如何架设尽可能安全的混合云网络

小弟是互联网发烧友一只，曾经傻呆呆的觉得互联网上的环境很干净，没有病毒和***，因而乎本身买了一台云服务器就搭建了一个***网关，和本身家的电脑组成混合云，大概架构就是云主机作***-server，家里的一台机器作网关，这个“网关”经过***协议链接至这个云主机的***服务上，这样的话全部机器均可以经过这个云主机的ip+端口映射到家里的机器上。刚爽了没几天，服务器就被攻陷了，连带家里全部联网的设备所有沦陷，当时的心情比吃了屎还难受，全部资料所有被加密，包括我数十年的照片，论文……听到这里，相信您必定会为我哀伤1秒吧。可是哀伤之余庆幸的是个人重要资料都有备份，而且是脱机备份！这里我要强调吖，必定要脱机备份，什么RAID0、RAID1、RAID10、RAID11在病毒面前都是文件，通通吃掉，那种东西能够防止硬件错误致使的资料丢失，可是却防不住软件病毒带来的损失，因此必定必定要脱机备份！！

固然今天的主题就是，如何能够创建相对更加安全的混合云网关，或者说几种***方式的对比。

通过个人调研，混合云的意思就是把公有云，好比AWS，阿里云等公司的云服务器和自建机房的服务器打通，把关键数据放到自建机房，互联网入口例如nginx放到公有云上，实现节约成本、弹性伸缩等需求。那么创建混合云的关键一点就是如何把私有云和公有云打通。目前广泛的作法只有两种，一种是找运营商拉专线，直接在机器上增长路由，在自建机房的机器上指定去往公有云VPC的网段的走专线；另外一种就是构建×××网络。

固然两者的对比也就出来了，专线的“专”是很昂贵的，须要借助运营商，云服务提供商等多方面进行配合才可以作到，那么对于小型企业可能未必用的起这么高大上的线路，那么×××的优点就体现出来了，×××网关是基于internet封装的私网通道，价格便宜，作到公网的价格，私网的享受。×××网关在安全性上虽然比高速通道等物理专线稍弱，可是×××网关认证数据来源，且传输过程是加密的，即便被窃取也没法破解数据内容。另外还提供防篡改抗重放能力。×××的便捷也是其优点之一，即开即用，快速搭建，无需多方协调。×××在可靠性上也是值得信赖的，×××网关节点双机热备，实时同步，自动切换。若是使用专线为了可靠开两条专线，那费用估计不是通常企业能负担得起的。

好了。那么言归正传，说说如何创建更加安全的×××线路。

提及***那就更多了，PPTP***，Ipsec×××，L2TP***，Open×××等等，PPTP最简单，可是安全性最低，Open×××最安全，可是须要借助特定的软件才能登录，又比较复杂。

经过亲自试验，IKEv2类型的***须要建立证书，使用起来较为复杂，而且须要在哪一个机器上登陆就要把证书拷到哪一个机器上，而且还须要保证该设备可以安装证书，普适性差一些，而且有一些小问题，好比有的网站能打开，有的网站却打不开，很难排错。

而后使用L2TP方式也部署了一遍，手机端仍是顺利连上，可是win7电脑端死活连不上，经查询资料发现对于WIN7还要修改注册表，见该连接：https://blog.csdn.net/u010750668/article/details/62057603

鉴于公司电脑资料较重要，不敢修改注册表关键信息，不知道会有什么连带后果，因此没有进行操做，可是无论怎样，这个方式普适性也不太好。

那就剩最后一个最容易却最不×××全的PPTP ***了，那既然你们都说他不安全，咱们就探究一下为何不安全，能不能主动进行修补漏洞。

根据资料显示，所谓的“不安全”是指数据在传输过程当中容易被截获，而后破译出其中的内容，是由于PPTP所使用的加密协议已经被破解，认证过程为mschapv2，总key 长度为 2^56 x2 = 57bits，FPGA之类的专用硬件大概23小时内搞定。

MPPE的128位session key是基于mschapv2的hash生成的，套了几回md4和sha1而已，若是得到了初始认证的key，若是对整个pptp ***抓包了的话，能够推出后续的session key从而解密整个pptp ***流量。

因此说PPTP ***缺少forward secrecy，一旦key被破解就能够解密所有以前的流量，可是ipsec的ike握手用的是diffie hellman key exchange，每次随机产生的session key能够提升forward secrecy。

虽然我也听不太懂，总之是能够被破解，可是要不要破解你那就看你的利用价值了，可是对于通常的我的使用，我倒认为不会有人费尽心机去破解你的数据。

此外，即便破解，破解的也是传输的明文数据，对于ssh，https之类的自己加密数据仍然是没法破解的。下面我用一个小实验来探究一下。

实验环境：A机器：×××客户端1，外网IP地址为220.*.*.176，内网IP为10.31.162.113

                     B机器：阿里云服务器，×××服务器 115.*.*.200，内网IP为10.31.160.110

                     C机器：×××客户端2，外网IP地址为117.*.*.253，内网IP为10.31.162.111

                     D网站：

实验拓扑1：经过×××访问外网网站的抓包分析

  

这样创建链接后A访问http网站D，在A端进行抓包，发现所有都是PPP包，数据所有是加密后的样子，没法直接看到http报文内容。可是在B端抓包，能够看到，在解密后会发送普通的HTTP数据，也就能够看到HTTP报文明文数据，以下图所示：

作一个简单分析：32,33号数据包为DNS请求，请求www.51cto.com的IP地址，并获得地址为59.110.244.199，以后36，37，41号数据包为B机器与D网址的TCP三次握手，接下来42号数据包就是明文的HTTP报文了，能够看到Host地址是什么。从这个实验中能够看出***隧道其实是加密的，经过抓包是没法直接看到数据内容的，固然破解另说，可是到达***服务端以后，再去访问网站，则使用的不加密的明文数据报发送，起不到加密做用。

实验拓扑2：经过×××访问公司内网网站的抓包分析。

至关于两位出差人员A和C同时使用公司×××连入公司内网，而后测试A与C之间的通讯是否加密。为了方便测试，在A上创建一个简单的HTTP网站nginx，而后从C上访问。

抓包结果图忽略，总之没有任何一个HTTP包，均为PPP Comp和GRE数据包，那也就证实了，使用×××网络在公网段是所有加密的，只是不一样的×××协议对数据加密的算法不同，因此在这个意义上，使用PPTP ×××在数据不是很重要的场景下仍是可使用的，若是数据极其重要，仍是建议不要使用这种搭建方式了。