6月 192016
 

话说有一个叫做影梭的app,可以基于shadowsocks(一下简称ss)在本地启动一个vpn,vpn流量走的是ss,相当安全;既然ss可以翻墙,也同样可以翻到内网;那么,ss能替代vpn吗?

下面讨论ss与vpn的一些区别:

  1. 账号
    1. ss每个server只有一个共享密码,没有用户名的概念;
    2. vpn可以有多个用户名、密码
  2. 验证
    1. 虽然ss有密码,但不做验证,其实是一个共享秘钥,直接用于数据加密;就算秘钥错了,server端也不做验证(或者无法验证,或者未提供验证逻辑),所以,使用ss时,密码错误是没有提示的
    2. vpn有密码验证阶段
  3. 如果非要把ss当做vpn来使用,则
    1. 充其量也就是个单用户的vpn
    2. ss client端需要实现虚拟网卡部分的功能,可能工作量比较大一些,好在影梭app已经这么做了(没发现类似的桌面软件或命令行软件)
  4. 鉴于ss的代码并不复杂,似乎可以给ss添加对读用户支持的验证逻辑的;相信ss距离vpn远不止这些,试图把ss改造成vpn可能不是一个对的想法
 Posted by at 上午 11:57
12月 172015
 

VPN就安全吗?

vpn从概念上来讲只是“虚拟私有网络”,不意味着安全;如果需要auth,就安全了吗?也不一定,就如同web上的http服务,用户一般也需要登录,但是传输层都是明文;所以,还需要加密;最近使用pptp的时候就发现pptp是没有加密功能的,这样的vpn其实是不安全的。vpn设计的时候都会考虑到安全问题,而采用加密方式的。(原来在vpn的虚拟网卡上抓包看到了明文,就怀疑没有加密,其实应该在真实网卡上抓包来验证是否vpn通道是加密的)

 Posted by at 下午 6:26
12月 172015
 

缘起

今天要从阿里金融云pptp 到外部的vpn服务器,未能成功,tcpdump抓包结果为:开始几次tcp包交换之后,似乎变成了非tcp的ip协议了,只是开始不再回包,于是开始了解pptp协议。

后测试,发现阿里非金融云是可以pptp到外部服务器的。

 

分析结论:

阿里金融云不允许GRE;  (阿里的弹性公网IP相关文档中有明确描述不支持GRE的,虽然我们用的不是弹性公网IP,或许实现是相同的)

GRE有什么安全问题吗?稍后再研究

 

PPTP: Point to Point Tunneling Protocol  点对点隧道协议

GRE:  Generic Routing Encapsulation 通用路由封装

PPTP 的连接过程如下图:

 

参考资料:

http://blog.csdn.net/yu_xiang/article/details/9204211

http://blog.csdn.net/msptop/article/details/2451138

http://baike.baidu.com/link?url=KuQHEpUftD_nfw3KdWl-HhZMBxxI7uPHu3c0LQHhwBFfMYicwwiHvAd_oFitKks8wDN9LeaR1Wk3tDXU9HI_Uq

 Posted by at 下午 5:37