Sanal Özel Ağ VPN

Virtual Private Network (VPN), özel veya Internet gibi ortak ağlar üzerindeki noktadan noktaya bağlantılardır. VPN istemcisi, VPN sunucusu üzerindeki sanal bir bağlantı noktasına sanal bir arama gerçekleştirmek için, tünel protokolleri adı verilen özel TCP/IP tabanlı protokolleri kullanır. Tipik bir VPN dağıtımında, istemci, Internet üzerinden uzaktan erişim sunucusuyla sanal noktadan noktaya bağlantı başlatır. Uzaktan erişim sunucusu aramaya yanıt verir, arayanın kimliğini doğrular, verileri VPN istemcisi ile kuruluşun özel ağı arasında aktarır. Veriler, noktadan noktaya bağlantıyı taklit etmek amacıyla üstbilgi kullanılarak kapsüllenir veya sarılır. Üstbilgi, verilerin bitiş noktalarına erişmeleri için, paylaşılan veya ortak ağ üzerinden çapraz geçebilmelerine olanak veren yönlendirme bilgileri sağlar. Özel ağ bağlantısını taklit etmek için, gönderilen veriler gizlilik amacıyla şifrelenir. Paylaşılan veya ortak ağda ele geçirilen paketlerin şifreleri, şifreleme anahtarları olmadan çözülemez. Özel ağ verilerinin kapsüllendiği ve şifrelendiği bağlantı VPN bağlantısı olarak bilinir.

İki tür VPN bağlantısı vardır:

Client to Site VPN (Kullanıcıdan Lokale Erişim)
Site to Site VPN (Lokalden Lokale Erişim)

Client to Site VPN

Uzaktan erişim VPN bağlantıları, evinden çalışan veya yolda olan kullanıcıların, Internet gibi ortak bir ağ tarafından sağlanan altyapıyı kullanarak özel ağ üzerindeki bir sunucuya erişmelerine olanak verir. Kullanıcı açısından bakıldığında VPN, bilgisayarla (VPN istemcisi) kuruluşun sunucusu arasında noktadan noktaya bir bağlantıdır. Mantıksal olarak veriler, adanmış bir özel ağ üzerinden gönderiliyormuş gibi göründüğünden, paylaşılan veya ortak ağın gerçek altyapısı önemli değildir.

Site to Site VPN

Siteden siteye VPN bağlantıları (yönlendiriciden yönlendiriciye VPN bağlantıları olarak da bilinir), kuruluşların farklı ofisler arasında veya diğer kuruluşlarla ortak bir ağ üzerinden yönlendirilmiş bağlantılar kullanabilmelerine olanak verirken, iletişim güvenliğinin sağlanmasına da yardımcı olur. Internet üzerinden yönlendirilmiş VPN bağlantısı, mantıksal olarak, adanmış geniş alan ağı (WAN) bağlantısı gibi çalışır. Aşağıdaki şekilde de gösterildiği gibi, ağlar Internet üzerinden bağlandıklarında, bir yönlendirici, paketleri VPN bağlantısı üzerinde başka bir yönlendiriciye iletir. Yönlendiriciler açısından VPN bağlantıları, veri bağlantısı katmanı bağlantısı olarak işlev görür. Siteden siteye VPN bağlantısı özel bir ağın iki bölümünü birbirine bağlar. VPN sunucusu, bağlı bulunduğu ağa yönlendirilmiş bağlantı sağlar. Yanıtlayan yönlendirici (VPN sunucusu) arayan yönlendiricinin (VPN istemcisi) kimliğini doğrular ve karşılıklı kimlik doğrulama amacıyla, arayan yönlendirici de yanıtlayan yönlendiricinin kimliğini doğrular. Siteden siteye VPN bağlantısında, VPN bağlantısı üzerindeki iki yönlendiriciden birinden gönderilen paketlerin başlangıç noktaları tipik olarak yönlendiriciler değildir.

