Quelle est la différence entre la connexion à un système distant via SSH et la connexion à un réseau distant via VPN?
Par exemple, si je peux me connecter à une machine distante sur un autre réseau via SSH, pourquoi avoir besoin d'un VPN?
Quelle est la différence entre la connexion à un système distant via SSH et la connexion à un réseau distant via VPN?
Par exemple, si je peux me connecter à une machine distante sur un autre réseau via SSH, pourquoi avoir besoin d'un VPN?
Réponses:
Un VPN (Virtual Private Network) crée une nouvelle connexion au niveau du réseau sur votre machine. Généralement, cela se fait pour des raisons de confidentialité / cryptage. Tout le trafic réseau sur cette machine utilisera désormais le VPN au lieu d'une connexion réseau brute / simple.
SSH (Secure Shell) est simplement un moyen de se connecter à distance à un terminal / ligne de commande sur une autre machine. Donc, si vous utilisez un VPN pour la connexion réseau, cela seul ne vous connectera pas à une machine distante; SSH est le protocole / la méthode utilisée pour vous connecter à l'autre machine.
Maintenant que cela dit, je pense que je comprends un peu plus votre question: pourquoi aurait-on besoin d'utiliser explicitement SSH lors de l'utilisation d'un VPN car le VPN impliquerait la confidentialité / sécurité. Je veux dire que si vous faites confiance à 100% à votre connexion VPN, vous pouvez simplement utiliser Telnet non sécurisé ou même FTP simple , non?
Eh bien, le fait d'utiliser SSH et un VPN en combinaison assure un niveau de sécurité plus profond. Cela signifie que même si le VPN est compromis, un attaquant / probateur devra toujours pénétrer la connexion SSH pour obtenir quelque chose de valeur.
Un autre aspect n'est pas que tous les VPN sont conçus pour une confidentialité / sécurité approfondie. Certains VPN sont simplement des routes privées vers d'autres réseaux auxquels d'autres utilisateurs accèdent également. Et dans ce cas, un VPN ne serait pas différent d'un LAN (réseau local) où les connexions homologues VPN auraient un accès quelque peu égal aux autres connexions homologues VPN.
Tout se résume à l'objectif, à la confidentialité et à la fiabilité. Si vous êtes sûr à 100% que vous faites confiance à votre VPN et que vous ne pensez pas qu'il présente un risque de fuite de données, faites ce que vous voulez sans avoir besoin de la couche supplémentaire de sécurité fournie par SSH. Mais en règle générale, il vaut mieux être proactif en toute sécurité que réactivement désolé. Utiliser SSH même dans un VPN sécurisé est la voie à suivre. Sans oublier que SSH est si courant de nos jours qu'il n'y a pas de raison de ne pas l'utiliser. Heck, les gens ont tendance à oublier les jours non-SSH de Telnet.
Les VPN fonctionnent généralement en créant une carte réseau virtuelle sur votre système. Le trafic allant vers cette carte réseau virtuelle est intercepté par le logiciel VPN, qui le crypte et le traite autrement, puis est envoyé à un point de terminaison de serveur VPN où il peut être transmis, comme par exemple par un routeur d'entreprise interne. Pour l'application, un VPN n'est pas différent d'une carte réseau standard.
Le transfert SSH est votre client SSH qui écoute sur un port sur 127.0.0.1, puis transfère les données qui entrent dans ce port local vers un port sur le serveur, en utilisant la même méthode de cryptage que votre shell. S'il n'y a rien à écouter sur le port du serveur distant, rien ne se passe.
Voici au moins quelques différences importantes:
SSH ne peut transférer qu'un seul port (enfin, il peut transférer plusieurs ports, mais vous devez tous les spécifier). Cela signifie que si vous souhaitez accéder en toute sécurité à plusieurs services sur un hôte distant, chacun s'exécutant sur un port unique, vous devez configurer et gérer les transferts pour chaque service.
Vos clients SSH typiques ne prennent pas en charge la spécification de plusieurs serveurs auxquels se connecter, en essayant le premier qui fonctionne. Ce type de chose est intégré à OpenVPN, par exemple.
SSH ne prend pas en charge le tunneling UDP par lui-même.
Étant donné que les VPN ressemblent à une carte réseau pour le système d'exploitation, les itinéraires impliquant la carte VPN peuvent être spécifiés. Ainsi, le système d'exploitation peut envoyer tout trafic destiné à un sous-réseau via l'adaptateur VPN. Cela peut faire des choses comme faire passer tout votre trafic Internet via le VPN, pour le filtrage ou la confidentialité. SSH ne peut pas le faire facilement.
Les VPN de couche 2 peuvent fonctionner avec le trafic de diffusion, ce qui permet à des éléments tels que DHCP, la multidiffusion, ICMP et le trafic Windows SMB de fonctionner à travers eux.