网络加速的秘密——VPN概念与安全
作者:小金
一. 网游加速器
被网络游戏“热血江湖”迷住的网虫小欣最近比较郁闷,她家的网络从电信更换为网通以后,进入游戏就老提示网络速度过于缓慢,甚至在人数较多的情况下 她总是第一个从游戏服务器掉线的,询问客服后她才知道,她建立档案的游戏服务器是电信网络的,而电信与网通之间目前有一道无法垫平的坎。
在几个玩家朋友的帮助下,小欣安装了一个“网游加速器”,她惊喜的发现这个游戏又恢复了当初那般快速了,在购买月租帐号后,小欣就继续她的“医生”生涯去了。
有一天,小欣无意中发现,她的网络防火墙在不断拦截可疑数据,源头来自“局域网”——看着房间里唯一的电脑与唯一的网线,她怎么也想不通……
二. VPN与加速器
背景:接入商与网络互通
由于一些众所周知的商业原因,国内几大网络接入提供商(ISP)之间要实现同样速度的网络传输只能是网民们的一个遥远而不可触及的美梦,对北方的网 民来说,2002年根据国务院改革发展于北方的网通(中国网络通信集团公司)是他们的主流网络接入提供商,它在北方的速度和价格比值是最合理的,由此便吸 引了众多客户;而在南方,由于市场早已被电信(中国电信集团公司)盘踞,网通相对而言只是一个新兴的廉价网络接入提供替代方案,无论是线路架设还是客户群 体,它们均不占据优势,而反过来,较低的收益导致了较低的建设资金投入,于是南方市场始终被电信牢牢的占据着,形成了“北网通,南电信”的局面,虽然这种 形势从一定意义上阻止了最早发展的电信在南北两方的绝对垄断,但也正因此导致了两者在网络接入上的水火不容,最终受苦的依然是广大网民。
许多网民都已经体会过南北网络的“沟壑天堑”了,当两个同是使用电信或网通接入服务的网民传递文件时,他们之间的最大网络速度可以取决于他们的接入 网速;而一个网通线路的网民与一个电信线路的网民互传资料时,在没有意外的情况下,他们之间的最大网络速度为他们接入网速的五分之一到十分之一,也就是 说,如果两个网通用户或电信用户之间通过QQ传输文件的速度为60KB/S的话,那么当其中一方电信用户与另一方网通用户之间的传输速率仅为6KB/S。 除了传输文件会有明显感觉以外,这个“电信网通连不通”的本质直接导致的一个更明显的现象就是两条线路之间的WEB操作,例如访问网页等,当一个使用网通 线路的网民想要浏览架设于电信线路上的网站时,他的计算机连接到该网站所处的服务器下载相关文件数据的速率与用QQ传文件的道理是一样的,尤其在网络高峰 期时更甚,这就是为什么在南方的网通用户普遍感觉浏览网页速度都比较慢的缘故。但是,网通与电信之间的连接速率之缓慢,其根源并非是技术导致的,而是商业 原因,毕竟,在这个市场上,谁能拥有更多用户,谁的利润就越多,于是,我们网民就只能这样受委屈了。
但是这个形势下,却促进了一块新蛋糕的诞生,那就是游走于网通和电信之间并为网民提供“网络加速”的第三方厂商们的市场。
新的蛋糕:架通天堑的“摆渡者”
网通与电信使用的是两条相互独立运作的主干线路,从本质上来说,作为竞争对手,它们之间无法通讯是理所当然的,但是在用户层面上就不能这样考虑,网 络属于一种逐渐渗透于生活的通讯手段,如果它们各自的用户群必须互相独立,这就如手机和家庭电话之间无法通话一样,用户是不会买账的,因此,各个接入提供 商使用线路转换网关接口实现了彼此之间的互通,从技术层次上看,此类网关由于需要承担众多用户的数据通讯,其带宽流量必须达到一定程度才能保持足够的线路 速率,然而相应付出的成本就很高,虽然理论上运营商应该有责任完善这个部分,但是有些时候,技术是必须让步于商业的,因此,两条大河之间的交汇处最终只形 成了小桥流水,只适合休闲养生,不具备运输枢纽的条件——但是网民们可不是来休闲的,于是在上网高峰期,这个小小的交汇处总是挤满了海量的数据队列,网关 早已不堪重荷,无怪乎双方互联的速率如此之低,尤其在电信接近垄断的南方,网通的接口带宽更是少得可怜,这就是南方网民几乎都对网通印象不好的原因——它 相对便宜,但是很慢;反之,在网通发展壮大的北方,网通则是高速网络的代名词,但是对于南北网民而言,有一个观点是双方一致的:网通电信互访,速率基本为 零!
