संयोजन में SSH और VPN का उपयोग क्यों करें?

24

मेरे नियोक्ता को मुझे पहले वीपीएन पर लॉग इन करना होगा, और उसके बाद ही मैं सर्वर में एसएसएच कर सकता हूं। लेकिन, SSH की सुरक्षा को देखते हुए, वीपीएन ओवरकिल है?

यदि मैं पहले से ही SSH का उपयोग कर रहा हूँ, तो सुरक्षा की दृष्टि से VPN का उपयोग क्या है ?

vpn  ssh 
जावा डेवलपर
स्रोत
2
वीपीएन एक व्यापक गुंजाइश होगा - इसके बिना आप शायद है कोई कंपनी नेटवर्क के अंदर पहुँच सब पर
user253751
2
मैं थोड़ा उलझन में हूँ क्योंकि मैं वास्तव में SSH का उपयोग करने का एक कारण स्वीकार नहीं करता जब तक कि यह किसी तरह से किसी पागल कारण के लिए उपलब्ध न हो।
Shadur
1
@ बहादुर: क्यू में चुने गए विकल्प 1) वीपीएन + एसएसएच, 2) एसएसएच अकेले लेकिन 3 नहीं) वीपीएन अकेले हैं। ओपी के सामने आने वाले विकल्पों में एसएसएच शामिल है।
RedGrittyBrick 15
यदि उनके LAN ने IPSEC का उपयोग किया है, तो मुझे लगता है कि आप उपयोग कर सकते हैंrsh
नील मैक्गुइगन

जवाबों:

36

आपके वर्तमान सेटअप के पीछे का तर्क संभवतः निम्नलिखित तीन कारणों का कुछ संयोजन है।

वीपीएन आपकी कंपनी के नेटवर्क के बाहर के लिए एक सुरक्षा समाधान है (नीचे # 1 देखें) । हालांकि, SSH आपकी कंपनी के नेटवर्क के बाहर सुरक्षा की दूसरी परत हो सकती है ... लेकिन इसका मुख्य उद्देश्य आपकी कंपनी के नेटवर्क के भीतर यातायात को सुरक्षित करना है (# 2 नीचे देखें) । वीपीएन भी आवश्यक है यदि आप जिस डिवाइस में एसएसएच करने की कोशिश कर रहे हैं वह आपकी कंपनियों के नेटवर्क पर एक निजी पते का उपयोग कर रहा है (नीचे # 3 देखें)

  1. वीपीएन आपके कंपनी नेटवर्क के लिए सुरंग बनाता है जिसे आप डेटा के माध्यम से धक्का देते हैं। इस प्रकार कोई भी आपके और आपकी कंपनी के नेटवर्क के बीच के ट्रैफ़िक को नहीं देख सकता है कि वास्तव में आप क्या भेज रहे हैं। वे सभी देखते हैं कि सुरंग है। यह उन लोगों को रोकता है जो कंपनी नेटवर्क से बाहर हैं जो आपके ट्रैफ़िक को इस तरह से रोकना चाहते हैं जो उपयोगी है।

  2. SSH आपके नेटवर्क पर उपकरणों से कनेक्ट करने का एक एन्क्रिप्टेड तरीका है (टेलनेट के विपरीत, जो स्पष्ट पाठ है)। सुरक्षा के लिए कंपनियों को अक्सर कंपनी नेटवर्क पर भी SSH कनेक्शन की आवश्यकता होती है। अगर मैंने एक नेटवर्क डिवाइस पर मैलवेयर स्थापित किया है और आप उस डिवाइस में टेलनेट करते हैं (भले ही आप वीपीएन सुरंग के माध्यम से आ रहे हों - जैसा कि वीपीएन सुरंग आमतौर पर किसी कंपनी के नेटवर्क की परिधि में समाप्त होता है), मैं आपका उपयोगकर्ता नाम और पासवर्ड देख सकता हूं। यदि यह SSH का उपयोग कर रहा है, तो मैं नहीं कर सकता।