VPN Bağlantılarının Özellikleri

PPTP, L2TP/IPsec ve SSTP kullanan VPN bağlantıları aşağıdaki özelliklere sahiptir:

  1. Kapsülleme 
  2. Kimlik doğrulama 
  3. Veri şifreleme 
VPN teknolojisinde özel veriler, geçiş ağını çapraz geçmelerine izin verecek yönlendirme bilgilerini içeren bir üstbilgiyle kapsüllenir. Kapsülleme örnekleri için, bkz. VPN Tünel Protokolleri.

Kimlik Doğrulama

VPN bağlantılarında kimlik doğrulama üç farklı biçimde yapılır:

1. PPP kimlik doğrulama kullanılarak kullanıcı düzeyinde kimlik doğrulama

VPN bağlantısı oluşturmak için, VPN sunucusu bağlanmayı deneyen VPN istemcisinin kimliğini, Noktadan Noktaya Protokolü (PPP) kullanıcı düzeyinde kimlik doğrulama yöntemi kullanarak doğrular ve VPN istemcisinin uygun yetkilendirmeye sahip olduğunu onaylar. Karşılıklı kimlik doğrulama kullanılırsa, VPN istemcisi de VPN sunucusunun kimliğini doğrular; bu şekilde kendilerini VPN sunucuları gibi tanıtan bilgisayarlara karşı koruma sağlanır.

2. Internet Anahtar Değişimi (IKE) kullanarak bilgisayar düzeyinde kimlik doğrulama

Internet Protokolü güvenliği (IPsec) güvenlik ilişkisi oluşturmak üzere VPN istemcisi ve VPN sunucusu, bilgisayar sertifikaları veya önceden paylaşılan bir anahtar değişimi için IKE protokolünü kullanır. Her iki durumda da VPN istemcisi ve sunucusu, birbirlerinin kimliklerini bilgisayar düzeyinde doğrular. Bilgisayar sertifikası kimlik doğrulaması çok daha güçlü bir kimlik doğrulama yöntemi olduğundan daha fazla önerilir. Bilgisayar düzeyinde kimlik doğrulama yalnızca L2TP/IPsec bağlantıları için uygulanır.

3. Veri kaynağı için kimlik doğrulama ve veri bütünlüğü

VPN bağlantısı üzerinden gönderilen verinin, bağlantının diğer ucundan gönderilmiş olduğunu ve aktarım sırasında değiştirilmediğini onaylamak için, veride yalnızca gönderenin ve alanın bildiği bir şifreleme anahtarına dayalı şifreleme sağlama toplamı bulunur. Veri kaynağı için kimlik doğrulama ve veri bütünlüğü yalnızca L2TP/IPsec bağlantılarında kullanılabilir.

Veri şifreleme

Veriler, paylaşılan veya ortak geçiş ağından çapraz geçerken gizliliğinin sağlanması amacıyla gönderen tarafından şifrelenir ve şifreleri alan tarafından çözülür. Şifreleme ve şifre çözme işlemleri gönderenin ve alanın ortak kullandığı bir şifreleme anahtarına bağlıdır. VPN bağlantısı üzerinden geçiş ağında gönderilen paketler ele geçirildiğinde, ortak şifreleme anahtarı olmadan hiç kimse için bir anlam ifade etmezler. Şifreleme anahtarının uzunluğu çok önemli bir güvenlik parametresidir. Şifreleme anahtarını belirlemek için hesaba dayalı teknikler kullanabilirsiniz. Ancak, bu tür teknikler, şifreleme anahtarları büyüdükçe daha fazla bilgi işlem gücü ve hesaplama süresi gerektirir. Bu nedenle, veri gizliliğini sağlamak için mümkün olan en büyük anahtar boyutunu kullanmak önemlidir.

VPN Tünel Protokolleri

Tünel oluşturma, bir protokol türündeki paketin başka bir protokol datagramı içinde kapsüllenmesini sağlar. Örneğin, VPN, IP paketlerini Internet gibi ortak bir ağ üzerinden kapsüllemek için PPTP’yi kullanır. Noktadan Noktaya Tünel Protokolü (PPTP), Katman İki Tünel Protokolü (L2TP) veya Güvenli Yuva Tünel Protokolü’ne (SSTP) dayalı bir VPN çözümü yapılandırılabilir.

