vpn vs ssh, ¿qué elegir? [duplicar]

VPN y SSH son similares en el sentido de que ambos establecen un canal de punto a punto de confianza y cifrado, pero es casi donde terminan las similitudes. El objetivo de VPN es otorgarle acceso a una red a la que de otra manera no podría acceder, mientras que el objetivo de SSH es otorgarle acceso de shell a un sistema en particular. Juegan roles diferentes, no exclusivos: es perfectamente común requerir VPN antes de poder usar SSH.

Hay múltiples beneficios de usar VPN sobre ssh directo. SSH es un demonio de nivel raíz que proporciona acceso directo a un dispositivo. En el pasado hubo vulnerabilidades de 0 días en SSH, y quién sabe, puede haber una al acecho a la vuelta de la esquina, dando a los atacantes acceso directo a cualquier sistema expuesto a Internet. Alternativamente, un demonio ssh mal configurado puede permitir el inicio de sesión con contraseñas que pueden ser adivinadas o detectadas mediante pulsaciones de teclas. No exponer ssh en sus dispositivos directamente a Internet es una muy buena política de seguridad.

VPN, por otro lado, generalmente se realiza a través de un dispositivo o un demonio no root, limitando la superficie de ataque. VPN también simplifica dramáticamente el acceso a recursos restringidos que no sean solo SSH, por ejemplo, sitios web sólo internos. Si bien puede reenviar puertos mediante SSH, es mucho más complicado que usar una VPN. Además, la ejecución de un servidor VPN permite implementar la autenticación centralizada de 2 factores, asignar direcciones IP internas estáticas a cuentas autenticadas, etc. Esto último es útil cuando se realiza un seguimiento del acceso de los administradores a través de flujos de red y cuando se restringe el acceso a los recursos internos por grupos.

En otras palabras, requerir una conexión VPN antes de acceder a ssh en sistemas es una práctica común y una buena política de seguridad.

Mucho de esto se reducirá a lo que realmente necesita y la elección personal.

Es posible canalizar mucho tráfico a través de SSH y tratarlo como una VPN.

También hay muchas similitudes entre los dos, por ejemplo, dependiendo de la selección de VPN que elija, puede que también esté usando SSL / TLS para la VPN, que es lo que utiliza SSH, o incluso los mismos cifrados, algoritmos o bibliotecas de cifrado . Entonces, aunque hay algunas diferencias para las opciones de cifrado, las opciones de cifrado son muy similares.

Las áreas en las que comienzan a ser diferentes implican si necesita o no tráfico de Capa 2 (como marcos de Ethernet) en lugar de tener tráfico de IP (lo que la mayoría de la gente necesita). O si desea reenviar de forma permanente múltiples protocolos o usuarios a través de la misma conexión, en cuyo caso la VPN puede ser más fácil.

Una desventaja de algunas VPN, no todas, es que si se conecta a ellas desde ubicaciones remotas, es posible que algunos proveedores, como IPSEC, puedan bloquear ciertos protocolos.

En general, encuentro que si solo está haciendo conexiones sencillas, SSH será mucho más fácil de administrar si lo hace de forma manual o mediante scripts.

Si tiene una red más compleja con muchos protocolos no cifrados, puede optar por ir a la ruta VPN.

Ambas son buenas soluciones y, en todo caso, sugeriría probar ambas para ver cuál de ellas se adapta mejor a sus necesidades.

Personalmente tiendo a inclinarme por SSH como mi herramienta de ir a la herramienta porque es extremadamente flexible, pero ocasionalmente recomiendo VPN para conexiones más grandes de sitio a sitio o para clientes que son 100% de tiendas de Windows.

En entornos de alta seguridad, uso ambos y ejecuto todas las conexiones SSH a través de una VPN. Es posible que desee probar esto también.

En última instancia, debido a la flexibilidad de SSH, los dos son muy similares y gran parte de la decisión dependerá de sus preferencias y necesidades personales.

Me preocuparía mucho un "experto" en seguridad que piense que los términos SSH y VPN se aplican a la misma funcionalidad. Supongo que el cuento ha perdido algo en el recuento.

VPN simplemente significa una conexión de red encriptada. Hay múltiples tecnologías que pueden ofrecer eso; TLS, PPTP, e incluso SSH entre otras cosas. Suponiendo que esté hablando específicamente sobre una VPN TLS ...

TLS y SSH tienen modelos de confianza muy diferentes. Para SSH, la confianza se establece entre el cliente y el servidor. Con TLS, tanto el cliente como el servidor confían en la autoridad de certificación. Este último proporciona cierta centralización del control, pero tiene el costo de una mayor superficie de ataque.

Dejando de lado el modelo conceptual de confianza, observando el historial de vulnerabilidades de SSH en comparación con TLS, no es sorprendente que SSH tenga menos defectos de seguridad publicados que TLS, es un protocolo mucho más simple.

En mi humilde opinión, el concepto de intentar agregar seguridad a la red es fundamentalmente defectuoso: cada nodo de la red debe ser seguro y todas las conexiones deben autenticarse en los puntos finales (los cortafuegos intermedios solo ayudan a reducir el ruido) . Por lo tanto, mi recomendación sería utilizar la tecnología apropiada para la aplicación; SSH para acceso shell y Xwindow, TLS para HTTP, SMTP e IMAP. Pero para protocolos basados en UDP o conexiones TCP que requieren baja latencia, IPSEC es una buena alternativa a un túnel SSL / SSH convencional.

Hay algunas áreas donde la tecnología no admite explícitamente una u otra (por ejemplo, muchos servidores de base de datos) y otras donde está profundamente incorporada al protocolo (por ejemplo, FTPS vs SFTP), pero eso debe considerarse en un protocolo por protocolo base.