安全第四次

1.什么是数据认证，有什么作用，有哪些实现的技术手段?

数据认证是指对网络中传输的数据信息的完整性与真实性进行验证和鉴定的过程，以确保数据的安全、准确。

作用：

• 1、防止数据被篡改和损坏。通过数据认证可以验证数据的完整性，确保数据没有被篡改或损坏。
• 2、防止未经授权的访问和修改。数据认证可以验证数据的真实性和合法性，确保只有经过授权的用户才能访问和修改数据。
• 3、提高数据的可靠性。数据认证可以提高数据的安全性和可靠性，保证数据的准确性和一致性。

实现的技术手段：

• 1、数字签名：数字签名是一种基于公钥密码学的技术，用于验证数据的真实性和完整性。数字签名使用私钥对数据进行签名，公钥用于验证签名的有效性。
• 2、散列函数：散列函数将数据映射为一个固定长度的散列值，不同的数据映射为不同的散列值。通过比较散列值，可以验证数据是否被篡改或损坏。
• 3、消息认证码：消息认证码是一种对数据进行加密和认证的技术，它使用一个密钥和一组算法，将数据转换为一个固定长度的认证标记，用于验证数据的完整性和真实性。
• 4、数字证书：数字证书是一种用于验证身份和保护通信安全的数字凭证。数字证书可以包含用户的公钥、身份信息和数字签名，用于验证数据的真实性和合法性。

2.什么是身份认证，有什么作用，有哪些实现的技术手段?

身份认证也称为“身份验证”或“身份鉴别”，是指在计算机及计算机网络系统中确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限，进而使计算机和网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，保证系统和数据的安全，以及授权访问者的合法利益。

• 实现的技术手段：
  • 1、指纹身份认证技术
    指纹是指由手指皮肚上产生的凸凹不平的纹路，具有唯一性和永久性。而指纹认证就是通过这些皮肤的纹路在图案、断点和交点，经过比较指纹特征和预先保存的指纹特征的方式作为认证依据，就可以验证用户的真实身份。
    应用场景：运算系统（第一代指纹识别系统、第二代电容式传感器、射频指纹识别技术）、采集设备、门禁系统等
  • 2、语音身份认证技术
    语音认证就是运用声音录入设备将用户语音中的词汇内容转换为计算机可读的数据，并对声音波形变化反复进行的测量、记录，然后再转化制作成声音模板保存。
    应用场景：门禁系统、智能家电、智能家居、语音玩具、机器人、语音锁等。
  • 3、虹膜认证技术
    虹膜是指眼睛瞳孔和巩膜之间的圆环状部分，具有唯一性和不可复制性。该技术是通过相关算法获取较为理想的认证准确度，将所有人的视网膜都以数据的形式收集起来。也因为视网膜的唯一性和不可复制性，所以几乎不会被改变、伪造，具有高度机密的特征。
    应用场景：门禁考勤、社保生存认证、司法安检、教育考试、银行金融等。
  • 4、口令身份认证方式
    口令认证一般分为两种，静态口令和动态口令。口令的运用方式通常都需要先注册一个用户账号，且认证者在数据库中必须是唯一的。认证的口令就是根据用户设置的字符串组合或者计算机自动生成不可预测的随机数字组合。口令认证相对于其他的认证方式要方便很多，只需要一个名称和口令，就可以从任何地方进行连接，而不需要附加的硬件、软件知识，如果连接需要使用其他的使用程序则会给用户带来不便。

3.什么VPN技术?

vpn-- virtual private network 虚拟私有网，实现是隧道技术。通过私有的隧道技术在公共数据网络上模拟出来的和专网有同样功能的点到点的专线技术，所谓虚拟是指不需要去拉实际的长途物理线路，而是借用了公共Internet网络实现的。

4.VPN技术有哪些分类?

• 隧道技术
• 加解密技术
• 数据认证技术
• 身份认证技术
• 密钥管理传输技术

5.IPSEC技术能够提供哪些安全服务?

