a hand holds a lock; IPSEC is written on it.

Kısacası IPsec VPN (Sanal Özel Ağ), IPsec protokolüyle çalışan bir VPN’dir. Ancak daha fazlası da vardır. Bu makalede, IPsec‘in, IPsec geçidi oluşturmanın ve IPsec VPN’lerinin ne olduğunu açıklayacağız. Tüm bunlar, hepimizin keyif almasını umduğumuz basit ama ayrıntılı bir şekilde sunulur. Haydi temel bilgilerle başlayalım.

İçindekiler

    IPsec nedir?

    IPsec, Internet Protocol Security‘nin (yani İnternet Protokolü Güvenliği) kısaltmasıdır. IP kısmı, verilere nereye gideceklerini söyler ve sec bölümü onları şifreler ve kimliklerini doğrular. Diğer bir deyişle IPsec, halka açık internet üzerinden cihazlar arasında güvenli ve şifrelenmiş bir bağlantı kuran bir grup protokoldür.

    IPsec protokolleri genellikle görevlerine görev gruplanır:

    • Kimlik Doğrulaması Üst Bilgisi (AH);
    • Kapsüllenen Güvenlik Yükü (ESP);
    • Güvenlik İlişkisi (SA).

    IPsec nelerden oluşur?

    Bunun nelerden oluştuğunu sormak, nasıl çalıştığını sormaya benzer. IPsec’in tek amacı, şifreleme yapmak ve güvenli bir bağlantı kurmaktır ve bu tek amaç üç küçük protokol grubuna ayrılır (ve bu gruplar tarafından gerçekleştirilir). Bu ayrı grupların her biri farklı ve benzersiz görevleri yerine getirir. 

    A town and a village are connected by a stream that leads into a fortified castle. The town is named AHtown, the village ESPville and the castle is named Fort SA.

    Güvenlik Doğrulaması Üst Bilgisi (AH): Tüm verilerin aynı kaynaktan geldiğinden ve hacker’ların kendi veri bitlerini meşru göstererek aktarmaya çalışmadığından emin olur.

    Mühürlü bir zarf aldığınızı hayal edin. Mühür kırılmamışsa mektubu kimse kurcalamamıştır, değil mi? Kimlik Doğrulama Üst Bilgileri de IPsec VPN üzerinden aktarılan tüm veriler için aynı şeyi yapar. Ancak bu, IPsec için iki çalışma şeklinden biridir. Diğeri de ESP’dir.

    Kapsüllenen Güvenlik Yükü (ESP): Bu bir şifreleme protokolüdür, yani veri paketi okunması mümkün olmayan bir yığına dönüştürülür. ESP, şifrelemenin yanı sıra Kimlik Doğrulaması Üst Bilgilerine de benzer ve verilerin kimliğini doğrulayıp bozulmamış olduğunu kontrol edebilir.

    Mektup ve mühre dönecek olursak birisi mektubu engelleyecek ve açacak olsaydı hiçbir insanın okuyamayacağı bir dizi tuhaf ifadeler bulacaktır. Sizin tarafınızda şifreleme VPN istemcisinde gerçekleşirken VPN sunucusu, bu şifrelemeyi diğer istemcide işler. 

    Güvenlik İlişkisi (SA), bir IPsec bağlantısı kuran iki cihaz arasında kabul edilen bir dizi teknik özelliktir.

    İnternet Anahtar Değişimi (IKE) veya anahtar yönetimi protokolü, bu teknik özelliklerin bir parçasıdır. IKE, diğer cihazların güvenlik ilişkileriyle iletişim kurup anlaşarak onların kimliklerini doğrular. IKE, başka bir cihazın SA’sıyla bir kripto anahtarı alışverişi yaparak güvenli iletişim kanalları sağlar.

    Konu hakkında bilgi sahibi olmayan birine açıklamak gerekirse SA’lar, iki ajan arasındaki parola gibidir, kodlanmış mesajın nasıl yorumlanacağını ve bunu kime iletmeleri gerektiğini söyler. Bu, iletişim sırasında bilgilerin nasıl korunacağına ilişkin olarak iki cihaz arasındaki anlaşmadır.

    IPsec nasıl bilgi iletir?

    IPsec, AH veya ESP kullanacak şekilde kurulduktan sonra iletim modunu seçer: taşıma veya geçit.

