Tweet
Trong kiến trúc Remote Access VPN, Cisco Secure Client (trước đây là AnyConnect) hỗ trợ hai loại transport VPN chính: SSL (TLS/DTLS) và IPsec (IKEv2). Mỗi loại có ưu/nhược điểm riêng, tùy thuộc vào yêu cầu bảo mật và tuân thủ của tổ chức.
1. SSL VPN – TLS và DTLS
2. IPsec VPN – IKEv2 và ESP
3. Khi nào chọn SSL, khi nào chọn IPsec?
4. Compatibility Notes
👉 Kết luận cho anh em network/security engineer:
Nếu muốn triển khai nhanh, xuyên NAT/firewall, chọn SSL VPN (TLS/DTLS). Nếu bị ràng buộc bởi compliance hoặc cần chuẩn IPsec/IKEv2, hãy chọn IPsec VPN. Tuy nhiên, cần đảm bảo firewall rule cho các port/protocol liên quan.
1. SSL VPN – TLS và DTLS
- TLS (Transport Layer Security) chạy trên TCP (Layer 4).
- DTLS (Datagram TLS) chạy trên UDP (Layer 4).
- Ưu điểm: dễ dàng vượt qua firewall, NAT, và proxy tại các site từ xa.
- Thực tế, khi nói đến “SSL VPN”, Cisco thực chất dùng TLS/DTLS chứ không còn SSL cũ (SSL đã deprecated từ lâu).
- Đây là lựa chọn mặc định và phổ biến nhất trong triển khai Remote Access VPN hiện nay.
2. IPsec VPN – IKEv2 và ESP
- Cisco Secure Client sử dụng IKEv2 để thương lượng (negotiate) quá trình thiết lập tunnel.
- Sau khi đàm phán xong, lưu lượng được mã hóa và encapsulate bằng ESP (Encapsulating Security Payload).
- Lưu ý: Cisco Secure Client không hỗ trợ IKEv1 (chuẩn cũ).
- So với SSL, IPsec phức tạp hơn do nhiều protocol phải hoạt động xuyên qua firewall/NAT, ví dụ UDP/500, UDP/4500 (NAT-T), ESP (IP protocol 50).
- Điều này khiến kết nối IPsec dễ bị chặn hoặc khó khăn hơn khi triển khai từ các mạng công cộng.
3. Khi nào chọn SSL, khi nào chọn IPsec?
- SSL/DTLS (TLS-based VPN):
- Thích hợp cho môi trường di động, mạng công cộng, khi không kiểm soát được firewall.
- Ưu tiên cho tính tiện lợi và khả năng kết nối ổn định.
- IPsec (IKEv2):
- Thường bắt buộc trong môi trường yêu cầu tuân thủ nghiêm ngặt (compliance) hoặc chính sách bảo mật đặc thù.
- Ví dụ: một số tổ chức chính phủ, tài chính, hoặc hợp đồng đối tác yêu cầu IPsec VPN thay vì SSL.
4. Compatibility Notes
- Cisco Secure Firewall Threat Defense (FTD) hỗ trợ IPsec VPN với Cisco Secure Client.
- Không hỗ trợ IPsec client từ bên thứ ba – nghĩa là nếu dùng Cisco Secure Client thì phải kết nối đến FTD/ASA của Cisco, không dùng chung với phần mềm IPsec khác.
👉 Kết luận cho anh em network/security engineer:
Nếu muốn triển khai nhanh, xuyên NAT/firewall, chọn SSL VPN (TLS/DTLS). Nếu bị ràng buộc bởi compliance hoặc cần chuẩn IPsec/IKEv2, hãy chọn IPsec VPN. Tuy nhiên, cần đảm bảo firewall rule cho các port/protocol liên quan.
Attached Files