Sıra | DOSYA ADI | Format | Bağlantı |
---|---|---|---|
01. | (sanal Özel Ağ --söa) Virtual Private Networks (vpn) | pptx | Sunumu İndir |
Transkript
(SANAL ÖZEL AĞ --SÖA) VIRTUAL PRIVATE NETWORKS (VPN)
Geleneksel Bağlantı
VPN nedir? • VPN(Virtual Private Network/Sanal Özel Ag) internet üzerinden sifreli ve güvenli veri iletisimi saglamak için düşünülmüş bir teknolojidir. • Kamusal bir iletişim ağı üzerinde, Kiralık hatlar(Lease-line) gibi güvenli, saglam çözümlerin yerine VPN kullanilmasinin temel nedeni, maliyet ve kolay yapılandırmadır. • Tüm VPN çözümlerinde İnternet erişimi üzerinden kurulan güvenli tüneller söz konusudur. Güvenli tüneller, kriptolama teknikleri ile sağlanır. • Gartner Group; VPN'i, herkese açık bir iletişim altyapısı üzerinden, iki veya daha fazla doğrulanmış/onaylanmış taraflar arasında güvenli veri iletişimi sağlamak üzere oluşturulmuş sanal ağlar olarak tanımlar.
VPN nedir? • VPN, İstemci PC’nin başka bir ağdaki sunucunun önceden belirlenmiş portuna TCP/IP tabanlı protokollar aracılığı ile mevcut internet veya İntranet bağlantısı kullanılarak yapılan bağlantıdır. VPN bağlantıda giden ve gelen veriler şifrelendiği için güvenlidir. • Bir İstemci VPN yoluyla bir ağa bağlanacaksa o ağa ait bir IP adresi alarak ilgili ağa katılır. O ağın üyesi olarak çalışır. Eğer ağa bağlanmak için havuzda boş IP adresi yok ise bağlantı başarısızdır. IP’ler DHCP peotokolu veya elle VPN yapılandırmasıyla sağlanır. • VPN bağlantıları PPTP, L2TP, SSTP isimli protokollar kullanılarak sağlanır. Bu protokollara TÜNEL protokolları denir. Bu protokolların temelinde PPP (Poin to point Protokol) protokolu vardır. PPP protokolu çevirmeli bağlantı ve noktadan noktaya veri aktarımı için geliştirilmişlerdir. • PPTP tünel yönetimi TCP bağlantısını (1723.port) ve tünel oluşturan veri için ise GRE (General Routing Encaplusulation- Genel Yönlendirme kapsüllemesi, port:47) kullanır. Kapsüllenen PPP çerçevelerinin payload’ları şifrelenebilir, sıkıştırılabilir. • L2TP Cisco tarafından geliştirilen L2F ve PPTP (layer to forward- İki katmanlı iletim) protokollarının birleşiminden oluşur. Ayrıca IPSec desteği mevcuttur. IPSec kullanılacaksa hem istemci hemde sunucu Ipsec desteği vermelidir. XP sonrası istemci, Windows Server 2003 ve sonrası Sunuc desteği vardır. • SSTP(Secure Soket Tunel Protokolu) 443.TCP portuüzerinden HTTPS protokolunu kullanan daha yeni bir protokoldur. Bunun nedeni bazı Firewalların PPTP ve L2TP üzerine filtre uygulayarak VPN trafiğini engellemeleridir.
VPN (Virtual Private Network - Sanal Özel Ağ) Nedir? • VPN ağları kullanım alanlarına göre Access VPN, İntranet Tabanlı VPN ve Extranet (İnternet) Tabanlı VPN olmak üzere üç çeşit olup Access VPN gerçek kişiler tarafından bireysel kullanım amacıyla tercih edilirken İntranet ve Extranet Tabanlı VPN ağlar tüzel kişiler ( şirketler, üniversiteler gibi kurum ve kuruluşlar) tarafından tercih edilmektedir. • VPN’in kullanım alanları: – Evden ofis bilgisayarına bağlanma, çalışabilme, proje ve dosyalara erişim. – Kamu ve Özel sektörlerin şubeleri arasındaki iletişim ve denetimini sürdürebilmesi için yüksek güvenlik protokolü altında firmaya bağlanma. – Kısıtlama olmaksızın internet üzerinden tüm içeriğe ulaşabilme imkanı.
