Differenza tra SSH Tunnel / Proxy e VPN in termini di sicurezza

Naviga le tue risposte
3

Quali vantaggi ha una VPN solo usando un normale tunnel SSH?

Sto prendendo in considerazione l'idea di installare OpenVPN su un server, ma mi chiedevo quali vantaggi avrebbe avuto sul semplice utilizzo dello stesso server di un tunnel SSH, che è molto facile da configurare e consente la connessione tramite SOCKS5 che è già supportato ovunque. Non mostrerebbero mai lo stesso indirizzo IP come sorgente, nel qual caso non sei più anonimo?

Il tunnel SSH sembra essere molto più semplice, basta aprire un tunnel SSH e configurare il computer per connettersi a quella porta tramite localhost e un proxy SOCKS5. 

ssh -D 1723 -f -C -q -N [email protected]

VPN d'altra parte sembra un po 'più di lavoro da configurare e non sono in grado di vedere quali vantaggi offre su un semplice tunnel SSH.

    
posta Jan Vladimir Mostert 22.12.2018 - 23:07
fonte

5 risposte

3

Le persone parlano spesso di tunneling SSH come VPN di un povero. È esattamente la stessa cosa su un punto di vista di sicurezza e funzionalità: si stabilisce un tunnel sicuro tra il client e un host di ritrasmissione e si lascia una comunicazione non crittografata oltre il relay. Il modo in cui il tunnel è stabilito e protetto può variare a seconda del sistema VPN, ma tutti quelli seri possono utilizzare protocolli standard aggiornati, come può fare SSH (e tutti possono essere ugualmente configurati con un po 'di lavoro per utilizzare protocolli non sicuri).

La principale differenza è nell'usabilità. L'obiettivo di SSH è stabilire una connessione sicura tra un client e un host, e fa un buon lavoro con interfacce umane pulite e pulite. Può trasportare comunicazioni aggiuntive all'interno del suo tunnel, ma poiché non è il suo obiettivo principale, i comandi non sono molto semplici. Mentre un obiettivo VPN è fornire ritrasmissione trasparente di vari protocolli, quindi è molto più facile usare per quell'obiettivo .

    
risposta data 23.12.2018 - 15:26
fonte
2

Le VPN hanno in genere una funzione in cui il traffico di più utenti apparirà da un unico indirizzo IP pubblico, rendendo difficile il tracciamento di un utente che utilizza una VPN, poiché il traffico proveniente da un singolo IP potrebbe essere uno dei numerosi clienti.

Le VPN offrono spesso più posizioni, consentendo agli utenti di scegliere da dove proviene il loro traffico.

La connessione al server SSH e l'esecuzione di un proxy socks possono essere semplici, ma ciò richiede comunque il blocco completo del server, la manutenzione delle patch, il monitoraggio delle intrusioni o qualsiasi altro errore che richiede l'intervento manuale.

Quindi devi preoccuparti della sicurezza del tunnel SSH. Quali versioni di SSH permetterete? Quali cifre?

Se il proxy SSH si interrompe per manutenzione, il proxy non è in linea, al contrario un servizio VPN che generalmente ha più server ridondanti.

EDIT: Vedo che la tua domanda riguardava l'esecuzione del tuo server own (SSH o VPN). Se stai per eseguire il tuo server, quello che ho menzionato sopra non sarà rilevante.

Il vantaggio di configurare il proprio server VPN è che non è necessario fornire credenziali complete dell'account di accesso agli utenti (o a se stessi). Supponiamo che i tuoi dispositivi vengano compromessi e che qualcuno trovi il tuo accesso SSH. Ora possono accedere al tuo server SSH come utente. Se si stesse utilizzando una VPN che non fornirebbe le credenziali per accedere come utente remoto.

In secondo luogo, SSH conserva i registri di chi ha effettuato l'accesso e potenzialmente i comandi eseguiti.

    
risposta data 22.12.2018 - 23:31
fonte
1

Non penso che ci sia molta differenza di sicurezza tra una connessione ssh ben implementata (ad esempio solo chiave, passphrase strong, ...) e una VPN. Puoi renderli entrambi abbastanza stretti, usa 2FA, cosa hai ...

