VPN (Virtual Private Network – Sanal Özel Ağ), İnternet üzerinden başka bir ağa güvenli bir bağlantı oluşturmanıza olanak tanır. Herhangi bir cihazı bir VPN’ye bağladığınızda, VPN ile aynı ağdaymış gibi davranır ve tüm veri trafiği VPN üzerinden güvenli bir şekilde gönderilir.
VPN Nedir?
Bu, interneti VPN ağına sahip bölgede bulunduğunuz gibi kullanabileceğiniz anlamına gelir. Bölgeye göre engellenen içeriğe erişmeniz gerektiğinde çok yararlıdır. Örneğin, belirli bir ülkenin özel bir hizmetinin kataloğuna bakmak istiyorsanız, bir VPN ile bunu yapabilirsiniz, çünkü maskelenmiş bağlantıya girdikten sonra, bu hizmet yalnızca bundan bağlandığınızı görecektir.
Buna ek olarak, VPN, adından da anlaşılacağı gibi özel ve sanal bir ağdır, bu nedenle bu ağdan geçen tüm trafik, istenmeyen tehditlerden korunur. Herkese açık bir Kablosuz ağa bağlandığımızda bu çok yararlı olabilir.
Ağdaki bilgisayarın, özel bir ağın tüm işlevsellik, güvenlik ve yönetim ilkelerine sahip özel bir ağmış gibi paylaşılan veya genel ağlar hakkında veri göndermesine ve almasına olanak tanır. Bu, özel bağlantılar, şifreleme veya her iki yöntemin kombinasyonu kullanılarak sanal bir noktadan noktaya bağlantı kurularak yapılır.
İnternet üzerinden VPN bağlantısı teknik olarak siteler arasında geniş bir alan ağı (WAN) bağlantısıdır, ancak kullanıcı sanki oradan “sanal özel ağ” adı verilen özel bir bağlantıymış gibi hisseder.
VPN Kullanımı
- Bir şirketin iki veya daha fazla şubesini İnternet bağlantısı kullanarak bağlama.
- Teknik destek ekibinin üyelerinin evlerinden bilgisayar merkezine bağlanması.
- Bir kullanıcının ev ekipmanlarına uzak bir siteden erişmesine izin verir.
- VPN’ler, seyahat eden ve uzaktayken ağlarına girmesi gereken profesyoneller için sıklıkla kullanılır. Bu yöntemi kullanmak, kaynakların bulutta oldukları için güvenli kalmasını sağlar.
- Evde bıraktığımız bilgisayara bir LAN (Yerel Ağ Alanı) kullanıyormuş gibi girmek için de kullanılabilir.
- Örneğin, restoranlarda ve alışveriş merkezlerinde şifre olmadan kullanılabilen herkese açık bir Wi-Fi kullanıyorsanız, HTTPS bağlantısı olmayan ziyaret ettiğiniz her şey, nereye bakacağını bilen herkes tarafından görülebilir. Öte yandan, bir VPN’niz varsa, görebileceğiniz tek şey VPN bağlantısıdır; Diğer her şey anonim olacak.
- Genellikle, bölgeyi engelleme sorunları genellikle sizden Amerika Birleşik Devletleri’nde olmanızı ister. Bu, Hulu, Pandora veya bu ülkede daha büyük ve daha eksiksiz olan Netflix kataloğunda olur. Bazen bazı YouTube videolarında da olur. Bu kısıtlamalardan kaçınmak için, ABD konumu olan bir VPN kullanmanız yeterlidir.
- Belirli web sitelerini sansürlemeye karar veren hükümetler için bir VPN, onlara sorunsuz bir şekilde erişmek için çok iyi çalışır.
VPN Türleri
Temel olarak dört VPN bağlantı mimarisi vardır:
1. VPN Remote Access (Uzaktan Erişim)
Belki de en yaygın kullanılan modeldir ve Internet’i bir erişim bağlantısı olarak kullanan uzak sitelerden (ticari ofisler, evler, oteller, vb.) Şirkete bağlanan kullanıcılardan veya tedarikçilerden oluşur. Kimlik doğrulandıktan sonra, şirketin yerel ağındakine çok benzer bir erişim düzeyine sahiptirler. Birçok şirket, çevirmeli ağ altyapısını (modemler ve telefon hatları) bu teknolojiyle değiştirmiştir.
