如何架設(shè)盡量安全的混合云網(wǎng)絡(luò)

小弟是互聯(lián)網(wǎng)發(fā)燒友一只，曾經(jīng)傻呆呆的以為互聯(lián)網(wǎng)上的環(huán)境很干凈，沒有病毒和***，于是乎自己買了一臺云服務(wù)器就搭建了一個***網(wǎng)關(guān)，和自己家的電腦組成混合云，大概架構(gòu)就是云主機做***-server，家里的一臺機器做網(wǎng)關(guān)，這個“網(wǎng)關(guān)”通過***協(xié)議連接至這個云主機的***服務(wù)上，這樣的話所有機器都可以通過這個云主機的ip+端口映射到家里的機器上。剛爽了沒幾天，服務(wù)器就被攻陷了，連帶家里所有聯(lián)網(wǎng)的設(shè)備全部淪陷，當(dāng)時的心情比吃了屎還難受，所有資料全部被加密，包括我數(shù)十年的照片，論文……聽到這里，相信您一定會為我哀傷1秒吧。但是哀傷之余慶幸的是我的重要資料都有備份，并且是脫機備份！這里我要強調(diào)吖，一定要脫機備份，什么RAID0、RAID1、RAID10、RAID11在病毒面前都是文件，統(tǒng)統(tǒng)吃掉，那種東西可以防止硬件錯誤導(dǎo)致的資料丟失，但是卻防不住軟件病毒帶來的損失，所以一定一定要脫機備份??！

當(dāng)然今天的主題就是，如何可以建立相對更加安全的混合云網(wǎng)關(guān)，或者說幾種***方式的對比。

經(jīng)過我的調(diào)研，混合云的意思就是把公有云，比如AWS，阿里云等公司的云服務(wù)器和自建機房的服務(wù)器打通，把關(guān)鍵數(shù)據(jù)放到自建機房，互聯(lián)網(wǎng)入口例如nginx放到公有云上，實現(xiàn)節(jié)約成本、彈性伸縮等需求。那么建立混合云的關(guān)鍵一點就是如何把私有云和公有云打通。目前普遍的做法只有兩種，一種是找運營商拉專線，直接在機器上增加路由，在自建機房的機器上指定去往公有云VPC的網(wǎng)段的走專線；另一種就是構(gòu)建×××網(wǎng)絡(luò)。

當(dāng)然二者的對比也就出來了，專線的“?！笔呛馨嘿F的，需要借助運營商，云服務(wù)提供商等多方面進行配合才能夠做到，那么對于小型企業(yè)可能未必用的起這么高大上的線路，那么×××的優(yōu)勢就體現(xiàn)出來了，×××網(wǎng)關(guān)是基于internet封裝的私網(wǎng)通道，價格便宜，做到公網(wǎng)的價格，私網(wǎng)的享受。×××網(wǎng)關(guān)在安全性上雖然比高速通道等物理專線稍弱，但是×××網(wǎng)關(guān)認(rèn)證數(shù)據(jù)來源，且傳輸過程是加密的，即使被竊取也無法破解數(shù)據(jù)內(nèi)容。另外還提供防篡改抗重放能力。×××的便捷也是其優(yōu)勢之一，即開即用，快速搭建，無需多方協(xié)調(diào)。×××在可靠性上也是值得信賴的，×××網(wǎng)關(guān)節(jié)點雙機熱備，實時同步，自動切換。如果使用專線為了可靠開兩條專線，那費用估計不是一般企業(yè)能負(fù)擔(dān)得起的。

好了。那么言歸正傳，說說如何建立更加安全的×××線路。

說起***那就更多了，PPTP***，Ipsec×××，L2TP***，Open×××等等，PPTP最簡單，但是安全性最低，Open×××最安全，但是需要借助特定的軟件才能登陸，又比較復(fù)雜。

通過親自試驗，IKEv2類型的***需要創(chuàng)建證書，使用起來較為復(fù)雜，并且需要在哪個機器上登錄就要把證書拷到哪個機器上，并且還需要保證該設(shè)備能夠安裝證書，普適性差一些，并且有一些小問題，比如有的網(wǎng)站能打開，有的網(wǎng)站卻打不開，很難排錯。

然后使用L2TP方式也部署了一遍，手機端還是順利連上，但是win7電腦端死活連不上，經(jīng)查詢資料發(fā)現(xiàn)對于WIN7還要修改注冊表，見該鏈接：https://blog.csdn.net/u010750668/article/details/62057603