VPN sanaldır: Her bir VPN bağlantıda networkün fiziksel yapısı transparent özelliktedir. Yani VPN kullanıcısı bağlı olduğu esnada bağlantı yaptığı networkü sahiplenmez, bu network aynı anda birçok VPN kullanıcısı tarafından paylaşılır. VPN özeldir: Özel olması VPN üzerinden akan trafiğin özel olması anlamındadır. VPN trafiği Internet (public network) üzerinden geçer. VPN trafiğinin Internet üzerinden güvenli geçişini sağlamak için özel network önlemlerine ihtiyaç vardır, Örneğin data kriptolama, data doğrulaması (data authantication), yetkilendirme (authorization) ve adres spoofing’in önlenmesi gibi. VPN bir Networktür: Fiziksel bir varlığı olmayıp sanal olsada VPN bir network özelliğindedir. VPN, iki uç arasında güvenilir tünel bağlantısı sağlayan bir networktür.
Virtual Private Networks Temelde iki tip VPN teknolojisi vardır. Amaca gore bu iki VPN teknolojisinden biri seçilebilir. Bu teknolojiler 1- Remote Access VPN (Uzaktan erişim VPN ), 2-Site-to-site VPN Uzaktan erişim VPN bağlantıları, evinde çalışan ya da seyahat esnasında ofisinde olamayan kullanıcıların İnternet üzerinden özel ağ üzerindeki sunucuya erişme imkânı sağlar. Remote Access VPN’nin en önemli özelliği kimlik sorgulaması ile uzak ve gezgin kullanıcıların kimliklerini doğrulamasıdır. Kullanıcılar uygun erişim ve teknolojiye sahipse ISP ile bağlanabilir. (Siteden siteye VPN:): Bu VPN bağlantısı WAN (Wide Area Network) bağlantısı gibi çalışır. Ağlar, İnternet üzerinden verileri bir yönlendirici ile başka bir yönlendiriciye iletir. Yönlendicilere göre VPN bağlantısı, veri bağlantısı olarak işlev görmektedir.
1. Remote Acces (Uzak Erişim) VPN (istemcisi tarafından başlatılan (voluntary tunnel = isteğe bağlı -gönüllü tünel) • VPN istemcisi, istemci makinede yer almaktadır. NAS sadece PPP aracılığıyla müşteriye ortak IP adresi (istemci ve NAS arasındaki “public PPP oturumu\) sunar. • istemci üst özel IP almak için bir VPN bağlantısı (örn L2TP) oluşturur ve bu şekilde doğrudan (istemci ve sunucu arasında \özel PPP oturumu\) özel ağa bağlı gibi, özel ağa bağlanır. Bu VPN modu (VPN tüneli’nin kurulması ve yönetimi istemcidedir) voluntary tunnel - gönüllü tünel \ olarak adlandırılır.
Siteden Siteye VPN ( Access VPN NAS initiated) • NAS, istemci adına kurumsal VPN sunucusuna VPN tüneli açar. • Uzak erişim VPN istemcisinin aksine erişim kısmı (hiçbir şifreleme, hiçbir özel IP) özel değildir. • VPN istemcisi kendisi kontrolü altında olmadığından , Bu VPN modu (- VPN tüneli istemci kontrolundan bağımsız olduğu için) “ compulsory tunnel –zorunlu tunel \ denir.
VPN ağları kullanım alanlarına göre; Access VPN, İntranet Tabanlı VPN, Extranet (İnternet) Tabanlı VPN. Access VPN gerçek kişiler tarafından bireysel kullanım amacıyla tercih edilir. İntranet ve Extranet Tabanlı VPN ağlar tüzel kişiler ( şirketler, üniversiteler gibi kurum ve kuruluşlar) tarafından tercih edilir.
