web-dev-qa-db-ja.com

VPN対SSH、何を選択するのですか?

まず、私はこの分野の初心者なので、専門家からアイデアを得るためにここに来ました。

先日、友人がsshはかなり安全なプロトコルであり、sshを使用している間はネットワークセキュリティについて心配するべきではないと言っていました。

私の会社では、リモートデバイスへの接続に常にsshを使用しています。今日のセキュリティ専門家は、vpnを優先してすべてのsshアクセスを削除したいと言っています。私は友人が私に言ったことを彼に話しましたが、彼はより良いセキュリティを持っているssl vpnを主張しています。彼が正しいのか、それとも私が正しいのかというと、私はsshを使用しているので、十分に安全です。

言い換えれば、ssl vpnはsshが提供しない追加のセキュリティ機能を提供しますか、またはsshはそれらのフィールドでひどく失敗する可能性がありますか?

8
dominico

VPNとSSHは、どちらも信頼できる暗号化されたポイントツーポイントチャネルを確立するという意味で似ていますが、これが類似点の終わりです。 VPNの目的は、他の方法ではアクセスできないネットワークへのアクセスを許可することですが、SSHの目的は、特定のシステムへのシェルアクセスを許可することです。それらは異なる非排他的な役割を果たします-SSHを使用する前にVPNを要求することは完全に一般的です。

直接SSH経由でVPNを使用することには、いくつかの利点があります。 SSHは、デバイスに直接アクセスできるルートレベルのデーモンです。 SSHには過去0日間の脆弱性がありましたが、角を曲がったところに潜んでいる脆弱性があり、攻撃者がインターネットに公開されたシステムに直接アクセスできる可能性があることを知っています。あるいは、誤って設定されたsshデーモンは、キーストロークを介して推測または盗聴可能なパスワードを使用してログインできる場合があります。デバイスのsshを直接インターネットに公開しないことは、非常に優れたセキュリティポリシーです。

一方、VPNは通常、アプライアンスまたは非ルートデーモンを介して行われるため、攻撃対象が限定されます。 VPNは、SSH以外の制限されたリソースへのアクセスも劇的に簡素化します。内部のみのWebサイト。 SSHを使用してポート転送することもできますが、VPNを使用する場合に比べてはるかに面倒です。さらに、VPNサーバーを実行すると、集中2要素認証の実装、認証済みアカウントへの静的内部IPアドレスの割り当てなどが可能になります。後者は、ネットフローを介した管理アクセスを追跡する場合や、グループによる内部リソースへのアクセスを制限する場合に役立ちます。

つまり、システムのsshにアクセスする前にVPN接続を要求することは、一般的な方法であり、優れたセキュリティポリシーでもあります。

9
mricon

これの多くは、実際に必要なものと個人的な選択に帰着します。

SSHを介して大量のトラフィックをトンネルし、VPNのように扱うことができます。

たとえば、選択したVPNの選択によっては、SSHが使用するVPNにSSL/TLSを使用している場合や、同じ暗号、アルゴリズム、または暗号化ライブラリを使用している場合もあります。したがって、暗号化オプションにはいくつかの違いがありますが、暗号化オプションは非常に似ています。

それらが異なるようになり始める領域には、レイヤー2トラフィック(イーサネットフレームなど)が必要かどうかと、IPトラフィック(ほとんどの人が必要とするもの)だけが必要かどうかが含まれます。または、同じ接続を介して複数のプロトコルまたはユーザーを永続的に転送する場合は、VPNの方が簡単です。

すべてではなく一部のVPNの欠点の1つは、リモートの場所からVPNに接続している場合、IPSECなどの特定のプロトコルが一部のプロバイダーによってブロックされる場合があることです。

一般に、単一の接続を作成しているだけの場合、SSHを手動で実行するかスクリプトで実行するかにかかわらず、SSHを管理する方がはるかに簡単です。

暗号化されていないプロトコルが多数ある、より複雑なネットワークがある場合は、VPNルートを選択することができます。

どちらも良い解決策です。どちらかを試してみて、どちらがあなたのニーズに最適かを調べることをお勧めします。

個人的には、非常に柔軟性があるため、SSHを使用する傾向がありますが、大規模なサイト間接続や100%Windowsショップのクライアントには、VPNを推奨することがあります。

高セキュリティ環境では両方を使用し、すべてのSSH接続をVPN経由で実行しています。これも試してみてください。

最終的にはSSHの柔軟性により、この2つは非常によく似ており、多くの決定は個人の好みやニーズによって決まります。

6
Trey Blalock

私は、SSHとVPNの用語が同じ機能に適用されると考えるセキュリティの「専門家」を非常に心配します。私はその物語が語り直しで何かを失ったと思います。

VPNは単に暗号化されたネットワーク接続を意味します。それを実現できるテクノロジーは複数あります。 TLS、PPTP、さらにはSSHなどです。特にTLS VPNについて話していると仮定します。

TLSとSSHの信頼モデルは大きく異なります。 SSHの場合、クライアントとサーバー間で信頼が確立されます。 TLSでは、クライアントとサーバーの両方が認証局を信頼します。後者は制御の集中化を提供しますが、攻撃面が大きくなるという犠牲を伴います。

TLSと比較したSSHの脆弱性の履歴を見ると、信頼の概念モデルは別として、SSHがTLSよりも公開されているセキュリティ上の欠陥が少ないことは驚くに値しません。

IMHO、ネットワークにセキュリティを追加しようとするという概念には根本的な欠陥があります-ネットワーク上の各ノードは安全である必要があり、すべての接続はエンドポイントで認証される必要があります(間にあるファイアウォールはノイズの削減に役立ちます)。したがって、私の推奨は、アプリケーションに適切なテクノロジーを使用することです。 ShellおよびXwindowアクセス用のSSH、HTTP、SMTPおよびIMAP用のTLS。ただし、UDPベースのプロトコルまたはTCP低レイテンシを必要とする接続の場合、IPSECは従来のSSL/SSHトンネルの優れた代替手段です。

テクノロジがどちらか一方を明示的にサポートしていない領域(多くのデータベースサーバーなど)と、プロトコルに深く組み込まれている領域(FTPSとSFTPなど)がありますが、プロトコルごとに検討する必要があります。

2
symcbean