Il vantaggio I è in usabilità; la VPN ti fornirà il routing magicamente e non dovrai attenersi al software che capisce cos'è un proxy socks.

    
risposta data 23.12.2018 - 00:47
fonte
0

Un tunnel ssh protegge solo il traffico verso una porta specifica su un server specifico, mentre una VPN dovrebbe gestire tutto il traffico su una rotta specifica. Detto questo, se si dispone di una connessione SSH, è possibile eseguire ppp o scorrerlo per creare una VPN completa.

Le differenze nella sicurezza dipenderanno dall'implementazione.

    
risposta data 26.12.2018 - 04:07
fonte
0

SSH

SSH è al centro di una shell sicura. È stato originariamente progettato come successore crittografato di telnet. Tuttavia, può farlo molto di più! Per i tuoi usi, stai esaminando specificamente il port forwarding dinamico:

Dynamic port forwarding turns your SSH client into a SOCKS proxy server. SOCKS is a little-known but widely-implemented protocol for programs to request any Internet connection through a proxy server. Each program that uses the proxy server needs to be configured specifically, and reconfigured when you stop using the proxy server.

Questo è simile a port forwarding locale a un server con squid ... cept SSH ora si occupa di eseguire il proxy socks per te (perché è un boss).

Una volta che la connessione SSH e il browser sono stati impostati correttamente, dovresti essere in grado di google what is my ip e visualizzare l'indirizzo IP dei server remoti. Ciò significa che tutti i siti web visitati ti vedranno come un browser aperto su quel server remoto.

You can (should) also set Your Browser to use the DNS through that proxy, so even your DNS lookups are secure:

  • Type in about:config in the Firefox address bar
  • Find the key called "network.proxy.socks_remote_dns" and set it to true

VPN

VPN estende una rete privata attraverso una rete pubblica impostando una scheda di rete virtuale e configurandola con un ip e gateway della rete privata .

Questo significa che puoi usare questo per fare il tunnel di tutto il tuo software per farlo apparire se tutto è in esecuzione dal tuo server remoto (anche programmi che non hanno il supporto nativo per il proxy). Anche in questo caso, dovresti essere in grado di cercare su google qual è il mio IP e visualizzare l'indirizzo IP del server remoto.

Le VPN tendono ad avere più supporto per UDP (torrent / software di streaming / gioco)

Sicurezza

OpenVPN esegue un protocollo di sicurezza personalizzato basato su SSL e TLS anziché supportare IKE, IPsec , L2TP o PPTP .

SSH NON usa TLS / SSL, piuttosto usa il suo protocollo vedi RFC 4253

Take away

Alcuni dicono che SSH è una VPN povera. Sarei strongmente in disaccordo, e dico invece che SSH è un metodo più chirurgico di tunneling di traffico specifico per le persone che capiscono quello che stanno facendo. Mentre la VPN è come il tunneling con la dinamite ... otterrai un tunnel, ma a volte è lo strumento sbagliato per il lavoro.

Ad esempio, diciamo che stai lavorando da remoto e vuoi collegarlo alla tua rete di lavoro da casa. Ora diciamo che vuoi sfogliare reddit ma vuoi comunque mantenere la tua connessione VPN in modo da non perdere nessuna email importante. Bene, tutti quei meme di gatti che stai navigando sono instradati attraverso la rete del tuo lavoro ... probabilmente bloccati da proxy / firewall di lavoro.

In alternativa, se si dispone dell'accesso SSH alla rete aziendale, è possibile eseguire il tunneling della propria e-mail e configurare un proxy socks. Ciò significa che puoi ancora ricevere la tua email e utilizzare un browser per le attività commerciali (ad es. Chrome) e un altro browser per visualizzare le immagini di gatti (ad es. Firefox).

Entrambi gli strumenti possono essere utili, dipende solo da cosa vuoi fare.

    
risposta data 26.12.2018 - 08:21
fonte

Leggi altre domande sui tag

Può essere scoperto un URL che non ha collegamenti ad esso? [duplicare] Cosa cerchi nel codice Open Source per assicurarti che non ci siano codici maligni?