ACCES VPN Uzaktan erişimli VPN ile mobil kullanıcılar, küçük/ev uzak ofis (SOHO) merkeze dial-up olarak güvenli bir şekilde bağlanabilirler. Uzaktan erişimli VPN istenilen zamanda network kaynaklarına uzaktan mobil olarak erişim imkanı sağlar. Kurumlarda mobil olarak çalışanlar veya kurumun uzaktaki bir ofisi, bu kurumun intranetine istenilen an erişim yetkisine sahiptir. Uzaktan erişim sunucusu (RAS) uzaktan erişim isteklerinde, kullanıcının kimlik doğrulamasını ve yetkilendirmesini gerçekleştirir. Bu VPN tipinde intranete dial-up bağlantı ile erişir. VPN’siz Erişim…….
INTRANET VPN Siteden Siteye VPN bağlantısı özel bir ağın iki bölümünü birbirne bağlar. VPN sunucusu, bağlı olduğu ağa bağlantı sunarken, yanıtlayan diğer sunucu yada yönlendirici (VPN sunucusu) yanıtlayan yönlendiricinin (VPN istemcisi) kimlik bilgilerini doğrular. Karşılıklı doğrulama sağlanır. Ayrıca siteden siteye VPN bağlantısı üzerindeki iki sunucuda gönderdikleri veri transferlerinin başlangıç noktaları tipik olarak yönlendiriciler veya sunucular değildir. VPN’siz İntranet…
EXTRANET VPN İntranet ve uzak erişimli VPN çözümünden farklı olarak, Extranet VPN dış dünyadan tam olarak yalıtılmış değildir. İş ortakları, iştirakler, ortak çalışılan şirketler ile yapılan güvenli bağlantılardır. Extranet VPN network kaynaklarına kontrollü erişim sağlar. Şekilde VPN olmadan Extranet bağlantının yapısı görülmektedir. Extranet VPN’in sağladığı avantajlar aşağıda anlatılmıştır: VPN ’siz extranet bağlantılara göre maliyeti çok düşüktür. Yönetimi, tanımlaması ve tanımlamada değişiklik yapılması kolaydır. İletim ortamı internet olduğundan VPN çözümünde organizasyonun ihtiyacına göre çözüm sağlayabilecek birçok servis sağlayıcı seçeneği vardır. İnternet üzerinden bağlantı ISP tarafından sağlandığı için ilave bir iş gücü gerektirmez dolayısı ile operasyon maliyetide çok düşüktür.
Tipik bir VPN dağıtımında, istemci, Internet üzerinden uzaktan erişim sunucusuyla sanal noktadan noktaya bağlantı başlatır. Uzaktan erişim sunucusu aramaya yanıt verir, arayanın kimliğini doğrular, verileri VPN istemcisi ile kuruluşun özel ağı arasında aktarır. Veriler, noktadan noktaya bağlantıyı taklit etmek amacıyla üstbilgi kullanılarak kapsüllenir veya sarılır. Üstbilgi (başlıktaki ek bilgi), verilerin bitiş noktalarına erişmeleri için, paylaşılan veya ortak ağ üzerinden çapraz geçebilmelerine olanak veren yönlendirme bilgileri sağlar. Özel ağ bağlantısını taklit etmek için, gönderilen veriler gizlilik amacıyla şifrelenir. Paylaşılan veya ortak ağda ele geçirilen paketlerin şifreleri, şifreleme anahtarları olmadan çözülemez. Özel ağ verilerinin kapsüllendiği ve şifrelendiği bağlantı VPN bağlantısı olarak bilinir.