不过,也正是因为这种商业博弈的缘故,才给了一些第三方厂商的生存空间,既然电信和网通都不愿意让对方线路的速率更快些,那么这个并非技术无法实现 的难题就可以由一些第三方厂商来实现了,由于此举迎合了广大网民的需求,其市场潜力将是不可小看的,于是“网络加速”成了一块越来越多厂商试水的市场。
隧道技术:VPN的新用途
自从“网络加速器”浮出水面后,越来越多网民参与试用,并好奇它是怎么实现的技术,因为我们在前面提到的原因,各个接入商的互联网关带宽是不可能主 动改变也不可能由第三方厂商参与改变,那么这些“网络加速”又是利用了什么技术呢?其实,这些厂商使用的是一种原本被广泛用于企业网络的网络服务—— VPN。
对于有一定规模的企业用户来说,VPN并不陌生,VPN全称Virtual Private Network(虚拟专用网络),由于它最初设计目的是用于企业内部网络与外部网络的临时安全网络连接,因此它又被称为“虚拟出来的企业内部专线 ”,VPN的官方定义为:通过一个公用网络(例如Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用 网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专 用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的 安全外联网虚拟专用网。
VPN的意义在于它不需要架设专门的线缆便能实现企业内部网络与公共网络互访的需求,而且当某一方不再需要网络通讯时,这条线路可被安全的断开而不 涉及任何物理上的操作,因为它本质上是“虚拟的连接”。针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),通常被应用最广泛的是“远程访问虚拟网”。
VPN的物理实现形式与网关服务器类似,提供VPN服务的一方必须架设至少一台双网卡服务器,被称为“VPN网关”,通常这个服务器由企业内部搭 建,它的一端连接企业内部的局域网络,另一端则接入公共网络,搭建过Windows软路由的用户们一定不会对这样的服务器感到陌生,因为VPN网关并不需 要什么特殊的网络架构,只是将软路由服务换成VPN接入服务罢了。在市场需求下,目前已经出现了专门用于VPN接入的硬件设备,其内部固化了专用于VPN 实现的程序,更是大大简化了这个过程。
当一个位于公共网络线路上的企业职员需要访问企业内部网时,他需要设置一个用于VPN的虚拟拨号连接,对应的IP地址和帐号密码均由企业内架设的 VPN网关提供,在职员这边看来,他所需的操作过程与平时家庭用户ADSL宽带拨号上网没什么两样,当通讯链路成功建立后,这台计算机就被视为企业内局域 网中的一台内部计算机,进行方便快捷的资源共享与数据交换,而不再需要企业网管专门架设FTP等文件服务器,同时,如果该职员工作完毕,他只需简单的断开 这个连接就不再与企业内部网有任何关系,而且企业内部的管理员也可以随时断开该职员访问内部网络的权利。在众多安全高效方便的理由下,VPN技术得到了大 力推广。
VPN的价值还在于它的传输并非明文,而是加密过的数据,克服了公共网络缺乏保密性的弱点,VPN接受多种数据加密协议,默认是采取“点对点加密协议 ”(Microsoft Point-to-Point Encryption,MPPE)进行管理的,网络管理员可经过配置将其改为使用“Internet安全协议”(Internet Protocol Security,IPSec)进行加密,这些相对高强度的加密手段杜绝了入侵者从网络上侦听入侵篡改数据的可能。
现在回到“网络加速器”这个话题上,有人也许会问,VPN是用于企业内外互通的技术,它与网通电信有什么联系?其实,就如核技术最初被设计于原子弹而现在用于发电站一样,许多技术是可以跨域使用的,VPN也是其中一种。
