Ssh in vpn vprasanje

Če se nekdo priključi na isto dostopno točko, v principu ne more kar tako spremljati tvojega prometa, razen seveda, če ne "hekne" te dostopne točke. Če je fizično blizu tebe, sicer lahko lovi tvoj brezžični promet, ampak dandanes naj bi bile (skoraj) vse brezžične povezave že dovolj varno šifrirane (z WPA, WEP nekako ne more šteti mednje; drugače povedano, potrebuješ "geslo" za dostop do AP). Teoretično bi lahko prisluškoval tudi vsak, ki ima nadzor nad katerokoli vmesno točko med teboj in ciljnim strežnikom, vendar glej naslednji odstavek.

SSH je protokol, ki ti omogoča, da naj nihče vmes ne bi mogel prisluškovati tvojemu prometu ali ga celo spreminjati. Z "nihče" mislim na veliko večino navadnih smrtnikov, če velja tudi za NSA, bi moral vprašati Snowdena . Kakorkoli že, že ob rokovanju, ki še ni šifrirano, je dovolj varovalk, ki zaznajo, če se je kjerkoli "popravil" en samcat bit, takoj ko je mogoče, se povezava šifrira, obenem se preverja tudi integriteta sporočil (ali jih je kdo spreminjal) in če se zazna kaj takšnega, se seja takoj prekine. SSH ima dodelane mehanizme za avtentikacijo tako odjemalca kot strežnika (preprečevanje napadov "man in the middle"), komunicira prek enega porta (po defaultu 22), kar zelo olajša nastavitev firewalla na strežniški strani, pravzaprav postavi neko varno "avtocesto" med teboj in strežnikom, po kateri se lahko multipleksira več kanalov, tako takšnih s standardnimi storitvami, npr. lupinski dostop, poganjanje ukazov, port forwarding (nekakšen VPN za TCP based povezave; UDP zadeve, npr. DNS, niso mogoče), prenos datotek po SFTP ali SCP, varen oddaljen dostop prek X.... kot tudi nestandardnimi, če jih podpirata tako ena kot druga stran. Če je kdo preveč "pameten" (če smo natančnejši, tako "pametna" morata biti admina na obeh straneh), sicer lahko disabla tako šifriranje kot preverjanje integritete in s tem napadalcu da manevrski prostor za počenjanje pi**arij, poleg tega lahko napadalec v čisto prvi fazi rokovanja poskuša obe strani prepričati, da uporabita verzijo protokola 1, ki ima kar nekaj pomanjkljivosti že v sami zasnovi.... Ampak ta verzija 1 že dolgo velja za deprecated in če jo produkt sploh (še) podpira, jo bo vsak pri zdravi pameti takoj onemogočil in dovolil samo verzijo 2.

VPN je pravzaprav neko generično ime za zamisel, da se več krajevno ločenih mrež prek javne (internet) poveže v eno navidezno, po možnosti varno z uporabo različnih vej kriptografije. Obstaja več implementacij na različnih slojih omrežnega protokola, npr. IPSEC, OpenVPN, razne proprietary zadeve posameznih proizvajalcev, ki zahtevajo, da imaš na obeh straneh njihovo opremo.... Seveda je možno tudi prek SSH, poleg prej omenjenega port forwardinga obstaja za OpenSSH še nekaj nestandardnega, kar je zelo podobno OpenVPN. Prednost SSH implementacij je hitra in sorazmerno preprosta postavitev, slabost pa dokaj veliko "balasta" v mrežnem prometu, zato se ga načeloma ne priporoča za neko stalno rešitev.