VPN significa "Rete privata virtuale". È un concetto generico che designa una parte di una rete più grande (ad esempio Internet in generale) che è logicamente isolata dalla rete più grande attraverso mezzi non hardware (questo è ciò che significa "virtuale"): non è che stiamo usando distinti cavi e interruttori; piuttosto, l'isolamento viene eseguito tramite l'uso della crittografia.

SSL (ora noto come TLS) è una tecnologia che accetta un mezzo di trasporto bidirezionale e fornisce un mezzo bidirezionale protetto . Richiede che il mezzo di trasporto sottostante sia "per lo più affidabile" (quando non viene attaccato, i byte di dati vengono trasferiti nel dovuto ordine, senza perdite e senza ripetizioni). SSL fornisce riservatezza, integrità (le alterazioni attive vengono rilevate in modo affidabile) e alcune autenticazioni (solitamente autenticazione del server, possibilmente autenticazione reciproca client-server se si utilizzano certificati su entrambi i lati).

Quindi VPN e SSL non provengono dal stesso livello. Una implementazione VPN richiede un po 'di crittografia a un certo punto. Alcune implementazioni VPN utilizzano effettivamente SSL, risultando in un sistema a più livelli: la VPN trasferisce i pacchetti IP (della rete virtuale) serializzandoli su una connessione SSL, che a sua volta utilizza il TCP come mezzo di trasporto, che è costruito sui pacchetti IP (sul rete fisica non protetta). IPsec è un'altra tecnologia che è più profondamente integrata nei pacchetti, che sopprime alcuni di questi livelli ed è quindi un po 'più efficiente (meno overhead della larghezza di banda). D'altra parte, IPsec deve essere gestito abbastanza in profondità all'interno del codice di rete del sistema operativo, mentre una VPN basata su SSL ha solo bisogno di un modo per dirottare il traffico in entrata e in uscita; il resto può essere disattivato nel software a livello utente.

Da quanto ho capito la tua domanda, hai un'applicazione in cui alcune macchine devono comunicare su Internet. Hai alcuni requisiti di sicurezza e stai pensando di utilizzare SSL (su TCP su IP) o possibilmente HTTPS (che è HTTP-su-SSL-su-TCP-su-IP) o di configurare una VPN tra client e server e utilizzando il "semplice" TCP in quella rete privata (il punto della VPN è che ti offre una rete sicura in cui non devi più preoccuparti della riservatezza). Con SSL, il tuo codice di connessione deve essere a conoscenza della sicurezza; dal punto di vista della programmazione non si apre una connessione SSL come se fosse "solo un socket". Alcune librerie lo rendono relativamente semplice, ma è comunque necessario gestire la sicurezza a livello di applicazione. Una VPN, d'altra parte, è configurata a livello di sistema operativo, quindi la sicurezza non è tra la tua applicazione sul client e la tua applicazione sul server, ma tra il sistema operativo del client e il sistema operativo del server: non è la stessa sicurezza anche se in molte situazioni la differenza risulta non essere rilevante.

In pratica, una VPN significa che sono necessari alcuni passaggi di configurazione sul sistema operativo client. È abbastanza invasivo. L'utilizzo di due applicazioni basate su VPN sullo stesso client può essere problematico (dal punto di vista della sicurezza, perché il client funge quindi da bridge che collega tra loro due VPN che dovrebbero essere nominalmente isolate l'una dall'altra, e anche in pratica, a causa delle collisioni nell'indirizzo spazio). Se il cliente è un cliente, fargli configurare correttamente una VPN sembra un'attività impossibile. Tuttavia , una VPN significa che le applicazioni non devono essere consapevoli della sicurezza, quindi questo rende molto più facile integrare software di terze parti all'interno della tua applicazione.

