|
Saklama,
yönlendirme ve yeniden saklama işlemlerinin tümüne tünel oluşturma adı
verilir. Tünel oluşturma, özgün paketi yeni bir paket içine gizler veya
saklar. Bu yeni paketin, ağlar arasında dolaşmasını sağlayan yeni adresleme
ve yönlendirme bilgileri olabilir. Tünel oluşturma gizlilikle birleştirildiği
zaman, özgün paket verisi mesela özgün kaynak ve hedef gibi... ağdaki trafiği
dinleyenlere gösterilmez. Ağ herhangi bir iç ağ olabilir: özel bir intranet
veya Internet. Saklı alınan paketler hedeflerine ulaştığında, saklama
üstbilgisi kaldırılır ve paketi son hedefe yönlendirmek için özgün paket
üstbilgisi kullanılır. Tünelin kendisi, içinden saklı paketlerin geçtiği
mantıksal veri yoludur. Tünel genellikle özgün kaynak ve hedef çiftine
saydamdır ve ağ yolunda başka bir noktadan noktaya bağlantı olarak görünür.
Çiftler, tünelin başlangıç ve bitiş noktaları arasındaki yönlendiricilerden,
anahtarlardan, proxy sunucularından veya diğer güvenlik ağ geçitlerinden
haberdar değillerdir. Tünel oluşturma gizlilikle birleştirildiğinde, Sanal
özel ağ sağlamak için kullanılabilir.
Windows 2000`de, IPSec kullanan iki tünel türü sağlanır.
L2TP`nin her türlü ağ trafiği ve aktarım modundaki IPSec için saklama ve
tünel yönetimi sağladığı katman 2 Tünel iletişim Kuralı (L2TP/IPSec) L2TP
tünel paketlerinin güvenliğini sağlar.
IPSec`in kendisinin yalnızca IP akışı için sakladığı tünel modundaki IPSec
Bu tünelleri kullanmadan önce işlevsel özelliklerinin tam olarak kavranması
gerekir.
Saklı paketler tünel içinde ağda gezinir.Bendeki anlatımda, ağ Internet`tir:)
Ağ geçidi, Internet dünyası ile özel ağ (yönlendirici, koruma duvarı, proxy
sunucusu veya diğer güvenlik ağ geçitleri) arasında bir sınır geçidi
olabilir. Ayrıca ağın az güvenilir olduğu kısımlarındaki veri akışını korumak
için özel ağ içerisinde iki ağ geçidi kullanılabilir.
L2TP ve IPsec
IPSec ve L2TP, bir IP ağında IP, IPX ve diğer iletişim kuralı paketleri için
tünel oluşturma ve güvenlik sağlamak içn birleştirilir. IPSec L2TP olmadan da
tünel oluşturabilir, ancak bu yöntem, ağ geçitlerinden birinin L2TP veya PPTP
desteklememesi durumunda birlikte çalışabilirliği sağlamak için önerilir.
L2TP, mümkün olduğunda sıkıştırma uygulayarak özgün paketleri önce bir PPP
çerçevesi içine sonra da bağlantı noktası 1701`e atanmış olan UDP türünde bir
paketin içine saklar. UDP paket biçimi bir IP paketi olduğundan, L2TP,
tüneldeki güvenliğini sağlamak için L2TP tünelinin kullanıcı
yapılandırmasındaki güvenlik ayarlarını dikkate alarak otomatik olarak IPSec
kullanır. IPSec Internet Anahtar Değişimi (IKE) iletişim kuralı varsayılan
olarak sertifika temelli kimlik doğrulama kullanarak L2TP için güvenlik
belirler. Bu kimlik doğrulama, kaynak ve hedef bilgisayarların birbirlerine
güvendiklerini doğrulamak için kullanıcı sertifikalarını değil, bilgisayar
sertifikalarını kullanır IPSec aktarım güvenliği başarıyla kurulduysa, L2TP
sıkıştırma ve kullanıcı kimliği doğrulama seçenekleri de dahil olmak üzere
tüneli belirler ve kullanıcı kimliğine bağlı olarak erişim kontrolünü
gerçekleştirir. Bunun için, L2TP/IPSec, hem istemci uzak erişim VPN, hem de
ağ geçidinden ağ geçidine tünelleri için en kolay, en esnek, birlikte
çalışabilirliği en yüksek ve daha güvenli tünel seçeneğidir.
L2TP/IPSec uzaktan erişim istemcileri yapılandırması, Ağ ve Çevirmeli
Bağlantılar kullanılarak gerçekleştirilir.Uzaktan erişim sunucusu ve ağ
geçidinden ağ geçidine tünelleri yapılandırması, Yönlendirme ve Uzak Erişim
konsolu kullanarak gerçekleştirilir.
