如何架设尽量安全的混合云网络

小弟是互联网发烧友一只，曾经傻呆呆的以为互联网上的环境很干净，没有病毒和***，于是乎自己买了一台云服务器就搭建了一个***网关，和自己家的电脑组成混合云，大概架构就是云主机做***-server，家里的一台机器做网关，这个“网关”通过***协议连接至这个云主机的***服务上，这样的话所有机器都可以通过这个云主机的ip+端口映射到家里的机器上。刚爽了没几天，服务器就被攻陷了，连带家里所有联网的设备全部沦陷，当时的心情比吃了屎还难受，所有资料全部被加密，包括我数十年的照片，论文……听到这里，相信您一定会为我哀伤1秒吧。但是哀伤之余庆幸的是我的重要资料都有备份，并且是脱机备份！这里我要强调吖，一定要脱机备份，什么RAID0、RAID1、RAID10、RAID11在病毒面前都是文件，统统吃掉，那种东西可以防止硬件错误导致的资料丢失，但是却防不住软件病毒带来的损失，所以一定一定要脱机备份！！

当然今天的主题就是，如何可以建立相对更加安全的混合云网关，或者说几种***方式的对比。

经过我的调研，混合云的意思就是把公有云，比如AWS，阿里云等公司的云服务器和自建机房的服务器打通，把关键数据放到自建机房，互联网入口例如nginx放到公有云上，实现节约成本、弹性伸缩等需求。那么建立混合云的关键一点就是如何把私有云和公有云打通。目前普遍的做法只有两种，一种是找运营商拉专线，直接在机器上增加路由，在自建机房的机器上指定去往公有云VPC的网段的走专线；另一种就是构建×××网络。

当然二者的对比也就出来了，专线的“专”是很昂贵的，需要借助运营商，云服务提供商等多方面进行配合才能够做到，那么对于小型企业可能未必用的起这么高大上的线路，那么×××的优势就体现出来了，×××网关是基于internet封装的私网通道，价格便宜，做到公网的价格，私网的享受。×××网关在安全性上虽然比高速通道等物理专线稍弱，但是×××网关认证数据来源，且传输过程是加密的，即使被窃取也无法破解数据内容。另外还提供防篡改抗重放能力。×××的便捷也是其优势之一，即开即用，快速搭建，无需多方协调。×××在可靠性上也是值得信赖的，×××网关节点双机热备，实时同步，自动切换。如果使用专线为了可靠开两条专线，那费用估计不是一般企业能负担得起的。

好了。那么言归正传，说说如何建立更加安全的×××线路。

说起***那就更多了，PPTP***，Ipsec×××，L2TP***，Open×××等等，PPTP最简单，但是安全性最低，Open×××最安全，但是需要借助特定的软件才能登陆，又比较复杂。

通过亲自试验，IKEv2类型的***需要创建证书，使用起来较为复杂，并且需要在哪个机器上登录就要把证书拷到哪个机器上，并且还需要保证该设备能够安装证书，普适性差一些，并且有一些小问题，比如有的网站能打开，有的网站却打不开，很难排错。

然后使用L2TP方式也部署了一遍，手机端还是顺利连上，但是win7电脑端死活连不上，经查询资料发现对于WIN7还要修改注册表，见该链接：https://blog.csdn.net/u010750668/article/details/62057603

鉴于公司电脑资料较重要，不敢修改注册表关键信息，不知道会有什么连带后果，所以没有进行操作，但是不管怎样，这个方式普适性也不太好。

那就剩最后一个最容易却最不×××全的PPTP ***了，那既然大家都说他不安全，我们就探究一下为什么不安全，能不能主动进行修补漏洞。

根据资料显示，所谓的“不安全”是指数据在传输过程中容易被截获，然后破译出其中的内容，是因为PPTP所使用的加密协议已经被破解，认证过程为mschapv2，总key 长度为 2^56 x2 = 57bits，FPGA之类的专用硬件大概23小时内搞定。

MPPE的128位session key是基于mschapv2的hash生成的，套了几次md4和sha1而已，如果获得了初始认证的key，如果对整个pptp ***抓包了的话，可以推出后续的session key从而解密整个pptp ***流量。

所以说PPTP ***缺乏forward secrecy，一旦key被破解就可以解密全部之前的流量，但是ipsec的ike握手用的是diffie hellman key exchange，每次随机产生的session key可以提高forward secrecy。

虽然我也听不太懂，总之是可以被破解，但是要不要破解你那就看你的利用价值了，但是对于一般的个人使用，我倒认为不会有人费尽心机去破解你的数据。

此外，即使破解，破解的也是传输的明文数据，对于ssh，https之类的本身加密数据仍然是无法破解的。下面我用一个小实验来探究一下。

实验环境：A机器：×××客户端1，外网IP地址为220.*.*.176，内网IP为10.31.162.113

                     B机器：阿里云服务器，×××服务器 115.*.*.200，内网IP为10.31.160.110

                     C机器：×××客户端2，外网IP地址为117.*.*.253，内网IP为10.31.162.111

                     D网站：

实验拓扑1：通过×××访问外网网站的抓包分析

这样建立连接后A访问http网站D，在A端进行抓包，发现全部都是PPP包，数据全部是加密后的样子，无法直接看到http报文内容。但是在B端抓包，可以看到，在解密后会发送普通的HTTP数据，也就可以看到HTTP报文明文数据，如下图所示：

做一个简单分析：32,33号数据包为DNS请求，请求www.51cto.com的IP地址，并得到地址为59.110.244.199，之后36，37，41号数据包为B机器与D网址的TCP三次握手，接下来42号数据包就是明文的HTTP报文了，可以看到Host地址是什么。从这个实验中可以看出***隧道实际上是加密的，通过抓包是无法直接看到数据内容的，当然破解另说，但是到达***服务端之后，再去访问网站，则使用的不加密的明文数据报发送，起不到加密作用。

实验拓扑2：通过×××访问公司内网网站的抓包分析。

相当于两位出差人员A和C同时使用公司×××连入公司内网，然后测试A与C之间的通信是否加密。为了方便测试，在A上建立一个简单的HTTP网站nginx，然后从C上访问。

抓包结果图忽略，总之没有任何一个HTTP包，均为PPP Comp和GRE数据包，那也就证明了，使用×××网络在公网段是全部加密的，只是不同的×××协议对数据加密的算法不一样，所以在这个意义上，使用PPTP ×××在数据不是很重要的场景下还是可以使用的，如果数据极其重要，还是建议不要使用这种搭建方式了。