PPTP, L2TP ve SSTP protokolleri büyük ölçüde, orijinal olarak Noktadan Noktaya Protokolü (PPP) için belirlenen özellikleri esas alır. PPP çevirmeli veya adanmış noktadan noktaya bağlantılar üzerinden veri göndermek için tasarlanmıştır. IP kullanımında, PPP, IP paketlerini PPP çerçeveleri içinde kapsüller ve ardından kapsüllenen PPP paketlerini noktadan noktaya bir bağlantı üzerinden aktarır. PPP orijinal olarak çevirmeli istemci ve ağ erişimi sunucusu arasında kullanılacak protokol olarak tanımlanmıştır.

PPTP

PPTP, birden çok protokol trafiğinin şifrelenmesini ve ardından IP ağı veya Internet gibi ortak IP ağı üzerinden gönderilmek üzere bir IP üstbilgisi ile kapsüllenmesini sağlar. PPTP uzaktan erişim ve siteden siteye VPN bağlantıları için kullanılabilir. Internet, VPN için ortak ağ olarak kullanıldığında, PPTP sunucusu, biri Internet üzerinde diğeri de intranet’te bulunan iki arabirime sahip PPTP etkin bir VPN sunucusudur.

Kapsülleme

PPTP, ağ üzerinden aktarım için PPP çerçevelerini IP datagramları içinde kapsüller. PPTP, tünel yönetimi için bir TCP bağlantısını ve tünel oluşturulan veri için PPP çerçevelerinin kapsüllenmesi amacıyla Genel Yönlendirme Kapsüllemesi’nin (GRE) değiştirilmiş bir sürümünü kullanır. Kapsüllenen PPP çerçevelerinin yükleri şifrelenebilir, sıkıştırılabilir veya her ikisi de uygulanabilir.

Şifreleme

PPP çerçevesi, MS-CHAP v2 veya EAP-TLS kimlik doğrulama işlemiyle oluşturulan şifreleme anahtarları kullanılarak, Microsoft Noktadan Noktaya Şifreleme (MPPE) ile şifrelenir. PPP çerçeve yüklerinin şifrelenebilmesi için, sanal özel ağ istemcilerinin MS-CHAP v2 veya EAP-TLS kimlik doğrulama protokolünü kullanması gerekir. PPTP, temeldeki PPP şifrelemesinden ve önceden şifrelenen PPP çerçevesinin kapsüllenmesinden yararlanır.

L2TP

L2TP birden çok protokol trafiğinin şifrelenmesini ve ardından IP veya zaman uyumsuz aktarım modu (ATM) gibi noktadan noktaya datagram teslimini destekleyen herhangi bir medya üzerinden gönderilmesini sağlar. L2TP, Cisco Systems, Inc. tarafından geliştirilen, PPTP ve Katman İki İletme (L2F) protokollerinin birleşiminden oluşan bir teknolojidir. L2TP, PPTP ve L2F’nin en iyi özelliklerini alır.
PPTP’nin aksine, microsoft’un L2TP uygulaması, PPP datagramlarının şifrelenmesinde MPPE’yi kullanmaz. L2TP, şifreleme hizmetleri için aktarım modunda Internet Protokolü güvenliğine (IPsec) dayanır. L2TP ve IPsec’in birleşimi L2TP/IPsec olarak bilinir.
L2TP ve IPsec’in her ikisi de, hem VPN istemcisi hem de VPN sunucusu tarafından desteklenmelidir. L2TP için istemci desteği Windows Vista® ve Windows XP uzaktan erişim istemcilerinde dahilidir; L2TP için VPN sunucusu Windows Server® 2008 ve Windows Server 2003 ailesi üyelerinde dahili olarak desteklenir.
L2TP, TCP/IP protokolüyle birlikte yüklenir.