Entrambi presentano problemi di sicurezza se non sono configurati correttamente. Ma prima iniziamo con alcune definizioni:

Cisco ha una buona definizione di VPN:

La VPN può assumere diverse forme. Una VPN può essere tra due sistemi finali o tra due o più reti. Una VPN può essere costruita utilizzando tunnel o crittografia (essenzialmente a qualsiasi livello dello stack di protocollo), o entrambi, o in alternativa costruita utilizzando MPLS o uno dei metodi del "router virtuale". Una VPN può essere costituita da reti connesse alla rete di un provider di servizi tramite linee dedicate, Frame Relay o ATM, oppure una VPN può essere costituita da abbonati dialup che si connettono a servizi centralizzati o altri abbonati dialup. https://www.cisco.com/c/en_in/products/security/vpn-endpoint-security-clients/what-is-vpn.html

Per quanto riguarda SSL:

SSL (Secure Sockets Layer), noto anche come TLS (Transport Layer Security), è un protocollo che consente a due programmi di comunicare tra loro in modo sicuro. Come TCP / IP, SSL consente ai programmi di creare "socket", endpoint per la comunicazione e di effettuare connessioni tra questi socket. Ma SSL, che si basa su TCP, aggiunge la capacità aggiuntiva di crittografia. http://www.boutell.com/newfaq/definitions/ssl.html

In relazione alla tua domanda, la differenza principale è che SSL fa spesso uso del browser per crittografare i dati tra l'utente finale e il server ed è comunemente utilizzato per aree di siti Web che richiedono la protezione della riservatezza e dell'integrità dei dati.

VPN / IPSEC richiede un software client VPN specifico ed è generalmente per fornire accesso remoto a sistemi o reti. Inoltre c'è la possibilità di scegliere L2TP o L2F invece di IPSEC.

Tuttavia, le VPN SSL stanno diventando sempre più diffuse come mezzo per fornire accesso a reti / sistemi tramite il browser web. Questo approccio ha molti vantaggi in quanto utilizza il comune browser web per abilitare la connessione sicura. La granularità di questo approccio è anche un buon modo per controllare gli accessi ad applicazioni specifiche.

Per quanto riguarda i problemi di sicurezza -

SSL -

• Deboli cyphers di sicurezza potrebbero portare alla capacità di condurre attacchi di tipo man-in-the-middle contro l'utente finale, con conseguente perdita di riservatezza / integrità dei dati.

  • Combinazione mal configurata dei contenuti HTTP / HTTPS potrebbe anche portare a una perdita di riservatezza / integrità dei dati.

IPSEC -

• Introduzione di una potenziale condizione DoS. Un esempio potrebbe essere http://www.cisco.com/en/US/products/products_security_advisory09186a0080b20ee5.shtml

• Perdita di problemi di riservatezza come un problema Microsoft del 2008 che potrebbe far sì che i sistemi ignorino i criteri IPsec e trasmettano il traffico di rete in testo non crittografato. https://docs.microsoft.com/en-us/security-updates/securitybulletins/2008/ms08-047

Qui ci sono alcune ottime risposte, non ripeterò ciò che è già stato detto.
Tuttavia, ho riscontrato che mancava un punto: SSL è molto più facile da configurare su base ad hoc, soprattutto se non non sono necessari i certificati client.
IPsec, d'altra parte, richiede sempre i certificati client (assumendo una normale configurazione tipica) e ci sono anche altre difficoltà nella configurazione e distribuzione iniziali.

In quanto tale, IPsec è solitamente più adatto per una rete controllata, e meno su Internet selvaggia e sconosciuta. Vedi qualche informazione in più a quest'altra domanda: " fatti su IPsec (Internet Protocol Security)".

Quindi, tornando alla tua domanda reale, in quasi tutti i casi in cui stai mettendo il server su Internet, non ti aspetteresti che i tuoi utenti si connettano usando una VPN. (Esistono eccezioni, ovviamente.)
Invece, imposta semplicemente i certificati SSL sul tuo server, indirizza i tuoi client verso di esso e sei a posto (assicurati solo di convalidare esplicitamente il certificato, a seconda della lingua / tecnologia / libreria che stai utilizzando ...)

