IPsec vs SSL VPN

Posted on by Natália Šimková
IPsec vs SSL VPN

Virtuální privátní sítě VPN

Virtuální privátní sítě (VPN) umožňují bezpečné propojení koncových zařízení, poboček a cloudových prostředí přes nedůvěryhodné sítě, typicky internet. Dvě nejrozšířenější technologie pro podnikové VPN jsou IPSec a SSL/TLS VPN. Přestože obě poskytují šifrování, integritu a autentizaci, liší se architekturou, způsobem nasazení, škálovatelností i vhodností pro různé scénáře. Tento článek detailně srovnává IPSec a SSL VPN z technického i provozního pohledu a nabízí doporučení pro výběr.

Základní charakteristika technologií

IPSec je sada protokolů na síťové vrstvě (L3), která poskytuje kryptografickou ochranu IP provozu. Typicky se používá pro site-to-site propojení poboček, datových center a pro remote access přes IKEv2 s klientem v OS. IPSec může fungovat v transport i tunnel módu a šifrovat celý IP paket.

SSL/TLS VPN využívá protokol TLS na aplikační/transportní vrstvě (L5–L7) a obvykle tuneluje provoz přes TCP/UDP porty (nejčastěji 443). Nabízí clientless přístup (přes prohlížeč) pro vybrané aplikace i full-tunnel přístup pomocí lehkého klienta.

Architektura a vrstvy modelu OSI

  • IPSec (L3/L4): Šifruje IP pakety bez ohledu na aplikaci. Transparentní pro aplikace a protokoly (IPv4/IPv6), dobré pro směrování a stabilní topologie.
  • SSL/TLS (L5–L7): Tunel je navázán nad TCP/UDP, často přes 443, snadné průchody firewally a proxy. Umožňuje granulární publikaci aplikací.

Kryptografie a šifrovací sady

  • IPSec: ESP (šifrování + integrita), moderně AES-GCM; IKEv2 pro vyjednání SA, podpora PFS (Diffie–Hellman), silná volba křivek/modulů. AH se v praxi používá minimálně.
  • SSL/TLS: TLS 1.2/1.3, AEAD (AES-GCM, ChaCha20-Poly1305), ECDHE pro PFS, možnost mTLS. TLS 1.3 zjednodušuje a zrychluje handshake.

Způsoby autentizace a identity

  • IPSec: IKEv2 s certifikáty (X.509), před-sdílené klíče (PSK) nebo EAP (např. EAP-TLS, EAP-MSCHAPv2). Integrace s RADIUS/LDAP/AD.
  • SSL VPN: Uživatelské jméno/heslo, OTP/MFA, SAML/OIDC pro SSO, mTLS. Snadné napojení na IdP (Azure AD, Okta, Keycloak) a politiky podmíněného přístupu.

Navazování tunelu (handshake) a správa klíčů

IPSec/IKEv2: Dvoukrokové vyjednání (IKE_SA_INIT, IKE_AUTH), rychlá renegociace, robustní vůči ztrátám. Pevně ukotvené SA pro data (CHILD_SA).

TLS: V 1.3 jednokolový 0-RTT/1-RTT handshake, možnost resumption a session tickets. Snadné revokace a rotace certifikátů přes PKI.

NAT traversal a průchodnost

  • IPSec: NAT-T (UDP/4500), může narazit na restriktivní firewally/CGNAT. Provoz ESP může být někde blokován, proto se zapouzdřuje do UDP.
  • SSL VPN: Typicky TCP/UDP 443, minimální problémy s průchodností, vhodné i v sítích s webovým proxy nebo hotspoty.

Mobilita, roaming a spolehlivost

  • IPSec: IKEv2 MOBIKE umožňuje plynulou změnu IP adresy klienta bez přerušení SA. Stabilní pro dlouhodobé tunely.
  • SSL VPN: Tunel nad TLS je tolerantní ke změnám sítě, UDP-based implementace (např. DTLS) lépe snášejí ztráty a latenci než čistý TCP-over-TCP.

Výkon, MTU a režie

  • IPSec: Nižší režie na paket (ESP), lepší pro vysoké rychlosti, podpora hardwarové akcelerace (NIC/SoC/CPU AES-NI). Je třeba správně nastavit MTU/MSS clamping kvůli zapouzdření.
  • SSL VPN: Vyšší protokolová režie a riziko TCP-over-TCP meltdown u čistě TCP tunelů; DTLS (UDP) tento problém zmírňuje. Škáluje dobře díky 443/UDP/TCP.