不过,要问到第三方厂商为何能将VPN技术运用在这方面,还得从近年来被市场形势催生的一种用于机房的搭建技术说起,因为各个运营商之间的网关接口 是固定的线路固定的带宽,造成了网通电信互访速率过慢问题,一些提供服务器网络接入点——即“机房”的企业想出了一条妙计:他们搭建了一个同时提供两大运 营商网络线路接口的服务器机房,再将服务器群集建设于机房路由器上,而这些路由器自身通过BGP协议(Border Gateway Protocol,边界网关协议)分配数据报走向,服务器就放置于这个交换层上面,这样一来,无论是电信还是网通的用户,他们的数据都能以最佳的线路返 回,访问速率自然就变快了。当然,这是相对高级的双线机房才能拥有的条件,因为这个技术实现的代价较为昂贵,目前一部分“双线机房”都是意义上的“假双线 ”,他们的服务器是分别连接于两条运营商线路上的,用户需要同时购买两个空间并同时进行维护;目前最高效的真正双线访问技术是“双线接入”,也称“全网路 由”,它是从国家核心网络接点里直接引用一条主干线路,这样的线路自然不存在电信网通的互访瓶颈,当然也不是一般人能随便用的,通常此类线路用于较大的政 府网站。
而“网络加速”的秘密,就是这些“双线机房”的蓬勃发展的基础上逐步诞生的,“网络加速器”厂商先投入相当的成本搭建多个高带宽的双线机房,在这些 机房的两大线路中架设多个VPN服务器,这些VPN服务器的数据口与专门设置的路由交换连接,并将拨号端口平均分配在双方线路上,然后为其编写“网络加速 器客户端”,也就是广大用户能下载到的那个小程序,它的实际作用是对用户帐号加以验证判断线路类型,然后调用拨号连接步骤去拨程序内指定的VPN服务器, 从而让用户计算机也被虚拟成一台放置于双线机房内的客户机。换句话说,如果没有厂商前期的线路铺设伏笔,光靠那么一个小程序自身是没有任何用处的。
不知道第一个萌生此念头并加以实验的技术厂商是谁,但是毫无疑问,他们的创意成功了,VPN技术从此走下了企业的神坛,变成了大部分普通网民几乎都能天天接触的大白菜——当然,并非所有人都知道这是VPN实现的效果,产品是需要一定包装的。
在敬佩国人伟大创意的同时,我们将它们的包装拆开,探究其实现过程,首先是客户端,一般这些加速器产品的客户端不会太大,通常从几百KB到十MB不 等,体积与它的广告、框架、界面、内置的服务器地址等有关,客户端的主要功能是代替用户拨号至VPN服务器,并为了这个目的而加入多种辅助措施,如判断帐 号级别、用户IP属于哪个运营商、用户自由选择“可用加速点”(其实就是VPN服务器地址)等,针对“游戏加速”的还要在各个游戏服务器区里再次细分,这 是因为他们与游戏运营商合作共赢,在网游机房里搭建了VPN服务器的缘故。在多个条件搭配下,用户点击客户端上的“加速”按钮,程序就选择一个适用于当前 用户线路与用户意图的VPN服务器IP建立临时的虚拟线路,这样一来,用户绕过了电信网通的瓶颈,自然就“快”了。
真正考验厂商技术和实力的地方实际上是架设于双线机房里的VPN服务器,要保证用户访问速率不受影响,前提是这个VPN服务器所在的机房带宽足够, 其次是机房里的转换路由配置合理,最后是直接承担用户访问压力的VPN服务器自身响应速度,只有当“三个基本”都最佳化的时候,“网络加速”才能发挥它的 真正意义,在一些早期产品里,使用者一旦增多,它的加速功能就变得十分不明显,这就是因为带宽和服务器自身性能导致的又一个瓶颈了,现在许多应用都直接使 用VPN硬件产品实现,从而获得了相对高效的性能。
