1.7.1. Mục đích sử dụng
Được dùng để bảo mật dữ liệu cho các chuyển giao thông tin qua mạng. Người quản trị chính sách này bao gồm bộ lọc chỉ rõ loại lưu lượng nào đòi hỏi phải mã hóa ( encryption ), xác nhận (digital signing) hoặc cả hai. Sau đó mỗi gói máy tính gửi đi được ấn định để tự nhận thấy liệu có phù hợp với điều kiện của chính sách. Tiến trình này trong suốt với người dùng.
Thuận lợi chính khi dùng IPSEC là cung cấp được giải pháp mã hóa cho tất cả các giao thức hoạt động tại lớp 3 – Network Layer (OSI model), và cả các giao thức lớp cao hơn.
Nó có khả năng cung cấp :
+ Chứng thực hai chiều trước và trong suốt quá trình giao tiếp.
+ Sự tin cậy qua việc mã hóa và xác nhận số các gói. IPSEC có hai chế độ (ESP) cung cấp cơ chế mã hóa dùng nhiều thuật toán khác nhau, và AH xác nhận các thông tin chuyển giao mà không mã hóa.
+ Toàn vẹn lưu lượng IP bằng cách loại bỏ lưu lượng đã được thay đổi. Cả ESP và AH đều được dùng để xác nhận tính toàn vẹn của tất cả lưu lượng IP. Nếu gói đã đựơc thay đổi thì chữ kí số sẽ không đính kèm và gói sẽ bị hủy.
+ Ngăn chặn tấn công replay. IPSEC dùng kỹ thuật đánh số liên tiếp (sequence numbers ) cho các gói dữ liệu của mình nhằm làm cho attacker không thể sử dụng được các dữ liệu chặn được với ý đồ bất hợp pháp. Việc dùng Sequencer numbers còn giúp bảo vệ dùng những thông tin lấy được bằng cách chặn và đánh cắp dữ liệu để truy cập bất hợp pháp vào lúc khác.
1.7.3. Khuyết điểm
Khi ứng dụng IPSEC vào VPN ta có IPSEC VPN và khi dùng SSL (cũng là một giao thức bảo mật đang được hướng đến do một số tính năng dễ chịu mà nó mang lại) trong VPN ta có SSL/VPN. Sự so sánh giữa IPSEC VPN và SSL VPN sẽ cho thấy được những khuyết điểm của IPSEC khi ứng dụng vào một trường hợp cụ thể là mạng riêng ảo VPN.
Kiểu kết nối, kiểu truy cập Site to site, kiểu kết nối yêu cầu băng thông rộng, hiệu suất cao, dữ liệu lớn, kết nối liên tục, cố định.
Di động, tạm thời. Truy cập tài nguyên tập trung từ các vị trí phân bố rải rác khắp nơi.
Phần mềm yêu cầu Yêu cầu phải có phần mềm client cài đặt tại các máy tính để bàn hoặc máy tính xách tay => làm hạn chế tính linh động của người dùng vì không kết nối VPN được nếu không có phần mềm IPSEC client được nạp.
=>làm tăng chi phí quản trị, cấu hình.
Chỉ cần hệ điều hành có tích hợp một trình duyệt (browser) bất kỳ hỗ trợ SSL là có thể thực hiện kết nối.
Tương thích firewall, NAT Không tương thích Tương thích
Mã hóa RC5,DES,3DES RC4,DES,3DES
Xác thực RADIUS, Active Directory, RSA SecureID
RADIUS, Active Directory, RSA SecureID
Ứng dụng Tất cả các ứng dụng trên IP Các ứng dụng trên nền Web. Một số ứng dụng như email, Terminal services, CIFS
Độ bảo mật Như nhau Như nhau
Kiểm soát truy cập (Access Control)
Không chi tiết Chi tiết ( granular access control)