xinyin025/learn.lianglianglee.com
1
0
Fork 0
mirror of https://github.com/zhwei820/learn.lianglianglee.com.git synced 2025-09-17 08:46:40 +08:00
Code Issues Actions Packages Projects Releases Wiki Activity
master
learn.lianglianglee.com/专栏/全解网络协议/25 你就是看不见我 - VPN.md.html
周伟 0f006e4e9b add
2022-05-11 18:57:05 +08:00

797 lines
26 KiB
HTML
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

<!DOCTYPE html>
<!-- saved from url=(0046)https://kaiiiz.github.io/hexo-theme-book-demo/ -->
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1.0, user-scalable=no">
<link rel="icon" href="/static/favicon.png">
<title>25 你就是看不见我 - VPN.md.html</title>
<!-- Spectre.css framework -->
<link rel="stylesheet" href="/static/index.css">
<!-- theme css & js -->
<meta name="generator" content="Hexo 4.2.0">
</head>
<body>
<div class="book-container">
<div class="book-sidebar">
<div class="book-brand">
<a href="/">
<img src="/static/favicon.png">
<span>技术文章摘抄</span>
</a>
</div>
<div class="book-menu uncollapsible">
<ul class="uncollapsible">
<li><a href="/" class="current-tab">首页</a></li>
</ul>
<ul class="uncollapsible">
<li><a href="../">上一级</a></li>
</ul>
<ul class="uncollapsible">
<li>
<a href="/专栏/全解网络协议/01 我应该站在谁的肩膀上 - OSI vs TCPIP模型.md.html">01 我应该站在谁的肩膀上 - OSI vs TCPIP模型.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/02 万丈高楼平地起- 物理层 + 数据链路层.md.html">02 万丈高楼平地起- 物理层 + 数据链路层.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/03 OSI的灵魂就是我 - 网络层.md.html">03 OSI的灵魂就是我 - 网络层.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/04 要快还是要稳你说好了 - 传输层.md.html">04 要快还是要稳你说好了 - 传输层.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/05 是时候展现真正的技术了 - 应用层.md.html">05 是时候展现真正的技术了 - 应用层.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/06 重回小学课堂 - 二进制101.md.html">06 重回小学课堂 - 二进制101.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/07 1+1 = 2吗 - 二进制的计算.md.html">07 1+1 = 2吗 - 二进制的计算.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/08 16进制又是个什么鬼 - 16进制的讲解.md.html">08 16进制又是个什么鬼 - 16进制的讲解.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/09 我想有个家 - 什么是IP地址.md.html">09 我想有个家 - 什么是IP地址.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/10 我可是住二环的人 - IP地址的组成和分类.md.html">10 我可是住二环的人 - IP地址的组成和分类.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/11 我已经没地方住了吗 - IPv6.md.html">11 我已经没地方住了吗 - IPv6.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/12 向左还是向右 - IP路由.md.html">12 向左还是向右 - IP路由.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/13 我能给你安全感 - TCP.md.html">13 我能给你安全感 - TCP.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/14 我那不为人知的秘密是什么 - TCP.md.html">14 我那不为人知的秘密是什么 - TCP.