» »

Ssh in vpn vprasanje

Ssh in vpn vprasanje

tiran2000 ::

Mi lahko nekdo prosim po domace razlozi, ker imam tezave z razumevanjem... Torej ce se prikljuckim na neko random wifi javno tocko A (neko random javno omrezje, t2 je npr isp tega javnega omrezja) in potem naredim ssh tunel ali se vkljucim na vpn mrezo do nekega providerja oz . tocke B (recimo ta je nekje na drugi lokaciji - npr. domac racunalnik pri isp npr. Amis... Kako se mi sedaj lahko prisluskuje? Ce prav razumem mi oseba, ki se prav tako prikljuci na tocko javno tocko A, sicer lahko prisluskuje a ne dobi uporabnih podatkov, ker so sifrirane od mojega racunalnika do tocke B? Od zunaj (interneta) pa se mi, ne da prisluskovat, ker prisluskovalec ne ve kam gredo podatki oz se izgubi sled?

Kako je pa z isp-ji? Torej mi tudi t2 ali amis ne morta potem prisluskovat, ker je povezava zasifrirana?

Razlika med ssh in vpn pa je po domace (v uporabnosti) da ssh zasifrira podatke preko enega porta,oz. storitve npr. Http, vpn pa celo povezavo oz vseh vrat?

metalc ::

Če se nekdo priključi na isto dostopno točko, v principu ne more kar tako spremljati tvojega prometa, razen seveda, če ne "hekne" te dostopne točke. Če je fizično blizu tebe, sicer lahko lovi tvoj brezžični promet, ampak dandanes naj bi bile (skoraj) vse brezžične povezave že dovolj varno šifrirane (z WPA, WEP nekako ne more šteti mednje; drugače povedano, potrebuješ "geslo" za dostop do AP). Teoretično bi lahko prisluškoval tudi vsak, ki ima nadzor nad katerokoli vmesno točko med teboj in ciljnim strežnikom, vendar glej naslednji odstavek.

SSH je protokol, ki ti omogoča, da naj nihče vmes ne bi mogel prisluškovati tvojemu prometu ali ga celo spreminjati. Z "nihče" mislim na veliko večino navadnih smrtnikov, če velja tudi za NSA, bi moral vprašati Snowdena :D. Kakorkoli že, že ob rokovanju, ki še ni šifrirano, je dovolj varovalk, ki zaznajo, če se je kjerkoli "popravil" en samcat bit, takoj ko je mogoče, se povezava šifrira, obenem se preverja tudi integriteta sporočil (ali jih je kdo spreminjal) in če se zazna kaj takšnega, se seja takoj prekine. SSH ima dodelane mehanizme za avtentikacijo tako odjemalca kot strežnika (preprečevanje napadov "man in the middle"), komunicira prek enega porta (po defaultu 22), kar zelo olajša nastavitev firewalla na strežniški strani, pravzaprav postavi neko varno "avtocesto" med teboj in strežnikom, po kateri se lahko multipleksira več kanalov, tako takšnih s standardnimi storitvami, npr. lupinski dostop, poganjanje ukazov, port forwarding (nekakšen VPN za TCP based povezave; UDP zadeve, npr. DNS, niso mogoče), prenos datotek po SFTP ali SCP, varen oddaljen dostop prek X.... kot tudi nestandardnimi, če jih podpirata tako ena kot druga stran. Če je kdo preveč "pameten" (če smo natančnejši, tako "pametna" morata biti admina na obeh straneh), sicer lahko disabla tako šifriranje kot preverjanje integritete in s tem napadalcu da manevrski prostor za počenjanje pi**arij, poleg tega lahko napadalec v čisto prvi fazi rokovanja poskuša obe strani prepričati, da uporabita verzijo protokola 1, ki ima kar nekaj pomanjkljivosti že v sami zasnovi.... Ampak ta verzija 1 že dolgo velja za deprecated in če jo produkt sploh (še) podpira, jo bo vsak pri zdravi pameti takoj onemogočil in dovolil samo verzijo 2.

VPN je pravzaprav neko generično ime za zamisel, da se več krajevno ločenih mrež prek javne (internet) poveže v eno navidezno, po možnosti varno z uporabo različnih vej kriptografije. Obstaja več implementacij na različnih slojih omrežnega protokola, npr. IPSEC, OpenVPN, razne proprietary zadeve posameznih proizvajalcev, ki zahtevajo, da imaš na obeh straneh njihovo opremo.... Seveda je možno tudi prek SSH, poleg prej omenjenega port forwardinga obstaja za OpenSSH še nekaj nestandardnega, kar je zelo podobno OpenVPN. Prednost SSH implementacij je hitra in sorazmerno preprosta postavitev, slabost pa dokaj veliko "balasta" v mrežnem prometu, zato se ga načeloma ne priporoča za neko stalno rešitev.

MrStein ::

Javne točke so praviloma brez enkripcije, tako da lahko tam komot prisluškujejo mimoidoči, brez da bi AP "heknili". Torej tvoj promet, ki ga nisi sam enkriptiral (v smislu SSH, VPN, HTTPS in podobno).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

VPN (strani: 1 2 )

Oddelek: Omrežja in internet
5616419 (7093) rkobarov
»

Ranljivost v WPA2 (KRACK)

Oddelek: Informacijska varnost
183966 (2950) jukoz
»

Tomato (Shibby) router firmware - vprašanja

Oddelek: Omrežja in internet
132389 (1717) AC_DC
»

Zaščita vsebine osebnega računalnika pred 'špeganjem'

Oddelek: Informacijska varnost
192286 (1752) fosil
»

Varnost uporabe javnega WiFi omrežja

Oddelek: Informacijska varnost
414507 (3578) gokky

Več podobnih tem