VI. Một số rủi ro của SSL so với một số phương thức bảo mật thông tin khác 1 Rủi ro
3.IPSEC VPN VÀ SSL VPN
Trước tiên, chúng ta cần phải khẳng định là SSL VPN và IPSec VPN không phải là hai công nghệ loại trừ lẫn nhau. Thường thì hai công nghệ này đồng thời được triển khai trong cùng một công ty. Việc xem xét các khía cạnh liên quan đến chi phí/lợi nhuận (cost/benefit) cũng như các vấn đề công nghệ mà hai giải pháp SSL và IPsec đề cập giúp cho việc lựa chọn triển khai VPN sẽ trở nên dễ dàng hơn.
Ta có thể phân một số sự khác nhau cơ bản giữa IPSec và SSL như sau:
Về kiểu kết nối, kiểu truy cập:
- IPSec VPN phù hợp cho các kết nối theo kiểu site-to-site. Nó là sự lựa chọn tốt nhất cho các mạng LAN từ xa kết nối với nhau hay kết nối với mạng trung tâm. Các kết nối yêu cầu băng thông rộng, hiệu suất cao, dữ liệu lớn, kết nối liên tục (always on), cố định.
- SSL VPN thích hợp cho mục đích truy cập tài nguyên tập trung từ các vị trí phân bố rải rác khắp nơi, hay khi người dùng di động từ xa từ các vị trí công cộng ít tin cậy như sân
bay, nhà ga, khách sạn, tiệm cà phê internet muốn truy cập vào tài nguyên của công ty (kết nối theo kiểu client-to-site).
Về yêu cầu kết nối:
- IPSec VPN yêu cầu cần phải có phần mềm client cài đặt tại các máy tính để bàn hoặc máy tính xách tay => Điều này làm hạn chế tính linh động của người dùng vì không thể kết nối VPN nếu không có phần mềm IPSec client được nạp, đồng thời làm tăng thêm chi phí quản trị, cấu hình.
- Trong khi với giải pháp SSL VPN, chỉ cần hệ điều hành có tích hợp một trình duyệt (browser) bất kỳ hỗ trợ SSL là thực hiện được một kết nối an toàn (Hiện nay Sự có mặt khắp nơi của trình duyệt trên tất cả các thiết bị từ máy tính đến PDA, điện thoại thông minh… làm công nghệ VPN dựa trên SSL dễ triển khai hơn. Có thể coi đây là một lợi thế của SSL so với IPSec). Tuy nhiên có một nhược điểm của SSL đó là: với giải pháp này người dùng từ xa không có độ tin cậy cao và các thiết bị truy cập đa dạng như PDA, điện thoại thông minh (smart phone) không do chúng ta quản lý hay cài đặt cấu hình nên vấn đề bảo đảm an toàn thông tin có thể không bằng IPSec.
Tổng Quan một cách ngắn gọn như sau:
SSL IPSec
+ Kiểu kết nối Tạm thời. + Kiểu thiết bị Không quản lý. + Kiểu truy cập từ xa.
+ Kiểm soát truy cập Chi tiết.
+ Không cần cài đặt phần mềm Chỉ cần có Trình duyệt.
+ tương thích hoàn toàn với Firewall, NAT hay server proxy
+ Các ứng dụng trên nền Web.
+ Kiểu kết nối Cố định. + Kiểu thiết bị Quản lý được. + Kiểu truy cập Site-to-site.
+ Kiểm soát truy cập Không chi tiết. + Phần mềm yêu cầu IPSec client.
+ Tương thích firewall, Nhưng Không tương thích với NAT
+ Ứng dụng Tất cả các ứng dụng trên IP, Web, email, truyền tệp đến các ứng dụng VoIP và đa dịch vụ.
KẾT THÚC ĐỀ TÀI