Data Link seviyesine örnek ise harici kriptolama cihazlarıdır. Eternet ortamında kullanılan 10/100 S ile biten modelli kartlar da örnek olarak verilebilir.

Ancak 2. seviyede kriptolama yapılırsa IP adres kısmı da kriptolanacağı için yönlendiriciden geçerken paket yeniden deşifre edilmesi ve nereye gittiğine bakılarak hangi bacaktan atılacağına karar verilmesi gerekecek ve sonrasında bacaktan atılırken yeniden kriptolanacak. Herkeze açık bir ağda bunu gerçekleştirmek imkansız. Kapalı ağlar içinde ancak mümkün olabilir. Diğer çözüm ise veriyi Network seviyesinde kriptolamaktır. Buna örnek Cisco’nun Kripto teknolojisi CET ve genel bir protokol olan herkeze açık IPSec verilebilir. CET ve benzerleri üreticinin cihazlarına bağımlı teknolojiler olması nedeniyle dezavantaja sahiptirler.

IPSec protokolu herkez tarafından ortak kullanılabilen bir protokoldür. Network seviyesinde çalıştığı için uygulamadan bağımsız olarak her veriyi şifreler ve şifre sonrası oluşturduğu başlık ile de verinin internette rahatlıkla yolculuk edebilmesi sağlanır. Bu yüzden de günümüzde VPN teknolojisinin altyapısını oluşturmaktadır. IPSec protokol ailesinde çeşitli algoritmalar kullanılmaktadır. Kriptolama amaçlı olan algoritmaları simetrik ve asimetrik olarak ikiye ayırabiliriz. Aynı anahtarla şifrelenen veri gene aynı anahtarla açılabiliyorsa simetrik bir şifreleme algoritması kullanılıyor demektir. Buna örnek DES, 3DES, Idea, Blowfish, RC2, RC4 verilebilir.

Veri alıcı tarafından eğer ancak bir başka anahtarla açılabiliyor ise bu durumda asimetrik bir algoritma kullanılmış demektir. Burda bir çift anahtar kullanılır. Buna örnek RSA, DH (Diffie-Hellman) verilebilir. IPSec DH kullanır. RSA ise SSH ve PGP ve benzeri uygulamalarda kullanılır. Şekilde çifte anahtarlama yöntemi anlatılıyor.

Şekilde Tan Ali’ye veri göndermek istiyor. Ali Tan’ a Public anahtarını gönderiyor. Tan kendi özel anahtarı (Private Key) ile Ali’ nin kendisine gönderdiği Public anahtarı harmanlayıp bir ortak anahtar elde ediyor.(Shared Secret). Tan veriyi bu ortak anahtarla şifreleyip karşıya gönderiyor.

Aynı işlemler Ali tarafından da yapılıyor. Bu şekilde iletişimde güvenlik sağlanıyor. Bu tarz iki anahtar esasına dayalı algoritma iki tarafın güvenli olmayan internet gibi bir ortam içinde aralarında kullanılacak simetrik anahtarı karşıya güvenli şekilde göndermeye yarar. Taşınacak verinin şifrelenmesinde pek kullanılmazlar. Çünkü örneğin DES’e kıyasla 10 ila 1000 kat daha yavaş çalışırlar. Bunun sebebi kullanılan anahtarların 1024/2048 bit olmasından kaynaklanıyor.(Halbuki simetrik algoritmalar 56-256 bit arası anahtar kullanırlar.) . Simetrik anahtarı örneğin DES kullanır.

Anahtarı kendi fonksiyonuna katarak hem fonksiyonun özelleştirilmesi sağlanır hem de bu anahtara bağımlı olan fonksiyondan geçirilen veriler karşıya güvenli şekilde gider. Alıcı taraf (zaten Diffie-Hellman aracılığı ile sahip olduğu) simetrik anahtarı kullanır ve içindeki veriye ulaşır. IPSec’te kullanılan diğer bir algoritma çeşidi ise Hash algoritmasıdır. Amacı verinin kriptolanmasını sağlamak değil ama verinin yolda değiştirilmesini önleyerek verinin doğruluğundan alıcı tarafın emin olmasını sağlamaktır. HMAC, MD5, SHA-1 Hash algoritmalarının en bilinenleridir. Bunlar tek taraflı fonksiyonlardır. Yani tersi alınamaz.

Şekilde Hash fonksiyonunun nasıl çalıştığı görülüyor. Şekilde veri Hash fonksiyonundan geçirilerek bir Hash sonucu bulunuyor ve veri ile birlikte karşıya Hash sonucu da gönderiliyor. Alıcı taraf veriyi aynı Hash fonksiyonundan geçirerek aynı sonucu bulursa verinin içeriğinin değişmediğinden emin oluyor. Tünelleme teknolojileri, (IPSec ile birlikte kullanılırlarsa) kompleks şifreleme prosedürleri ve kimlik doğrulama protokollerini içerir.

Değerli bilgileri açık ağ olan internet üzerinden geçerken yetkisiz erişimlerden korur. Tünelleme Teknolojisi interneti kullanarak bir lokasyondan diğerine veri paketlerinin koruyucu bir şifreleme algoritmasıyla iletilmesi yöntemidir. Protokol başlığı ve VPN bağlantısı için kullanılacak protokolün başlık bilgisine eklenir. Veri iletişimi başladığında, veri paketleri bu yeni ve güvenli protokol başlığı bilgisini kullanır. IPSec (Internet Protocol Security) en çok kullanılan güvenlik protokolüdür. IPSec internet üzerinden veri taşınması işleminde tünelleme, şifreleme ve kimlik doğrulama için kullanılan standart bir güvenlik protokolüdür. VPN kısaca, herkese açık bir ağ olan internet üzerinden verilerin güvenli bir şekilde geçirilmesi olarak tanımlanabilir. VPN herkeze açık ağda yaratılan tünelleme tekniğidir.

