VPN Nedir? SSH'den nasıl farklıdır?

Ben wikipedia sayfasını okudum, ama özel kaynakların üzerine yayılabileceğimizi söylüyor. ve kullanıcı özel ağa bağlı olduğu perspektifte kamu ağını kullanarak uzak kaynaklara veri gönderebilir.

Sonra, verileri aktarmak için ssh kullanabiliriz, ssh'den nasıl farklıdır? temel olarak, VPN'in arkasındaki temel fikri almıyorum.

1
Bu, burada cevaplanması gereken bir soru. Ancak SSH tünel açma, "fakir bir adamın" VPN'si olarak kullanılabilir. Wikipedia'nın yanı sıra okumak için çok daha fazla kaynak var.
katma yazar Ron Trunk, kaynak
Youtube'da arama yaparsanız, birkaç iyi yanıt alırsınız.
katma yazar Ron Trunk, kaynak
Tamam, bana VPN'i anla. Malzemeyi anlamak.
katma yazar Izhaki, kaynak

2 cevap

Geleneksel olarak ssh, bir ana bilgisayardan başka bir ana bilgisayara güvenli bir şekilde bağlanmak için kullanılır.

Bir vpn, bir konağı güvenli bir şekilde başka bir ağa bağlar. Bu, güvenlik duvarı, vb. İle diğer ağ ile sınırlı olabilecek yerel ana bilgisayar erişim kaynaklarına izin verir. Yazıcılar, özel veritabanları vb. Gibi şeyler. Tipik bir kullanım, çalışmayan dizüstü bilgisayarınızı ofis ağında değilken bile ofis ağına koymak olabilir. Ofis.

Bu tüneli yapmak için kullanılan birçok protokol vardır - SOCKS bunlardan biridir ve gerçekten de çoğu ssh uygulaması sizin için bir SOCKS tüneli kurabilir, ancak bu genellikle insanların VPN hakkında soru sorduklarında ne düşündükleri değildir.

2
katma
Bazı örnekleri görmek için "SSH tüneli" araması yapın.
katma yazar Ron Trunk, kaynak
Çorapları bir VPN protokolü olarak düşünmezdim. çorap bir uygulama katmanı şeydir.
katma yazar Peter Green, kaynak
Teşekkürler, bununla ilgili çeşitli şeyleri gördüm. Konsepti beğendim; ancak SSH kullanarak benzer VPN davranışını uygulayabilir mi?
katma yazar Izhaki, kaynak

Bölüm 1: arka plan

Merkez ofisi olduğunu söyleyelim. Ofisinizde bir ağ kuruyorsunuz ve bir güvenlik duvarı üzerinden internete bağlanıyorsunuz, büyük olasılıkla güvenlik duvarı da NAT yapıyor. Ağınızda bazı sunucuları dağıtın. Ayrıca, bir IP beyaz listesi aracılığıyla ağınızı tanımlayan çeşitli İnternet hizmetlerine de abone olursunuz.

Ancak tüm kullanıcılarınız genel merkezde değil. Bazıları evden çalışıyor, bazıları küçük şubelerden çalışıyor, bazıları yolda çalışıyor. Hala şirketinizin hizmetlerine erişmeleri gerekiyor, bunu nasıl yapıyorlar?

Onları sadece doğrudan İnternet üzerinden hizmetlere erişebilir, ancak bunun birkaç sorunu vardır.

  • Trafik, halkın interneti üzerinden geçerken rahatsız edici veya kurcalamaya açık olabilir.
  • Güvenlik duvarına etkili bir şekilde meşru müşterilerin adreslerini bilmelisiniz. Bu, hareket halindeki müşteriler için büyük bir sorundur (ve evden çalışan müşteriler için daha az sorun.)
  • IP tabanlı abonelik hizmetleri için sağlayıcınızla ayrı ayrı IP'lerin bir listesini beyaz listeye almanız veya bazı alternatif kimlik doğrulama yöntemleri sağlamanız gerekir.
  • Muhtemelen hizmetlerin, kısa tedarikte olan özel bir IPv4 adresine ihtiyaç duyacağı anlamına gelir (tüm dünya IPv6'ya taşındıysa iyi olurdu, ancak henüz orada değiliz)

Bir telekomdan özel devreler satın alabilirsiniz ama yine de bu problemleri var.

  • Pahalı, küçük bant genişliği gereksinimleri için özel devreler internet bağlantılarından daha pahalıya mal oluyor.
  • Hareket halinde olanlar için pratik değil.

Bölüm 2: VPN'ler

Bir VPN bu ikilemi, kamuoyunun tepesinde özel bir ağ oluşturarak çözmektedir.

VPN uç noktası genellikle kendini işletim sistemine sanal ağ arabirimi olarak sunar. Paketler bu arabirime gönderildiğinde, VPN yazılımına geçirilir. Tipik olarak VPN yazılımı paketi şifreleyecek, kendi başlıklarını ekleyecek ve ardından paketi VPN'nin diğer son noktasına gönderilecek bir yük olarak ağ yığınına geri iletecektir.

Paket daha sonra bir ağ üzerinden (genellikle kamuya açık internet) VPN'nin diğer ucuna geçer.