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/15 不问收没收到,就问快不快 - UDP.md.html">15 不问收没收到,就问快不快 - UDP.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/16 我为什么与众不同 - TCP高级篇拥塞模型.md.html">16 我为什么与众不同 - TCP高级篇拥塞模型.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/17 来,先看看我的家谱 - HTTP的身世.md.html">17 来,先看看我的家谱 - HTTP的身世.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/18 我都这么成功了,你却说我不行 - HTTP 的特点和缺点.md.html">18 我都这么成功了,你却说我不行 - HTTP 的特点和缺点.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/19 我老了,让我儿子来吧 - HTTP2.md.html">19 我老了,让我儿子来吧 - HTTP2.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/20 稳重的大外甥 - HTTPS.md.html">20 稳重的大外甥 - HTTPS.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/21 HTTP的高级篇 - HTTPClientJava.md.html">21 HTTP的高级篇 - HTTPClientJava.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/22 想来我家,你自己查呀 - DNS.md.html">22 想来我家,你自己查呀 - DNS.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/23 来的早,不如来得巧 - NAT.md.html">23 来的早,不如来得巧 - NAT.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/24 辛苦的邮政 - SMTP.md.html">24 辛苦的邮政 - SMTP.md.html</a>
</li>
<li>
<a class="current-tab" href="/专栏/全解网络协议/25 你就是看不见我 - VPN.md.html">25 你就是看不见我 - VPN.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/26 黑客的好帮手 - SSH.md.html">26 黑客的好帮手 - SSH.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/27 你可以得到我的心,却得不到我的人 - 物理安全设备.md.html">27 你可以得到我的心,却得不到我的人 - 物理安全设备.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/28 你怎么证明你就是你 - 身份验证和访问控制.md.html">28 你怎么证明你就是你 - 身份验证和访问控制.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/29 我要怎么藏好我的考研资料 - 网络攻击(一).md.html">29 我要怎么藏好我的考研资料 - 网络攻击(一).md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/30 我要怎么藏好我的考研资料 - 网络攻击(二).md.html">30 我要怎么藏好我的考研资料 - 网络攻击(二).md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/31 如何保护我的考研资料 - 网络攻击防范.md.html">31 如何保护我的考研资料 - 网络攻击防范.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/32 Linux网络安全 - 安全实战.md.html">32 Linux网络安全 - 安全实战.md.html</a>
</li>
<li>
<a href="/专栏/全解网络协议/33 结语.md.html">33 结语.md.html</a>
</li>
</ul>
</div>
</div>
<div class="sidebar-toggle" onclick="sidebar_toggle()" onmouseover="add_inner()" onmouseleave="remove_inner()">
<div class="sidebar-toggle-inner"></div>
</div>
<script>
function add_inner() {
let inner = document.querySelector('.sidebar-toggle-inner')
inner.classList.add('show')
}
function remove_inner() {
let inner = document.querySelector('.sidebar-toggle-inner')
inner.classList.remove('show')
}
function sidebar_toggle() {
let sidebar_toggle = document.querySelector('.sidebar-toggle')
let sidebar = document.querySelector('.book-sidebar')
