小弟是互聯網發燒友一隻,曾經傻呆呆的以爲互聯網上的環境很乾淨,沒有病毒和***,於是乎自己買了一臺雲服務器就搭建了一個***網關,和自己家的電腦組成混合雲,大概架構就是雲主機做***-server,家裏的一臺機器做網關,這個“網關”通過***協議連接至這個雲主機的***服務上,這樣的話所有機器都可以通過這個雲主機的ip+端口映射到家裏的機器上。剛爽了沒幾天,服務器就被攻陷了,連帶家裏所有聯網的設備全部淪陷,當時的心情比吃了屎還難受,所有資料全部被加密,包括我數十年的照片,論文……聽到這裏,相信您一定會爲我哀傷1秒吧。但是哀傷之餘慶幸的是我的重要資料都有備份,並且是脫機備份!這裏我要強調吖,一定要脫機備份,什麼RAID0、RAID1、RAID10、RAID11在病毒面前都是文件,統統吃掉,那種東西可以防止硬件錯誤導致的資料丟失,但是卻防不住軟件病毒帶來的損失,所以一定一定要脫機備份!!
當然今天的主題就是,如何可以建立相對更加安全的混合雲網關,或者說幾種***方式的對比。
經過我的調研,混合雲的意思就是把公有云,比如AWS,阿里雲等公司的雲服務器和自建機房的服務器打通,把關鍵數據放到自建機房,互聯網入口例如nginx放到公有云上,實現節約成本、彈性伸縮等需求。那麼建立混合雲的關鍵一點就是如何把私有云和公有云打通。目前普遍的做法只有兩種,一種是找運營商拉專線,直接在機器上增加路由,在自建機房的機器上指定去往公有云VPC的網段的走專線;另一種就是構建×××網絡。
當然二者的對比也就出來了,專線的“專”是很昂貴的,需要藉助運營商,雲服務提供商等多方面進行配合才能夠做到,那麼對於小型企業可能未必用的起這麼高大上的線路,那麼×××的優勢就體現出來了,×××網關是基於internet封裝的私網通道,價格便宜,做到公網的價格,私網的享受。×××網關在安全性上雖然比高速通道等物理專線稍弱,但是×××網關認證數據來源,且傳輸過程是加密的,即使被竊取也無法破解數據內容。另外還提供防篡改抗重放能力。×××的便捷也是其優勢之一,即開即用,快速搭建,無需多方協調。×××在可靠性上也是值得信賴的,×××網關節點雙機熱備,實時同步,自動切換。如果使用專線爲了可靠開兩條專線,那費用估計不是一般企業能負擔得起的。
好了。那麼言歸正傳,說說如何建立更加安全的×××線路。
說起***那就更多了,PPTP***,Ipsec×××,L2TP***,Open×××等等,PPTP最簡單,但是安全性最低,Open×××最安全,但是需要藉助特定的軟件才能登陸,又比較複雜。
通過親自試驗,IKEv2類型的***需要創建證書,使用起來較爲複雜,並且需要在哪個機器上登錄就要把證書拷到哪個機器上,並且還需要保證該設備能夠安裝證書,普適性差一些,並且有一些小問題,比如有的網站能打開,有的網站卻打不開,很難排錯。
然後使用L2TP方式也部署了一遍,手機端還是順利連上,但是win7電腦端死活連不上,經查詢資料發現對於WIN7還要修改註冊表,見該鏈接:https://blog.csdn.net/u010750668/article/details/62057603
鑑於公司電腦資料較重要,不敢修改註冊表關鍵信息,不知道會有什麼連帶後果,所以沒有進行操作,但是不管怎樣,這個方式普適性也不太好。
那就剩最後一個最容易卻最不×××全的PPTP ***了,那既然大家都說他不安全,我們就探究一下爲什麼不安全,能不能主動進行修補漏洞。
根據資料顯示,所謂的“不安全”是指數據在傳輸過程中容易被截獲,然後破譯出其中的內容,是因爲PPTP所使用的加密協議已經被破解,認證過程爲mschapv2,總key 長度爲 2^56 x2 = 57bits,FPGA之類的專用硬件大概23小時內搞定。
MPPE的128位session key是基於mschapv2的hash生成的,套了幾次md4和sha1而已,如果獲得了初始認證的key,如果對整個pptp ***抓包了的話,可以推出後續的session key從而解密整個pptp ***流量。
所以說PPTP ***缺乏forward secrecy,一旦key被破解就可以解密全部之前的流量,但是ipsec的ike握手用的是diffie hellman key exchange,每次隨機產生的session key可以提高forward secrecy。
雖然我也聽不太懂,總之是可以被破解,但是要不要破解你那就看你的利用價值了,但是對於一般的個人使用,我倒認爲不會有人費盡心機去破解你的數據。
此外,即使破解,破解的也是傳輸的明文數據,對於ssh,https之類的本身加密數據仍然是無法破解的。下面我用一個小實驗來探究一下。
實驗環境:A機器:×××客戶端1,外網IP地址爲220.*.*.176,內網IP爲10.31.162.113
B機器:阿里雲服務器,×××服務器 115.*.*.200,內網IP爲10.31.160.110
C機器:×××客戶端2,外網IP地址爲117.*.*.253,內網IP爲10.31.162.111
D網站:
實驗拓撲1:通過×××訪問外網網站的抓包分析
這樣建立連接後A訪問http網站D,在A端進行抓包,發現全部都是PPP包,數據全部是加密後的樣子,無法直接看到http報文內容。但是在B端抓包,可以看到,在解密後會發送普通的HTTP數據,也就可以看到HTTP報文明文數據,如下圖所示:
做一個簡單分析:32,33號數據包爲DNS請求,請求www.51cto.com的IP地址,並得到地址爲59.110.244.199,之後36,37,41號數據包爲B機器與D網址的TCP三次握手,接下來42號數據包就是明文的HTTP報文了,可以看到Host地址是什麼。從這個實驗中可以看出***隧道實際上是加密的,通過抓包是無法直接看到數據內容的,當然破解另說,但是到達***服務端之後,再去訪問網站,則使用的不加密的明文數據報發送,起不到加密作用。
實驗拓撲2:通過×××訪問公司內網網站的抓包分析。
相當於兩位出差人員A和C同時使用公司×××連入公司內網,然後測試A與C之間的通信是否加密。爲了方便測試,在A上建立一個簡單的HTTP網站nginx,然後從C上訪問。
抓包結果圖忽略,總之沒有任何一個HTTP包,均爲PPP Comp和GRE數據包,那也就證明了,使用×××網絡在公網段是全部加密的,只是不同的×××協議對數據加密的算法不一樣,所以在這個意義上,使用PPTP ×××在數據不是很重要的場景下還是可以使用的,如果數據極其重要,還是建議不要使用這種搭建方式了。