Kapsülleme

L2TP/IPsec paketlerinin kapsüllenmesi iki katmandan oluşur,
Birinci katman L2TP kapsülleme
PPP çerçevesi (IP datagramı) L2TP üstbilgisi ve UDP üstbilgisi ile sarılır.
IP Datagramı İçeren L2TP Paketinin Yapısı

http://www.tesla.com.tc/over/l2pt.gif

İkinci katman IPsec kapsülleme
Ortaya çıkan L2TP iletisi daha sonra bir IPsec Kapsüllenen Güvenlik Yükü (ESP) üstbilgisi ve altbilgisi, iletinin bütünlüğünü ve kimlik doğrulamayı sağlayan IPsec Kimlik Doğrulama altbilgisi ve son olarak IP üstbilgisiyle sarılır. IP üstbilgisinde VPN istemcisine ve VPN sunucusuna karşılık gelen kaynak ve hedef IP adresi bulunur.
L2TP trafiğinin IPsec ESP ile şifrelenmesi

http://www.tesla.com.tc/over/l2pt2.gif

Şifreleme

L2TP iletisi, Internet Anahtar Değişimi (IKE) anlaşma işlemiyle oluşturulan şifreleme anahtarlarını kullanarak, Veri Şifreleme Standardı (DES) veya Üçlü DES (3DES) ile şifrelenir. SSTP

Güvenli Yuva Tüneli Protokolü (SSTP), 443 numaralı TCP bağlantı noktası üzerinden HTTPS protokolünü kullanan yeni bir tünel protokolüdür ve trafiğin güvenlik duvarlarından ve PPTP ile L2TP/IPsec trafiğini engelleyebilen Web proxy’lerden geçirilmesini sağlar. SSTP, PPP trafiğini HTTPS protokolünün Güvenli Yuva Katmanı (SSL) kanalı üzerinde kapsüllemek için bir mekanizma sağlar. PPP’nin kullanılması, EAP-TLS gibi etkili kimlik doğrulama yöntemlerinin desteklenmesine olanak sağlar. SSL, gelişmiş anahtar anlaşması, şifreleme ve bütünlük denetimi kullanarak aktarma düzeyinde güvenlik sağlar.
Bir istemci SSTP tabanlı VPN bağlantısı oluşturmaya çalışırsa, SSPT ilk olarak, SSTP sunucusunda çift yönlü bir HTTPS katmanı oluşturur. Protokol paketleri bu HTTPS katmanı üzerinden veri yükü olarak geçer.

Kapsülleme

SSTP, ağ üzerinden aktarım için PPP çerçevelerini IP datagramları içinde kapsüller. SSTP, PPP veri çerçevelerinin yanı sıra tünel yönetimi için bir TCP bağlantısı (443 numaralı bağlantı noktası üzerinden) kullanır.

Şifreleme

SSTP iletisi HTTPS protokolünün SSL kanalı ile şifrelenir.
Tünel protokolleri arasından seçim yapma
PPTP, L2TP/IPsec ve SSTP uzaktan erişim VPN çözümleri arasından seçim yaparken şunlara dikkat edilmesi gerekir:
PPTP, Microsoft Windows 2000, Windows XP, Windows Vista ve Windows Server 2008 gibi farklı Microsoft istemcileriyle birlikte kullanılabilir. PPTP, L2TP/IPsec’in aksine ortak anahtar altyapısı (PKI) kullanılmasını gerektirmez. Şifreleme kullanarak, PPTP tabanlı VPN bağlantıları veri gizliliği sağlar (ele geçirilen paketler şifreleme anahtarı olmadan anlaşılamaz). Ancak, PPTP tabanlı VPN bağlantıları, veri bütünlüğü (aktarım sırasında verinin değişmediğinin kanıtı) veya veri kaynağı için kimlik doğrulama (verinin yetkili kullanıcı tarafından gönderildiğinin kanıtı) sağlamaz.
L2TP yalnızca Windows 2000, Windows XP veya Windows Vista çalıştıran istemci bilgisayarlarla kullanılabilir. L2TP, IPsec için kimlik doğrulama yöntemi olarak bilgisayar sertifikalarını veya önceden paylaşılan anahtarı destekler. Önerilen kimlik doğrulama yöntemi olan bilgisayar sertifikası kimlik doğrulaması, VPN sunucusu bilgisayara ve tüm VPN istemcisi bilgisayarlara bilgisayar sertifikası vermek için bir PKI’ye gereksinim duyar. L2TP/IPsec VPN bağlantıları, IPsec kullanarak veri gizliliği, veri bütünlüğü ve veri kimlik doğrulaması sağlar.
PPTP ve SSTP’nin aksine, L2TP/IPsec, IPsec katmanında makine kimlik doğrulaması ve PPP katmanında kullanıcı düzeyinde kimlik doğrulama yapılmasını sağlar.
SSTP yalnızca Windows Vista Service Pack 1 (SP1) veya Windows Server 2008 çalıştıran istemci bilgisayarlarla kullanılabilir. SSTP VPN bağlantıları, SSL kullanarak veri gizliliği, veri bütünlüğü ve veri kimlik doğrulaması sağlar.

