vpn vs ssh, cosa scegliere? [duplicare]

VPN e SSH sono simili nel senso che entrambi stabiliscono un canale point-to-point affidabile e crittografato, ma questo è più o meno dove finiscono le somiglianze. L'obiettivo della VPN è di concedere l'accesso a una rete che altrimenti non sarebbe possibile accedere, mentre l'obiettivo di SSH è quello di garantire l'accesso alla shell a un particolare sistema. Svolgono ruoli diversi e non esclusivi: è perfettamente comune richiedere VPN prima di poter utilizzare SSH.

Ci sono molti vantaggi nell'utilizzo di VPN su ssh diretto. SSH è un demone di livello root che consente l'accesso diretto a un dispositivo. Ci sono state vulnerabilità di 0 giorni in SSH in passato, e chissà, potrebbe essercene uno in agguato dietro l'angolo, dando agli aggressori l'accesso diretto a qualsiasi sistema esposto a Internet. In alternativa, un demone ssh configurato in modo errato può consentire l'accesso con password che possono essere indovinate o annusate tramite sequenze di tasti. Non esporre ssh sui tuoi dispositivi direttamente a Internet è un ottimo criterio di sicurezza.

La VPN, d'altra parte, viene solitamente eseguita tramite un'appliance o tramite un daemon non root, limitando la superficie di attacco. Inoltre, la VPN semplifica drasticamente l'accesso a risorse limitate diverse da SSH, ad es. siti web solo interni. Mentre è possibile eseguire il port-forward usando SSH, è molto più complicato rispetto all'utilizzo di una VPN. Inoltre, l'esecuzione di un server VPN consente l'implementazione dell'autenticazione centralizzata a 2 fattori, l'assegnazione di indirizzi IP interni statici agli account autenticati, ecc. Quest'ultimo è utile quando si traccia l'accesso amministrativo tramite i flussi di rete e quando si limita l'accesso alle risorse interne per gruppi.

In altre parole, richiedere una connessione VPN prima di accedere a ssh su sistemi è pratica comune e buona politica di sicurezza.

Gran parte di ciò arriverà a ciò di cui hai effettivamente bisogno e alla tua scelta personale.

È possibile eseguire il tunneling di molto traffico attraverso SSH e trattarlo come una VPN.

Ci sono anche molte somiglianze tra i due, ad esempio, a seconda della selezione della VPN che hai scelto, potresti anche usare SSL / TLS per la VPN, che è quello che usa SSH, o anche gli stessi algoritmi, algoritmi o crittografie . Quindi anche se ci sono alcune differenze per le opzioni di crittografia le opzioni di crittografia sono molto simili.

Le aree in cui iniziano a essere differenti implicano o meno il traffico Layer 2 (come i frame Ethernet) rispetto al traffico IP (ciò di cui la maggior parte delle persone ha bisogno). O se si desidera inoltrare in modo permanente più protocolli o utenti tramite la stessa connessione, nel qual caso la VPN potrebbe essere più semplice.

Uno svantaggio di alcune VPN, non tutte, è che se ci si connette da postazioni remote si potrebbe scoprire che determinati protocolli, come IPSEC, potrebbero essere bloccati da alcuni provider.

In generale, trovo che se stai facendo solo connessioni SSH sarà molto più facile da gestire se lo stai facendo manualmente o tramite script.

Se hai una rete più complessa con molti protocolli non criptati, puoi scegliere di seguire la rotta della VPN.

Entrambe sono buone soluzioni e semmai suggerirei di provarle entrambe per un po 'per vedere quale si adatta meglio alle tue esigenze.

Personalmente tendo ad affidarmi a SSH come strumento di sviluppo perché è estremamente flessibile, ma a volte raccomando VPN per connessioni da sito a sito più grandi o per clienti che sono negozi Windows al 100%.

In ambienti ad alta sicurezza, io uso entrambi ed eseguo tutte le connessioni SSH attraverso una VPN. Potresti provare anche questo.

In definitiva, a causa della flessibilità di SSH, i due sono molto simili e gran parte della decisione dipenderà dalle tue preferenze e necessità personali.

Sarei molto preoccupato per un "esperto" di sicurezza che pensa che i termini SSH e VPN si applichino alla stessa funzionalità. Presumo che il racconto abbia perso qualcosa nella rivisitazione.

VPN significa semplicemente una connessione di rete crittografata. Esistono più tecnologie in grado di fornire ciò; TLS, PPTP e persino SSH, tra le altre cose. Supponendo che tu stia parlando specificamente di una VPN TLS ....

TLS e SSH hanno modelli di fiducia molto diversi. Per SSH, viene stabilita la fiducia tra il client e il server. Con TLS, sia il client che il server ripongono la loro fiducia nell'autorità di certificazione. Quest'ultimo fornisce una certa centralizzazione del controllo, ma ha un costo maggiore di una superficie di attacco.

Lasciando da parte il modello concettuale della fiducia, esaminando la cronologia delle vulnerabilità di SSH rispetto a TLS, non sorprende che SSH abbia meno difetti di sicurezza pubblicati rispetto a TLS - è un protocollo molto più semplice.

IMHO, il concetto di cercare di aggiungere sicurezza alla rete è fondamentalmente errato - ogni nodo della rete dovrebbe essere sicuro e tutte le connessioni dovrebbero essere autenticate ai punti finali (i firewall nel mezzo aiutano solo a ridurre il rumore) . Quindi la mia raccomandazione sarebbe quella di utilizzare la tecnologia appropriata per l'applicazione; SSH per l'accesso a shell e Xwindow, TLS per HTTP, SMTP e IMAP. Ma per i protocolli basati su UDP o le connessioni TCP che richiedono bassa latenza, IPSEC è una buona alternativa a un convenzionale tunnel SSL / SSH.

Ci sono alcune aree in cui la tecnologia non supporta esplicitamente l'una o l'altra (es. molti server di database) e alcune in cui è profondamente inserita nel protocollo (es. FTPS vs SFTP) ma che dovrebbe essere considerata su un protocollo tramite protocollo base.