Diferencia entre SSH Tunnel / Proxy y VPN en términos de seguridad

La gente a menudo habla de los túneles SSH como la VPN de un hombre pobre. Es exactamente lo mismo en cuanto a la función y el punto de vista de seguridad: establece un túnel seguro entre el cliente y un host de retransmisión y deja que una comunicación pase sin cifrar más allá del relé. La forma en que se establece y asegura el túnel puede variar según el sistema VPN, pero todos los serios pueden usar protocolos estándar actualizados, al igual que SSH (y todos pueden configurarse igualmente con algún trabajo para usar protocolos no seguros).

La principal diferencia está en la usabilidad. El objetivo de SSH es establecer una conexión segura entre un cliente y un host, y hace un buen trabajo con interfaces humanas limpias y ordenadas. Puede transportar comunicaciones adicionales dentro de su túnel, pero como no es su objetivo principal, los comandos no son realmente sencillos. Mientras que un objetivo de VPN es proporcionar una retransmisión transparente de varios protocolos, por lo que es mucho más fácil utilizar para ese objetivo .

Las VPN suelen tener una función en la que el tráfico de múltiples usuarios aparecerá desde una única dirección IP pública, lo que dificulta el seguimiento de un usuario mediante una VPN, ya que el tráfico proveniente de una única IP puede ser uno de cualquier número de clientes.

Las VPN a menudo ofrecen múltiples ubicaciones, lo que permite a los usuarios elegir dónde se originará su tráfico.

Conectarse al servidor SSH y ejecutar un proxy de calcetines puede ser fácil, pero eso requiere que usted bloquee completamente el servidor, mantenga sus parches, monitoree las intrusiones o cualquier otra falla que requiera intervención manual.

Entonces debes preocuparte por la seguridad del túnel SSH. ¿Qué versiones de SSH permitirás? ¿Qué cifras?

Si su proxy SSH se apaga por mantenimiento, el proxy está fuera de línea, a diferencia de un servicio VPN que comúnmente tiene múltiples servidores redundantes.

EDITAR: veo que su pregunta fue sobre la ejecución de su servidor propio (SSH o VPN). Si va a ejecutar su propio servidor, entonces lo que mencioné anteriormente no será relevante.

La ventaja de configurar su propio servidor VPN, es que no tiene que proporcionar credenciales de cuenta de inicio de sesión completas a los usuarios (ni a usted mismo). Diga que sus dispositivos se ven comprometidos y alguien encuentra su inicio de sesión SSH. Ahora pueden acceder a su servidor SSH como usuario. Si estuviera usando una VPN que no proporcionaría credenciales para iniciar sesión como un usuario remoto.

En segundo lugar, SSH mantiene registros de quién ha iniciado sesión cuando, y potencialmente los comandos ejecutados.

No creo que haya mucha diferencia en la seguridad entre una conexión ssh bien implementada (por ejemplo, solo con clave, frase de contraseña segura, ...) y una VPN. Puedes hacer ambas cosas muy apretadas, usa 2FA, qué has hecho ...

El beneficio I que veo es en usabilidad; La VPN le dará enrutamiento mágicamente, y no necesita apegarse a un software que entienda lo que es un proxy de calcetines.

Un túnel ssh solo protege el tráfico a un puerto específico en un servidor específico, mientras que una VPN debe manejar todo el tráfico a través de una ruta específica. Dicho esto, si tienes una conexión ssh, puedes ejecutar ppp o deslizarte para crear una VPN completa.

Las diferencias en la seguridad dependerán de la implementación.

SSH

SSH es en su corazón una cáscara segura. Originalmente fue diseñado como un sucesor cifrado de telnet. ¡Sin embargo, puede hacerlo mucho más! Para sus usos, está buscando específicamente el reenvío de puertos dinámico:

  

Reenvío dinámico de puertos convierte a su cliente SSH en un proxy SOCKS   servidor. SOCKS es un protocolo poco conocido pero ampliamente implementado para   Programas para solicitar cualquier conexión a Internet a través de un servidor proxy.   Cada programa que utiliza el servidor proxy necesita ser configurado   específicamente, y reconfigurado cuando deja de usar el servidor proxy.

Esto es similar a reenvío de puerto local a un servidor con squid ... cept SSH ahora se encarga de ejecutar el proxy de calcetines para usted (porque es un jefe).

Una vez que tanto la conexión SSH como su navegador estén configurados correctamente, debería poder buscar en Google what is my ip y hacer que muestre la dirección IP de los servidores remotos. Esto significa que todos los sitios web que visite lo verán como si tuviera un navegador abierto en ese servidor remoto.

  

Usted puede ( debería ) también configura Su navegador para usar el DNS a través de ese proxy, por lo que incluso sus búsquedas de DNS son seguras:

     

• Escriba about: config en la barra de direcciones de Firefox
  
• Busque la clave llamada "network.proxy.socks_remote_dns" y configúrela como verdadera
  

VPN

VPN extiende una red privada a través de una red pública configurando una tarjeta de red virtual y configurándola con una ip y gateway de la red privada .

Esto significa que puede usar esto para canalizar todo su software para que aparezca si todo se está ejecutando desde su servidor remoto (incluso los programas que no tienen soporte nativo para el proxy). Una vez más, debería poder buscar en Google cuál es mi IP y hacer que muestre la dirección IP de los servidores remotos.

Las VPN también tienden a tener más soporte para UDP (torrents / streaming software / gaming)

Seguridad

OpenVPN ejecuta un protocolo de seguridad personalizado basado en SSL y TLS en lugar de soportar IKE, IPsec , L2TP o PPTP .

SSH NO utiliza TLS / SSL, sino que emplea su propio protocolo, vea RFC 4253

Quitar

Algunas personas dicen que SSH es una VPN pobre para el hombre. Estoy totalmente en desacuerdo, y digo que el SSH es un método más quirúrgico para canalizar el tráfico específico para las personas que entienden lo que están haciendo. Mientras que VPN es como hacer túneles con dinamita ... obtendrás un túnel, pero a veces es la herramienta incorrecta para el trabajo.

Por ejemplo, digamos que está trabajando de forma remota y desea realizar una VPN en su red de trabajo desde su hogar. Ahora digamos que desea navegar por reddit, pero aún así desea mantener su VPN conectada para no perder ningún correo electrónico importante. Bueno, todos los memes de gato que estás navegando se enrutan a través de la red de tu trabajo ... posiblemente bloqueados por el proxy / firewall de las obras.

Alternativamente, si tiene acceso SSH a la red de su trabajo ... puede canalizar solo su correo electrónico y configurar un proxy de calcetines. Esto significa que aún puede recibir su correo electrónico y usar un navegador para cosas de negocios (por ejemplo, Chrome) y otro navegador para ver imágenes de gatos (por ejemplo, Firefox).

Ambas herramientas pueden ser útiles, solo depende de lo que quieras hacer.