IPSEC VPN NEDİR?

VPN, iki veya daha fazla uzak bölgeyi bağlamak için genel bir ağ kullanan özel bir ağdır. VPN’ler, ağlar arasında özel bağlantılar kullanmak yerine, genel ağlar üzerinden yönlendirilen (tünellenmiş) sanal bağlantıları kullanır. IPsec VPN, bir VPN bağlantısı kurmak için kullanılan bir dizi standarttan oluşan bir protokoldür.

VPN, uzak bilgisayarların İnternet gibi genel bir WAN üzerinden güvenli bir şekilde iletişim kurması için bir araç sağlar.

Bir VPN bağlantısı, iki LAN’ı (Site to Site VPN) veya bir uzak çevirmeli kullanıcı ile bir LAN’ı birbirine bağlayabilir. Bu iki nokta arasında akan trafik, genel WAN’ı oluşturan yönlendiriciler, anahtarlar ve diğer ağ ekipmanı gibi paylaşılan kaynaklardan geçer. WAN’dan geçerken VPN iletişimini güvenceye almak için iki katılımcı bir IP Güvenlik (IPsec) tüneli oluşturur.

IPsec, iki farklı modda çalışabilir:

• Transport modu: IPsec, verileri şifreler ve doğrulama işlemleri yapar ancak IP başlığını değiştirmez. Bu mod, ağlar arasındaki veri trafiğinin güvenliğini sağlamak için kullanılır.
• Tunnel modu: IPsec, verileri şifreler, doğrulama işlemleri yapar ve ayrıca IP başlığını değiştirir. Bu mod, ağlar arasında sanal bir tünel oluşturur ve veri trafiğini gizler.

IPsec’teki 3 Protokol Nedir?

İnternet Anahtar Değişimi (IKE)
IKE, UDP tabanlı bir uygulama katmanı protokolüdür ve esas olarak SA anlaşması ve anahtar yönetimi için kullanılır.

IKE’nin iki sürümü vardır: IKEv1 ve IKEv2. IKEv1 ile karşılaştırıldığında IKEv2, kabul edilen birden çok kriptografik güvenlik açığını düzeltir, güvenlik performansını iyileştirir, SA görüşme sürecini basitleştirir ve görüşme verimliliğini artırır.

IKE, Internet Security Association ve Key Management Protocol (ISAKMP), Oakley ve SKEME’yi birleştiren karma bir protokoldür. ISAKMP, IKE SA kuruluş sürecini tanımlar. Oakley ve SKEME’nin özü, güvenli veri iletimi için İnternet’te anahtarları güvenli bir şekilde dağıtmak ve kimlikleri doğrulamak için kullanılan Diffie-Hellman (DH) algoritmasıdır. IKE SA’ları ve IPsec SA’ları için gereken şifreleme anahtarı ve doğrulama anahtarı oluşturulur ve DH algoritması aracılığıyla dinamik olarak güncellenebilir.

Kimlik Doğrulama Başlığı (AH)
AH, veri kaynağının kimliğini doğrulamak ve IP paketlerinin bütünlüğünü kontrol etmek için kullanılır. Yani AH, IP paketlerinin kaynağına güvenilmesini ve verilerin değiştirilmemesini sağlar. Ancak AH, şifreleme işlevini sağlamaz. Her veri paketindeki standart IP başlığına bir AH başlığı eklenir. AH, tüm IP paketinin bütünlüğünü kontrol eder.

Kapsüllenen Güvenlik Yükü (ESP)
ESP, veri kaynağının kimliğini doğrulamanın ve IP paketlerinin bütünlüğünü kontrol etmenin yanı sıra verileri şifreleyebilir. Her veri paketindeki standart IP başlığına bir ESP başlığı eklenir ve her veri paketine ESP Trailer ve ESP Auth veri alanları eklenir. Aktarım modundaki ESP, IP başlıklarının bütünlüğünü kontrol etmez. Bu nedenle, ESP, IP başlıklarının kurcalanmamasını sağlayamaz.

AH ve ESP bağımsız veya birlikte kullanılabilir. AH ve ESP birlikte kullanıldığında, ESP kapsülleme AH kapsüllemeden önce gerçekleştirilir ve AH kapsülsüzleştirme, ESP kapsülsüzleştirmeden önce gerçekleştirilir.

PONIVA Firewall; IPSEC vpn de IKEV1 ve IKEV2 desteği bulunmaktadır, ayrıca mobil veya windows cihazlarınız için L2TP over IPSEC seçeneği de sunmaktadır.