let content = document.querySelector('.off-canvas-content')
if (sidebar_toggle.classList.contains('extend')) { // show
sidebar_toggle.classList.remove('extend')
sidebar.classList.remove('hide')
content.classList.remove('extend')
} else { // hide
sidebar_toggle.classList.add('extend')
sidebar.classList.add('hide')
content.classList.add('extend')
}
}
function open_sidebar() {
let sidebar = document.querySelector('.book-sidebar')
let overlay = document.querySelector('.off-canvas-overlay')
sidebar.classList.add('show')
overlay.classList.add('show')
}
function hide_canvas() {
let sidebar = document.querySelector('.book-sidebar')
let overlay = document.querySelector('.off-canvas-overlay')
sidebar.classList.remove('show')
overlay.classList.remove('show')
}
</script>
<div class="off-canvas-content">
<div class="columns">
<div class="column col-12 col-lg-12">
<div class="book-navbar">
<!-- For Responsive Layout -->
<header class="navbar">
<section class="navbar-section">
<a onclick="open_sidebar()">
<i class="icon icon-menu"></i>
</a>
</section>
</header>
</div>
<div class="book-content" style="max-width: 960px; margin: 0 auto;
overflow-x: auto;
overflow-y: hidden;">
<div class="book-post">
<p id="tip" align="center"></p>
<div><h1>25 你就是看不见我 - VPN</h1>
<p>VPN也许对你很陌生也可能你很熟悉不知道你有没有翻过墙不知道你有没有想要连接公司的网络如果答案是Yes的话那你已经对VPN有了第一印象了。</p>
<h3>LAN 和 WAN</h3>
<p>我如果和你说一个单词-网络,也许对于不同的人来说有不同的意义,就好像一百的人心中有一百个哈姆雷特。如果用户说网络故障了,通常意味着当前使用的应用程序无法正常工作,但是网络本身可能完全可以正常地工作。原因可能只是某些数据库或某些服务器处于脱机状态,导致用户现在无法使用其应用程序。</p>
<p>再举个例子你也许会碰到过说这台打印机只能在本地网络上工作。这里的网络意义和上一个用户所说的上下文是不同。这里所说的网络其实是局域网也就是LAN。在这里的意思是如果你想使用这台打印机那么你必须在此局域网上。局域网通常是指一组在Layer 2连接起来的设备。这意味着我们都已通过电线连接到交换机因此任何通过电线连接到交换机的人都可以使用也在该层连接到网络的打印机。</p>
<p><img src="assets/20210219132229872.png" alt="在这里插入图片描述" /></p>
<p>我们还可以为此添加一个无线组件,以便无线网络或有线网络中的每个都位于同一层网络的设备,都可以使用局域网上的同一台打印机。</p>
<p><img src="assets/20210219132245491.png" alt="在这里插入图片描述" /></p>
<p>通常大型公司由许多较小的局域网组成并且它们全部包含在一个设施或者都包含在多个设施中。当我们的公司进入某个设施时很可能会使用某种第三层的设备例如第三层交换机或路由器将所有这些区域连接在一起以便它们可以彼此通信。但是很有可能。如果你在一个足够大的公司比如阿里巴巴。那么将有不只一个中心可供你连接和使用。也许在杭州有一个办公楼上海有一个办公楼数据中心可能在北京但是不管在哪里是不是都必须要让所有的员工仍然可以访问该设施。因此我们要做的是必须在办公楼与数据中心之间建立某种类型的连接该连接称为我们的广域网也就是WAN。</p>
<p>通常这些广域网是点对点连接也就是说连接只有两个端点。一端是办公楼另一端是数据中心。他们不一定总是要点对点但通常是这样。在大多数情况下广域网将成为仅使用两个设备每个设施中一个设备的点对点连接。我们的办公楼和我们的数据中心中都存在的路由器因此我们可以使用三层连接和两台路由器将建筑物连接在一起也可以使用第二层交换机将两座建筑物连接在一起并在我们两座建筑物之间建立一层连接这有什么区别一个是路由连接一个通常是使用vlan的连接。</p>
<p>广域网允许使用这两种类型来进行连接路由器或交换机都可以选择。我们可以使用光纤也可以使用铜缆连接当然使用Internet本身也可以。实际上我们可以使用Internet作为连接设施的机制我们也可以使用无线。也许我们可以在每个设施上建立无线连接或两个无线接入点。如果这些建筑物足够近并且没有障碍物那么我们实际上可以使用无线方式进行连接。</p>
<h3>VPN</h3>