2. Point to Point VPN (Noktadan Noktaya VPN)
Bu şema, uzak ofisleri kuruluşun genel merkezine bağlamak için kullanılır. İnternete kalıcı bir bağlantısı olan VPN sunucusu, sitelerden İnternet bağlantılarını kabul eder ve tünel kurar. Şube sunucuları, Internet’e yerel İnternet sağlayıcınızın hizmetlerini kullanarak, genellikle Geniş Bant bağlantıları aracılığıyla bağlanır. Bu, özellikle uluslararası iletişimde, pahalı noktadan noktaya geleneksel bağlantıların (genellikle düğümler arasındaki fiziksel kablo bağlantıları yoluyla yapılır) ortadan kaldırılmasına izin verir. Tünel teknolojisi olarak da adlandırılan bir sonraki nokta daha yaygındır.
3. Tunneling (Tünelleme)
Tünelleme tekniği, bir bilgisayar ağında bir tünel oluşturarak bir ağ protokolünü diğerinin (kapsülleyici ağ protokolü) üzerine kapsüllemektir. Bahsedilen tünelin kurulması, kapsüllenmiş PDU’nun ara yorumlanmasına gerek kalmadan tünelin bir ucundan diğer ucuna iletilmesi amacıyla başka bir PDU içinde belirlenen bir PDU (protokol veri birimleri) dahil olmak üzere uygulanır. Bu şekilde, veri paketleri söz konusu paketlerin içeriğini net bir şekilde göremeyen ara düğümler üzerinden yönlendirilir. Tünel, uç noktalar ve diğerlerinin yanı sıra SSH olabilecek iletişim protokolü tarafından tanımlanır.
Bu tekniğin kullanımının, çok noktaya yayın senaryolarında verilerin iletişimi, trafik yönlendirmesi gibi soruna bağlı olarak farklı hedefleri vardır.
Bu tekniği kullanmanın en açık örneklerinden biri, mobil IP senaryolarında trafiğin yeniden yönlendirilmesidir. Mobil IP senaryolarında, bir mobil düğüm temel ağınızda olmadığında, bulunduğunuz yerde belirli işlevleri gerçekleştirmesi için ev temsilcinize ihtiyacınız vardır; bunlar arasında mobil düğüme yönlendirilen trafiği yakalamak ve yönlendirmek için kullanılır. Bu trafik yönlendirmesi, bir tünelleme mekanizması kullanılarak gerçekleştirilir, çünkü paketlerin mobil düğüm tarafından alındıklarında orijinal yapılarını ve içeriklerini (kaynak ve hedef IP adresi, bağlantı noktaları vb.) tutmaları gerekir.
4. VPN over LAN (LAN üzerinden VPN)
Bu tür, şirket içinde en az yaygın olan ancak en güçlü olanlardan biridir. “Uzaktan erişim” türünün bir çeşididir, ancak interneti bir bağlantı aracı olarak kullanmak yerine, şirketin aynı yerel alan ağını (LAN) kullanır. Alanların ve hizmetlerin iç ağdan izole edilmesine hizmet eder. Bu özellik, kablosuz ağların (WiFi) güvenlik özelliklerini geliştirmeyi çok kolaylaştırır.
Klasik bir örnek, VPN makinesinin arkasında bulunan ve ek kimlik doğrulama ile şifreleme eklenmesini sağlayan bordrolar gibi hassas bilgilere sahip olan ve yalnızca nitelikli insan kaynakları personelinin bilgilere erişmesini sağlayan bir sunucudur.