• 机密性
• 完整性
• 数据源鉴别
• 重传保护
• 不可否认行

6.IPSEC的技术架构是什么?

ipsec有两个安全封装协议

• ESP
  • 加密算法
  • 鉴别算法
  • 机密性 完整性 可用性
• AH
  • 鉴别算法
  • 完整性 可用性

IKE

• 协商封装协议以及工作模式 esp ah
• 协商加密和鉴别算法
• 密钥参数的协商—密钥产生算法、密钥有效期、密钥分发者身份认证、密钥长度、认证算法
  • 两种工作模式
    • 传输模式
    • 隧道模式
  • 两个通信协议
    • ESP encapsulation security header 封装安全载荷
    • AH authenticition header 鉴别头

密钥管理协议

• IKE
  • 阶段1
    • 主模式
    • 野蛮模式
  • 阶段2
    • 快速模式

解释域

• 负责运行

7.AH与ESP封装的异同?

AH

• 传输模式
  
• 隧道模式
  
  AH协议没有机密性，没有使用加密算法

ESP

• 传输模式
  
• 隧道模式
  

8.IKE的作用是什么?

• 为ipsec通信双方，动态的建立安全联盟SA，对SA进行管理与维护。
• 为ipsec生成密钥，提供AH/ESP加解密和验证使用

9.详细说明IKE的工作原理?

IKE经过两个阶段为ipsec进行密钥协商病建立安全联盟

第一个阶段：通信各方彼此之间需要建立一个已通过身份验证和安全保护的通道，交换建立一个iskmp安全联盟，iskmp sa。

第二个阶段：用已经建立的安全联盟 iskmp sa(ike sa)的安全通道为ipsec协商安全服务，建立ipsec sa，产生用于业务数据加密的密钥。

10.IKE第一阶段有哪些模式? 有什么区别，使用场景是什么?

• IKE第一阶段有主模式与野蛮模式

• 区别：
  

• 主模式的使用场景：要求两端都是固定IP地址

• 野蛮模式的使用场景：

  • 当IPSec隧道中存在NAT设备时，需要启动NAT穿越功能，而NAT转化会改变对等体的IP地址，由于野蛮模式不依赖于IP地址标识身份，使得采用预共享密钥验证方式时，NAT穿越只能在野蛮模式中实现。
  • 如果发起方的IP地址不固定或者无法预知，而双方都希望采用预共享密钥验证方法来创建IKE SA，则只能采用野蛮模式。
  • 如果发起方已知响应方的策略，或者对响应者的策略有全面的了解，采用野蛮模式能够更快地创建IKE SA。

11.ipsec在NAT环境下会遇到什么问题?

NAT会破坏IPSEC的完整性。

具体场景：当我们ipsec设备没有部署在企业边界，而是部署企业内网时，ipsec的通信地址会被边界NAT设备做地址转换，这种情况下，需要考虑NAT与IPSEC的兼容性。

12.详细分析NAT环境下IPSEC的兼容问题

• 第一阶段的主模式：第5、6包的认证ID，由于NAT的破坏无法完成身份认证。
• 第一阶段的野蛮模式：由于ID可以自定义为字符串，NAT无法破坏，可以正常完成第一阶段身份认证。
• 第二阶段AH的传输模式与隧道模式：AH协议会校验外层IP地址，无论是传输还是隧道NAT都会转换外层头IP地址，所以完整性都会被破坏，AH协议无法与NAT兼容。
• 第二阶段ESP的隧道模式与传输模式：ESP不会对外层IP做认证或校验，所以完整性算法不会被NAT破坏，但是伪首部校验nat在修改IP地址的时候也要修改伪首部校验和，这样就不会出现伪首部校验失败的问题，但是ESP等加密封装把4层加密后nat就无法修改伪首部校验和，导致校验失败。
  • ESP的传输模式会导致伪首部校验失败。
  • ESP的隧道模式下NAT修改IP是在新头部中，而伪首部校验和针对是原始IP头故而不会导致伪首部校验失败。
  • 但是ESP的传输模式，根据伪首部校验原理，数据最终在接收pC上由于之前加密NAT设备无法伪首部校验值，导致伪首部校验失败，数据包被丢弃。所以ESP传输模式无法与NAT兼容。
  • ESP隧道模式，伪首部校验针对的事原始IP头，而NAT转换的是新IP头，所以不存校验失败问题，EPS隧道模式可以与NAT兼容。

结论：综上所述ipsec的AH协议不支持NAT，ESP仅有隧道模式支持，传输模式不支持NAT，并且标准的IKE SA的主模式是用IP地址作为身份ID的，nat会破坏IP地址故而不支持主模式，仅支持野蛮模式。

13.多VPN的NAT环境下ipsec会有哪些问题? 如何解决?

