есть ли windows решения VPN over SSh не на уровне прокси а на уровне ethernet интерфейса?
т.е. чтобы создавался сетевой интерфейс как при использовании OpenVpn трафик шел через него, заворачивался на ssh(весь включая udp и dns запросы).
желательно фри/опенсорс.
Ага, только ssh под винду нет — есть putty.exe. Покажите мне аналог -w в документации на putty :)
Да не особо. Достаточно в нужном ключе в /root/.authorized_file указать параметр command и сделать вход только по ключам. Имея нужный ключ, сервер нельзя будет заставить сделать ничего кроме конкретно того, что прописано в command (разовое выполнение какого-то скрипта или команды). Доступ к шеллу получить не удастся. Для пущей надёжности можете прописать PermitRootLogin forced-commands-only в /etc/ssh/sshd_config. Обсуждалось в /comment49362.
Верное замечание. Просто то было первое, что пришло в голову :) Действительно, современный OTR в XMPP именно так и работает. Жаль только, что оффлайново не может — мог бы ведь юзать ключ тот, который был в последнем сеансе, технически это ничему бы не противоречило, достаточно договориться о стандарте. С другой стороны, OTR маргинален как по длине ключей и алгоритму (AES-128 без каких-либо альтернатив вообще, если ничего не путаю), так и по степени распространённости и поддержке у клиентов. Вот это, вкупе с невозможностью писать в оффлайн, сильно его маргинализирует :(
Кстати, на PGP в джаббере есть вроде бы 2 разных стандарта:
1. end2end PGP (какой-то новый стандарт, поддерживается в gajim).
2. Просто шифрование stanza'ий (устаревший, но самый популярный способ среди jabber-клиентов; судя по обсуждениям в этом топике, он имеет существенные недоработки, типа невозможности подписывать и шифровать сообщения одновременно).
комментариев: 9796 документов: 488 редакций: 5664
Его специально делали только онлайновым, иначе зачем OTR? Сохранение ключа разве не нарушит саму идею?
Вероятно это из стандартного набора OpenSSL.
Впрочем, OTR здесь только для иллюстрации. В целом — это оффтопик.
комментариев: 9796 документов: 488 редакций: 5664
В симм. шифрах (видимо по соображениям политкорректности) присутствуют GOST и CAMELLIA. Ну и для обратной совместимости всякое старьё.
ppp через ssh – это исторически один из первых способов построения vpn. Более последовательно реализует концепцию vpn – тунеллирование канального трафика (ppp) через защищённый протокол (ssh). Более универсальный, т.к. позволяет использовать для туннелирования другие защищённые протоколы: ppp через ssl средствами stunnel, ppp через pptp и т.п. Больше соответствует философии unix, когда система конструируется из независимых частей, каждая из которых выполняет свою специфическую функцию. vpn на одном ssh -w – решение "всё в одном", менее производительное, потому и называется poor man vpn. Команды в forced-commands-only требут привилегий рута и бывали случаи когда ограничение на список команд обходилось.
Что, если вы в ssh завернёте весь ppp-трафик, оно магическим образом станет более производительным? Узкое место — в самом ssh, насколько я знаю, а не в способах передачи данных в туннель.
Ссылки на багрепорты можно увидеть? И я сказал про forced-commands-only только как про дополнительный довесок. Основное — команда command в authorized_keys, которая в принципе не позволяет получать шелл.
Странно, что нет такой классики как, например, blowfish. Вроде это совсем не новый шифр, но достаточно добротный из «стареньких».
Про обход ограничения команд в ssh читал давно (возможно это относилось к 1-й версии), ссылку искать нет времени. Можете не верить. Меньшая безопасность ssh-w следует и из общих соображений. Чтобы взломать сервер с ppp-ssh нужно обойти ограничения ssh (тоже используется ограничение на возможные команды), а потом – ограничения системного пользователя под которым осуществляется vpn-подключение. Т.е. сначала защита обеспечивается приложением (ssh), затем – системой (права доступа). В ssh-w достаточно обойти только ограничения ssh.