当提到“站点”时 - 我不是在谈论网站,而是在谈论公司所在的物理位置。今天,为了保护两个站点之间的通信——假设在伦敦的办公室和纽约的办公室之间,我们将使用 Site-to-Site VPN。我们这样做是为了加密通信,并利用 VPN 的路由优势。
外人有什么机会,甚至怎么可能利用从我的防火墙到我的 ISP 路由器及其他地方的未加密通信?是否可以在数据包到达我的另一个办公室的路径的任何部分利用该流量?
我完全可以理解由 SSL VPN 或任何其他方法实施的客户端到站点 VPN 的原因,因为如果某个漫游用户从某个 WiFi 热点连接到他的办公室,他的流量是以明文形式发送的。
将一台机器流向另一台机器的数据位必须以某种方式通过电线、光纤、无线电波或其他介质传输。在任何时候,信息都可能被窃听。
非常低级的攻击者将在最容易窃听的地方进行窃听,即靠近任一端。许多 WiFi 热点使这变得容易;也可以通过插入同一个交换机并“说服”该交换机降级到集线器模式(即广播所有数据包)来使用有线以太网来完成。
更高级别的攻击者将劫持路径中的一台路由器。从机器 A 到机器 B 的每个 IP 数据包可能要经过一两几十个路由器。路由器本身就是一台计算机(尽管它们中的大多数都有特殊的包装,使它们看起来像“网络设备”);因此,它们存在安全漏洞(例如,请参阅此漏洞等)。当攻击者获得对路由器内部操作系统的完全访问权限时,他可以窥探通过路由器的所有数据包,并且可以任意修改它们。
其他攻击者将插入路由器之间。对于无线电链路,这就像拥有天线一样简单(一些非常定向的高频链路会使这变得更加困难)。当链路是简单的以太网时,即使是业余爱好者也可以做到。例如,如果你考虑从波士顿到芝加哥的连接,它很可能会通过地下电缆,其中很长的部分只是埋在几英尺深的地下。这些没有受到保护,可以非常谨慎地利用。
有报道称,一些间谍机构至少 15 年来一直试图这样做,目标不亚于海底电缆,这需要比夜间徒步旅行和铲子更多的工作。有趣的是,NSA 发现最难的是处理高带宽数据(使用当时可用的计算能力)。
当然。这两个站点之间可能有几十个互联网可寻址路由器,所有这些路由器本质上都只是计算机。攻击它们并窃取流量当然不是不可能的。
事实上,我可以看到许多攻击向量:
我不认为@Polynomial 过度简化了这一点,不。如果你真的担心某人可能有足够的动力专门针对在你的两个物理位置之间流动的数据(而不是在正常流动中随机地偶然发现你的数据),那么这个人绝对有可能(并且极有可能) /organization 定位您将找出您的 IP 地址、您的 ISP 是谁,并针对他们的设备尝试拦截相关 IP 之间的流量。
如果这不仅仅是一个微不足道的“我想知道是否......”问题,那么我建议您使用 VPN 处理您所有位置之间的所有流量,并全面审查您的安全程序。