小弟是互聯(lián)網(wǎng)發(fā)燒友一只���,曾經(jīng)傻呆呆的以為互聯(lián)網(wǎng)上的環(huán)境很干凈����,沒(méi)有病毒和***�,于是乎自己買了一臺(tái)云服務(wù)器就搭建了一個(gè)***網(wǎng)關(guān)���,和自己家的電腦組成混合云��,大概架構(gòu)就是云主機(jī)做***-server����,家里的一臺(tái)機(jī)器做網(wǎng)關(guān)��,這個(gè)“網(wǎng)關(guān)”通過(guò)***協(xié)議連接至這個(gè)云主機(jī)的***服務(wù)上�,這樣的話所有機(jī)器都可以通過(guò)這個(gè)云主機(jī)的ip+端口映射到家里的機(jī)器上����。剛爽了沒(méi)幾天�,服務(wù)器就被攻陷了,連帶家里所有聯(lián)網(wǎng)的設(shè)備全部淪陷�����,當(dāng)時(shí)的心情比吃了屎還難受�����,所有資料全部被加密���,包括我數(shù)十年的照片�,論文……聽到這里���,相信您一定會(huì)為我哀傷1秒吧�����。但是哀傷之余慶幸的是我的重要資料都有備份�����,并且是脫機(jī)備份��!這里我要強(qiáng)調(diào)吖��,一定要脫機(jī)備份��,什么RAID0��、RAID1����、RAID10����、RAID11在病毒面前都是文件,統(tǒng)統(tǒng)吃掉�����,那種東西可以防止硬件錯(cuò)誤導(dǎo)致的資料丟失��,但是卻防不住軟件病毒帶來(lái)的損失�,所以一定一定要脫機(jī)備份!���!
創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括肇源網(wǎng)站建設(shè)�����、肇源網(wǎng)站制作��、肇源網(wǎng)頁(yè)制作以及肇源網(wǎng)絡(luò)營(yíng)銷策劃等����。多年來(lái),我們專注于互聯(lián)網(wǎng)行業(yè)�����,利用自身積累的技術(shù)優(yōu)勢(shì)���、行業(yè)經(jīng)驗(yàn)�、深度合作伙伴關(guān)系等�,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案�����,肇源網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益����。目前���,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到肇源省份的部分城市���,未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任�!
當(dāng)然今天的主題就是����,如何可以建立相對(duì)更加安全的混合云網(wǎng)關(guān),或者說(shuō)幾種***方式的對(duì)比�����。
經(jīng)過(guò)我的調(diào)研�,混合云的意思就是把公有云,比如AWS�����,阿里云等公司的云服務(wù)器和自建機(jī)房的服務(wù)器打通�����,把關(guān)鍵數(shù)據(jù)放到自建機(jī)房,互聯(lián)網(wǎng)入口例如nginx放到公有云上��,實(shí)現(xiàn)節(jié)約成本����、彈性伸縮等需求。那么建立混合云的關(guān)鍵一點(diǎn)就是如何把私有云和公有云打通���。目前普遍的做法只有兩種�,一種是找運(yùn)營(yíng)商拉專線�����,直接在機(jī)器上增加路由�����,在自建機(jī)房的機(jī)器上指定去往公有云VPC的網(wǎng)段的走專線���;另一種就是構(gòu)建×××網(wǎng)絡(luò)���。