Başka bir örnek, geleneksel kimlik doğrulama yöntemlerini (WEP, WPA, MAC adresleri, vb.) geçmenin yanı sıra Dahili VPN’de oluşturulan VPN tünelinin güvenlik kimlik bilgilerini ekleyen IPSec veya SSL şifreli tünelleri kullanan Wi-Fi ağlarına bağlantıdır.
Temel Özellikleri
Güvenli bir şekilde mümkün kılmak için kimlik doğrulamayı garanti altına almak için araçlar sağlamak gerekir
Kimlik Doğrulama ve Yetkilendirme: Ekip ve erişim düzeyiniz olmalıdır.
Dürüstlük: gönderilen verilerin değiştirilmemesi. Bunun için karma işlevleri kullanılır. En yaygın karma algoritmalar Message Digest (MD2 ve MD5) ve Güvenli Karma Algoritmasıdır (SHA).
Gizlilik: Veri Şifreleme Standardı (DES), Üçlü DES (3DES) ve Gelişmiş Şifreleme Standardı (AES) gibi şifreleme algoritmaları kullanılır.
Reddetme Yok: Yani bir mesaj imzalanmalı ve bunu kim imzalarsa mesajı gönderdiğini inkar edemez.
Erişim Kontrolü: Bu, kimliği doğrulanmış katılımcıların yalnızca yetkilendirildikleri verilere erişmesini sağlamak içindir.
Faaliyetlerin Denetimi ve Kaydı: Doğru çalışma ve kurtarma kapasitesinin sağlanması ile ilgilidir.
Hizmet Kalitesi: İyi performans sağlamakla ilgilidir, iletim hızında kabul edilebilir bir bozulma yoktur.
Avantajları
- Bütünlük, gizlilik ve veri güvenliği.
- VPN’ler maliyetleri düşürür ve kullanımı kolaydır.
- Uzak yerlerde iki kullanıcı arasındaki iletişimi kolaylaştırır.
Bağlantı Türleri
1. Uzaktan Erişim Bağlantısı
Uzaktan erişim bağlantısı, özel bir ağa bağlanan bir istemci veya bir bilgisayar kullanıcısı tarafından yapılır. Sanal ağ bağlantısı üzerinden gönderilen paketler uzaktan erişim istemcisinden gelir ve bu uzaktan erişim sunucusunun kimliği doğrulanır ve sunucu istemcinin kimliği doğrular.
2. Yönlendiriciden Yönlendiriciye VPN Bağlantısı
Bir yönlendirici-yönlendirici sanal ağ bağlantısı bir yönlendirici tarafından yapılır ve bu da özel bir ağa bağlanır. Bu tür bağlantılarda, herhangi bir yönlendiriciden gönderilen paketler yönlendiricilerden gelmez. Aramayı yapan yönlendiricinin yanıtı veren yönlendiricinin kimliği doğrulanır ve bu da aramayı yapan ve aynı zamanda intranete hizmet eden yönlendiricinin kimliği doğrulanır.
3. Güvenlik Duvarından Güvenlik Duvarına VPN Bağlantısı
Bir güvenlik duvarından güvenlik duvarına sanal özel ağ bağlantısı bunlardan biri tarafından yapılır ve bu da özel bir ağa bağlanır. Bu tür bağlantılarda, paketler İnternet üzerindeki herhangi bir kullanıcıdan gönderilir. Aramayı yapan güvenlik duvarı arayanın doğrulaması ve arayanın kimliği doğrulanır.
Temel Gereksinimler
User Identify (Kullanıcı Kimliği): VPN’ler, kullanıcıların kimliğini doğrulamalı ve yetkisiz olanlara erişimini kısıtlamalıdır.
Data Encryption (Veri Şifreleme): Genel ağ (Internet) üzerinden iletilecek olan verilerin ilk önce şifrelenmesi gerekir, böylece yakalandıkları takdirde okunamazlar. Bu görev, yalnızca gönderen ve alıcı tarafından okunabilen DES veya 3DES gibi şifreleme algoritmalarıyla gerçekleştirilir.
Key Management (Anahtar Yönetimi): VPN’ler, kullanıcılar için şifreleme anahtarlarını güncellemelidir. SEAL güvenlik algoritması.
