Son zamanlarda kurumsal olarak veya bireysel bir şekilde, evde, işyerinde kısaca her yer de internet ile çok fazla ilgilenmek durumunda kalmaktayız. Ve interneti ortak bir alan olarak düşünürsek, bu ortak alanda verilerimiz bir yönden başka bir yöne doğru giderken, 3. Kişiler tarafından kolay bir şekilde izlenebilir ve ele geçirilebilir. Bu ele geçirilmeyi engellemek ve bizim için hassas olan verileri güvenli bir şekilde karşı tarafa aktarabilmek için belirli yöntemler kullanılmaktadır. Bu yöntemlerden bir tanesi de VPN ‘ir.
VPN(Virtual Private Network), kurumlar arasında ki güvenli iletişimi sağlamak amacıyla kullanılan kullanıcıların internet gibi halka açık olan public ağlar ile birlikte şirketin özel ağına erişmesine izin veren bir yapıdır. Bunun haricinde son zamanlarda internette gezinirken gizlilik, takip edilme gibi sonuçların olmasından dolayı kullanıcılar içinde önemli bir hale gelmektedir.
Örnek vermek gerekirse, birkaç şubeniz arasında merkez şubeye bağlanmak için önemli olan dosyaları internet üzerinden bir diğer şubeye göndermek istediğinizde VPN olmadığı takdirde güvenli bir yapı oluşmaz. Verinin gittiği süreçte, servis sağlayıcında, modem de ya da diğer iletişimi gerçekleştiren şirketlerde siber ataklara maruz kalınabilmektedir.
VPN, pek çok farklı protokol ve teknolojiyi bir arada kullanarak, bir bilgisayardan karşıdaki diğer bilgisayar arasında bulunan iletişimi kriptolayarak güvenli bir tünel ile bağlantının gerçekleşmesini sağlamaktadır. Bu tünelleri oluşturmak için “kapsülleme” adı verilen sistem kullanılır. Bu sistem veri paketlerinin ek paketler içine yerleştirildiği ve ardından kriptolama yapıldığı bir işlemdir. Kriptolama sayesinde hassas veri şifrelendiğinden ötürü araya girebilen 3. kişiler veya internet servis sağlayıcıları, veri giriş çıkışlarını, veriyi takip edemez ve sadece kriptolu olan veriyi görebilirler. Bu sayede verilerin yetkisiz erişimlerden korunması sağlanarak, veriler özel ağda hareket edebilmektedir.
VPN çalışma mantığı olarak, ilk başta bir VPN sunucusu ile iletişim kurar, sonra iletişim kurduğu VPN sunucusu ile internete erişim sağlar. Bu işlem için cihazınıza bir iletişim protokolü kurar. Bu protokol sayesinde verilerinizin cihazınızdan VPN sunucusuna nasıl gideceği ayarlanacaktır. Ortak olarak kullanılan birkaç VPN protokolü bulunmaktadır.
VPN’de verilerin güvenli bir şekilde istenilen adrese aktarılması için kullanılan protokollerde, kullanılma amacına veya istenen güvenlik seviyelerine göre belirli protokoller bulunmaktadır. Bu protokoller arasında hangi protokollerin tercih edileceği VPN ile aralarında bağlantı sağlayacak olan cihazların güvenlik derecesi, bağlantı hızı ve uygulama alanları gibi çeşitli unsurlara bağlı olarak değişmektedir. VPN Protokolleri olarak IPsec, L2TP, OpenVPN, SSTP, IKEv2, PPTP örnekleri verilebilir. Bu protoller arasından en çok tercih edilenler, IPSEC (Internet Protokol Security) veya SSL (Secure Sockets Layer) protokolleridir. Biz de yazımız da bu iki protokolden bahsedeceğiz.
