IPSec VPN: Nedir ve Nasıl Çalışır
İnternet Protokol Güvenliği (IPSec), VPN’lerin genellikle internet üzerinden güvenli bir bağlantı oluşturmak için kullandığı bir protokol paketidir.
IPSec paketi, güvenlik amaçlı tünelleme ve kriptografi gibi özellikler sunar. Bu yüzden VPN’ler genellikle IPSec’i güvenli tüneller oluşturmak için kullanır.
IPSec VPN aynı zamanda ‘IPSec üzerinden VPN’ olarak da yaygın olarak bilinir.
Hızlı Özet
IPSec genellikle bir ağın IP katmanında uygulanır. IPSec iki çalışma modu kullanır; tünel modu ve taşıma modu.
Çoğu VPN sağlayıcısı tüm IP paketlerini güvence altına almak ve kapsüllenmek için tünel modunu kullanır. Taşıma modu sadece yükü güvence altına alır ve tüm IP paketini değil.
IPSec VPN protokol paketi genel olarak VPN bağlantılarına gelişmiş kimlik doğrulama, sıkıştırma ve şifreleme hizmetleri sunar.
IPSec, iletişim kuracak ana bilgisayarlar arasında algoritmaları, güvenlik protokollerini ve güvenlik anahtarlarının değiştirilme modunu seçme özgürlüğü sunar.
IPSec Nedir?
IPSec’in VPN protokol paketi Kimlik Doğrulama Başlığı (AH), Kapsüllenmiş Güvenlik Yükü (ESP), İnternet Güvenliği Birliği ve Anahtar Yönetim Protokolü (ISAKMP) ve IP Yük Sıkıştırması (IPComp) içerir.
- Kimlik Doğrulama Başlığı (AH): AH, IP paketlerinin (datagramların) veri kökeni doğrulamasını sunar, bağlantısız bütünlüğü garanti eder ve kaydırma penceresi tekniği sayesinde tekrar saldırılarına karşı koruma sağlar. AH ayrıca hem IP başlıkları hem de üst katman protokolleri için önemli kimlik doğrulamaları sunar.
- Kapsüllenmiş Güvenlik Yükü (ESP): ESP, verilerin kimlik doğrulamasından, bütünlüğünden ve gizliliğinden sorumludur. ESP ayrıca IPSec protokol paketi içinde yük gizliliği ve mesaj kimlik doğrulaması sağlar.
Tünel modunda tüm IP paketini kapsülleştirirken, taşıma modunda sadece yük korunur. - İnternet Güvenliği Birliği ve Anahtar Yönetim Protokolü (ISAKMP): ISAKMP, Güvenlik Birlikleri (SAs) ile görevlidir – tarafiler tarafından bir VPN tüneline kurulum sırasında kullanılan önceden anlaşılmış anahtarlar ve algoritmalar kümesi. Bunlar arasında Kerberized Internet Negotiation of Keys (KINK) ve Internet Key Exchange (IKE and IKEv2) bulunur.
- IP Yük Sıkıştırması (IPComp): IPComp, IP paketlerinin boyutunu azaltan düşük seviyeli bir sıkıştırma protokolüdür ve böylece iki taraf arasındaki iletişim seviyelerini iyileştirir. Bu, iletişimin aşırı yavaş olduğu durumlarda faydalıdır; örneğin yoğun bağlantılar.
IPComp güvenlik sunmaz ve AH veya ESP üzerinden VPN tünelleri ile kullanılmalıdır
IPSec VPN Çalışma Modları
İki IPSec VPN modunun nasıl karşılaştırıldığına bakalım:
IPSec Tünel Modu
Tünel modundaki VPN şifrelemesi, ESP kullanarak her giden paketi yeni IPSec paketleri ile kapsüller. Tünel modu ayrıca sunucu tarafını doğrulamak için AH’yi de kullanır.
Bu nedenle, IPSec güvenli ağ geçitlerinde tünel modunu kullanır; örneğin iki iletişim kuracak tarafı bağlayan bir güvenlik duvarı.
Taşıma Modu
Taşıma modu, iki iletişim kuracak taraf arasında gönderilen IP paketlerini şifreler ve doğrular.
Bu nedenle, taşıma modu genellikle taraflar arasındaki uçtan uca iletişimler için ayrılmıştır, çünkü giden paketlerin IP başlığını değiştirmez.
IPsec için Kriptografik Algoritmalar
IPSec, gizlilik, bütünlük ve doğruluğa uygun güvenli algoritmalara dayanır.
Bunlar şunları içerir:
- RSA, PSK ve Eliptik Eğri kriptografisi gibi kimlik doğrulama algoritmaları.
- AES-CBC ve GCM, HMAC-SHA, TripleDES ve ChaCha20-Poly1305 gibi simetrik şifreleme algoritmaları.
- Eliptik Eğri Diffie-Hellman ve Diffie-Hellman anahtar değişimi gibi anahtar değişim algoritmaları.
IPSec Nasıl Çalışır?