Hizmetler
SSL VPN hizmeti: Bu hizmeti kullanmak için bir program yüklemek gerekir (VPN istemcisi denir). İstemci yüklendikten sonra, resmi bir bağlantı kurduğunuzda resmi UGR e-postasının kimlik bilgilerini yalnızca önceden yüklediğimiz programı yürüterek sağlamak gerekir.
PPTP VPN hizmeti: Bu modda, çoğu işletim sistemine normal olarak dahil edilen bir programı yapılandırmak gerekir. İstemci yapılandırıldıktan sonra, her sanal özel ağ bağlantısı yapmak istediğinizde, o bağlantı için geçici bir anahtar edinmek için önceki bir adım gereklidir. Bu şifre, resmi UGR e-postasının kimlik bilgileriyle tanımlanması gereken bir web erişimine erişerek elde edilir.
Uygulamalar
Fiili standart protokol IPSEC’dir, ancak PPTP, L2F, L2TP, SSL/TLS, SSH protokolleride vardır. Her biri güvenlik, kolaylık, bakım ve desteklenen müşteri türleri açısından avantajları ve dezavantajları vardır.
Şu anda, bu çözümlerin yapılandırmasını ve çalışmasını daha kolay hale getirmeye çalışan SSL/TLS protokolüyle ilgili büyüyen bir ürün yelpazesi var.
Donanım çözümleri neredeyse her zaman daha yüksek performans ve yapılandırma kolaylığı sunar, ancak yazılım sürümlerinin esnekliğine sahip değildirler.
Bu aile içinde Fortinet, SonicWALL, WatchGuard, Nortel, Cisco, Linksys, Netscreen (Juniper Networks), Broadcom, Nokia, D-link, Mikrotik ürünler mevcuttur.
Yazılım sanal ağ uygulamaları en yapılandırılabilir olanlardır ve önceki modellerde birlikte çalışabilirlik sorunları ortaya çıktığında idealdir. Açıkçası performans daha düşük ve yapılandırma daha hassas, çünkü işletim sistemini ve genel olarak ekipmanın güvenliğini ekliyor. Burada genel olarak Windows, GNU/Linux ve Unix gibi yerel çözümlere sahibiz. Örneğin OpenSSH, OpenVPN ve FreeS/Wan gibi açık kaynaklı ürünler, yazılım tabanlıdır.
Ne İşe Yarar?
Bir sanal özel ağ, bir kişinin LAN üzerinden, İnternet’te herhangi bir websitesiyle veya uzak kurumsal ağlar arasında güvenli iletişim kurmasına ve başka hiçbir kimsenin verilere erişememesini sağlar.
Dolayısıyla her iki ağ arasında gönderilen tüm veriler küresel ağ olan İnternet üzerinden iletilirken bağlantının özel ve güvenli bir kanal oluşturulur.
Güvenli bir VPN ağı oluşturulmasının en temel sebebi, şirketlerin güvenli bir bağlantı üzerinden veri gönderebilmesi için pahalı kiralık hatlar satın almamasıdır.
Bu teknoloji sayesinde, bir şirketin pahalı hatlar kiralamak zorunda kalmadan şubeleri birbirine bağlamasına ve verilerin bu ağ üzerinden sadece belirli kişiler tarafından erişilebileceği sağlanır.
Şirketlerin özel ağ kurmasının en önemli nedenlerinden bir diğeri de, çalışanlarının birlikte daha iyi çalışmasını sağlamaktır.
İnsanların birlikte çalışmasını sağlayan bu teknoloji ile kullanıcılar görsel konferans oluşturabilir, belgeleri paylaşabilir, tartışmalara katılabilir veya diğer tüm işleri birlikte yapabilirler.
Son Söz
Her iki durumda da güvenlik duvarı çözümlerini kullanarak, sağladığı koruma için performansın zararına karşı yüksek düzeyde güvenlik elde edebilirsiniz. Bizi takip ettiğiniz için teşekkürler!