Üç tünel türünün hepsi PPP çerçevelerini ağ protokolü yığınının üstünde taşır. Bu nedenle kimlik doğrulama düzenleri, Internet Protokolü sürüm 4 (IPv4) ve Internet Protokolü sürüm 6 (IPv6) anlaşması ve Ağ Erişim Koruması (NAP) gibi ortak PPP özellikleri bu üç tünel türünde de değişmez.

Bu durumlar RFC’lerde belgelenmiş vaziyettedir;
PPTP IETF RFC Veritabanı içindeki RFC 2637’de belgelenmiştir.
L2TP IETF RFC Veritabanı içindeki RFC 2661’de belgelenmiştir
L2TP/IPsec IETF RFC Veritabanı içindeki RFC 3193’te belgelenmiştir.

VPN ve Güvenlik Duvarları

Bir sanal özel ağ (VPN) uzaktan erişim çözümü tasarlarken, sunucu yerleşimi için aşağıdaki iki seçenek arasından seçim yapın. Her seçeneğin tasarım gereksinimleri farklıdır. Güvenlik duvarının arkasındaki VPN sunucusu. Güvenlik duvarı Internet’e bağlıdır ve güvenlik duvarı ile intranet arasında VPN sunucusu bulunmaktadır. Bir güvenlik duvarının, VPN sunucusu ile intranet arasında konumlandırıldığı ve bir diğer güvenlik duvarının, VPN sunucusu ile Internet arasında konumlandırıldığı bir çevre ağı yapılandırmasında kullanılan yerleşim budur. Güvenlik duvarının önündeki VPN sunucusu. VPN sunucusu Internet’e bağlıdır ve VPN sunucusu ile intranet arasında güvenlik duvarı bulunmaktadır.

Bir Güvenlik Duvarının Arkasındaki VPN Sunucusu

Aşağıdaki şekilde gösterilen yapılandırmada, güvenlik duvarı Internet’e bağlıdır ve VPN sunucusu, filtrelenmiş alt ağ olarak da adlandırılan çevre ağına bağlı olan diğer bir intranet kaynağıdır. Çevre ağı, Web sunucuları ve FTP sunucuları gibi genellikle Internet kullanıcılarının kullanabildiği kaynakları içeren bir IP ağ kesimidir. VPN sunucusu, hem çevre ağı hem de intranet üzerinde bir arabirime sahiptir.
Bu yaklaşımda, tünel bakım trafiğinin ve tünellenmiş verilerin VPN sunucusuna geçişine izin vermek için; güvenlik duvarının, Internet ve çevre ağı arabirimleri üzerinde giriş ve çıkış filtreleriyle yapılandırılması gerekir. Ek filtreler, Web sunucularına, FPT sunucularına ve çevre ağı üzerindeki diğer sunucu türlerine giden trafiğin geçişine izin verebilir. Ek bir güvenlik katmanı sağlamak için VPN sunucusu, bu konu kapsamında “Bir güvenlik duvarının önündeki VPN sunucusu” başlıklı bölümde açıklandığı gibi, çevre ağı arabirimi üzerinde PPTP, SSTP veya L2TP/IPsec paket filtreleriyle de yapılandırılmalıdır.
Güvenlik duvarı her VPN bağlantısının şifreleme anahtarlarına sahip olmadığı için, yalnızca tünellenmiş verilerin düz metin üstbilgileri üzerinde filtreleme yapabilir; bu da tünellenen verilerin tümünün güvenlik duvarından geçmesi anlamına gelir. Ancak VPN bağlantısı için, VPN sunucusunu geçecek yetkisiz erişimi engelleyen bir kimlik doğrulama işlemi gerektiğinden, bu durum güvenlik açısından sorun teşkil etmez. Bir güvenlik duvarının arkasındaki VPN sunucusuna yönelik paket filtreleri VPN sunucusu bir güvenlik duvarının arkasındaysa, paket filtreleri hem bir Internet arabirimi hem de bir çevre ağı arabirimi için yapılandırılmalıdır. Bu senaryoda güvenlik duvarı Internet’e bağlıdır ve VPN sunucusu, çevre ağına bağlı olan bir intranet kaynağıdır. VPN sunucusu, hem çevre ağı hem de Internet üzerinde bir arabirime sahiptir.

