您好,登录后才能下订单哦!
小弟是互联网发烧友一只,曾经傻呆呆的以为互联网上的环境很干净,没有病毒和***,于是乎自己买了一台云服务器就搭建了一个***网关,和自己家的电脑组成混合云,大概架构就是云主机做***-server,家里的一台机器做网关,这个“网关”通过***协议连接至这个云主机的***服务上,这样的话所有机器都可以通过这个云主机的ip+端口映射到家里的机器上。刚爽了没几天,服务器就被攻陷了,连带家里所有联网的设备全部沦陷,当时的心情比吃了屎还难受,所有资料全部被加密,包括我数十年的照片,论文……听到这里,相信您一定会为我哀伤1秒吧。但是哀伤之余庆幸的是我的重要资料都有备份,并且是脱机备份!这里我要强调吖,一定要脱机备份,什么RAID0、RAID1、RAID10、RAID11在病毒面前都是文件,统统吃掉,那种东西可以防止硬件错误导致的资料丢失,但是却防不住软件病毒带来的损失,所以一定一定要脱机备份!!
当然今天的主题就是,如何可以建立相对更加安全的混合云网关,或者说几种***方式的对比。
经过我的调研,混合云的意思就是把公有云,比如AWS,阿里云等公司的云服务器和自建机房的服务器打通,把关键数据放到自建机房,互联网入口例如nginx放到公有云上,实现节约成本、弹性伸缩等需求。那么建立混合云的关键一点就是如何把私有云和公有云打通。目前普遍的做法只有两种,一种是找运营商拉专线,直接在机器上增加路由,在自建机房的机器上指定去往公有云VPC的网段的走专线;另一种就是构建×××网络。
当然二者的对比也就出来了,专线的“专”是很昂贵的,需要借助运营商,云服务提供商等多方面进行配合才能够做到,那么对于小型企业可能未必用的起这么高大上的线路,那么×××的优势就体现出来了,×××网关是基于internet封装的私网通道,价格便宜,做到公网的价格,私网的享受。×××网关在安全性上虽然比高速通道等物理专线稍弱,但是×××网关认证数据来源,且传输过程是加密的,即使被窃取也无法破解数据内容。另外还提供防篡改抗重放能力。×××的便捷也是其优势之一,即开即用,快速搭建,无需多方协调。×××在可靠性上也是值得信赖的,×××网关节点双机热备,实时同步,自动切换。如果使用专线为了可靠开两条专线,那费用估计不是一般企业能负担得起的。
好了。那么言归正传,说说如何建立更加安全的×××线路。
说起***那就更多了,PPTP***,Ipsec×××,L2TP***,Open×××等等,PPTP最简单,但是安全性最低,Open×××最安全,但是需要借助特定的软件才能登陆,又比较复杂。
通过亲自试验,IKEv2类型的***需要创建证书,使用起来较为复杂,并且需要在哪个机器上登录就要把证书拷到哪个机器上,并且还需要保证该设备能够安装证书,普适性差一些,并且有一些小问题,比如有的网站能打开,有的网站却打不开,很难排错。
然后使用L2TP方式也部署了一遍,手机端还是顺利连上,但是win7电脑端死活连不上,经查询资料发现对于WIN7还要修改注册表,见该链接:https://blog.csdn.net/u010750668/article/details/62057603
鉴于公司电脑资料较重要,不敢修改注册表关键信息,不知道会有什么连带后果,所以没有进行操作,但是不管怎样,这个方式普适性也不太好。
那就剩最后一个最容易却最不×××全的PPTP ***了,那既然大家都说他不安全,我们就探究一下为什么不安全,能不能主动进行修补漏洞。
根据资料显示,所谓的“不安全”是指数据在传输过程中容易被截获,然后破译出其中的内容,是因为PPTP所使用的加密协议已经被破解,认证过程为mschapv2,总key 长度为 2^56 x2 = 57bits,FPGA之类的专用硬件大概23小时内搞定。
MPPE的128位session key是基于mschapv2的hash生成的,套了几次md4和sha1而已,如果获得了初始认证的key,如果对整个pptp ***抓包了的话,可以推出后续的session key从而解密整个pptp ***流量。
所以说PPTP ***缺乏forward secrecy,一旦key被破解就可以解密全部之前的流量,但是ipsec的ike握手用的是diffie hellman key exchange,每次随机产生的session key可以提高forward secrecy。
虽然我也听不太懂,总之是可以被破解,但是要不要破解你那就看你的利用价值了,但是对于一般的个人使用,我倒认为不会有人费尽心机去破解你的数据。
此外,即使破解,破解的也是传输的明文数据,对于ssh,https之类的本身加密数据仍然是无法破解的。下面我用一个小实验来探究一下。
实验环境:A机器:×××客户端1,外网IP地址为220.*.*.176,内网IP为10.31.162.113
B机器:阿里云服务器,×××服务器 115.*.*.200,内网IP为10.31.160.110
C机器:×××客户端2,外网IP地址为117.*.*.253,内网IP为10.31.162.111
D网站:
实验拓扑1:通过×××访问外网网站的抓包分析
这样建立连接后A访问http网站D,在A端进行抓包,发现全部都是PPP包,数据全部是加密后的样子,无法直接看到http报文内容。但是在B端抓包,可以看到,在解密后会发送普通的HTTP数据,也就可以看到HTTP报文明文数据,如下图所示:
做一个简单分析:32,33号数据包为DNS请求,请求www.51cto.com的IP地址,并得到地址为59.110.244.199,之后36,37,41号数据包为B机器与D网址的TCP三次握手,接下来42号数据包就是明文的HTTP报文了,可以看到Host地址是什么。从这个实验中可以看出***隧道实际上是加密的,通过抓包是无法直接看到数据内容的,当然破解另说,但是到达***服务端之后,再去访问网站,则使用的不加密的明文数据报发送,起不到加密作用。
实验拓扑2:通过×××访问公司内网网站的抓包分析。
相当于两位出差人员A和C同时使用公司×××连入公司内网,然后测试A与C之间的通信是否加密。为了方便测试,在A上建立一个简单的HTTP网站nginx,然后从C上访问。
抓包结果图忽略,总之没有任何一个HTTP包,均为PPP Comp和GRE数据包,那也就证明了,使用×××网络在公网段是全部加密的,只是不同的×××协议对数据加密的算法不一样,所以在这个意义上,使用PPTP ×××在数据不是很重要的场景下还是可以使用的,如果数据极其重要,还是建议不要使用这种搭建方式了。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。