VPN 4 kritik Fonksiyonu yerine getirir Authentication – Veriyi gönderen, alanın doğru kişi olduğunu bilir. Access control – Yetkisiz kişiler VPN’i kullanamaz. Confidentiality – Veri gizliği garanti edilir. Data Integrity – Veri bütünlüğü garanti edilir. VPN güvenlik açısından sağladığı faydalar; 1- VPN aboneli dışındaki kimseler ilgili VPN’e erişemez. 2- VPN abonesi olmayanlar giri için VPN tarafından bloklanır 3-Internet üzerinden iletilen verilerin gizliliği ve bütünlüğü sağlanmalıdır
VPN’de, Kimlik doğrulama ve erişim: Verinin kriptolanması LoginID ve Şifre sorgulaması PKI yapısıyla kimlik doğrulama ve mesaj bütünlüğünün kontrolu
VPN ile üç farklı güvenlik tekniği sağlanır. • Kapsülleme (VPN Tünelleme işlemi) ile Public ağlar üzerinden, Kiralık hatlar (Lease-line), Frame Relay, ISDN gibi iki nokta arasında daha sağlam, kesintisiz bir bağlantı hizmeti verir. Başka bir deyişle Tünel oluşturma, iletim yapılırken bütünlüğün ve gizliliğin korunması için paketleri diğer paketlerin içine kapsülleme işlemidir. Ancak, Kiralık hat, Frame Relay, ISDN, gibi bağlantı şekilleri kullanılarak şirket ofisleri birbirine bağlandığında aradaki hat özel bir hat olduğu için verilerin çalınması veya değiştirilmesi mümkün olmamaktadır. Fakat internet üzerinden verilerin taşınması söz konusu olduğunda verilerin güvenlik amacıyla şifrelenmeside gerekmektedir. VPN teknolojileri bunu sağlar. • Kimlik sorgulaması (Authentication) ile sadece yetkili kullanıcıların VPN hizmetini alabilmesi sağlanır. • Kriptolama (encryption) ile yapılacak haberleşmenin şifrelenerek başka kullanıcıların haberleşmeyi dinlemesi, veri bütünlüğü (data integrity) ile de kötü niyetli kullanıcıların yolladığınız paketlerin içeriğini değiştirebilmeleri engellenir.
Paketlerin VPN kapsüllenmesi PPTP, L2TP/Ipsec ve SSTP kullanan VPN bağlantılarının özellikleri kapsülleme, kimlik doğrulama ve son olarak ise veri şifrelemedir. Kapsülleme: VPN ağında veriler bir üstbilgi (header) ile kapsüllenirler. Bu üstbilgi, verileri geçiş ağı sırasında çapraz geçmelerine izin verecek bilgileri içerir. Kapsülleme işlemini anlamak için VPN tünel protokolleri anlaşılmalıdır. Kimlik doğrulama: Ağa erişmeye çalışan kişinin buna yetkili olup olmadığı, dışarıdan müdahele edilemeyecek şekilde, yani şifreli olarak HTTPS protokolü ile yapılır ve izini olanlar ağa alınır. Veri şifreleme: Veriler de dışarıdan ağdan geçen bilgileri dinleyenlerin çözümleyemeyeceği biçimde şifrelenerek dışarıdakiler için anlaşılmaz hâle getirilir.
Tünelleme • Tünelleme (Enkapsülasyon) işlemi bir VPN uygulamasının en önemli kısmıdır. Bu teknik organizasyonlara Internet üzerinden kendi sanal networklerini oluşturma imkanı sağlar. Intranet dışından hiç bir yetkisiz kullanıcı intranete erişim yetkisine sahip değildir. • Tünellemede paket hedef networke iletilmeden önce bu pakete tünelleme protokolünün başlık bilgisi eklenir. Payload olarak da isimlendirilen orjinal paket internetin desteklemediği bir protokolü kullanıyor olabilir, bu durumda tünelleme protokolü tünel içindeki pakete başlık bilgisini ekler. • Bu başlık yönlendirme bilgilerini içerir ve paket artık Internet üzerinden iletilebilecek hale gelir. Tünelleme protokolleri, tünelin en ucundaki kullanıcı için, oturum yönetimi olarak bilinen işlemleri gerçekleştirmek üzere, tünelleri kurar ve yönetir.