Stai esaminando queste opzioni per creare una VPN sicura? SSL è generalmente più facile da implementare e meglio supportato per un tipo di VPN da desktop a rete, come quando un dipendente a casa si connette alla rete aziendale. Se stai eseguendo una distribuzione più complessa, come una VPN crittografata da rete a rete (ad esempio, tra due diverse organizzazioni), IPSEC fornirà un controllo migliore e più opzioni di personalizzazione.

Esiste un white paper decente sull'argomento di Juniper Networks, anche se potrebbe essere distorto dai punti di forza dei loro prodotti.

Questa potrebbe essere una risposta molto lunga, ma proverò quella breve.

Quando utilizzi https, il tuo browser (agisce come un client SSL) crittografa solo questa connessione al server web.

Quando usi una VPN, hai bisogno di un client speciale e stabilisci un tunnel tra il client e il server. Quindi puoi configurare quale traffico passa attraverso il tunnel. Questo può essere tutto o solo il tuo traffico http.

Quando vuoi solo impostare un'applicazione client / server che possa comunicare con http, la soluzione più semplice dovrebbe essere il traffico https, quando deve essere crittografato . È molto più complicato configurare una VPN e mantenerla.

Dipende dal tuo modello di minaccia, dalla natura del protocollo client server di cui hai bisogno e dai tuoi clienti.

È destinato a utenti finali non sofisticati? Quindi utilizza SSL: a questo punto la complessità della VPN spegnerà solo molti potenziali utenti.

Vuoi distribuire il client come un'app browser (forse con javascript)? Poi di nuovo https / ssl sembra la strada da percorrere.

Il server ha mai bisogno di notificare in modo asincrono qualcosa al client? Quindi HTTPS potrebbe non essere quello che vuoi (anche se può essere fatto per farlo).

Qual è il rischio di phishing? Se fosse facile per gli aggressori attirare la gente a loro come un MITM, SSL è probabilmente migliore poiché autentica ogni server sul client. Una VPN tipica, una volta configurata, non aiuta l'utente a evitare un utente malintenzionato che è entrato in altri host sulla VPN. Questo probabilmente non sarebbe un rischio enorme, ma ancora una volta dipende da cosa stai facendo.

Se lo stai distribuendo nel cloud (sia client che server), potresti ottenere una sorta di VPN quasi gratuitamente, il che potrebbe far fronte ad alcune minacce molto casuali.

Bene, la differenza è un po 'come la differenza tra un cerchio e un quadrato (entrambi sono forme, ma differiscono notevolmente). Entrambi proteggono le comunicazioni, ma lo fanno a diversi livelli e in modi diversi. IPSEC è crittografia e autorizzazione cablate mentre SSL è specifico dell'applicazione.

IPSEC ha il controllo dell'accesso mentre SSL no.

Puoi essere più specifico con ciò che stai cercando di capire?

Sono lontano dall'essere un esperto di sicurezza, ma penso che la differenza più importante tra le due non sia nelle altre risposte.

Con la VPN la comunicazione avviene in questo modo:

  Client HTTP <- [raw] -> VPN client <- [crittografato] -> Server VPN <- [raw] -> Server HTTP  

Per HTTP va in questo modo:

  HTTP client <- [criptato] -> HTTP server  

Quindi tramite VPN i dati non protetti possono viaggiare sulla rete locale dei client e sul locale rete dei server. Se non ti fidi completamente di queste reti, allora è una saggia idea usare gli HTTP. Tieni presente che le coppie VPN e client-client, server-server HTTP non sono necessariamente su computer identici, ad es. i router possono essere configurati per essere server o client VPN.

Poiché queste tecnologie funzionano a un livello diverso, non si escludono a vicenda, quindi puoi utilizzarle entrambe se desideri un altro livello di protezione e non attenzione al calo di prestazioni che ne deriva o puoi semplicemente usare quello che si adatta meglio alle tue esigenze. Per quanto ne so entrambe le tecnologie sono considerate sicure se configurate correttamente.