    IPsec Taşıma Modu: Bu mod, gönderdiğiniz verileri şifreler ancak nereye gönderildiğini şifrelemez. Bu nedenle kötü amaçlı kişiler, engellenen iletişimlerinizi okuyamasa da ne zaman ve nerede gönderildiklerini görebilir. 

    IPsec Geçit Modu: Geçit oluşturmak, her zamanki interneti kullanarak iki cihaz arasında güvenli ve kapalı bir bağlantı oluşturur. Bu nedenle bağlantı, güvenli ve gizli hale getirilir. IPsec VPN, IPsec VPN geçidini oluştururken bu modda çalışır.

    Önemli bir not: İnternet üzerinden veri iletmek için kullanılan iki protokol (UDP ve TCP) arasından IPsec, güvenlik duvarlarını görmezden gelen iletim türü UDP’yi (Kullanıcı Veri Birimi Protokolü) kullanır.

    Şimdi tüm bunları IPsec VPN adlı bir uygulamada bir araya getirmeyi deneyelim.

    IPsec VPN nedir ve nasıl çalışır?

    VPN, internet (veya başka bir cihazla) bağlantınızı şifreleyen bir uygulamadır. VPN, bağlantıyı şifrelemek için protokolleri kullanır ve bunu yapmanın birden fazla yolu vardır. IPsec kullanmak bunlardan biridir. IPsec protokol paketi kullanan VPN’e IPsec VPN denir.

    Bir IPsec VPN istemcisi çalıştırdığınızı varsayalım. Tüm bunlar nasıl çalışır?

    1. Bağlan düğmesine tıklayın; 
    2. ESP ve Geçit Modunu kullanarak bir IPsec bağlantısı başlatılır; 
    3. SA, güvenlik para metrelerini oluşturur (örneğin kullanılacak şifreleme türü); 
    4. Veriler şifrelendiğinde gönderilmeye ve alınmaya hazırdır.
    An infographic showing how IPsec connection works between two devices.

    Bunlar, IPsec ile ilgili temel bilgilerdir. Kulağa basit gibi gelebilir ama bundan çok daha derine iner.

    IPsec adım adım nasıl çalışır?

    İki cihazın IPsec kullanarak iletişim kurmayı denediğini varsayalım. Bir cihaz mesaj göndermeye çalışıyor ve şunlar oluyor:

    1. Anahtar alışverişi:  IPsec her bir cihazın mesajlarını şifrelemek ve deşifre etmek için kriptografik anahtarlar (rastgele karakter dizileri) ayarlar;
    2. Üst bilgiler ve art bilgiler: İnternet aracılığıyla iletilen tüm veriler “paket” adı verilen daha küçük parçalara bölünür. IPsec protokolü, kimlik doğrulaması ve şifrelemeyi paketin önüne (üst bilgi) ve sonuna (art bilgi) koyar. Bu üst ve art bilgiler, cihaza veri paketiyle ne yapması gerektiğini söyler;
    3. Kimlik doğrulaması: IPsec her bir veri paketinin kimliğini ona benzersiz bir “ad” veya kimlik vererek doğrular;
    4. Şifreleme: IPsec, veri paketlerinin içindekileri şifreler;
    5. İletim: Paketler, taşıma veya geçit oluşturma protokolleri kullanılarak taşınır; 
    6. Şifreyi çözme: Diğer taraftaki cihaz, mesajı alır ve şifre çözme anahtarını kullanarak mesajı anlamlı hale getirir.

    IPsec, MSS ve MTU’yu nasıl etkiler?

    Tüm veriler, bayt cinsinden ölçülen veri paketleri halinde taşınır. 

    MSS veya maksimum segment boyutu, bir veri paketinin olabileceği maksimum boyutun değerini (yani 1460 bayt) ifade eder.

    Öte yandan MTU, yani maksimum iletim birimi, internete bağlı herhangi bir cihazın kabul edebileceği maksimum boyutun değeridir (1500 bayt).

    Bu paketler, gönderilen bilgileri, IP üst bilgisini (20 bayt) ve TCP üst bilgisini (20 bayt) içerir ve tümünün bir boyut sınırı vardır.