  3. यदि आपकी कंपनी आंतरिक नेटवर्क के लिए निजी पते का उपयोग कर रही है, तो आप जिस डिवाइस से कनेक्ट कर रहे हैं वह इंटरनेट पर रूट-सक्षम नहीं हो सकता है। एक वीपीएन सुरंग के माध्यम से कनेक्ट करना ऐसा होगा जैसे आप सीधे कार्यालय में जुड़े हुए हैं, इसलिए आप कंपनी नेटवर्क के आंतरिक मार्ग का उपयोग करेंगे जो कंपनी नेटवर्क के बाहर पहुंच योग्य नहीं होगा।

NetRay
स्रोत
6
यदि मैलवेयर टारगेट डिवाइस पर है, तो टेलनेट की तुलना में SSH वास्तव में मदद नहीं करता है। (यदि नेटवर्क में अन्य उपकरणों पर मैलवेयर है, तो यह मदद करेगा।)
पाओलो एबरमन
21

SSH जानवर-मजबूर करने के प्रयासों के लिए एक अत्यंत लोकप्रिय लक्ष्य है। यदि आपके पास इंटरनेट पर सीधे SSH सर्वर है, तो मिनटों के भीतर, आपको सभी प्रकार के उपयोगकर्ता नामों (और पासवर्ड) के साथ लॉगिन प्रयास दिखाई देंगे - अक्सर छोटे तुच्छ सर्वर पर भी प्रति दिन हजारों।

अब एसएसएच सर्वर को कठोर करना संभव है (मुख्य तीन तंत्रों को एसएसएच कुंजी की आवश्यकता होती है, एसएसएच को रूट एक्सेस से इनकार करते हैं, और यदि संभव हो तो आईपी पते को प्रतिबंधित करना जो कनेक्ट करने की अनुमति है)। फिर भी, SSH सर्वर को सख्त करने का सबसे अच्छा तरीका यह है कि वह इंटरनेट पर भी उपलब्ध न हो।

इससे क्या फर्क पड़ता है? आखिरकार, एसएसएच मौलिक रूप से सुरक्षित है, है ना? ठीक है, हाँ, लेकिन यह केवल उतना ही सुरक्षित है जितना कि उपयोगकर्ता इसे बनाते हैं - और आपका नियोक्ता कमजोर पासवर्ड, और एसएसएच कुंजी चोरी होने के बारे में चिंतित हो सकता है।

एक वीपीएन जोड़ने से रक्षा की एक अतिरिक्त परत जुड़ जाती है जो एसएसएच के रूप में व्यक्तिगत-सर्वर स्तर के बजाय कॉर्पोरेट स्तर पर नियंत्रित होती है।

कुल मिलाकर, मैं आपके नियोक्ता को यहां कुछ अच्छी सुरक्षा प्रथाओं को लागू करने की सराहना करूंगा। सुविधा की कीमत पर, बेशक (सुरक्षा आमतौर पर सुविधा की कीमत पर आती है)।

केविन कीन
स्रोत
4
मैकेनिज्म # 4 को फेल 2 ब्बन कहा जाता है और मैं इसका उपयोग करने की अत्यधिक सलाह देता हूं।
शादुर
बहुत बढ़िया बिंदु। इसी तरह का एक और उपकरण डेनिहोस्ट है। एक साइड नोट के रूप में, विफलता 2ban के कुछ संस्करणों में भेद्यता है जो एक हमलावर को मनमाने मेजबानों को ब्लॉक करने का कारण बनता है - मूल रूप से, उन संस्करणों को एक इनकार-की-सेवा हमले के लिए एक वेक्टर के रूप में इस्तेमाल किया जा सकता है।
केविन कीन
7

वीपीएन आपको अपने नियोक्ता के निजी नेटवर्क से कनेक्ट करने और उस निजी नेटवर्क का आईपी पता प्राप्त करने की अनुमति देता है। एक बार जब आप वीपीएन से जुड़ जाते हैं, तो ऐसा होता है कि आप कंपनी के अंदर एक कंप्यूटर का उपयोग कर रहे हैं - भले ही आप भौतिक रूप से दुनिया के दूसरे छोर पर स्थित हों।

