的结构。当分支站点有许多设备时,使用IPSec Virtual Private Network较为灵活。
- SSL适用于client-to-site组网:当客户端为单个设备时,或者终端用户分步在各地,使用SSL Virtual Private Network更方便。
- IPsec和SSL Virtual Private Network 可以相互补充,适用于企业不同的员工,达到更加安全的访问。
2.适用应用
- IPsec是建立隧道方式,部署完成后,各种IP应用都可以通过隧道进行访问,这也就带来了一定的安全问题。
- SSL同样可以适用于各种应用,SSL Virtual Private Network使用的是SSL Proxy机制,做各种应用时要进行相对复杂的配置,对于WEB最为适用,当使用C/S应用时,需要采用JAVA,ActiveX等技术,复杂的控制也带来了更高的安全性。
3.部署
- IPSec部署管理复杂:由于IPSec 需要在隧道两端部署一对Virtual Private Network网关,或是在客户端安装专用客户端软件,部署复杂,尤其是对于大量的远端用户,除此以外,除非已经在每一台客户使用的计算机上安装了管理软件,软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务,Virtual Private Network的安装甚至是一场恶梦。
- SSL部署简单灵活:由于SSL Virtual Private Network是一种无客户端的方式,只需要在数据中心部署VPN网关,属于集中管理和集中维护模式,虽然在应用适配时复杂一些,但大量用户的部署就要方便很多。尤其是随着用户量的增加,Virtual Private Network的部署和管理就简单易行多了。
4.投资
- IPSec费用昂贵:部署IPSec需要对基础设施进行重大改造,每一个分支机构都需要部署VN网关,或是每个客户端都需要专用软件。尤其是对于分支机构很多,而每个分支机构终端数量又比较少的情况下,部署VN网关的费用将急剧上升。
- SSL 价格低廉:SSL 部署是属于集中部署,只需要在数据中心部署SSL Virtual Private Network网关,省去了客户端的费用和部署管理费用,从长期来看,投资将有极大的降低。
5.安全性
- IPSec属于隧道机制,使远程接入的安全风险增加,提供的是通信双方的直接访问,并对全部网络可视;一旦隧道建立,就像PC的用户在局域网内一样,用户能够直接访问公司的全部应用,因此大大增加了风险。
- SSL是基于应用的虚拟局域网技术,可以基于应用、用户或组等客户信息进行访问控制达,到更加安全的防护效果。
6.接入范围
- IPSec接入范围狭窄:IPSec只能在部署了IPsec Virtual Private Network网关的地方适用,或者客户端安装专用软件后才能使用,这对于合作伙伴或商业客户来讲很难说服他们安装自己的软件。对于出差的用户来讲就更不可能。
- SSL接入范围广泛:SSL将远程安全接入延伸到IPSec 扩展不到的地方,安全访问企业网络资源,同时降低了部署和支持费用。
7.灵活性
- IPSec组网不灵活:IPSec的连接性会受到防火墙、网络地址转换(NAT)的影响,或受网关代理设备(proxy)的影响;因为客户端的上网方式多种多样,很多公司是通过Proxy或NAT上网的,IPsec对于这些方式上网的用户支持很差。
- SSL 组网方式灵活:SSL是在TCP之上,无论对于防火墙、还是用户通过NAT设备、Proxy等上网方式都能够很好的适应。
8.访问控制
- IPsec是建立隧道机制,隧道建成后,可以访问各种应用,很难建立起一个基于应用的访问控制
- SSL是建立在TCP之上的,可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制,这是IPSec VPN难以做到的
9.客户端安全
IPsec使用隧道机制,没有客户端的安全检测机制和控制机制,建立IPsec Virtual Private Network,只有客户端软件还是不够的,如果没有防火墙等一些安全软件,客户端很容易沦陷。
SSL Virtual Private Network产品一般具有客户端安全模块,安全模块可以对客户端的cache进行清除,把损失降到最低;SSlL还可以进行session级的保护,在客户长时间的离开自己的机器时,SSL将自动关闭,时间可以根据情况具体配置。
posted on