Tunelleme • Tünelleme protokolleri IP kadar diğer protokollerin kapsülleşmesi işini de yapar ve tünel aygıtları için yetkilendirme yöntemlerini gerçekleştirir. Bu Protokoller genel olarak verileri şifreler ve tünel içine gönderir. • Bir genel ağ üzerinde sanal bir point-to point bağlantı oluşturmaktır. Tünel tekniğini 2 fazda anlatılabilir: • Faz1: İstemci VPN isteğini gönderir ve HA (Home Agent) sistemi bu istemcinin kimlik sorgulamasını yapar. • Faz2: Tünel içinden veri transferi başlatılır.
TÜNELLEME PROTOKOLLERİ Tünelleme protokolleri üç kategoride sınıflandırılabilir: 1. Taşıyıcı protokoller: Tünellenmiş paketlerin Internet üzerinden iletimini sağlamak için bu paketleri yönlendirir. Tünellenmiş paketler bu protokolün paketleri içine enkapsüle edilir. 2. Enkapsüle protokolleri: Pay-load paketin enkapsüle edilmesini sağlar. Bu protokol ile tünel kurulur ve sonlandırılır. Günümüzde en yaygın olan enkapsüle protokolleri PPTP, L2TP, ve IPSEC’dir. 3. İletim protokolleri: Tünel içinden iletilmesi amacıyla enkapsüle edilmesi gereken orijinal veriler için bu protokol devreye girer. En yaygın olan iletim protokolleri PPP ve SLIP (serial line internet protocol) protokolleridir.
PPP protokolu • Point TO Point Protokolu çevirmeli (Dial UP), xDSL veya adanmış noktadan noktaya Seri bağlantılar üzerinden istemci – ağ erişim sunucusu arasında veya Router-Router arası veri göndermek için tasarlanmıştır. •IP kullanımında, PPP, IP paketlerini PPP çerçeveleri içinde kapsüller ve ardından kapsüllenen PPP paketlerini noktadan noktaya bir bağlantı üzerinden aktarır (PPP’nin esas amacı, Layer-3 paketleri, bir Layer-2 ortamda noktadan-noktaya seri link boyunca taşımaktır ve marka bağımlı değildir). •PPP’nin temel amacı seri bir iletim ortamı üzerinden paketlerin aktarılmasıdır. Böylece PPP sayesinde, iki tane seri iletişime uygun cihazın (router v.b) özel olarak yapılandırılmış veri paketleri (datagram) sayesinde bilgi değişimi yapması sağlanmış olur
PPP’nin çalışma mekanizması Kapsülleme (Encapsulation), Bağlantı Kontrol Protokolü (LCP) ve Ağ Kontrol Protokolü (NCP) gibi üç ana bölümden meydana gelmektedir. Kapsülleme (Encapsulation) : Bütün WAN bağlantılarında, verinin iletilmeden evvel \enkapsüle edilerek\ frame (çerçeve) haline getirilmiş olması gerekir. PPP’ nin içerdiği kapsülleme özelliği sayesinde; IP, IPX gibi farklı ağ katmanı protokollerinin aynı bağlantı üzerinde eş zamanlı olarak çalışabilmesi sağlanır ve veri paketlerinin (Datagram) PPP ile gönderilmek üzere nasıl paketleneceğini belirlenir. HDLC, (High-Level Data Link Control-Yüksek Seviyede Veri Bağlantı Kontrolü) noktadan noktaya bağlantıda kullanılan temel kapsülleme metodudur. Link Kontrol Protokolü (LCP): PPP’nin en çok çalışan kısmıdır. Oturumu kurma , sürdürme , sınama ve sonlandırma görevlerini yapar. Bunlara ek olarak sıkıştırma, hata kontrolü, çoklu link, kimlik doğrulama v.b göreleri yapar. Ağ Kontrol Protokolü (NCP) : NCP ise, bağlantı sağlandıktan sonra, iki uç arasında ağ adresi seçenekleri gibi ayarların yapılmasını sağlar. NCP, çoklu Network katman protokollerinin eşzamanlı kullanımına izin vermek için tasarlanmıştır. Hiç unutmayalım PPP OSI 1. ve 2. Katman protokol kümesinden oluşur. İçerisinde geçen IP ve IPx vb. protokoller bizleri yanıltmasın.