    IPsec, iletim biriminin maksimum değerini etkilemez ancak her zaman maksimum segment boyutu değerini düşürür. Bunu kanıtlayan matematik işlemi aşağıda verilmiştir:

    İnternette standart IP paketlerinin iletimi:

    MTU (1500 bayt) – (IP üst bilgisi (20 bayt) + TCP üst bilgisi (20 bayt)) = MSS (1460 bayt)

    Ancak IPsec, gönderilen verilere fazladan üst bilgiler eklediği için tüm IP paketinin “ağırlığı” doğal olarak değişir.

    MTU (1500 bayt) – (IP üst bilgisi (20 bayt) + TCP üst bilgisi (20 bayt) + IPsec bayt) = MSS (1460 bayt – IPsec bayt)

    IPsec’i başında görün

    Artık IPsec VPN’in VPN dünyasında ne olduğunu öğrendiniz. Surfshark VPN kullanıcıları uygulamayı akıllı telefonlarında kullanırken sizin, IPsec ailesinin bir parçası olan IKEv2 bilinen adı altında kullanma ihtimaliniz yüksektir. Surfshark kullanıcı değilseniz neden olmuyorsunuz? Size IPsec‘ten daha fazlasını sunabiliriz!

    Surfshart ile gizliliğiniz korunur

    bir VPN'den çok daha fazlası

    Korunun

    SSS

    IKEv2 nedir?

    IKEv2 (İnternet Anahtar Değişimi sürüm 2), IPsec protokol paketinin Güvenlik İlişkisi bölümünde kullanılan bir protokoldür.

    Bağlantının iki ucundaki cihazların bildirdikleri cihazlar olduğunu onaylamak için kullanıcıların kimliğini doğrular ve ardından Diffie–Hellman anahtar değişimini kullanarak şifrelenmiş bir bağlantı ayarlar. Bu, şifrelenmiş verilerin kilidini açmaya yönelik bir anahtar haline getirmeden herkese açık bir ağ üzerinden şifrelenmiş parolalar göndermek için yaygın şekilde kullanılan bir yöntemdir.

    IKEv2 protokolünü çalıştıran IPsec’e IKEv2/IPsec denir ancak sektördeki standart adı IKEv2’dir. Bu, 2005’te kullanıma sunulup güncellenerek, IKEv1 (1995’te kullanıma sunuldu) bulunan orijinal IPsec’in sorunlarından bazılarını düzelten bir geliştirmedir.

    IPsec güvenli mi?

    IKEv2 ile eşleştirildiğinde IPsec, dünya genelindeki başlıca VPN sağlayıcıları tarafından yeterince güvenli olan kabul edilir. Ancak yaklaşık olarak 2015’te ABD’nin Ulusal Güvenlik Ajansı’nın (NSA) bunu kendi çıkarına kullandığına dair suçlamalar ortaya atıldı. Ajans ya IPsec’e arka kapıdan sızdı ya da Diffie-Hellman anahtar değişimine müdahale etmenin yollarını buldu. Ancak bu alandaki bazı uzmanlar bu iddiaya itiraz etti.

    Yine de güvende hissetmiyorsanız çoğu VPN sağlayıcısında IPsec VPN protokollerinin alternatifleri vardır.

    IPsec, SSL’den daha mı iyi?

    IPsec ile SSL‘yi (Güvenli Yuva Katmanı) karşılaştırmak elma ile armudu karşılaştırmak gibidir. Her iki protokol de OSI (Açık Sistem Bağlantıları) modelinin farklı seviyelerinde çalışır. Kısacası bu ikisi yan yana şöyle görünür:

    IPsec
    SSL
    Ağ Katmanında çalışır
    Uygulama Katmanında çalışır
    Bir dizi protokoldür
    Bir protokoldür
    VPN olarak çalışması için yazılım (cihazın tamamını koruyan) gerekir
    Yazılım (cihazın tamamını koruyan) olarak kullanılabilir ancak bir tarayıcı üzerinden bir VPN'e de bağlanabilir (sadece tarayıcı trafiğini korur)
    IPsec VPN'ler kullanıcıların ağa tam erişime sahip olmasını sağlar
    SSL VPN'ler bir ağa erişimi özelleştirmenize izin verir
    Bulutta uygulaması daha kolaydır
    Bulut için ek yapılandırma gerektirir

    IPsec de SSL de güvenlidir ve VPN oluşturmak için kullanılır. Ancak sonuçta önemli olan şey geliştiricilerin ve VPN’in yapılandırmaları, hedefleri ve tercihleridir.