Aşağıda IPSec’in nasıl çalıştığına dair genel bir adım adım açıklama bulunmaktadır.
Genellikle süreç, gelen veya giden paketlerin IPSec kullanması gerektiğini belirleyen ana bilgisayarlar (iletişim kuracak taraflar) ile başlar.
Paketler IPSec politikalarını tetiklerse, süreç şöyle devam eder:
- Müzakere ve Anahtar değişimi: Bu adım ana bilgisayar kimlik doğrulamasını ve kullanılacak politikaları içerir. İlk aşamada ana bilgisayarlar güvenli bir kanal oluşturur. Müzakereler ya ana mod (daha büyük güvenlik için) ya da agresif mod (daha hızlı IP devresi kurulumu için) kullanılarak yapılır.
Tüm ana bilgisayarlar ana modda IP devresini kurmak için bir IKE üzerinde anlaşırlar. Agresif modda başlatan ana bilgisayar IP devresini kurmak için IKE’yi sunar ve diğer ana bilgisayar kabul eder.
İkinci aşamada ana bilgisayarlar oturum sırasında kullanılacak kriptografik algoritmaların türünde müzakere eder ve anlaşırlar. - İletim: Bu, ana bilgisayarlar arasında veri değişimini içerir. Genellikle IPSec verileri ağ üzerinden gönderilmeden önce paketlere böler. Paketler yük ve başlıklar gibi birkaç segment içerir. IPSec ayrıca kimlik doğrulama ve şifreleme detaylarını içeren römorklar ve diğer segmentleri ekler.
İletimin sonu: Bu son adımdır ve IPSec güvenli kanalının sonlandırılmasını içerir. Sonlandırma veri değişiminin tamamlanması veya oturumun zaman aşımına uğraması durumunda gerçekleşir. Kriptografik anahtarlar da atılır.
IPsec VPN vs SSL VPN
IPSec VPN’nin yanı sıra, en iyi VPN sağlayıcılarından birçoğu da internet üzerinden bağlantınızı güvence altına almak için SSL VPN kullanabilir. Güvenlik seviyesine bağlı olarak, VPN sağlayıcıları her ikisini de uygulayabilir veya birini diğerine tercih edebilir.
SSL VPN’ler Taşıma Katmanı Güvenliği (TLS) protokolüne dayanır. IPSec’in IP katmanında çalışmasının aksine, TLS taşıma katmanında çalışır. Böylece IPSec VPN ve SSL VPN’nin güvenliği ve uygulamaları değişir.
IPSec VPN ile trafiğiniz özel ağlar ve ana bilgisayarlar arasında hareket ederken güvendedir; kısacası tüm ağınızı koruyabilirsiniz. Böylece IPSec VPN, IP tabanlı kullanımlar ve uygulamalar için güvenilirdir.
SSL VPN uzak kullanıcılar arasındaki trafiği korur. Çoğu durumda SSL VPN’ler tarayıcı tabanlı uygulamaları destekleyen ana bilgisayarlarla çalışır.
Sıkça Sorulan Sorular
Bazı insanlar bu soruların cevaplarını yararlı buldu
IPSec genellikle hangi ağ bağlantı noktasını kullanır?
IPSec genellikle ISAKMP için UDP bağlantı noktası 500’ü ve güvenlik duvarlarından geçmek için NAT’a izin verilen UDP bağlantı noktası 4500’ü kullanır.
Hangisi daha iyi, SSL VPN mi IPSec VPN mi?
Her protokolün uygulamaları onları ayırır. Örneğin, IPSec VPN kullanıcıların tüm ağı ve uygulamalarını uzaktan erişmesine izin verir. Ancak SSL VPN, kullanıcılara ağdaki belirli uygulamalara uzaktan tünel erişimi sağlar.
IPSec hacklenebilir mi?
İnternet Protokol Güvenliği (IPSec) genellikle güvenli olarak kabul edilir. Ancak Snowden sızıntılarına göre NSA IPSec şifrelemelerini çeşitli zafiyetler ekleyerek hedefledi. Diğer raporlara göre hackerlar IPSec’in bazı şifrelemelerini kırabilir. Kullanılan uygulamaya bağlıdır.
IPSec’in kullanım alanları nelerdir?
İnternet Protokol Güvenliği (IPSec) bir ağ üzerinde paket seviyesinde trafiği güvence altına alan bir protokol paketidir. IPSec’i iki taraf arasındaki bilgileri güvence altına almak için kullanabilirsiniz. Ayrıca IPSec veri bütünlüğünden, orijinalliğinden, kimlik doğrulamasından ve gizliliğinden sorumludur.
IPSec aynı mıdır VPN?
Basitçe söylemek gerekirse, İnternet Protokol Güvenliği (IPSec) geleneksel bir VPN teknolojisine benzer. Protokol paketi ilk olarak 1990’da piyasaya sürüldü ve o zamandan beri önemli yükseltmeler aldı, bu da onu VPN endüstrisinde yaygın olarak kullanılan bir protokol haline getirdi.