• PPP’nin geliştirilmesiyle, iki bilgisayarın haberleşebilmesi için ISP (İnternet Servis Sağlayıcısı) tarafından atanan IP’yi sisteme tanıtmak için bir ilave işleme gerek kalmamıştır. Sistem bu tanıtımı otomatik olarak yapmaktadır.
• PPP’de kimlik doğrulama işlemi (istemci ve sunucu arasındaki kimlik doğrulaması) opsiyoneldir. PAP (Password Authentication Protocol-Şifre Doğrulama Protokolü) veya CHAP (Challenge Handshake Authentication Protocol-Sorun Çözme Kimlik Doğrulaması Protokolü) • PAP oturum başında yanlızca bir defa kimlik doğrulaması yapar. PAP kimlik doğrulama yaparken şifreler, clear text gönderilir. • CHAP (Challenge Handshake Authentication Protocol), bir linkin ilk başlamasında ve router’ın, aynı host’la hala haberleştiğinden emin olmak için linkte periyodik kontroller yapar. PAP' ın aksine kimlik denetlemesini düzenli aralıklarla tekrarlar ve MD5 ile yönlü hash şifrelemesi yapar. 3 adımda tanışılır.
1- R1 PAP kullanıcı adı ve şifresini R3’e gönderir. 2- R3, R1’den gelen kullanıcı adı ve şifreyi kendi yerel veritabanında arar. R1’in gönderdiği kullanıcı adı ve şifre R3’de daha önceden tanımlanmıştır. 3-R3 herhangi bir eşleşme bulursa accept (kabul), aksi durumda reject (ret) mesajı yollar. PAP, kimlik doğrulama işlemini gerçekleştirmesine karşın çok güçlü bir denetim yapmaz. PAP protokolünde “playback” (tekrarlama) isimli atak ile bilgilerin alınıp, geri paket gönderme yapılarak oturuma dahil olunması şeklinde kimlik denetimi aşılabilir. Bunun yanı sıra bir kere kimlik denetiminden geçtikten sonra bir daha kimlik denetimi olmadığı için “session hijacking” (oturumun çalınması) mümkündür.
CHAP, 3-Way Handshake (Üç Yönlü El Sıkışma) yapar. Kimlik denetimi açık olarak yapılmaz, md5 algoritmasına tabi tutularak “hash” (geri dönüşü olmayan fonksiyon) haline getirilir. Ayrıca CHAP’ta kimlik doğrulama belirli aralıklarla yapılır. Aşağıdaki şekilde de görülebileceği gibi CHAP kimlik denetimi sırasında şu işlemler gerçekleşir . 1- R3, üçlü el sıkışmayı başlatır ve R1’e “challenge” isimli , o anda belirlenmiş bir değer gönderir. R1, kullanıcı adını, şifresini ve gelen “challenge” değerini md5 matematik fonksiyonuna tabi tutar ve R3’e gönderir. 2- R3, kendi yerel veritabanında bulunan kullanıcı adı ve şifre ile “challenge” değerini md5’e tabi tutarak elde ettiği değeri R1’in yolladığı değer ile karşılaştırır. 3- CHAP’ta “challenge” değeri için bağlantı her kuruldulduğunda rastlantısal olarak başka bir değer seçileceği için şifreyi oluşturan “hash”li ifade bir daha aynı olmaz.