Paket VPN'nin diğer son noktasına ulaştığında süreç tersine çevrilir. İşletim sistemi paketi alır ve VPN yazılımına bir yük olarak aktarır. VPN yazılımı, paketin meşru olduğunu, şifresini çözdüğünü ve ekstra başlıkların kaldırıldığını doğrulayacaktır. Daha sonra sanal ağ arayüzü üzerinden ağ yığınına geri iletilecektir.

Dolayısıyla, VPN'in iki uç noktası arasında özel bir ağımız var, ancak veriler fiziksel olarak bir kamu ağının uç noktaları arasında taşınıyor.

Basit kapsülleme ve deencapsulation ek olarak VPN yazılımı sık sık diğer özellikler sağlayacaktır. Genellikle istemcilerin bir sunucuya kimlik doğrulaması yapması ve bir VPN oturumu oluşturması için bir mekanizma sağlar. Sunucuda tek bir sanal ağ arabiriminin birden çok istemciye hizmet vermesine izin vermek için bir düzeyde köprü veya yönlendirici işlevi sağlayabilir. Büyük olasılıkla IP adreslerini ve yönlendirme yapılandırmasını istemcilere iletmek için işlevselliğe sahip olacaktır.

İstemcilerin yönlendirilmesi, tüm istemcinin trafiğini VPN'ye göndermek üzere yapılandırılabilir veya yalnızca VPN'den belirli trafik göndermek üzere yapılandırılabilir. Her iki yaklaşım için artıları ve eksileri vardır.

VPN'ler hem "iç" hem de "dış" da çeşitli ağ katmanlarında çalışabilir. İçinde bir VPN IP paketlerini taşıyabilir veya Ethernet çerçeveleri taşıyabilir. Dışarıda bir VPN, TCP veya UDP gibi bir aktarım protokolü üzerinden çalışabilir veya doğrudan IP üzerinden çalışabilir.

Tüm bunları bir araya getirdiklerinde, uzak sitelerimizi ve kullanıcılarımızı özel ağımıza özel ağ bağlantıları satın almaya gerek kalmadan brined etme yöntemimiz var.

Bölüm 3: ssh ve çorap

çorap proxy'lerle konuşmak için bir protokoldür. Bir VPN ile aynı hedeflerden bazılarını elde edebilir, ancak daha yüksek bir seviyede çalışır. İstemci uygulamanız çorap proxy'sine bir TCP bağlantısı yapar ve daha sonra sunucuya bağlantı kurmasını ister. Bir kez kurulduktan sonra vekil veriyi iki TCP bağlantısı arasında ileri ve geri iletir. Çorap proxy'sinin, istemcinin doğrudan erişemediği ağ kaynaklarına erişimi varsa, istemci bu kaynaklara erişmek için proxy'yi kullanabilir.

Bir VPN'den farklı olarak, istemci uygulamasının çorapların farkında olması gerekir (bunun için hack'ler olmasına rağmen). Socks, isteğe bağlı kimlik doğrulaması sağlar, ancak çoğu VPN aracından farklı olarak şifrelemeyi sağlamadığı kadarıyla söyleyebilirim.

Müşterinin çoraplardan haberdar olması gerçeği bir yanlısı olabilir ve bir yandan uygulanabilirliği sınırlar. Öte yandan, çorap proxy'de sadece belirli bir uygulamayı işaret edebileceğiniz anlamına gelir. Bazı durumlarda, yalnızca bazı bağlantılar için çorap proxy'sini kullanmak için bir uygulamayı bile yapılandırabilirsiniz (firefox eklentisini "foxyproxy" ye bakın).

ssh, sunuculara uzak kabuk erişimi için esasen bir araçtır. Şifreleme ve kimlik doğrulaması sağlar ve genel olarak doğrudan internet üzerinden kullanım için yeterince güvenli olarak kabul edilir.

Uzak konsol erişimi için öncelikli olarak tasarlanırken ssh başka şeyler de taşıyabilir. Uygulama verilerini, istemci üzerinde çalışan bir program ile sunucu üzerinde çalışan bir program arasında doğrudan taşıyabilir.

Ssh'in bir özelliği port yönlendirmesidir, üç farklı mod vardır, hepsi TCP seviyesinde ileriye doğru bağlantılar. Varsayılan olarak yalnızca localhost'tan bağlantılar iletilir.

  • "yerel" ssh istemcisi, önceden belirlenmiş bir bağlantı noktasında TCP bağlantılarını dinler. Birini aldığında, sunucunun önceden belirlenmiş bir IP/bağlantı noktasına bağlanmasını ister. Veriler daha sonra ssh bağlantısı üzerinden iki TCP bağlantısı arasında iletilir.

  • "uzak" ssh sunucusu, önceden belirlenmiş bir bağlantı noktasındaki bağlantıları dinler. Birini aldığında, müşteriden önceden belirlenmiş bir IP/bağlantı noktasına bağlanmasını ister. Veriler daha sonra ssh bağlantısı üzerinden iki TCP bağlantısı arasında iletilir.

  • "dinamik", ssh istemcisi bir çorap proxy sunucusu görevi görür. Çorap müşterisi belirli bir IP/port ile bağlantı talep ettiğinde, ssh istemcisi ssh sunucusunun o IP/port ile bağlantı kurmasını ister. Yine veri ssh bağlantısı üzerinden iletilir. Bu aslında size ssh şifreleme ve kimlik doğrulama ile çorap özellikleri verir.

Ayrıca ppp (ya da olası fiş) taşımak ve gerçek bir VPN yapmak için ssh kullanabilirsiniz.

1
katma