當(dāng)然二者的對(duì)比也就出來(lái)了,專線的“專”是很昂貴的�,需要借助運(yùn)營(yíng)商,云服務(wù)提供商等多方面進(jìn)行配合才能夠做到�����,那么對(duì)于小型企業(yè)可能未必用的起這么高大上的線路�,那么×××的優(yōu)勢(shì)就體現(xiàn)出來(lái)了,×××網(wǎng)關(guān)是基于internet封裝的私網(wǎng)通道�����,價(jià)格便宜�,做到公網(wǎng)的價(jià)格�,私網(wǎng)的享受?!痢痢辆W(wǎng)關(guān)在安全性上雖然比高速通道等物理專線稍弱,但是×××網(wǎng)關(guān)認(rèn)證數(shù)據(jù)來(lái)源�,且傳輸過(guò)程是加密的,即使被竊取也無(wú)法破解數(shù)據(jù)內(nèi)容����。另外還提供防篡改抗重放能力?����!痢痢恋谋憬菀彩瞧鋬?yōu)勢(shì)之一,即開即用�,快速搭建,無(wú)需多方協(xié)調(diào)���?�!痢痢猎诳煽啃陨弦彩侵档眯刨嚨?���,×××網(wǎng)關(guān)節(jié)點(diǎn)雙機(jī)熱備���,實(shí)時(shí)同步���,自動(dòng)切換。如果使用專線為了可靠開兩條專線�,那費(fèi)用估計(jì)不是一般企業(yè)能負(fù)擔(dān)得起的。
好了���。那么言歸正傳����,說(shuō)說(shuō)如何建立更加安全的×××線路。
說(shuō)起***那就更多了���,PPTP***���,Ipsec×××,L2TP***����,Open×××等等,PPTP最簡(jiǎn)單�,但是安全性最低,Open×××最安全����,但是需要借助特定的軟件才能登陸�����,又比較復(fù)雜��。
通過(guò)親自試驗(yàn)�,IKEv2類型的***需要?jiǎng)?chuàng)建證書,使用起來(lái)較為復(fù)雜����,并且需要在哪個(gè)機(jī)器上登錄就要把證書拷到哪個(gè)機(jī)器上�����,并且還需要保證該設(shè)備能夠安裝證書����,普適性差一些��,并且有一些小問(wèn)題���,比如有的網(wǎng)站能打開�����,有的網(wǎng)站卻打不開���,很難排錯(cuò)。
然后使用L2TP方式也部署了一遍����,手機(jī)端還是順利連上,但是win7電腦端死活連不上�,經(jīng)查詢資料發(fā)現(xiàn)對(duì)于WIN7還要修改注冊(cè)表�����,見該鏈接:https://blog.csdn.net/u010750668/article/details/62057603
鑒于公司電腦資料較重要���,不敢修改注冊(cè)表關(guān)鍵信息,不知道會(huì)有什么連帶后果���,所以沒(méi)有進(jìn)行操作���,但是不管怎樣,這個(gè)方式普適性也不太好���。
那就剩最后一個(gè)最容易卻最不×××全的PPTP ***了��,那既然大家都說(shuō)他不安全���,我們就探究一下為什么不安全�����,能不能主動(dòng)進(jìn)行修補(bǔ)漏洞���。
根據(jù)資料顯示��,所謂的“不安全”是指數(shù)據(jù)在傳輸過(guò)程中容易被截獲���,然后破譯出其中的內(nèi)容����,是因?yàn)镻PTP所使用的加密協(xié)議已經(jīng)被破解���,認(rèn)證過(guò)程為mschapv2����,總key長(zhǎng)度為 2^56 x2 = 57bits���,F(xiàn)PGA之類的專用硬件大概23小時(shí)內(nèi)搞定�����。
MPPE的128位session key是基于mschapv2的hash生成的��,套了幾次md4和sha1而已�����,如果獲得了初始認(rèn)證的key�,如果對(duì)整個(gè)pptp ***抓包了的話,可以推出后續(xù)的session key從而解密整個(gè)pptp ***流量�。
所以說(shuō)PPTP ***缺乏forward secrecy,一旦key被破解就可以解密全部之前的流量�����,但是ipsec的ike握手用的是diffie hellman key exchange�����,每次隨機(jī)產(chǎn)生的session key可以提高forward secrecy����。
