Was ist der Unterschied zwischen einer Verbindung zu einem Remote-System über SSH und einer Verbindung zu einem Remote-Netzwerk über VPN?
Wenn ich beispielsweise über SSH eine Verbindung zu einem Remotecomputer in einem anderen Netzwerk herstellen kann, warum ist dann VPN erforderlich?
Antworten:
Ein VPN (Virtual Private Network) erstellt eine neue Verbindung auf Netzwerkebene auf Ihrem Computer. In der Regel erfolgt dies aus Datenschutz- / Verschlüsselungsgründen. Der gesamte Netzwerkverkehr auf diesem Computer verwendet jetzt das VPN anstelle einer unformatierten Netzwerkverbindung.
SSH (Secure Shell) ist einfach eine Möglichkeit, eine Remoteverbindung mit einem Terminal / einer Befehlszeile auf einem anderen Computer herzustellen. Wenn Sie also ein VPN für die Netzwerkverbindung verwenden, werden Sie allein nicht mit einem Remotecomputer verbunden. SSH ist das Protokoll / die Methode, mit der / der Sie mit dem anderen Computer verbunden werden.
Nachdem dies gesagt ist, denke ich, dass ich Ihre Frage etwas besser verstehe: Warum sollte man SSH explizit verwenden, wenn man ein VPN verwendet, da das VPN Privatsphäre / Sicherheit implizieren würde? Ich meine, wenn Sie zu 100% Ihrer VPN-Verbindung vertrauen, können Sie einfach nicht sicheres Telnet oder sogar einfaches FTP verwenden , oder?
Die Kombination aus SSH und VPN sorgt für ein höheres Maß an Sicherheit. Das bedeutet, dass ein Angreifer / Prüfer auch dann in die SSH-Verbindung eindringen muss, wenn das VPN kompromittiert ist, um wertvolle Informationen zu erhalten.
Ein weiterer Aspekt ist, dass nicht alle VPNs auf umfassende Vertraulichkeit und Sicherheit ausgelegt sind. Einige VPNs sind lediglich private Routen zu anderen Netzwerken, auf die auch andere Benutzer zugreifen. In diesem Fall unterscheidet sich ein VPN nicht von einem LAN (Local Area Network), in dem VPN-Peer-Verbindungen einen ungefähr gleichen Zugriff auf andere VPN-Peer-Verbindungen haben.
Auf Zweckmäßigkeit, Privatsphäre und Vertrauenswürdigkeit kommt es an. Wenn Sie sich zu 100% sicher sind, dass Sie Ihrem VPN vertrauen und nicht das Risiko eines Datenverlusts sehen, können Sie alles tun, was Sie möchten, ohne die zusätzliche Sicherheitsebene, die SSH bietet. Im Allgemeinen ist es jedoch besser, proaktiv sicher zu sein, als reaktiv zu entschuldigen. Die Verwendung von SSH auch innerhalb eines sicheren VPN ist der richtige Weg. Ganz zu schweigen davon, dass SSH heutzutage so verbreitet ist, dass es kaum einen Grund gibt, es nicht zu verwenden. Die Leute neigen dazu, die Nicht-SSH-Tage von Telnet zu vergessen.
quelle
VPNs funktionieren normalerweise, indem Sie einen virtuellen Netzwerkadapter auf Ihrem System erstellen. Der Datenverkehr zu diesem virtuellen Netzwerkadapter wird von der VPN-Software abgefangen, die ihn verschlüsselt und anderweitig verarbeitet. Anschließend wird er an einen VPN-Server-Endpunkt gesendet, wo er möglicherweise weitergeleitet wird, z. B. von einem internen Unternehmensrouter. Für die Anwendung unterscheidet sich ein VPN nicht von einem Standard-Netzwerkadapter.
Bei der SSH-Weiterleitung überwacht Ihr SSH-Client einen Port auf 127.0.0.1 und leitet die Daten, die an diesem lokalen Port eingehen, mit derselben Verschlüsselungsmethode wie Ihre Shell an einen Port auf dem Server weiter. Wenn der Port des Remote-Servers nicht überwacht wird, geschieht nichts.
Hier sind zumindest einige signifikante Unterschiede:
SSH kann nur einen einzelnen Port weiterleiten (naja, es können mehrere Ports weitergeleitet werden, aber Sie müssen alle angeben). Das heißt, wenn Sie sicher auf mehrere Dienste auf einem Remote-Host zugreifen möchten, von denen jeder auf einem eindeutigen Port ausgeführt wird, müssen Sie für jeden Dienst eine Weiterleitung einrichten und verwalten.
Ihre typischen SSH-Clients unterstützen nicht die Angabe mehrerer Server, zu denen eine Verbindung hergestellt werden soll. Versuchen Sie es mit dem ersten, der funktioniert. Diese Art von Dingen ist zum Beispiel in OpenVPN integriert.
SSH unterstützt das Tunneln von UDP nicht.
Da VPNs für das Betriebssystem wie ein Netzwerkadapter aussehen, können Routen angegeben werden, an denen der VPN-Adapter beteiligt ist. Auf diese Weise kann das Betriebssystem über den VPN-Adapter beliebigen Datenverkehr an ein Subnetz senden. Dies kann beispielsweise dazu führen, dass der gesamte Internet-Datenverkehr zum Filtern oder zum Schutz der Privatsphäre über das VPN geleitet wird. SSH kann dies nicht einfach tun.
Layer-2-VPNs können mit Broadcast-Verkehr arbeiten, sodass Dinge wie DHCP-, Multicast-, ICMP- und Windows SMB-bezogener Verkehr über sie funktionieren.
quelle