PPP Kimlik Doğrulama Yapılandırması PPP kimlik doğrulaması yapılırken hangi doğrulama protokolünün kullanılacağı aşağıdaki komutlarla belirlenir. Bu komutlar “global configuration mode”dan ilgili seri “interface”e girildikten sonra yazılır. Router(config-if)#ppp authentication pap // ilgili interface’te pap’ı etkinleştirir. Router(config-if)#ppp authentication chap // ilgili interface’te chap’ı etkinleştirir. Router(config-if)#ppp authentication pap chap // hem chap hem pap etkinleştirilir, pap daha önce işleme alınır. Router(config-if)#ppp authentication chap pap // hem chap hem pap etkinleştirilir, chap daha önce işleme alınır. PAP Yapılandırması R1'de Girilmesi Gereken Komutlar R1(config) # username R3 password sifre1 R1(config-if) # ppp authentication pap R1(config-if) # ppp pap sent-username R1 password sifre2 R3'te Girilmesi Gereken Komutlar R3(config) # username R1 password sifre2 R3(config-if) # ppp authentication pap R3(config-if) # ppp pap sent-username R3 password sifre1 PAP yapılandırmasında istenirse şifreler farklı da yapılabilir. Yukarıda da görülebilceği gibi “username” komutu ile kendisine bağlanacak diğer yönlendiricinin kullanıcı adı ve şifre bilgisi, “ppp pap sent-username” komutu ile ise kendi kullanıcı adı ve şifre bilgisi tanımlanır.
PPTP veri tünelleme işlemi Bir PPTP veri paketi aşağıdaki enkapsülasyon işlemlerinden geçirilir: -Verinin Enkapsülasyonu: Payload şifrelenir ve bir PPP frame içine enkapsüle edilip bu frame’e bir PPP başlık eklenir. -PPP frame’lerin enkapsülasyonu: Başlık bilgisi eklenmiş olan PPP frame, GRE içine enkapsüle edilir. -GRE paketi enkapsülasyonu: GRE paketin içine enkapsüle edilmiş olan PPP frame’e bir IP başlık eklenir ve bu başlıkta PPTP istemci ve hedef networkdeki sunucunun IP adresleri taşınır. -Data Link Layer Enkapsülasyonu: PPTP bir Layer 2 tünelleme protokolüdür. Bundan dolayı data link layer başlığı tünellemede büyük öneme sahiptir. Bu layer datagramlara kendi başlık bilgisini ekler. Eğer bu datagram lokal PPTP tünelinden geçecekse, bir LAN teknolojisi başlığı ile enkapsüle edilir. Eğer bir WAN tünelini kullanacaksa bu datagramda değişiklik yapılmaz. Generic Routing Encapsulation (GRE): Genel Yönlendirme kapsüllemesi
PPTP KİMLİK DOĞRULAMASI PPTP aşağıda anlatılan kimlik doğrulama mekanizmalarını kullanır: -MS-CHAP (Microsoft Challenge Handshake Authentication Protocol): PPP tabanlı kimlik doğrulamalar için kullanılır. CHAP tekniğine benzemektedir. Tek farkı, MS-CHAP tekniği RSA RC4 algoritmasını, CHAP tekniği ise RSA MD5 algoritmasını kullanır. -PAP (Password Authentication Protocol): En yaygın dial-in kimlik doğrulama protokolüdür. PPTP protokolünün temel avantajları aşağıdaki gibidir: -PPTP yaygın olarak kullanılan bir built-in Microsoft çözümüdür. -IP tabanlı olmayan protokolleride destekler. -Unix, Linux, Apple’s Macintosh desteği vardır. PPTP Protokolünün dezavantajları ise aşağıdaki gibidir: -L2TP ve IPSEC protokolüne göre güvenliği daha azdır. -PPTP platform bağımlı bir protokoldür. -PPTP protokolünün en büyük dezavantajı güvenlik mekanizmasının çok sağlam olmamasıdır. Çünkü anahtarın kullanıcı şifresinden elde edildiği simetrik şifreleme tekniğini kullanır.
L2TP (LAYER-2 TUNNELING PROTOCOL) L2TP birden çok protokol trafiğinin şifrelenmesini ve ardından IP veya zaman uyumsuz aktarım modu (ATM) gibi noktadan noktaya datagram teslimini destekleyen herhangi bir medya üzerinden gönderilmesini sağlar. Internet üzerinden, enkapsüle edilmiş PPP framelerin tünellenmiş veri olarak iletilebilmesi için UDP protokolünü kullanır.