VPN是怎么从企业产品被提升到广泛使用方面的呢?这是由“远程访问虚拟网”(Access VPN)自身的特性决定的,它本身以企业内网与外部连接的网关形式存在,从一开始就注定了它的用途可以不仅为企业独用,只要是用于在两个网络之间实现临时 通讯链路的需求,都能用VPN实现,“网络加速”就是巧妙的运用了这个概念,厂商将原本配置于双线机房里的服务器移形换位为VPN服务器,并将机房变成一 个相对透明的网络中转站,如此一来,网通线路和电信线路分别位于VPN服务器的两端,被视为简单的两个网段关系,而它们中间的逻辑接口,就是VPN服务器 自身——对于电信访问网通加速的VPN服务器,它将电信网络视为“外网”,其拨号端口设置于电信线路上,出口则汇入机房里的网通线路,形成网通的一个IP 接点,当一个位于电信网络的用户与该VPN服务器建立连接后,这台电信线路上的计算机就被认为是通过VPN访问内网的一个客户端点,VPN服务器为它分配 了一个内部局域网IP,再通过机房路由器的网段转换,来自电信端点的访问就绕过了那“官方指定”的网桥转换点,直接从私人搭设的大路通过了,如此一来,电 信用户访问网通用户的速率当然就提高了;对网通用户,VPN服务器的拨号端口则位于网通线路上,出口则汇入电信线路,实现原理是一样的。
如果觉得以上说法过于抽象和逻辑化,那么我们也可以将VPN放回企业内部讲解,假设一个企业拥有两条网络线路,并为两条线路都架设了VPN服务器, 当前有两个员工正在外地出差,他们使用的网络分别是电信和网通,这两个员工之间偶尔需要互相交换文件资料报表等,因此他们经常苦恼于缓慢不堪的网速却毫无 办法。某天,两个员工接到企业通知,要他们分别利用各自线路的VPN拨号回公司开个群体会议并上传工作报表,于是他们使用VPN一起接入了企业内部网络, 在网络会议的过程中,位于电信线路上的职员需要发送一份文件至网通线路的员工那里,于是他使用QQ发出了文件传输请求,然而,双方都意外的发现,此次文件 传输速度居然如此之快,在试验几次后,职员得出了一个结论:由于企业内双线网络与VPN的存在,此次文件传输自动选择了效率最高的线路,即电信线路——电 信线路VPN服务器——企业内网——网通VPN服务器——网通线路,从而绕过了电信网通之间的瓶颈。
在用于“网络加速”的双线机房里,VPN应用也是类似这样的一个模型,只不过,这个模型中的“企业内网”被简化为路由器内部的地址转换,这样一来, 接入VPN服务器上的内网IP就被视作将要进行网段转换的网络服务请求直接通过路由器派发出去了,在用户方面,他们并不需要知道这一系列工作,也不知道自 己计算机已经被分配了一个内网IP,并和其他网络加速器用户组成了一个虚拟局域网。
三. VPN带来的安全问题
安全话题始终是无法忽略的一部分,VPN自身还算是很安全的,因为它传输的是密钥处理过的数据报文,但是VPN的应用目标却导致它仍然逃不过安全问题的纠纷,那就是它的虚拟网络性质会形成一个虚拟局域网,而这个虚拟局域网里的计算机是不受任何例外的安全保护的。
当VPN仅为企业内部架设服务器应用的时候,这些间接的安全问题并未被引起太多关注,偶尔传出的也不过是某个位于外网的职员机器感染了病毒然后通过 VPN传染至企业内网或企业内网的病毒通过VPN跑出来感染了外网职员的计算机这些经常在局域网发生的事情罢了;而后,随着硬件VPN设备的出现,一部分 企业配置了市面上常见的VPN产品,如奥联APN、赛龙VPN、Sinfor M5100-S等,而这些VPN产品与广大网民经常能接触到的宽带路由、ADSL调制解调器一样,都具备WEB配置界面甚至一些产品漏洞,在设备配置者的 某些疏忽之下,设备默认帐号密码、过于简单的VPN帐户加密、产品自身缺陷等都可能导致企业内部网遭到入侵,位于外网的入侵者先使用各种工具获知VPN的 信息,然后进一步试探配置漏洞和产品缺陷,从而取得登录该VPN网关的权限,然后入侵者便能将自己的计算机虚拟为企业内部网络中的一台计算机,大部分企业 内部必须开放的网络共享资源就被轻易拿到了,入侵者可以从容的完成整个渗透过程而不被任何人警觉,这样的入侵可谓防不胜防,要杜绝此类入侵,还得从提高企 业网管的安全意识做起,同时选择一个口碑较好安全性高的产品。