Burada IP veya IPX üstbilgisi olarak gösterilen özgün paket üstbilgisi, özgün
ve son kaynağı ve hedef adresleri (özel ağda kullanılan adresler) taşır,yeni
IP üst bilgisi olarak gösterilen dış IP üstbilgisi ise tünel bitiş
noktalarının kaynak ve hedef adreslerini (ortak ağda kullanılan adresler)
içerir. L2TP üstbilgisi, tünel denetim bilgisini taşır. PPP üstbilgisi özgün
paketin iletişim kuralını tanımlar (örneğin, IP veya IPX).
IPSec Tüneli
IPSec tünel modunun kullanılmasının temel nedeni, L2TP/IPSec veya PPTP tünel
teknolojisini desteklemeyen diğer yönlendiriciler ağ geçitleri veya uç
sistemlerle birlikte çalışabilirliğidir. IPSec tünel modu gelişmi bir özellik
olarak yalnızca ağ geçidinden ağ geçidine tünel oluşturma senaryolarında ve
belirli sunucudan sunucuya veya sunucudan ağ geçidine yapılandırmalarında
desteklenir. IPSec tünel modunu kullanmadan önce bu senaryo ve
yapılandırmaları anlamak gerekir. IPSec tünel modu istemci uzaktan erişim
senaryoları için desteklenmez.İstemci uzaktan erişim VPN için L2TP/IPSec veya
PPTP kullanılmalıdır.
IPSec paketlerinin iki biçimi, tünel modunda da kullanılabilir:
ESP Tünel modu özgün IP üstbilgisi genellikle son kaynak ve hedef adreslerini
dış IP üstbilgisi ise genellikle güvenlik ağ geçitlerinin kaynak ve hedef
adresilerini içerir. ESP tünel biçimi tünel içindeki akış için her zaman
güçlü bütünlük ve kimlik doğrulama sağlar.ESP tüneli genellikle DES ve 3DES
şifrelemesi kullanan tünel oluşturulmuş paketler için gizlilik sağlamak
amacıyla kullanılır.Şifrelemenin düzeyi tünel kuralının Süzgeç Eyleminde
belirtilir bu nedenle, tünel akışının içeriği gizlilik gerektirmiyorsa
Şifreleme kullanmamak üzere de yapılandırılabilir.
Önceki örnekte son kaynak ve hedef arasındaki özgün paket yeni IP ve ESP
üstbilgileri tarafından saklanmıştır.İmzalanan alan, paketin bütünlükle
korunduğu yeri gösterir.Şifrelenen özgün paketin şifrelenebileceğini
gösterir.
Yeni IP üst bilgisindeki bilgiler paketi, kaynaktan genellikle güvenli bir ağ
geçidi olan tünel hedef son noktasına yönlendirmekte kullanılır.Yeni IP ESP
üst bilgisi bütünlük karması tarafından korunmaz. Bu, paket üst bilgisinin,
kaynak veya hedef IP adresini değiştirmek veya diğer paketlerin üstünde
öncelik vermek gibi ek hizmetleri sağlamak için, gerektiğinde ağ bileşenleri
tarafından değiştirilmesine izin veren IETF RCF tasarımıdır.AH tünel modu,
tünelin içeriği için şifreleme gizliliği sağlamaz, yalnızca güçlü bütünlük ve
kimlik doğrulama sağlar.
AH Tünel Modu
Tüm paket, yeni tünel üstbilgisi de dahil olmak üzere bütünlük için
imzalanır. Bu nedenle, paket tünelin kaynağı tarafından gönderildikten sonra,
kaynak veya hedef adreste hiçbir değişiklik yapılamaz. IETF RCF tasarımı,
yeni IP üstbilgisindeki birkaç alanın, belirli paketlere öncelik sağlamak ve
gereksiz veya eski paketleri silmek için ağ bileşenleri tarafından
değiştirilmesine izin verir. ESP ve AH, tüm paket için bütünlük ve özgün IP
paketi için gizlilik içeren tünel oluşturma sağlamak üzere birleştirilebilir.
IPSec tünelleri, 'sadece IP' akışı için güvenlik sağlar. Tünel, iki IP adresi
veya iki IP alt ağ arasındaki akışı korumak için yapılandırılmıştır.Tünel,
iki ağ geçidi yerine iki ana makine arasında kullanılıyorsa, dış IP adresi iç
IP adresinin aynısıdır. Windows 2000`de, IPSec, iletişim kuralı temelli,
bağlantı noktası temelli veya uygulama temelli tünelleri desteklemez.
Yapılandırma, tünele giren akışı tanımlamak için bir süzgeç, tüneli korumak
için bir süzgeç eylemi ve tünel uç noktaları tarafından kullanılacak bir
kimlik doğrulama yöntemi içeren güvenlik kuralını belirlemek suretiyle IPSec
ilke Konsolu kullanılarak gerçekleştirilir. Üç tür kimlik doğrulama
desteklenir: sertifikalar, önceden paylaştırılmış anahtar.ve Kerberos.
Hieroglif hieroglif
at olympos.org
|