鑒于公司電腦資料較重要，不敢修改注冊表關(guān)鍵信息，不知道會有什么連帶后果，所以沒有進行操作，但是不管怎樣，這個方式普適性也不太好。

那就剩最后一個最容易卻最不×××全的PPTP ***了，那既然大家都說他不安全，我們就探究一下為什么不安全，能不能主動進行修補漏洞。

根據(jù)資料顯示，所謂的“不安全”是指數(shù)據(jù)在傳輸過程中容易被截獲，然后破譯出其中的內(nèi)容，是因為PPTP所使用的加密協(xié)議已經(jīng)被破解，認(rèn)證過程為mschapv2，總key 長度為 2^56 x2 = 57bits，FPGA之類的專用硬件大概23小時內(nèi)搞定。

MPPE的128位session key是基于mschapv2的hash生成的，套了幾次md4和sha1而已，如果獲得了初始認(rèn)證的key，如果對整個pptp ***抓包了的話，可以推出后續(xù)的session key從而解密整個pptp ***流量。

所以說PPTP ***缺乏forward secrecy，一旦key被破解就可以解密全部之前的流量，但是ipsec的ike握手用的是diffie hellman key exchange，每次隨機產(chǎn)生的session key可以提高forward secrecy。

雖然我也聽不太懂，總之是可以被破解，但是要不要破解你那就看你的利用價值了，但是對于一般的個人使用，我倒認(rèn)為不會有人費盡心機去破解你的數(shù)據(jù)。

此外，即使破解，破解的也是傳輸?shù)拿魑臄?shù)據(jù)，對于ssh，https之類的本身加密數(shù)據(jù)仍然是無法破解的。下面我用一個小實驗來探究一下。

實驗環(huán)境：A機器：×××客戶端1，外網(wǎng)IP地址為220.*.*.176，內(nèi)網(wǎng)IP為10.31.162.113

                     B機器：阿里云服務(wù)器，×××服務(wù)器 115.*.*.200，內(nèi)網(wǎng)IP為10.31.160.110

                     C機器：×××客戶端2，外網(wǎng)IP地址為117.*.*.253，內(nèi)網(wǎng)IP為10.31.162.111

                     D網(wǎng)站：

實驗拓?fù)?/span>1：通過×××訪問外網(wǎng)網(wǎng)站的抓包分析

這樣建立連接后A訪問http網(wǎng)站D，在A端進行抓包，發(fā)現(xiàn)全部都是PPP包，數(shù)據(jù)全部是加密后的樣子，無法直接看到http報文內(nèi)容。但是在B端抓包，可以看到，在解密后會發(fā)送普通的HTTP數(shù)據(jù)，也就可以看到HTTP報文明文數(shù)據(jù)，如下圖所示：

做一個簡單分析：32,33號數(shù)據(jù)包為DNS請求，請求www.51cto.com的IP地址，并得到地址為59.110.244.199，之后36，37，41號數(shù)據(jù)包為B機器與D網(wǎng)址的TCP三次握手，接下來42號數(shù)據(jù)包就是明文的HTTP報文了，可以看到Host地址是什么。從這個實驗中可以看出***隧道實際上是加密的，通過抓包是無法直接看到數(shù)據(jù)內(nèi)容的，當(dāng)然破解另說，但是到達***服務(wù)端之后，再去訪問網(wǎng)站，則使用的不加密的明文數(shù)據(jù)報發(fā)送，起不到加密作用。

實驗拓?fù)?/span>2：通過×××訪問公司內(nèi)網(wǎng)網(wǎng)站的抓包分析。

相當(dāng)于兩位出差人員A和C同時使用公司×××連入公司內(nèi)網(wǎng)，然后測試A與C之間的通信是否加密。為了方便測試，在A上建立一個簡單的HTTP網(wǎng)站nginx，然后從C上訪問。

抓包結(jié)果圖忽略，總之沒有任何一個HTTP包，均為PPP Comp和GRE數(shù)據(jù)包，那也就證明了，使用×××網(wǎng)絡(luò)在公網(wǎng)段是全部加密的，只是不同的×××協(xié)議對數(shù)據(jù)加密的算法不一樣，所以在這個意義上，使用PPTP ×××在數(shù)據(jù)不是很重要的場景下還是可以使用的，如果數(shù)據(jù)極其重要，還是建議不要使用這種搭建方式了。