1.7.1. Mục đích sử dụng
Được dùng để bảo mật dữ liệu cho các chuyển giao thông tin qua mạng. Người quản trị chính sách này bao gồm bộ lọc chỉ rõ loại lưu lượng nào địi hỏi phải mã hóa (encryption ), xác nhận (digital signing) hoặc cả hai. Sau đó mỗi gói máy tính gửi đi được ấn định để tự nhận thấy liệu có phù hợp với điều kiện của chính sách. Tiến trình này trong suốt với người dùng.
Thuận lợi chính khi dùng IPSEC là cung cấp được giải pháp mã hóa cho tất cả các giao thức hoạt động tại lớp 3 – Network Layer (OSI model), và cả các giao thức lớp cao hơn.
Nó có khả năng cung cấp :
+ Chứng thực hai chiều trước và trong suốt quá trình giao tiếp.
+ Sự tin cậy qua việc mã hóa và xác nhận số các gói. IPSEC có hai chế độ (ESP) cung cấp cơ chế mã hóa dùng nhiều thuật tốn khác nhau, và AH xác nhận các thông tin chuyển giao mà khơng mã hóa.
+ Tồn vẹn lưu lượng IP bằng cách loại bỏ lưu lượng đã được thay đổi. Cả ESP và AH đều được dùng để xác nhận tính tồn vẹn của tất cả lưu lượng IP. Nếu gói đã đựơc thay đổi thì chữ kí số sẽ khơng đính kèm và gói sẽ bị hủy.
+ Ngăn chặn tấn cơng replay. IPSEC dùng kỹ thuật đánh số liên tiếp (sequence numbers ) cho các gói dữ liệu của mình nhằm làm cho attacker khơng thể sử dụng được các dữ liệu chặn được với ý đồ bất hợp pháp. Việc dùng Sequencer numbers cịn giúp bảo vệ dùng những thơng tin lấy được bằng cách chặn và đánh cắp dữ liệu để truy cập bất hợp pháp vào lúc khác.
1.7.3. Khuyết điểm
Khi ứng dụng IPSEC vào VPN ta có IPSEC VPN và khi dùng SSL (cũng là một giao thức bảo mật đang được hướng đến do một số tính năng dễ chịu mà nó mang lại) trong VPN ta có SSL/VPN. Sự so sánh giữa IPSEC VPN và SSL VPN sẽ cho thấy được những khuyết điểm của IPSEC khi ứng dụng vào một trường hợp cụ thể là mạng riêng ảo VPN.
Khía cạnh IPSEC VPN IPSEC SSL
Phần mềm u cầu
Tương thích firewall, NAT Mã hóa
Xác thực
Ứng dụng
Độ bảo mật Kiểm soát truy cập (Access Control)