Granularita řízení přístupu

  • IPSec: Síťově orientované ACL (L3/L4), segmentace přes směrování/VLAN/VRF. Vyniká při propojení celých podsítí.
  • SSL VPN: Aplikační publikace (portály), politiky na úrovni uživatelů, skupin a aplikací, per-app tunely pro mobilní zařízení, snadné prosazení ZTNA-like principů.

Clientless vs. client-based přístup

  • IPSec: Vyžaduje klienta (nativní v OS nebo třetí strany). Transparentní pro všechny aplikace.
  • SSL VPN: Clientless přes webový portál (HTTP(S), RDP přes HTML5, SSH, interní weby), nebo lehký agent pro plný tunel či per-app proxy.

Bezpečnostní vlastnosti a rizika

  • IPSec: Silné L3 šifrování, menší útoková plocha na aplikační vrstvě. Rizika: slabé šifry v IKE, špatná správa PSK, špatné MTU může vést k odhalení vzorců chování (traffic analysis).
  • SSL VPN: Bezpečnost závisí na správné konfiguraci TLS (zakázání starých verzí/šifer), ochraně portálu a autentizaci (MFA). Častým cílem jsou zranitelnosti zařízení/portálů a phishing SSO.

Integrace s firewally, IDS/IPS a DLP

IPSec bývá nativní funkcí edge routerů a NGFW, usnadňuje propojení sítí a centralizované politiky na L3/L4. SSL VPN brány často kombinují webový portál, reverse proxy a NGFW funkce (URL filtrování, CASB konektory). Obě technologie lze monitorovat přes NetFlow/IPFIX, syslog a export metrik.

Cloud, hybrid a Zero Trust (ZTNA/SASE)

V hybridních topologiích se IPSec používá pro site-to-site tunely do IaaS (IPSec GW v cloudu). SSL/TLS je vhodné pro přístup uživatelů k aplikacím (privátní i SaaS) s integrací IdP a zásad podmíněného přístupu. Moderní ZTNA/SASE řešení staví na TLS a principu implicit deny, ověřování identity a stavu zařízení před každým přístupem.

Správa, provoz a monitoring

  • IPSec: Správa fází IKE/SA, směrování (BGP přes tunel), škálování přes route-based tunely a VTI, automatizace (Ansible/Terraform).
  • SSL VPN: Správa portálů, aplikačních pravidel, certifikátů TLS a integrace s IdP/MFA. Viditelnost na úrovni uživatele a aplikace, detailní audit přístupů.

Licencování a náklady

IPSec site-to-site je často zahrnut ve standardních licencích směrovačů/NGFW. SSL VPN mívá licencování podle počtu současně připojených uživatelů a funkcí (portál, per-app, posture check). Náklady je nutné porovnat i z pohledu podpory a HA.

Typické případy použití

  • IPSec ideální: Propojení poboček a DC, vysokorychlostní šifrované L3 spojení, stabilní sítě s potřebou směrování a segmentace.
  • SSL VPN ideální: Vzdálený přístup uživatelů, publikace několika interních aplikací, prostředí s restriktivním firewallem/HTTP proxy, ZTNA integrační scénáře.

Výkonnostní a latanční srovnání

IPSec s HW akcelerací dosahuje line-rate propustnosti i na 10/40/100G linkách. SSL VPN bývá limitována CPU a režijními vrstvami; použití UDP/DTLS a moderních AEAD šifer výrazně pomáhá. U remote access je uživatelská zkušenost u SSL VPN často lepší díky snadné průchodnosti portu 443.

Kompatibilita, klienti a uživatelská zkušenost

  • IPSec: Nativní podpora v Windows, macOS, iOS, Android (IKEv2). Někdy složitější certifikační a směrovací politika na klientech.
  • SSL VPN: Přístup z prohlížeče bez instalace (clientless) nebo lehký agent; rychlé zavedení MFA/SSO a per-app zásad.

