- Xác thực ng−ời sử dụng
3.6.2. Nh−ợc điểm sử dụng VPN
- VPN thiếu tính trong suốt ng−ời sử dụng. Những client VPN th−ờng yêu cầu ng−ời sử dụng khởi tạo bằng tay một kết nối tới máy chủ VPN; do đó, kết nối này sẽ không bao giờ trong suốt nh− một kết nối hữu tuyến. Những client không phải Microsoft cũng có thể khởi động cho những xác minh đăng nhập tại kết nối ngoài mạng chuẩn hay đăng nhập miền. Nếu nh− VPN ngắt kết nối, do một tín hiệu WLAN nghèo nàn hay do ng−ời sử dụng roam giữa các AP, ng−ời sử dụng sẽ phải kết nối lại.
- Do kết nối VPN chỉ là khởi tạo ng−ời sử dụng, một máy tính giả mạo không đăng nhập sẽ không thể kết nối tới VPN. Do đó, một máy tính không thể bị quản lý từ xa hay bị theo dõi từ xa trừ khi một ng−ời sử dụng đã đăng nhập vào. Những thiết lập GPO (Group policy object) máy tính nhất định, nh−
những mã khởi động và máy tính đ−ợc gán phần mềm sẽ không bao giờ đ−ợc áp dụng.
- Những hiện t−ợng roaming, những mã đăng nhập, và phần mềm đ−ợc triển khai tới ng−ời sử dụng sử dụng GPO có thể không làm việc đ−ợc nh− mong đợi. Trừ khi ng−ời sử dụng lựa chọn để đăng nhập sử dụng kết nối VPN từ khởi động đăng nhập Windows, máy tính sẽ không kết nối tới LAN liên hợp cho đến sau khi ng−ời sử dụng đã đăng nhập và khởi động kết nối VPN. Với một client VPN không phải Microsoft, không thể thực hiện một đăng nhập miền đầy đủ qua một kết nối VPN.
- Sự khởi đầu lại từ chế độ standby hay chế độ nghỉ không tự động thiết lập lại kết nối VPN; ng−ời sử dụng phải thực hiện điều này bằng tay.
- Mặc dù dữ liệu bên trong đ−ờng hầm VPN đ−ợc bảo vệ, VPN không đ−a ra sự bảo vệ cho bản thân WLAN. Một kẻ tấn công vẫn có thể gia nhập vào WLAN và cố gắng thăm dò hay tấn công bất kỳ thiết bị nào đ−ợc gắn tới WLAN.
- Những máy chủ VPN có thể trở thành một nút cổ chai. Tất cả client WLAN truy cập tới LAN liên hợp đ−ợc chuyển qua máy chủ VPN. Những thiết bị VPN phục vụ một số l−ợng lớn những client từ xa tốc độ thấp; do vậy, hầu hết các cổng VPN sẽ không thể đối mặt với hàng chục hay hàng trăm client chạy ở tốc độ LAN tối đa.
- Chi phí cho việc bổ sung phần cứng và quản lý những thiết bị VPN chắc chắn cao hơn nhiều một giải pháp WLAN đơn thuần. Mỗi một vùng sẽ phải cần tới máy chủ VPN của chính nó ngoài những AP WLAN.
- Những phiên VPN thiên về ngắt kết nối khi những client roam giữa những AP. Mặc dù những ứng dụng sẽ th−ờng phải chịu một ngắt kết nối tạm thời khi chuyển mạch những AP không dây, những phiên VPN sẽ th−ờng xuyên bị phá vỡ, yêu cầu ng−ời sử dụng tái kết nối lại bằng tay.
- Chi phí của máy chủ VPN và những cấp phép phần mềm client, cũng nh− chi phí triển khai phần mềm, có thể là một vấn đề với những giải pháp VPN không phải là Microsoft. Bạn cũng có thể phải quan tâm tới t−ơng thích phần mềm client VPN bởi những client không phải Microsoft th−ờng thay thế chức năng Windows chính.
Nhiều nhà phân tích và nhà sản xuất cho rằng an toàn VPN th−ờng tốt hơn an toàn WLAN. Mặc dù điều này là đúng cho WEP tĩnh, nh−ng không hoàn toàn với những giải pháp dựa trên cơ sở EAP 802.1x. Những ph−ơng pháp xác thực VPN, cụ thể, th−ờng kém an toàn hơn và không mạnh hơn. Ví dụ, những giải pháp WLAN đ−ợc hỗ trợ bởi Microsoft sử dụng cùng ph−ơng pháp xác thực EAP giống nh− những ph−ơng pháp VPN của nó (EAP-TLS và MS-CHAP v2). Nhiều thực thi VPN, đặc biệt là những thực thi dựa trên cơ sở chế độ đ−ờng hầm IPsec, sử dụng xác thực khoá chia sẻ (một mật khẩu nhóm). Điều này tạo ra những lỗ hổng an toàn nghiêm trọng giống nh− WEP tĩnh.
Một VPN không làm điều gì để đảm bảo an toàn cho bản thân WLAN. Mặc dù dữ liệu bên trong những đ−ờng hầm VPN là an toàn, bất kỳ ai vẫn có thể xâm nhập vào WLAN và cố gắng tấn công những client hợp pháp và những thiết bị khác trên WLAN.
VPN phù hợp nhất để đảm bảo an toàn cho l−u l−ợng truyền qua những mạng công cộng, ở đó ng−ời sử dụng đang kết nối qua một kết nối băng thông rộng gia đình hoặc từ một hotspot không dây. Tuy nhiên, VPN ch−a bao giờ đ−ợc thiết kế để đảm bảo an toàn l−u l−ợng mạng trên những mạng bên trong. Đối với hầu hết các tổ chức, VPN trong vai trò của nó sẽ qúa cồng kềnh và hạn chế về mặt chức năng cho ng−ời sử dụng và quá đắt đỏ và phức tạp cho phòng IT để có thể duy trì nó. Trong những tr−ờng hợp ngoại lệ ở đó an toàn cao hơn cho một kết nối cụ thể hay kiểu l−u l−ợng cần thiết, điều này có thể đ−ợc cung cấp bởi một đ−ờng hầm VPN hoặc chế độ vận tải IPsec ngoài bảo vệ WLAN đơn thuần.
Ch−ơng 4: Triển khai WLAN an toàn trong môi tr−ờng giáo dục