संभवतः, आपके नियोक्ता को आपको पहले वीपीएन के माध्यम से कनेक्ट करने की आवश्यकता होती है क्योंकि सर्वर इंटरनेट से सुलभ नहीं होते हैं (अर्थात वे सार्वजनिक आईपी पते नहीं हैं), जो एक अच्छा विचार है। वीपीएन सुरक्षा की एक और परत जोड़ता है, जैसे कि सर्वर एसएसएच के माध्यम से सार्वजनिक रूप से सुलभ थे वे हमलों की एक श्रृंखला के लिए असुरक्षित होंगे।

dr01
स्रोत
4

SSH एक एन्क्रिप्शन प्रोटोकॉल है जिसका उपयोग कई चीजों के लिए किया जाता है। वीपीएन सुरंग में ट्रैफ़िक को एन्क्रिप्ट करना उनमें से एक है। आपका ट्रैफ़िक SSH का उपयोग करके एन्क्रिप्ट किया गया है, लेकिन फिर इसे इंटरनेट जैसे नेटवर्क को ट्रैस करने के लिए वैध आईपी पैकेट (सुरंग) में लपेटने की आवश्यकता है। यह सुरंग वीपीएन है।

मूल रूप से, आपका नियोक्ता सुरक्षा के लिए, नेटवर्क ट्रैफ़िक के बाहर ब्लॉक कर देता है, जब तक कि ट्रैफ़िक एक वीपीएन के माध्यम से नहीं आता है जिसे नियोक्ता नियंत्रित करता है। एक वीपीएन सुरंग की सामग्री को एन्क्रिप्ट या नहीं कर सकता है। एसएसएच का उपयोग वीपीएन सुरंग में किए गए ट्रैफ़िक को एन्क्रिप्ट करेगा।

रॉन मौपिन
स्रोत
4
संक्षेप में: वीपीएन नेटवर्क की सुरक्षा करता है, एसएसएच व्यक्तिगत सर्वर की सुरक्षा करता है।
रिकी बीम
4

स्थानीय नेटवर्क में जाने के लिए आपको वीपीएन की आवश्यकता होती है।

इसके बाद आपको व्यक्तिगत सर्वर से अपने कनेक्शन को सुरक्षित करने की आवश्यकता नहीं है, क्योंकि यह पहले से ही वीपीएन लिंक द्वारा एन्क्रिप्ट किया जाएगा।

हालाँकि, आप उनसे और कैसे जुड़ेंगे? एसएसएच दूरस्थ सर्वरों के लिए डी फैक्टो कंसोल एक्सेस प्रोटोकॉल है; असुरक्षित स्थापित करने और कॉन्फ़िगर करने से एक अतिरिक्त प्रबंधन हो जाएगा, और स्थानीय नेटवर्क के भीतर सुरक्षा कम हो जाएगी (जो एक समस्या हो सकती है या नहीं भी हो सकती है)।

मत भूलो, कंपनी के भीतर भी हर व्यक्ति के पास हर सर्वर तक कुल पहुंच नहीं होगी, और स्थानीय नेटवर्क के भीतर भी कुंजी-आधारित एन्क्रिप्शन का उपयोग करने की क्षमता आपके नेटवर्क व्यवस्थापक को आसानी से और सुरक्षित रूप से सुनिश्चित करने की अनुमति देती है कि केवल वे लोग ही जानते हैं कि वे क्या जानते हैं कर रहे हैं, यहां तक ​​कि कंपनी के भीतर, सर्वर को छूने की अनुमति है।

लाइटनेस दौड़ती है मोनिका के साथ
स्रोत
4

आप वीपीएन के माध्यम से सुरक्षा की अतिरिक्त परतों को भी चला सकते हैं। जैसे डिवाइस मानदंड जांच, 2 कारक प्रमाणीकरण, आदि।

chefz
स्रोत
2

विशिष्ट तर्क यह है कि आप एक्सपोज़र और संभावित अटैक वैक्टर को यथासंभव कम करना चाहते हैं।

यदि आप इस आधार से शुरू करते हैं कि एसएसएच और वीपीएन दोनों की आवश्यकता होती है (अपने उद्देश्यों के लिए), तो दोनों का बाहरी रूप से सामना करने का मतलब है कि हमलावरों के आपके पर्यावरण में दो संभावित मार्ग हैं। यदि आप SSH को केवल स्थानीय बनाते हैं, तो यह सर्वर की सुरक्षा के लिए एक अतिरिक्त परत जोड़ता है। निम्नलिखित परिदृश्यों पर विचार करें:

