D4-05 9–11 分钟 重要程度:高

安全通信、认证协议与 VPN

D4 的 VPN 题要分清传输保护、认证保护、PAP/CHAP/EAP、RADIUS/TACACS+、PPTP/L2TP/IPsec 和传输/隧道模式。

一、必须记住

  • VPN 在不可信网络上提供保密性和完整性,但不保证可用性。
  • PAP 明文传输凭据,不安全。
  • CHAP 使用挑战-响应,避免直接传输明文密码。
  • RADIUS 常用于集中远程认证。
  • TACACS+ 使用 TCP 49,分离认证、授权和记账。
  • PPTP 已过时;L2TP 通常搭配 IPsec。
  • IPsec AH 提供认证/完整性,ESP 提供加密和有限认证。
  • IPsec 传输模式只保护负载;隧道模式保护整个原始 IP 包并加新头。

二、核心概念

认证协议

PAP 简单但明文;CHAP 用不可重放的挑战-响应;EAP 是认证框架;RADIUS 和 TACACS+ 提供集中远程认证与 AAA 能力。

VPN 与隧道

隧道把内部协议封装在另一个协议中穿过不可信网络。优点是低成本和可绕过中间网络限制;缺点是低效、点对点、增加报文大小。

IPsec

IPsec 是协议集合,包含 AH、ESP、HMAC、IPComp 和 IKE。IKE 管理加密密钥,AH 不提供保密性,ESP 提供加密。

三、CISSP 判断规则

  • 问明文认证,选 PAP。
  • 问挑战-响应,选 CHAP。
  • 问集中远程拨入认证,选 RADIUS。
  • 问认证、授权、记账分离且 TCP 49,选 TACACS+。
  • 问 IPsec 保密性,选 ESP。

四、常见陷阱

  • PPTP 初始协商不加密,已不推荐。
  • GRE 提供封装,不提供加密。
  • VPN 不保证可用性,DDoS 仍可能让服务不可用。

五、英文关键字

VPN (虚拟专用网) PAP (密码身份验证协议) CHAP (挑战握手身份验证协议) EAP (可扩展身份验证协议) RADIUS (远程认证拨入用户服务) TACACS+ (终端访问控制器访问控制系统+) PPTP (点对点隧道协议) L2TP (第二层隧道协议) IPsec (IP 安全协议) IKE (互联网密钥交换) Tunnel mode (隧道模式) Transport mode (传输模式) GRE (通用路由封装)

小测验

1. 哪种认证协议以明文传输用户名和密码,最不安全?

PAP 明文传输凭据,不提供加密保护。

2. IPsec 中提供加密保护传输数据的是?

ESP 提供保密性,并可提供有限认证;AH 不提供加密。

3. TACACS+ 默认使用哪个 TCP 端口?

TACACS+ 使用 TCP 49。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成