Srovnávací tabulka

Vlastnost IPSec SSL/TLS VPN
Vrstva L3 (ESP), IKEv2 L5–L7 (TLS, DTLS)
Průchodnost firewallů NAT-T (UDP/4500), může narážet Velmi dobrá (443/TCP/UDP)
Granularita přístupu Síťové ACL, segmenty Aplikační politiky, per-app
Výkon/propustnost Vysoká, HW akcelerace Dobrá, závisí na CPU; DTLS pomáhá
Use-case Site-to-site, plný L3 přístup Remote access, publikace aplikací
Klient Nativní OS klient (IKEv2) Clientless/lehké agenty
Integrace s IdP/SSO Možná (EAP/RADIUS), složitější Výborná (SAML/OIDC, MFA)
Vhodnost pro ZTNA Omezená (síťový přístup) Vysoká (aplikační přístup)

Bezpečnostní doporučení pro konfiguraci

  • Vynucujte pouze moderní šifry (AES-GCM, ChaCha20-Poly1305) a PFS (ECDHE/DH s dostatečnými parametry).
  • Zakazujte zastaralé protokoly a šifry (TLS < 1.2, IKEv1, 3DES, RC4, MD5, PSK s nízkou entropií).
  • Implementujte MFA a vazbu na identitu zařízení (posture check, certifikáty, MDM/EDR signály).
  • Segmentujte přístup (least privilege), používejte split-tunneling uváženě s dohledem DLP/CASB.
  • Logujte a korelujte události (SIEM), nastavte alerting na anomálie a úspěšné/nezdařené přihlášení.

Doporučení pro výběr technologie

  • Zvolte IPSec, pokud potřebujete vysokorychlostní, stabilní a transparentní L3 spojení mezi lokalitami, s podporou směrování a segmentace.
  • Zvolte SSL VPN, pokud řešíte vzdálený přístup uživatelů, publikaci konkrétních interních aplikací a integraci s moderní identitou (SSO/MFA) a principy Zero Trust.
  • Kombinace je běžná: IPSec pro site-to-site, SSL VPN (ZTNA) pro uživatele a aplikace.

Rozhodovací check-list

  • Scénář: site-to-site vs. remote access vs. per-app publikace.
  • Požadovaná propustnost a latence, HW akcelerace k dispozici?
  • Průchodnost sítí (firewally, proxy, CGNAT) – potřeba 443/UDP/TCP?
  • Integrace s IdP (SAML/OIDC), MFA a posture kontrola.
  • Granularita řízení přístupu a audit na úrovni uživatelů/aplikací.
  • Kompetence týmu, náklady na licence a podporu, HA/scale-out.

Příklady referenčních architektur

  • Hybridní WAN: Pobočky ↔ DC/Cloud přes IPSec (route-based, BGP), centrální internet breakout s NGFW.
  • Bezpečný vzdálený přístup: SSL VPN brána s IdP (SAML/OIDC), MFA, per-app zásady, kontrola stavu zařízení, přístup k SaaS a interním aplikacím.
  • ZTNA/SASE: Agent-based TLS tunel per-app do PoP poskytovatele, dynamické zásady podle identity a rizika.

Provozní úskalí a troubleshooting

  • MTU/MSS clamping a fragmentace (u obou technologií) – sledujte PMTUD, nastavte MSS na rozhraních tunelu.
  • Asymetrické směrování a překryvné podsítě (IPSec) – pečlivá návrhová dokumentace a směrovací politiky.
  • TCP-over-TCP (SSL VPN) – preferujte DTLS/UDP, nebo per-app tunely místo full-tunnel TCP.
  • Certifikáty a CRL/OCSP – automatizujte obnovu a revokaci; monitorujte expirace.

Shrnutí

IPSec a SSL/TLS VPN nejsou konkurenční, ale komplementární technologie. IPSec exceluje v transparentním a výkonném spojení sítí na L3, SSL VPN nabízí flexibilní, identity-řízený přístup k aplikacím s výbornou průchodností. Správná volba závisí na scénáři, bezpečnostních požadavcích, síťových omezeních a kompetencích týmu. V praxi se často kombinuje IPSec pro site-to-site a SSL/TLS (popř. ZTNA) pro vzdálený aplikační přístup.

Related Posts

Intrakomunitárny obchod

Intrakomunitárny obchod: Obchod v rámci Európskej únie (EÚ) Intrakomunitárny obchod je dôležitým ekonomickým pojmom, ktorý sa týka obchodu medzi krajinami Európskej únie (EÚ). Tento druh […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *