Sanal Özel Ağ (VPN-Virtual Private Network)
VPN çözümleri, kullanıcıların özel ağlara uzaktan bağlanıp sistemi kullanabilmelerini sağlayan fiziksel bağlantı gerektirmeyen sanal özel ağlar olarak tanımlanmaktadır. VPN, uzak kullanıcı ile ağ arasındaki iletişimin şifreli olarak gerçekleştirilmesini ve kullanıcı IP adresinin gizli tutulması gibi güvenlik hizmetlerini sunmaktadır. VPN’in en büyük avantajı kullanıcı ile özel ağ arasında güvenli bir tünel oluşturarak hassas verilere sahip olan kurumların siber saldırılardan korunmasına yardımcı olmasıdır. Bir diğer avantajı ise kullanıcının IP adresini gizleyip sadece özel ağın IP adresini görünür hale getirerek kullanıcıların internet üzerindeki aktivitelerinin üçüncü taraflarca izlenmesi zorlaştırılmaktadır. VPN veri iletiminin temel bileşenlerini ESP ve AH protokolleri oluşturmaktadır.
Encapsulating Security Payload(ESP): Güvenli haberleşmenin gerçekleştirilebilmesi için gerekli olan şifreleme, kimlik doğrulama ve veri koruma servislerini sunmak üzere geliştirilmiş bir protokoldür. ESP varsayılan olarak paket başlığını korumamaktadır, ancak tünel modda olduğu gibi bütün bir paketin başka bir paketin içerisinde payload veya data olarak kapsüllendiği durumlarda ESP bütün bir paketi şifreleyebilmektedir. IP network paketinde ESP başlığı IP başlığından sonra eklenmektedir.
Authentication Header(AH): IP başlığının ve sonraki seviyedeki protokol verilerinin doğrulamasının yapılmasını sağlar. AH, iç içe kapsülleme şeklinde veya ESP ile birlikte çalışarak uygulanabilir. Doğrulama kodunun yardımıyla oluşturulan checksum kullanılarak veri bütünlüğü sağlanmış olunur. Datanın kaynağının doğrulanmasında ise gizli paylaşılmış bir anahtar kullanılmaktadır.
En yaygın kullanılan VPN protokolleri SSL VPN ve IPSec VPN çözümleridir.
IPSec VPN
IPSec VPN, özel ağ bağlantılarında kimlik doğrulama, şifreleme ve sıkıştırma gibi önemli güvenlik hizmetlerini VPN protokolünün network seviyesinde yapmaktadır.
IPSec Tünel Mod VPN:
IPSec tünel modunda bütün bir IP paketi IPSec tarafından korunmaktadır. Bunun için; orijinal paket IPSec tarafından kapsüllenmekte, şifrelenmekte ve yeni bir IP başlığı eklenerek tünelin diğer ucuna gönderilmektedir.
Şekil1. IPSec tünel modunun ESP ile kullanımı[1]
Tunnel modda ESP ve AH başlıkları gönderilecek paketin hem önüne hem arkasına eklenmektedir. Bu kapsülleme işleminden sonra eklenen yeni IP başlığı IPSec uç noktalarını yeni gönderici ve alıcı olarak güncellemektedir. VPN tünel modu, tünelin her bir ucundaki korunmuş iki network içerisindeki kullanıcıların birbiriyle karşılıklı olarak güvenli haberleşmesi için avantaj sunmaktadır.
Şekil2. IPSec tünel modunun AH ile kullanımı[1]
IPSec Transport Mod VPN: IPSec Transport modda IP başlıkları değiştirilmeyip olduğu gibi bırakılmakta, sadece IP protokol alanı ESP(50) veya AH(51) olarak ayarlanmaktadır. IPSec Transport mod, sunucu ve istemci veya iş istasyonu ile ağ geçidi gibi uçtan uca iletişim yapan sistemlerin bağlantıları için kullanılmaktadır. Bu mod sadece verinin şifrelenmesi ve kimlik doğrulaması gibi hizmetleri sağlamaktadır, ancak başlıkların şifrelenmesi gibi işlemleri kapsamamaktadır.
SSL VPN
SSL VPN, kullanıcıların web tarayıcı ve SSL şifreleme standardının yardımıyla web sunucusuna uzaktan bağlanmalarını sağlamaktadır.
SSL Portal VPN: Kullanıcının bir SSL bağlantısı ile site üzerindeki birçok ağ hizmetine ve diğer kaynaklara ulaşması amaçlanmaktadır. Bunun için web tarayıcısı kullanılarak siteye erişildikten sonra kimlik doğrulama işleminden sonra diğer servislere ulaşım için bir portal görevi yapan web sayfası görüntülenebilmektedir.
SSL Tünel VPN: Bu yöntemde SSL altında çalışan bir tünel yardımıyla tarayıcının web tabanlı olmayan uygulamalar ve protokolleri de içeren çeşitli ağ hizmetlerine erişimine izin verilmektedir.