<p>我们现在来想一下现在的情况当病毒横行的时候可能你去不了办公室办公就好像我从2020年3月就开始在家工作了。当然平时正常的时候如果懒了你也可以在家工作。相信现在基本上每家都有Internet连接。我们可以做的是利用互联网连接建立从你家里的计算机到网络在到你公司网络的VPN隧道。但是这样隔着万水千山数据来回传送会安全吗</p>
<h5>Remote Access VPN 远程VPN</h5>
<p>想法是我们对隧道中的数据进行加密这样的话Internet上的其他人都无法解密并理解和收听正在发送的数据是什么这就是Remote Access VPN也就是为远程访问VPN。远程访问VPN真正的好处是不管你连的是哪个网络都没有关系。通常来说的因为某些国家政府和某些组织实际上会阻止你创建VPN隧道。例如很可能如果你位于银行网络内部那么他们很可能不会让你建立VPN隧道因为他们不希望你窃取信息并通过加密的通道发送信息。但是他们会授权给为该组织工作的用户具有通过VPN发送流量的能力比如银行自己的员工所以出事第一调查的就是内部人员内鬼往往作案的比例很大很大</p>
<p>所以我们可以从外向内构建VPN无法从内而外进行。不考虑特殊和复杂的环境我们可以构建VPN隧道这种远程VPN可以让用户安全的发送数据这一点是几乎可以在地球上的任何地方都工作的。也许当你去美国旅游的时候你负责的项目发生问题了这个时候只有你能解决你就必须要远程工程对不对。这个时候你需要连接到你在中国公司的网络你使用的肯定还是美国的Internet然后在这个Internet之上建立了你的VPN隧道。远程访问VPN只是VPN的一种。</p>
<h5>Site to Site VPN 站点对站点VPN</h5>
<p>现在你旅游回来了回到了北京的当地网络也许你的公司收购了另一家公司比如csdn收购了Gitchat。GitChat和csdn在一个完全不同的服务区域中我们并没有一个很好的机制来建立到从csdn到Gitchat的WAN。我们可以做的就是在该位置定一个高速Internet连接也许是光纤就像为家庭用户所做的一样也许你家里就是光纤了我家就是。现在csdn的办公室和GitChat的办公室都有光纤的网络了我们可以做的是在两个位置使用路由器或防火墙建立两端的VPN这被称为站点对站点VPN。站点到站点VPN的目的是将一个机构的整个局域网连接到另一机构的局域网。这个概念就和上面所讲的有点不同对吧因为这里我们不仅有像笔记本电脑之类的计算机来建立VPN连接我们还建立了某种类型的网络设备来建立VPN连接而VPN另一端的设备可能都不知道自己连接到了这个VPN。无需使用VPN连接Gitchat就可以像访问常规WAN一样来访问CSDN公司内部的网络了。因此此处的站点到站点VPN旨在占用整个局域网或多个局域网并提供回到公司主网络的广域网连接。</p>
<h3>VPN加密</h3>
<p>我们前面提到了VPN是加密的所以选择加密和安全协议是规划和部署VPN不能缺失的一部分。这个当然会因为产品的厂家不同和有所差异。在某些情况下还取决于你选择的是client-to-site还是site-to-site VPN. 这里会涉及一些加密的内容,感觉听不懂或者不感兴趣的同学可以跳过。</p>
<h5>对称加密 Symmetric</h5>
<p>我们对称密码学开始聊起在对称密码学中相同的密钥用于加密和解密所以叫做对称密码。我们可以在两个不同的VPN端点上以相同的方式手动配置同一密钥当然你也可以使用非对称的公钥和私钥。在手动配置中密码短语passphrase是经常用于配置的密码passphrase是满足了一定规则约束的password, 安全性要高一些当然你必须在VPN的两端以相同的方式进行配置。</p>
<p>一般而言对称密钥的安全性不如使用非对称密钥。通常将非对称和对称密钥同时使用以提供安全的解决方案。在非对称密码学中你可以发现解密和加密使用的是不同的密钥虽然在数学上相关万事万物都有关联只是你能不能发现和破解而已。这是通过公钥基础结构PKI即数字安全证书的层次结构完成的每个证书都包含该证书唯一的数学上相关的公钥和私钥对。这意味着使用公钥进行加密用私钥进行解密。顾名思义公钥可以与任何人自由共享但是私钥必须保密并且只能由颁发证书的一方使用。在VPN的配置中需要在每个VPN设备上配置一个PKI证书尤其是站点到站点VPN的配置。根据解决方案的不同客户端到站点VPN你很可能不需要在客户端安装PKI证书。当我们确实使用这些PKI证书时所有设备都必须信任证书颁发者这一点非常重要。</p>
<p>IPsec或IP安全不是保护VPN隧道的唯一方法但它是最常用的例如L2TP或VPN的第2层隧道协议类型。 IKE代表Internet Key Exchange。其目的是在两个通信方之间建立安全联盟或SA。因此我们需要在连接的两端都生成相同的对称密钥而无需通过网络发送通常使用Diffie-Hellman协议当然还有其他方法可以完成</p>
<p>象我前面提到的,密码学或者安全性是一个特别大和专业的领域,甚至是一个比网络协议要大的多的话题,如果这里你不能理解的话,不要纠结,明白公钥和私钥就可以了。</p>
<h3>VPN安全</h3>
<p>确保VPN安全适用于VPN的计划实施以及客户端如何使用VPN阶段。在VPN客户端我们应该考虑的配置是禁止保存VPN的Credential证书。现在已经21世纪了移动设备基本上是人手必备。当我们讨论丢失被偷或损坏的移动设备时如果这个设备记住了你的VPN证书则可以从移动设备上获得访问权。如果由恶意用户获得设备则可以进入VPN并接触许多其他隐秘的内容。</p>
<p>当然还有离线的密码破解工具可以用在保存了VPN证书的设备上。所以取决于VPN客户端以及否保存了密码讲确定潜在问题的严重程度也就是通常所说的潜在安全问题。我们还需要考虑公司VPN的使用政策以及有关如何使用VPN的任何文档。这通常是新员工入职的第一课用来确保你是否知道在什么地方以及什么时候可以使用VPN。我们还应该考虑VPN甚至是Web浏览器的指纹识别或其他识别方式。例如可以通过检查传输的IP地址来间接检测是否正在使用VPN。所以当我们通过VPN时传输内容会通过VPN隧道进行加密或保护但随后会在VPN隧道的另一端被解密因此这个内容或者流量可能来自该VPN设备。</p>
