Diferença entre VPN e SSH? [fechadas]

Qual é a diferença entre conectar-se a um sistema remoto via SSH e conectar-se a uma rede remota via VPN?

Por exemplo, se eu posso conectar-me a uma máquina remota em outra rede via SSH, por que a necessidade de VPN?

Uma VPN (rede virtual privada) cria uma nova conexão no nível da rede em sua máquina. Normalmente, isso é feito por razões de privacidade / criptografia. Todo o tráfego de rede nessa máquina agora usará a VPN em vez de uma conexão de rede simples / bruta.

O SSH (Secure Shell) é simplesmente uma maneira de conectar-se remotamente a um terminal / linha de comando em outra máquina. Portanto, se você estiver usando uma VPN para a conexão de rede, isso por si só não o conectará a uma máquina remota; SSH é o protocolo / método usado para conectá-lo à outra máquina.

Agora, com isso dito, acho que entendi um pouco mais a sua pergunta: por que alguém precisaria usar explicitamente o SSH ao usar uma VPN, já que a VPN implicaria privacidade / segurança. Quero dizer, se você é 100% confiante em sua conexão VPN, pode simplesmente usar Telnet não seguro ou mesmo FTP simples , certo?

Bem, a coisa é usar SSH e uma VPN em conjunto, garantindo um nível mais profundo de segurança. Ou seja, mesmo se a VPN estiver comprometida, um invasor / investigador ainda precisará penetrar na conexão SSH para obter algo de valor.

Outro aspecto é que nem todas as VPNs são criadas para uma profunda privacidade / segurança. Algumas VPNs são simplesmente rotas privadas para outras redes que outros usuários também estão acessando. E, nesse caso, uma VPN não seria diferente de uma LAN (Local Area Network), na qual as conexões de ponto a ponto da VPN teriam acesso um pouco igual a outras conexões de ponto a ponto da VPN.

Tudo se resume a propósito, privacidade e confiabilidade. Se você é 100% positivo, confia na sua VPN e não acha que ela represente um risco de vazamento de dados, faça o que quiser, sem a necessidade da camada extra de segurança que o SSH fornece. Mas, geralmente, é melhor ser proativamente seguro do que arrependido reativamente. Usar o SSH mesmo dentro de uma VPN segura é o caminho a percorrer. Sem mencionar, o SSH é tão comum hoje em dia que há poucas razões para não usá-lo. Caramba, as pessoas tendem a esquecer os dias não-SSH da Telnet.

As VPNs normalmente funcionam criando um adaptador de rede virtual no seu sistema. O tráfego que chega a esse adaptador de rede virtual é interceptado pelo software VPN, que o criptografa e, de outro modo, o processa, e depois é enviado para um endpoint do servidor VPN, onde pode ser encaminhado ainda mais, como por um roteador corporativo interno. Para o aplicativo, uma VPN não é diferente de um adaptador de rede padrão.

O encaminhamento SSH é o seu cliente SSH escutando uma porta no 127.0.0.1 e, em seguida, encaminhando os dados que entram nessa porta local para uma porta no servidor, usando o mesmo método de criptografia do seu shell. Se não houver nada escutando na porta do servidor remoto, nada acontece.

Aqui estão pelo menos algumas diferenças significativas:

• O SSH pode encaminhar apenas uma única porta (bem, ele pode encaminhar várias portas, mas você deve especificar todas elas). Isso significa que, se você deseja acessar com segurança vários serviços em um host remoto, cada um executando em uma porta exclusiva, é necessário configurar e manter encaminhamentos para cada serviço.

• Seus clientes SSH típicos não oferecem suporte à especificação de vários servidores aos quais se conectar, tentando o primeiro que funciona. Esse tipo de coisa está embutido no OpenVPN, por exemplo.

• O SSH não suporta o tunelamento UDP por si só.

• Como as VPNs parecem um adaptador de rede para o sistema operacional, as rotas que envolvem o adaptador VPN podem ser especificadas. Assim, o sistema operacional pode enviar qualquer tráfego destinado a uma sub-rede através do adaptador VPN. Isso pode fazer coisas como fazer todo o tráfego da Internet passar pela VPN, para filtragem ou privacidade. O SSH não pode fazer isso facilmente.

• As VPNs de camada 2 podem trabalhar com tráfego de broadcast, permitindo que tráfego relacionado a DHCP, multicast, ICMP e Windows SMB funcione através deles.