雖然我也聽不太懂,總之是可以被破解����,但是要不要破解你那就看你的利用價(jià)值了,但是對(duì)于一般的個(gè)人使用�����,我倒認(rèn)為不會(huì)有人費(fèi)盡心機(jī)去破解你的數(shù)據(jù)��。
此外�����,即使破解�����,破解的也是傳輸?shù)拿魑臄?shù)據(jù)�����,對(duì)于ssh����,https之類的本身加密數(shù)據(jù)仍然是無(wú)法破解的。下面我用一個(gè)小實(shí)驗(yàn)來(lái)探究一下�。
實(shí)驗(yàn)環(huán)境:A機(jī)器:×××客戶端1,外網(wǎng)IP地址為220.*.*.176����,內(nèi)網(wǎng)IP為10.31.162.113
B機(jī)器:阿里云服務(wù)器,×××服務(wù)器 115.*.*.200����,內(nèi)網(wǎng)IP為10.31.160.110
C機(jī)器:×××客戶端2�����,外網(wǎng)IP地址為117.*.*.253�����,內(nèi)網(wǎng)IP為10.31.162.111
D網(wǎng)站:
實(shí)驗(yàn)拓?fù)?:通過(guò)×××訪問(wèn)外網(wǎng)網(wǎng)站的抓包分析
這樣建立連接后A訪問(wèn)http網(wǎng)站D��,在A端進(jìn)行抓包�����,發(fā)現(xiàn)全部都是PPP包��,數(shù)據(jù)全部是加密后的樣子��,無(wú)法直接看到http報(bào)文內(nèi)容��。但是在B端抓包����,可以看到�,在解密后會(huì)發(fā)送普通的HTTP數(shù)據(jù),也就可以看到HTTP報(bào)文明文數(shù)據(jù),如下圖所示:
做一個(gè)簡(jiǎn)單分析:32,33號(hào)數(shù)據(jù)包為DNS請(qǐng)求��,請(qǐng)求www.51cto.com的IP地址����,并得到地址為59.110.244.199���,之后36���,37,41號(hào)數(shù)據(jù)包為B機(jī)器與D網(wǎng)址的TCP三次握手�����,接下來(lái)42號(hào)數(shù)據(jù)包就是明文的HTTP報(bào)文了�����,可以看到Host地址是什么��。從這個(gè)實(shí)驗(yàn)中可以看出***隧道實(shí)際上是加密的�����,通過(guò)抓包是無(wú)法直接看到數(shù)據(jù)內(nèi)容的,當(dāng)然破解另說(shuō)�����,但是到達(dá)***服務(wù)端之后��,再去訪問(wèn)網(wǎng)站�����,則使用的不加密的明文數(shù)據(jù)報(bào)發(fā)送����,起不到加密作用。
實(shí)驗(yàn)拓?fù)?:通過(guò)×××訪問(wèn)公司內(nèi)網(wǎng)網(wǎng)站的抓包分析����。
相當(dāng)于兩位出差人員A和C同時(shí)使用公司×××連入公司內(nèi)網(wǎng),然后測(cè)試A與C之間的通信是否加密��。為了方便測(cè)試��,在A上建立一個(gè)簡(jiǎn)單的HTTP網(wǎng)站nginx��,然后從C上訪問(wèn)���。
抓包結(jié)果圖忽略�����,總之沒(méi)有任何一個(gè)HTTP包����,均為PPP Comp和GRE數(shù)據(jù)包����,那也就證明了,使用×××網(wǎng)絡(luò)在公網(wǎng)段是全部加密的����,只是不同的×××協(xié)議對(duì)數(shù)據(jù)加密的算法不一樣,所以在這個(gè)意義上��,使用PPTP ×××在數(shù)據(jù)不是很重要的場(chǎng)景下還是可以使用的���,如果數(shù)據(jù)極其重要�����,還是建議不要使用這種搭建方式了�����。
網(wǎng)頁(yè)標(biāo)題:如何架設(shè)盡量安全的混合云網(wǎng)絡(luò)
轉(zhuǎn)載來(lái)源:
http://weahome.cn/article/phojoj.html
重慶分公司
重慶分公司