Not; UDP bağlantı noktası 1701’de L2TP trafiği için filtre gerekli değildir. Tünel bakım trafiği ve tünellenmiş verilerde dahil olmak üzere, güvenlik duvarı üzerindeki tüm L2TP trafiği, IPsec ESP ile şifrelenmiştir.

Bir Güvenlik Duvarının Önündeki VPN Sunucusu

VPN sunucusu şekilde gösterildiği gibi güvenlik duvarının önünde ve Internet’e bağlı olduğunda; yöneticilerin, Internet arabirimine yalnızca VPN sunucusunun Internet üzerindeki arabiriminin IP adresine giden ve bu adresten gelen VPN trafiğine izin veren paket filtreleri eklemesi gerekir. Gelen trafik için, tünellenmiş verilerin şifreleri VPN sunucusu tarafından çözüldüğünde veriler, trafiğin intranet kaynaklarına iletilmesine izin vermek üzere filtrelerini kullanan güvenlik duvarına iletilir. VPN sunucusundan geçen tek trafik, kimliği doğrulanmış VPN istemcileri tarafından oluşturulan trafik olduğu için; bu senaryoda güvenlik duvarı filtrelemesi, VPN kullanıcılarının belirtilen intranet kaynaklarına erişimini engellemek için kullanılabilir.
İntranet üzerinde izin verilen tek Internet trafiğinin, VPN sunucusu üzerinden geçmesi gerektiğinden bu yaklaşım, intranet kaynaklarının VPN dışı Internet kullanıcıları ile paylaşılmasını da engeller.
VPN sunucusu bir güvenlik duvarının önünde ve Internet’e bağlı olduğunda, VPN sunucusu üzerindeki gelen ve giden paket filtreleri yalnızca VPN sunucusunun Internet arabiriminin IP adresine giden ve bu adresten gelen VPN trafiğine izin verecek biçimde yapılandırılmalıdır. VPN sunucusunun bir çevre ağında bulunduğu, VPN sunucusu ile intranet arasında bir güvenlik duvarının konumlandırıldığı ve VPN sunucusu ile Internet arasında bir diğer güvenlik duvarının konumlandırıldığı durumlarda bu yapılandırmayı kullanın. Akıllı kartlar veya sertifikalarla birlikte PEAP-TLS ya da EAP-TLS kullanıyorsanız, Active Directory Sertifika Hizmetleri (AD CS) ile birlikte bir ortak anahtar altyapısı (PKI) dağıtın. PEAP-MS-CHAP v2 kullanıyorsanız, sunucu sertifikalarını AD CS ile veya güvenilir bir kök sertifika yetkilisinden (CA) satın alarak verin. VPN sunucusu olarak yapılandırılan Yönlendirme ve Uzaktan Erişim hizmeti yerel bilgisayarda yüklü değilse, şunları da yapılandırmanız gerekir:
VPN sunucusu olarak yapılandırılmış Yönlendirme ve Uzaktan Erişim Hizmeti çalıştıran bilgisayarda, Ağ İlkesi Sunucusu’nu (NPS) yükleyin. Bağlantı isteklerini yerel NPS sunucusuna iletmek üzere, uzak Yönlendirme ve Uzaktan Erişim – NPS sunucusundaki NPS’yi Radius proxy olarak yapılandırın.