以某人连接到 VPS 为例,SSH 隧道将加密从用户到 VPS 的任何流量。一旦到达 VPS 网络,流量就不会被加密,并且很容易被该特定网络上的网络管理员嗅探到。(我理解得对吗?)
有没有办法对两端的流量进行加密,以便两端都不会受到数据包嗅探而泄露正在传输的数据/流量/协议类型?
编辑: 就我的情况而言,我会从工作或家中进行连接,因此我希望确保 VPS 网络上的流量是安全的,这样它就不会受到监控。有没有办法使用 SSH 来做到这一点,还是我需要 VPN?
答案1
你说的对。你可以直接在两点之间使用 SSH/VPN 来防止出现此问题。
假设网络中有一台服务器,您希望从一端到另一端加密流量。您可以在该服务器上设置 SSH 服务器(或 VPN 服务器,例如 openVPN),然后从另一端连接到它。这里的问题是,您必须能够访问网关才能将 ssh/vpn 流量转发到该内部服务器。
解决此问题的一种方法是使用 Hamachi 等服务。这将允许加密端到端流量,而无需转发任何端口。还有方法可以反向连接到 SSH 以绕过防火墙/端口转发。
答案2
如果您对此感到担忧,并且您的架构允许这样做,您可以设置您的 VPS 盒,以便它们可以通过您自己的私人 VPN 相互通信,例如,您正在 SSH 连接的 VPS 上的 OpenVPN 服务器,以及其他作为 OpenVPN 客户端的 VPS 盒。如果您严格通过 VPN 在盒子之间进行通信,您的网络流量将无法被嗅探。就此而言,您的用户可能能够通过 VPN 连接到 VPN 服务器,从而无需使用 SSH 连接到服务器。
当然,这不会阻止托管服务提供商中具有管理权限的恶意人员直接访问您的 VPS 盒。毕竟,他们控制着底层盒。这取决于您的威胁模型。