<p>另一个注意事项是登录VPN服务器或VPN设备。在企业中我们通常会保留日志用来日后的审核。还有VPN的一些最佳配置做法包括修改VPN身份验证超时。我不是建议你去增加或减少超时时间你应该根据特定的解决方案和平均网络速度来配置因此你要确保身份验证超时不会太长以便用户知道如果他们是不是要尝试从设备例如密钥卡中重新输入密码。</p>
<p>理想情况下应在每一个IT解决方案中使用Multifactor多身份验证而不仅仅是VPN比如AWS就会因为没有Multifactor的设置是有安全隐患的还有Github等等我相信阿里云腾讯云等会有相应的设置。Multifactor之所以在VPN中尤其重要是因为VPN可能允许外部设备访问内部受保护的网络和信息所以我们要最大程度地去保护它使用多因素身份验证需要使用多个安全类别来识别你就是你。</p>
<p>除了用户名和密码这种传统的单因素身份验证我们的VPN还要求使用密钥卡该密钥卡具有与VPN同步的数字更改代码设备比如有一个App叫做Authenticator。下一个需要配置的应该是启用帐户锁定以便在多次错误登录尝试之后将该帐户锁定并且这些特定值需要根据环境来确定因为它需要与你公司的安全策略保持一致。对于任何类型的配置无论是WindowsLinux主机移动设备网站还是我们现在讨论的VPN理论上都不应该使用默认设置。我们应该始终更改默认设置以使其更难以受到侵害减少潜在的危险。</p>
<p>互联网上的许多人都使用个人VPN匿名服务器App。比如学校的孩子可能会在智能手机上使用VPN应用程序这样即使学校的防火墙可能阻止了某类网站的连接他们仍然可以连接到Facebook美国孩子不好管呀。通过使用个人VPN匿名服务器App真正发生的是流量被隧道传输到其他地方的服务器并且从那个位置开始在连接到其他地方。</p>
<p><img src="assets/20210219132305242.png" alt="在这里插入图片描述" /></p>
</div>
</div>
<div>
<div style="float: left">
<a href="/专栏/全解网络协议/24 辛苦的邮政 - SMTP.md.html">上一页</a>
</div>
<div style="float: right">
<a href="/专栏/全解网络协议/26 黑客的好帮手 - SSH.md.html">下一页</a>
</div>
</div>
</div>
</div>
</div>
</div>
<a class="off-canvas-overlay" onclick="hide_canvas()"></a>
</div>
<script defer src="https://static.cloudflareinsights.com/beacon.min.js/v652eace1692a40cfa3763df669d7439c1639079717194" integrity="sha512-Gi7xpJR8tSkrpF7aordPZQlW2DLtzUlZcumS8dMQjwDHEnw9I7ZLyiOj/6tZStRBGtGgN6ceN6cMH8z7etPGlw==" data-cf-beacon='{"rayId":"70997654bf103cfa","version":"2021.12.0","r":1,"token":"1f5d475227ce4f0089a7cff1ab17c0f5","si":100}' crossorigin="anonymous"></script>
</body>
<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=G-NPSEEVD756"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag() {
dataLayer.push(arguments);
}
gtag('js', new Date());
gtag('config', 'G-NPSEEVD756');
var path = window.location.pathname
var cookie = getCookie("lastPath");
console.log(path)
if (path.replace("/", "") === "") {
if (cookie.replace("/", "") !== "") {
console.log(cookie)
document.getElementById("tip").innerHTML = "<a href='" + cookie + "'>跳转到上次进度</a>"
}
} else {
setCookie("lastPath", path)
}
function setCookie(cname, cvalue) {
var d = new Date();
d.setTime(d.getTime() + (180 * 24 * 60 * 60 * 1000));
var expires = "expires=" + d.toGMTString();
document.cookie = cname + "=" + cvalue + "; " + expires + ";path = /";
}
function getCookie(cname) {
var name = cname + "=";
var ca = document.cookie.split(';');
for (var i = 0; i < ca.length; i++) {
var c = ca[i].trim();
if (c.indexOf(name) === 0) return c.substring(name.length, c.length);
}
return "";
}
</script>
</html>
Reference in New Issue View Git Blame Copy Permalink