SSL VPN:
SSL uygulama katmanı seviyesinde bulunan tüm protokoller için şifreleme yapmak için kullanılmaktadır. VPN ise, SSL protokolü ile çalışmakta olan bir VPN çeşididir. Ve bu VPN’e HTTPS ile web tarayıcısı üzerinden erişilerek ulaşılmaktadır. SSL kriptolama protokolü ile şifrelenmiş protokol olarak en fazla bilinen web iletişim protokolü HTTPS’dir. Fakat bununla birlikte FTP ve POP3 protokolleri de fazla bir şekilde kullanılmaktadır.
SSL VPN ile birlikte kullanıcıların ekstra yazılım, dosya indirmesine gerek kalmadan ve herhangi bir donanıma ihtiyacı olmadan, internet tarayıcıları üzerinden bir erişim ile erişmek istedikleri ağa güvenli bir şekilde bağlanabilmektedir. SSL VPN ile güvenilir bir ağ oluşturabilmek için sadece gerekli olan şey güncellenmiş bir web tarayıcısıdır. Fazla sayıda bulunan gezgin çalışanları olan bir şirket için verimli olmaktadır. Bunun sebebi her kullanıcı için bir VPN yazılımı yüklemek ve yazılımların düzgün bir şekilde çalışmasını sağlamak, şirket için servis yükü oluşturabilmektedir. Kolay bir şekilde kurulması ve yönetilmesi açısından da SSL VPN avantaj sağlamaktadır.
SSL VPN çalışma mantığı olarak, iki tarafta bulunan belirli protokoller yardımıyla, farklı doğrulamalar yaparak, güvenilir bir şekilde iletişimi sağlar. SSL VPN iki farklı şekilde çalışabilmektedir. Bunlar “VPN portalı” ve “VPN tüneli” dir. VPN portalı, istemcinin VPN ağ geçidinin desteklediği bir yöntem ile doğrulama yaptıktan sonra web tarayıcısına erişim sağlamasıyla gerçekleşir. VPN tüneli ise kullanıcının bir web tarayıcı sayesinde web tabanlı olmayan diğer protokoller ve uygulamalar ile ağa erişim sağlamasıdır.
VPN tüneli çalışma şeklinde, SSL VPN tüneli iki işlem ile gerçekleştirir.
İlk olarak, yalnızca izin verilen tarafların erişimine izin verilebilmesi için bir kimlik doğrulaması (Authentication) gerçekleştirilmektedir. Sonrasında ise tüm verilerin şifrelenmesi için SSL kullanılarak bir tünel oluşturulmaktadır.
Genel itibari ile VPN tünelleme de OSI modelinin ağ katmanı ya da aşağı katmanları ile VPN gerçekleştirilir. Fakat SSL VPN de SSL kullanarak 4. Katman (Taşıma Katmanı-Transport Layer) ve 5.Katman (Oturum Katmanı-Session Layer) seviyelerinde çalışan bağlantıyı oluştururlar. Bilgiyi ise 6. (Sunum Katmanı-Presentation Layer) ve 7. Katman (Uygulama Katmanı-Application Layer)’da, yani kullanıcıya en yakın olan katmanda çözümleyerek, en üst seviyeye iletişimi sağlamış olurlar.
SSL VPN, PPTP (Point to point tunnelling protocol), IKEv2 (Internet Key Exchange Version 2), L2TP(Layer 2 Tunneling Protocol) ve SSTP(Secure Socket Tunneling Protocol) gibi protokolleri kullanarak şifreleme yapmaktadır. Bu protokollerden bazıları güçlü bazıları da zayıf olan şifreleme protokolleridir. Örneğin L2TP çok güçlü bir şifreleme olduğu için yavaş olabilir, PPTP ise en düşük güvenlikli şifreleme türüdür.
SSL VPN’nin diğer VPN türlerinden avantajları ise herhangi bir yazılım, donanım gerektirmediğinden dolayı kullanım kolaylığı, uzaktan erişim kolaylığı ve bilgisayar haricinde mobil cihazlarda da kullanılması sebebiyle, cihaz desteği olarak söyleyebiliriz.