Bu amaçla kullanılan tünelleme protokolleri vardır. L2TP tünelleme ptrotokolu Cisco’nun icadı olan L2F ile Microsoft’un PPTP protokolunun birlikteliğinden doğmuştur. Microsoft hem PPTP ‘yi hemde L2TP yi de günümüzde desteklemektedir. Cisco’nun GRE tünelleme protokolu ise daha çok IPX, CLNP gibi ve diğer IP olmayan paketleri IP içinden taşımak için kullanılan bir tünelleme tekniğidir. L2TP ve GRE tek başına bir şifreleme yapmaz ve verinin bütünlüğünü garanti etmezler. Ayrıca sağladıkları tüneldeki veri monitor edilebilir. Bu ek***likler her iki tünelllemenin üzerinde ayrıca IPSec kullanılması ile kapatılmıştır. (L2TP/IPSec, GRE/IPSec). IPSec de tek başına bir tünelleme tekniğidir.Verinin mahremiyetini, bütünlüğünü ve kimden geldiğinden emin olunmasını sağlar.

Şirketlerin VPN’i tercih etmesi için pek çok sebep sıralanabilir. Frame Relay gibi geleneksel bağlantılarda maliyet çok fazladır. Hattın kopması durumunda size yeni bir yol tahsis edilmesi zaman alır.Fakat taşıyıcı medya olarak Internet kullanılır ise bu durumda hem maliyetler çok daha aza inecektir hemde sizin Servis Sağlayıcınızla aranızdaki bağlantınız kopmadığı sürece hattın kopması (bulutun içerisinde bir yerlerde kopan hattan sözediyorum) sizi etkileyemeyecektir. Çünkü internet bulutundaki bir yerlerde hat kopsada iletişim yönlendiricilerin dinamik çalışması sayesinde veriler değişik yollardan hedefine gitmeye devam edeceklerdir.

VPN dezavantajı ise uygulamada veriler doğrudan internet arenasından geçtiği için verilerinizin başkaları tarafından yakalanmasının verdiği rahatsızlıktır.Verinin yakalanmasında aslında bir risk yok .Veri yakalansa bile içi okunamayacak veya değiştirilemeyecek. Kullanılan algoritmalara göre verinin okunması yıllar alabilir. VPN sayesinde şirketlerin ofislerini birbirine ya da mobil kullanıcılarını merkeze bağlamak için kendi ağ omurgalarını kurmasına gerek kalmaz. VPN ile her lokasyon, diğer lokasyonlarla arasındaki bağlantıyı internet üzerinden kesintisiz ve yüksek hızla gerçekleştirir. VPN, şirketlerin internet omurgasını kendi omurgaları gibi kullanmalarına imkan vermektedir.

Güvenlik, verilerin bir noktadan diğerine aktarılırken şifrelenmesi ile gerçekleştirilir. Kiralık hat, Frame Relay, ISDN, gibi bağlantı şekilleri kullanılarak şirket ofisleri birbirine bağlandığında aradaki hat özel bir hat olduğu için verilerin çalınması veya değiştirilmesi mümkün olmaz. Fakat internet üzerinden verilerin taşınması söz konusu olduğunda verilerin güvenlik amacıyla şifrelenmesi gerekmektedir. VPN teknolojileri bunu sağlar. VPN herkeze açık bir ağ içinde özel ağınızı kurmanızı sağlar. VPN’i kullanım şekillerine göre ikiye ayırabiliriz: 1- Site-to-Site VPN tüm lokasyonları

ve merkezi güvenli bir biçimde birbirine bağlar. 2- Şubeleri birbirine bağlamak için VPN kullanıyoruz. 3- Remote Access VPN ise şirket dışında çalışmak durumunda olan mobil kullanıcıları, dial-up bağlantı kullanan küçük ofisleri ve ev-ofisleri güvenli bir şekilde merkeze bağlamak için kullanılır. VPN uzak bölgelerde, farklı ülkelerde ya da kıtalarda ofisleri olan veya farklı bölgelerde çok sayıda mobil kullanıcısı olan şirketler için ideal bir çözümdür. Çünkü lokasyon olarak dağınık coğraftadaki yapıyı kiralık hat, Frame Relay vs. ile bağlamak hemen hemen imkansızdır.

Ya da aşırı pahalı olacaktır. Mobil kullanıcılar firmalarına güvenilir şekilde internet üzerinden VPN sayesinde bağlanabiliyorlar. Piyasada VPN uygulaması yapmak için bir çok cihaz vardır. Örneğin Cisco site to site için Router 7200, 3700, 3600, 2600,1700, 800 modelleri ile VPN yapılabilir. Cisco PIX, FWSM Güvenlik duvarları ile de VPN mümkündür. Remote Access VPN için ise Cisco VPN 3000 Serisi cihazlar kullanılabilir.

Bu cihazlarla uğraşmak istemiyorsanız birçok Internet Servis Sağlayıcısı sizin adınıza da VPN yaparak şubelerarası iletişiminizin güvenliğini sağlayabiliyorlar. Microsoft’un da gerek Windows Server üzerinden gerekse ISA Server ürünü üzerinden VPN tünellemesi yapabilirsiniz. Arada NAT yapan bir cihaz varsa (ADSL modem gibi) bu durumda L2TP/IPSec tünellemenin çalışmayacağını hatırlatmadan geçmeyelim.

İyi Çalışmalar.
Alıntıdır