Bir şirketin şubeleri arasında her zaman özel devreler(ATM,Frame Relay,Leased Line,G.shdsl…) bulunmayabilir.İşte böyle bir durumda şubeler arasındaki güvenilir veri iletişimini VPN(Virtual Private Network) ile sağlamak gerekir.Bu yazımda VPN’in temel çalışma mantığı ve kullanılan algoritmalardan bahsedeceğim.
VPN’in amacı faklı local networkleri, özel bir devreye ihtiyaç duymadan güvenli bir şekilde görüştürebilmektir.Bunu sağlayabilmek için VPN’in olmazsa olmaz 4 tane kuralı vardır;
1)Confidentiality :VPN’in güvenilir olmasıdır.Kurulan sanal ağın ortasındaki bir adamın datayı alamamasıdır.
2)Data İntegrity :Datanın bozulmadan, herhangi bir değişikliğe uğramadan karşı tarafa iletilmesidir.
3)Authentication :Kimlik doğrulamadır, sadece doğru kişilerin birbirleriyle VPN yapmasını sağlar.
4)Anti-Replay :Datanın kopyalanmasını önler, VPN tarafiğinin arasına giren birinin datayı kopyalayıp tekrar göndermesini engeller.
VPN kurulurken iki ayrı mod vardır;
1)Tunnel mode :İki faklı lokasyonu birbirine bağlarken kullanılır.
2)Transport mode :Aynı local networkteki kişiler arasında kurulan VPN dir.
VPN de veri paketlerinin üzerine AH(Authentication Header) ve ESP(Encryption Security Payload) headerları eklenir.Doğal olarak paketin büyüklüğü artar, VPN in belkide tek dezavantajı budur.Ancak sağladığı avantajlar düşünülürse önemsenmeyecek bir şeydir.
AH(Authentication Header) :Layer 3 çalışan bir protokoldür.Bu nedenle protokol id’ye sahiptir.AH’ın protokol idsi 50 dir.Kimlik doğrulama için kullanılır.Doğrulama SHA-1 ve MD5 algoritmaları ile gerçekleştirilebilir.SHA-1 160 bitlik bir encryption yapar, Md5 128 bitlik bir encryption yapar.
ESP(Encryption Security Payload) :İçinde şifrelerin bulunduğu header ,protocol idsi 51 dir.DES ,3DES ,AES ve RSA gibi şifreleme metodları ile kullanılır.DES 64 bit ,3DES 168 bit ,AES 128-192-256 bit ve RSA 2048 bitlik bir encryption ile çalışır.İçlerinde en güvenlisi RSA dir.Ancak çok yavaş çalışır.
VPN kurarken en önemli şey AH ve ESP de olan protokoller her iki lokasyonda da karşılıklı olarak aynı olmalıdır.
3 tane VPN çeşidi vardır;
1)IPSEC VPN :İki veya daha fazla router sabit ipler ile VPN kurar.En güvenli VPN metodudur.Sadece statik routelar ile çalışır.
2)GRE VPN :Dinamik routing protokolleri(RİP,EIGRP,OSPF) destekler.Bankalar ve büyük holdinglerin alt yapılarında gre vpn vardır.Her hangi bir güvenlik önlemi yoktur ,bu nedenle GRE over IPSEC şeklinde kullanılır.
3)Easy VPN :Gezici çalışanları sisteme entegre etmek için kullanılır.Bir easy vpn server üzerinden çalışır.Kullanıcıların biri kendi ip’si diğeri vpn ile bağlandığı yerin ip’si olmak üzere iki tane ip’si olur.Bu nedenle her lokasyonun farklı bir private ip bloğu olmalıdır.