如果说VPN导致企业被渗透只是一个不能引起大范围危害的问题的话,那么在VPN技术被各种网络加速厂商滥用的今天,它会导致的安全问题就不再是可 以忽视的了。由于电信和网通等运营商都睁只眼闭只眼的放任这片灰色市场在发展,越来越多的“网络加速”厂商参与了进来,同时大部分厂商都积累了一定规模的 用户群,如专注于网游加速的“迅游”、较早出现的“统一网关”、以及一些网游厂商自己开发的游戏加速器等,用户群越多,厂商获得的回报就越大,同时为了留 住用户群,厂商的服务质量也就越来越好,于是,活跃于VPN链路上的用户不计其数,而这些用户并不知道,他们之间相对封闭的网络空间已经被VPN给疏通 了,每多一个用户使用网络加速器,就相当于往这个“虚拟局域网”里又增加了一台计算机,虽然一部分厂商会针对这个现象设置一些严禁内部网互相访问的规则, 但是并非所有厂商都具备这样的安全意识,于是,不幸使用了这部分厂商产品的用户们如果自身机器的安全配置不高,就只能等着被人鱼肉了。与前面提到的渗透企 业内部网同理,入侵者连获取VPN帐号的步骤都省了——网络加速器的客户端程序自身就实现了诸如获取VPN服务器IP、发送虚拟网络拨号请求等一系列连接 过程,入侵者需要做的只是获知自己当前获得的虚拟局域网IP,再配合扫描软件找到倒霉的用户并渗入即可,过程就像在大学机房的局域网中渗透别人的计算机一 样。
首先,我们先下载任意一款网络加速器(涉及厂商利益关系,本文就不点名了,这是大部分VPN产品都可能涉及到的问题),然后随意申请一个临时帐号试用。
使用客户端成功进行加速后,立即打开“命令提示符”(CMD),运行 ipconfig /all,你会看到当前存在的网络连接里多了一个接口标识为“PPP/SLIP”的连接,而它的IP地址是属于局域网的(这样就和大部分使用本机ADSL 拨号上网的连接区分开了),记下这个IP地址,它就是你本次从远程VPN服务器里分配到的虚拟局域网IP。
现在,有两种方法开始我们的入侵行径,一种是直接在当前的“命令提示符”界面中使用ping命令将与你同一网段的IP从1到254全部ping一 遍,根据返回判断此IP地址是否存在计算机,当然,这个方法太过于古老且效率低下,通常推荐使用现成的黑客工具进行,如SuperScan等。
运行SuperScan软件,本次笔者分配到的虚拟局域网IP为192.168.3.218,因此将它粘贴到SuperScan界面中的IP段里, 变为从192.168.3.1到192.168.3.254的结构,按下“开始”按钮,现在你会发现许多在线的计算机都被挖掘出来了!
最后,使用任意一款局域网工具如LANExp、LANView、阿D网络工具包就能扫描整个网段内默认共享的网络资源甚至取得管理权限了,而这么一 场壮观的入侵行为正在如火如荼的时候,其他用户根本不知情,因为网络加速软件客户端的包装,使得整个虚拟局域网的连接状态是不可见的,对用户而言,真不知 道是不是应该可悲?
其实,这是一个十分简单就能修正的安全问题,只需要厂商在建设VPN服务器时将一些相关选项设置好就可以了,因为这是VPN自身的安全访问特性,它 能构建虚拟局域网,也能隔离局域网内同网段计算机互访。但是国内几乎没有一个“网络加速器”厂商实现了这个安全特性,最终,这个缺陷只能留给用户去承担 了,而国际上的VPN厂商如Hotspot Shield默认就设置好了严禁局域网互访,这仅仅是反映出国内厂商安全意识不够吗?
四. VPN的平民化,孰好孰坏?
毫无疑问,在当前的网络氛围下,加速器市场的诞生也实属无奈之举,而促生了这个市场发展的VPN技术也因此从企业内部走了出来,但也正因此,一窝蜂 而上的厂商们就放大了VPN默认存在但是可以避免的安全问题,在众多毫不关心安全问题而只在意自己腰包的厂商的环绕下,在这个市场需求与安全保障无法受到 同等重视的环境中,最终受害的,还是我们用户自己!
但是,在物价飞涨的今天,由于钱包空瘪而选择了廉价线路接入方案的网民们,谁又能离开网络加速器的辅助呢?VPN的平民化,究竟,是好事,还是坏事?
现在的vpn技术发展也很快的,你说的这种应该是针对隧道技术的,即二层的概念,对基于ssl应用层的就不适用了。不过ssl层的也有类似nc模式的,但是在应用层的控制粒度就强多了