  1. SSH + VPN बाहरी रूप से। सर्वर से समझौता करने के लिए हमलावर को केवल SSH से समझौता करने की आवश्यकता होती है।

  2. SSH बाहरी। कार्यात्मक रूप से पिछले परिदृश्य के समान है।

  3. वीपीएन बाहरी (एसएसएच आंतरिक)। सुरक्षा पर संदेह। सर्वर से कुछ भी करने से पहले हमलावर को दोनों के माध्यम से तोड़ना होगा।

इस तथ्य पर विचार करें कि वीपीएन अन्य कार्यों के लिए उपयोगी होगा, और बाहरी पहुंच के लिए बेहतर कॉन्फ़िगर किया जा सकता है और यह एक नो-ब्रेनर है।

जोज़फ़ वुड्स
स्रोत
0

मुझे खतरा होगा कि उत्तर बस यह है कि NAT शामिल है और (जैसा कि कई अन्य लोगों ने कहा है) दुनिया के अंतिम लक्ष्य सर्वर को उजागर करने के लिए एक और हमले के बिंदु को आमंत्रित करता है। जब तक आप बड़ी कुंजी के साथ भारी बल्क डेटा स्थानांतरण नहीं कर रहे हैं, SSH आम तौर पर रास्ते में नहीं मिलता है। अड़चन लगभग हमेशा नेटवर्क होगी। (लगभग = = हमेशा)।

यदि आप IPv6 के लिए पर्याप्त 'भाग्यशाली' हैं, तो यह एक मुद्दे के रूप में ज्यादा होने की संभावना नहीं है, लेकिन IPv4 और सीमित पता स्थान उपलब्ध NAT के साथ है (IMO) अंततः मुझे क्या लगता है कि इस 'नीति' के पीछे किसी भी अन्य की तुलना में अधिक है 'आकस्मिक' या 'उद्देश्यपूर्ण' सुरक्षा।

ErnieE
स्रोत
0

मेरी वर्तमान समझ से, SSH - क्योंकि यह केवल यह सत्यापित करने के लिए एक tcp कुंजी विनिमय का उपयोग करता है कि एक क्लाइंट उपयोगकर्ता के पास सर्वर में उपयोगकर्ता ID तक पहुँचने के लिए सही क्रेडेंशियल्स हैं, मध्य हमलों में आदमी के लिए अतिसंवेदनशील है जहाँ एक ISP, या राउटराइज़्ड राउटर हो सकता है। हैंडशेक अनुरोध को रोकें और प्रमाणीकरण भेजने वाले के रूप में कार्य करें, जिससे कनेक्शन को हाइजैक किया जा सके। यह आदेशों को स्ट्रीम में इंजेक्ट करने की अनुमति देता है और फिर प्रारंभिक प्रामाणिक क्लाइंट तक पहुंचने से पहले आउटपुट को फ़िल्टर किया जाता है, इस प्रकार सर्वर ssh शेल में मनमाना कमांड के मध्य इंजेक्शन में आदमी को छिपाता है।

हालांकि एक वीपीएन सुरंग द्वारा कुछ ऐसा करने की अनुमति देता है जो ssh नहीं करता है। एक अतिरिक्त पूर्व-सहानुभूति एन्क्रिप्शन कुंजी। इसका मतलब यह है कि दो मशीनों के बीच का ट्रैफिक बीच के हमले में एक आदमी के लिए अतिसंवेदनशील नहीं है क्योंकि ट्रैफ़िक, अगर ssl एन्क्रिप्शन लेयर को नियंत्रित करने के लिए प्रामाणिक क्लाइंट की ओर से इंटरसेप्ट और फॉरवर्ड किया गया है, तो vnn एन्क्रिप्शन कुंजी को पास नहीं किया जा सकेगा आवश्यकताएं क्योंकि तीसरे पक्ष के पास वीपीएन कुंजी को खराब करने की क्षमता नहीं होगी जिस तरह से वे ssh tcp ssl कनेक्शन को अग्रेषित करने वाले एक मध्यम व्यक्ति को नियंत्रित करने में सक्षम होंगे।

इसलिए, ssh, ISP या समझौता राउटर के बीच में आदमी को रोकने के लिए पर्याप्त नहीं है जिसे सर्वर से कनेक्ट करने के लिए क्लाइंट को गुजरना पड़ता है।

jonnyjandles
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.