D4-05 9–11 分钟 重要程度:高
安全通信、认证协议与 VPN
D4 的 VPN 题要分清传输保护、认证保护、PAP/CHAP/EAP、RADIUS/TACACS+、PPTP/L2TP/IPsec 和传输/隧道模式。
一、必须记住
- VPN 在不可信网络上提供保密性和完整性,但不保证可用性。
- PAP 明文传输凭据,不安全。
- CHAP 使用挑战-响应,避免直接传输明文密码。
- RADIUS 常用于集中远程认证。
- TACACS+ 使用 TCP 49,分离认证、授权和记账。
- PPTP 已过时;L2TP 通常搭配 IPsec。
- IPsec AH 提供认证/完整性,ESP 提供加密和有限认证。
- IPsec 传输模式只保护负载;隧道模式保护整个原始 IP 包并加新头。
二、核心概念
认证协议
PAP 简单但明文;CHAP 用不可重放的挑战-响应;EAP 是认证框架;RADIUS 和 TACACS+ 提供集中远程认证与 AAA 能力。
VPN 与隧道
隧道把内部协议封装在另一个协议中穿过不可信网络。优点是低成本和可绕过中间网络限制;缺点是低效、点对点、增加报文大小。
IPsec
IPsec 是协议集合,包含 AH、ESP、HMAC、IPComp 和 IKE。IKE 管理加密密钥,AH 不提供保密性,ESP 提供加密。
三、CISSP 判断规则
- 问明文认证,选 PAP。
- 问挑战-响应,选 CHAP。
- 问集中远程拨入认证,选 RADIUS。
- 问认证、授权、记账分离且 TCP 49,选 TACACS+。
- 问 IPsec 保密性,选 ESP。
四、常见陷阱
- PPTP 初始协商不加密,已不推荐。
- GRE 提供封装,不提供加密。
- VPN 不保证可用性,DDoS 仍可能让服务不可用。
五、英文关键字
VPN (虚拟专用网) 定义:在不可信网络上提供保密性和完整性,但不保证可用性。 PAP (密码身份验证协议) 定义:明文传输凭据,不安全。 CHAP (挑战握手身份验证协议) 定义:使用挑战-响应,不直接发送明文密码。 EAP (可扩展身份验证协议) 定义:身份验证框架,不是单一认证机制。 RADIUS (远程认证拨入用户服务) 定义:集中远程认证服务。 TACACS+ (终端访问控制器访问控制系统+) 定义:AAA 协议,使用 TCP 49。 PPTP (点对点隧道协议) 定义:旧式 VPN 隧道协议,已不推荐。 L2TP (第二层隧道协议) 定义:常与 IPsec 搭配用于 VPN。 IPsec (IP 安全协议) 定义:常用于 VPN,保护网络层通信。 IKE (互联网密钥交换) 定义:IPsec 用于管理密钥交换的机制。 Tunnel mode (隧道模式) 定义:IPsec 加密整个原始 IP 包并添加新头。 Transport mode (传输模式) 定义:IPsec 保护 IP 负载,原始 IP 头不加密。 GRE (通用路由封装) 定义:提供封装但不提供加密。
小测验
1. 哪种认证协议以明文传输用户名和密码,最不安全?
PAP 明文传输凭据,不提供加密保护。
2. IPsec 中提供加密保护传输数据的是?
ESP 提供保密性,并可提供有限认证;AH 不提供加密。
3. TACACS+ 默认使用哪个 TCP 端口?
TACACS+ 使用 TCP 49。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成