IPSEC VPN:
Kurumlarda, enerji santralleri gibi büyük firmalar da, doğalgaz, elektrik, su ve enerji izleme gibi uzakta olan sahalardan merkeze veri aktarımı gereken firmalarda, saha da olan olumsuzlukları engellemek, kablolama masraflarından kaçınma isteği gibi sebeplerden ötürü de IPSEC VPN kullanılmaktadır. IPSEC kullanan firmalarda router donanımı ile merkeze veri aktarımı VPN aracılığıyla yapılmaktadır.
“Internet Protokolü (IP) Güvenliği”olarak tanımlanan IPSEC, IP katmanında veri güvenliğini sağlamak amacıyla IP paketlerinin kimlik doğrulamasını ve şifrelenmesini sağlamaktadır. IPSEC’in kullanım amacı ise tünelleme yaparak ağ verisini korumaktır. Bunu tünel içerisinde verileri şifreleyerek yapmaktadır. Ayrıca IPSEC verileri uygulama katmanında şifrelenmesini sağlayarak da yapabilmektedir
Paketlerin şifrelenmesi, şifrelerin çözülmesi, kimlik doğrulamalarının yapılmasında kullanılan şifreleme algoritmalarının kullanılması gibi işlemleri destekleyerek, güvenli bir şekilde anahtar değişimini ve yönetimi de sağlayan protokolleri kapsamaktadır. Paketlerin güvenliğini IPSEC iki ayrı mekanizma ile sağlamaktadır. Bunlardan birincisi Encapsulating Security Payload (ESP) protokolüdür. Bu protokol sayesinde verilerin şifrelenmesi sağlanmaktadır. Bir diğer protokol ise Authentication Header (AH) protokolüdür. Bu prtotokol sayesinde ip paketlerinin digital olarak imzalanması sağlanmaktadır. IPSEC sunucularında kullanılan kritografik anahtarlarını yönetmek için de Internet Key Exchange (IKE) protokolü kullanılmaktadır.
IPSEC çalışma mantığı olarak 5 adımda gerçekleşmektedir. Bağlantının gerçekleşmesinin ilk adımı, veri trafiğinin IPSEC kullanımında anlamlı olup olmadığına karar verilmesidir. Ve bu işlemi kaynak veya hedefte bulunan cihazın IP adresini sistem yapılandırmalarına göre kontrollerini gerçekleştirerek yapmaktadır. Paketi gönderen tarafta, uygun şifrelemeler, kimlik doğrulamaları paketlere uygulanır. Bu uygulamadan sonra gelen pakette anlamlı olarak tanımlama olduğundan ötürü paket IPSEC için doğrulamadan geçmiş olur.
Bağlantının ikinci adımında iki sunucu arasında güvenli bir şekilde ön kanal başlatmak amacıyla, iki sunucunun birbirlerinin kimliklerini doğrulamaları sağlanmaktadır.
Üçüncü adımda ise oluşturulan ön kanal üzerinde, iki sunucunun anlaşmasını ve güvenlik ilişkilerini sağlamak için, asıl ağ verilerinin taşındığı IPSEC sürecinin başlatılması sağlanmaktadır. Bu süreçte her iki tarafta kriptografik algoritma tipini kararlaştırır ve algoritmada kullanılacak olan anahtarlama materyaline karar verilir.
Dördüncü adımda ise IPSEC ile şifrelenmiş olan tünel üzerinden veri alışverişi yapılır. Ve iki uç nokta tarafından şifrelenme işlemi gerçekleştirir.
Beşinci adımda ise oturum da zaman aşımı olduğunda veya taraflar arsındaki iletişim tamamlandığında tünelin sonlandırılması işlemidir. Ve tünelin sonlandırılması yapıldığında iki tarafta iletişim boyunca kullanılan anahtarları boşa çıkarır.
IPSEC ve SSL VPN gibi belirli VPN çeşidini, şirketinizin ihtiyaç durumuna göre, bağlantı hızına ve uygulama alanlarına göre seçerek, güvenli bir şekilde iletişimi gerçekleştirebilir, siber ataklara karşı kurumunuzun güvenliğini sağlayabilirsiniz.