ESP加密数据----ESP协议没有端口号

1.隧道协商过程中，IKE规定源和目的端口都必须为UDP 500，在多VPN场景下源端口可能会在防火墙设备NAT后发生变化，从而导致IKE协商失败。

2.数据传输过程中，由于ESP工作在网络层，没有传输层头部，从而无法进行NAPT端口复用，导致数据传输失败。

解决方案：
NAT-T技术,改技术规定在NAT模式下IPSEC的IKE SA阶段使用目的端口UDP 500或4500作为端口号，源端口允许被修改（这种情况下防火墙写策略时不要规定其源端口号），IPSEC SA数据加密流传输阶段规定使用目的端口UDP 4500来传输ESP加密流，源端口允许被修改，解决了ESP没有端口号的问题。

14.描述NHRP的第三阶段工作原理?

NHRP（Next Hop Resolution Protocol）是一种用于实现动态虚拟专用网（DMVPN）的协议。NHRP协议的第三阶段主要涉及到动态隧道的建立，其工作过程如下：

• 1、Spoke节点发送NHRP注册请求消息到Hub节点，请求建立动态IPsec隧道。该消息包括Spoke节点的IP地址和需要与之通信的目标地址。

• 2、Hub节点收到NHRP注册请求消息后，检查目标地址是否已经存在于NHRP缓存中。如果目标地址已经存在于缓存中，则Hub节点向Spoke节点发送NHRP响应消息，告知Spoke节点可以直接与目标地址通信。

• 3、如果目标地址不存在于NHRP缓存中，则Hub节点将NHRP请求消息转发给其他Spoke节点，请求获取目标地址的动态映射信息。

• 4、其他Spoke节点收到NHRP请求消息后，查询本地的路由表，找到下一跳路由器的IP地址，并将其发送回Hub节点。

• 5、Hub节点收到其他Spoke节点返回的下一跳路由器IP地址后，将NHRP响应消息发送给Spoke节点，告知Spoke节点可以通过该下一跳路由器建立动态IPsec隧道。

• 6、Spoke节点收到NHRP响应消息后，根据响应消息中提供的下一跳路由器IP地址，向该路由器发送IPsec数据包，建立动态IPsec隧道。

• 7、Spoke节点将与目标地址的通信流量通过动态IPsec隧道发送到下一跳路由器。

15.IPSEC是否支持动态协议? 为什么?

IPSEC不支持动态协议

原因：

• 1、 IPSEC不是一个隧道级的VPN，而是一个点对点的VPN。动态路由建立邻居是需要一个直连的互联地址，而IPSEC VPN两端没有一个直连的互联地址，从而无法做到动态路由邻居的建立。

• 2、 IPSEC VPN不支持组播，无法实现动态路由之间的通告。其原因也是因为IPSEC不是一个隧道级的VPN，设计时没有独立隧道接口，所以没有接口生成在能够在隧道中传输的组播报文。

• 3、IPSEC VPN不能够传输组播，组播是需要无连接协议所支持，而IPSEC VPN的数据传输是基于IPSEC SA建立的连接进行加解密传输的。

16.DSVPN的工作原理及配置步聚?

其主要原理是利用mGRE结合NHRP来建立分支之间的直接隧道，当设备转发一个IP报文时，根据路由表将IP报文传给下一跳的出接口mGRE隧道接口，mGRE在NHRP映射表中查找获取下一跳地址映射的对端公网地址。

配置步骤：

• 配置总部和分支的公网IP地址；

• 配置总部和分支的ISP的路由，确保分支能够到达总部的公网IP地址；

• 配置分支与总部的IPSEC VPN；

• 启动NHRP协议，使得分支能够动态学习到其他分支的信息；

• 配置mGRE接口，使得分支之间可以建立直接的隧道；

• 配置分支之间的动态路由协议，使得分支之间可以通过mGRE隧道直接通信；

• 验证DSVPN是否正常工作