L2TP VE PPTP PROTOKOLLERİNİN KARŞILAŞTIRILMASI • L2TP ve PPTP, OSI modeline gore 2. katmanda çalışan protokollerdir. Kullanıcı yetkilendirmesi esasına dayanarak çalışırlar. Örneğin bir PPTP istemcisi, PPTP sunucusuna kullanıcı adı ve şifresini göndererek bağlantı talebinde bulunur. • Şayet istemcinin gönderdiği kullanıcı adı ve şifre doğruysa oturum açılır. Artık istemci ile sunucu arasındaki bilgi kriptolu olarak taşınır. Kriptolama için kullanılan anahtar, kullanıcı şifresinden türetilir. • Hem L2TP hem de PPTP verinin aktarımını datagram (UDP) paketleri ile yapar. Ancak PPTP, L2TP‘den farklı olarak tünelin kurulumu ve yönetimi ile ilgili kontrol işlemlerini, sunucu ile istemci arasında TCP bağlantısı kurarak yapar. Bu PPTP protokolünün, paket geçirme süresinin yüksek olduğu ağlarda L2TP protokolüne göre performansın düşmesine sebep olur. • Diğer yandan L2TP’nin bir özelliğide aynı anda iki nokta arasında birden fazla tünel açabilmesidir.
IPSEC-VPN • Ağ katmanı seviyesinde güvenlik sağlamak içindir. • Gelen bilginin doğru kişiden geldiğini garanti eder. • Gelen paket için güvenlik ve bütünlük sağlar.
L2TP Over IPSEC IPSEC’in Transport modu kullanılır. Tünelleme L2TP protokoluyla yapılır. Paket şifreleme için IPSEC kullanılır VPN’in Windows gerçeklemesi olarak bilinir.
VPN gerçekleştirme tipleri • 3 tip – Hardware – Firewall – Software
Device Types: HardwareGenellikle VPN desteği olan Routerlardır Table 4-1 Physical Elements Headquarters Network Remote User Site Hardware WAN IP Address Ethernet IP Address Site Hardware WAN IP Address Ethernet IP Address hq-sanjose Serial interface 1/0: 172.17.2.4 255.255.255. 0 Fast Ethernet Interface 0/0: 10.1.3.3 255.255.255. 0 Fast Ethernet Interface 0/1: 10.1.6.4 255.255.255. 0 PC running VPN client software Dynamically assigned — Corporate server — 10.1.3.6 — — —
able 3-1 Physical Elements Headquarters Network Remote Office Network Site Hardware WAN IP Address Ethernet IP Address Site Hardware WAN IP Address Ethernet IP Address hq-sanjose Serial interface 1/0: 172.17.2.4 255.255.255 .0 Tunnel interface 0: 172.17.3.3 255.255.255 .0 Fast Ethernet Interface 0/0: 10.1.3.3 255.255.255 .0 Fast Ethernet Interface 0/1: 10.1.6.4 255.255.255 .0 ro-rtp Serial interface 1/0: 172.24.2.5 255.255.255 .0 Tunnel interface 1: 172.24.3.6 255.255.255 .0 Fast Ethernet Interface 0/0: 10.1.4.2 255.255.255 .0 Corporate server — 10.1.3.6 PC A — 10.1.4.3 Web server — 10.1.6.5
Device Types: Firewall Hem Firewall, hem VPN? Oldukça pahalı bir çözüm.
Device Tipi: Software • Aynı organizasyonun iki son noktası arasında kullanımı için uygundur. En çok kullanılan yazılımlar PPTP Çözümü : Poptop Ipsec Çözümü : Linux OpenSWAN, OpenBSD Ipsec SSL VPN Çözümü : SSLExplore, OpenVPN L2TP Çözümü : OpenL2tp Gerçek bir VPN Çözümü Olarak OpenVPN