Sponsorlu Bağlantılar
Saklama, yönlendirme ve yeniden saklama işlemlerinin tümüne tünel oluşturma adı verilir. Tünel oluşturma, özgün paketi yeni bir paket içine gizler veya saklar. Bu yeni paketin, ağlar arasında dolaşmasını sağlayan yeni adresleme ve yönlendirme bilgileri olabilir. Tünel oluşturma gizlilikle birleştirildiği zaman, özgün paket verisi mesela özgün kaynak ve hedef gibi... ağdaki trafiği dinleyenlere gösterilmez. Ağ herhangi bir iç ağ olabilir: özel bir intranet veya Internet. Saklı alınan paketler hedeflerine ulaştığında, saklama üstbilgisi kaldırılır ve paketi son hedefe yönlendirmek için özgün paket üstbilgisi kullanılır. Tünelin kendisi, içinden saklı paketlerin geçtiği mantıksal veri yoludur. Tünel genellikle özgün kaynak ve hedef çiftine saydamdır ve ağ yolunda başka bir noktadan noktaya bağlantı olarak görünür. Çiftler, tünelin başlangıç ve bitiş noktaları arasındaki yönlendiricilerden, anahtarlardan, proxy sunucularından veya diğer güvenlik ağ geçitlerinden haberdar değillerdir. Tünel oluşturma gizlilikle birleştirildiğinde, Sanal özel ağ sağlamak için kullanılabilir.
Windows 2000`de, IPSec kullanan iki tünel türü sağlanır.
L2TP`nin her türlü ağ trafiği ve aktarım modundaki IPSec için saklama ve tünel yönetimi sağladığı katman 2 Tünel iletişim Kuralı (L2TP/IPSec) L2TP tünel paketlerinin güvenliğini sağlar.
IPSec`in kendisinin yalnızca IP akışı için sakladığı tünel modundaki IPSec
Bu tünelleri kullanmadan önce işlevsel özelliklerinin tam olarak kavranması gerekir.
Saklı paketler tünel içinde ağda gezinir.Bendeki anlatımda, ağ Internet`tir Ağ geçidi, Internet dünyası ile özel ağ (yönlendirici, koruma duvarı, proxy sunucusu veya diğer güvenlik ağ geçitleri) arasında bir sınır geçidi olabilir. Ayrıca ağın az güvenilir olduğu kısımlarındaki veri akışını korumak için özel ağ içerisinde iki ağ geçidi kullanılabilir.
L2TP ve IPsec
IPSec ve L2TP, bir IP ağında IP, IPX ve diğer iletişim kuralı paketleri için tünel oluşturma ve güvenlik sağlamak içn birleştirilir. IPSec L2TP olmadan da tünel oluşturabilir, ancak bu yöntem, ağ geçitlerinden birinin L2TP veya PPTP desteklememesi durumunda birlikte çalışabilirliği sağlamak için önerilir.
L2TP, mümkün olduğunda sıkıştırma uygulayarak özgün paketleri önce bir PPP çerçevesi içine sonra da bağlantı noktası 1701`e atanmış olan UDP türünde bir paketin içine saklar. UDP paket biçimi bir IP paketi olduğundan, L2TP, tüneldeki güvenliğini sağlamak için L2TP tünelinin kullanıcı yapılandırmasındaki güvenlik ayarlarını dikkate alarak otomatik olarak IPSec kullanır. IPSec Internet Anahtar Değişimi (IKE) iletişim kuralı varsayılan olarak sertifika temelli kimlik doğrulama kullanarak L2TP için güvenlik belirler. Bu kimlik doğrulama, kaynak ve hedef bilgisayarların birbirlerine güvendiklerini doğrulamak için kullanıcı sertifikalarını değil, bilgisayar sertifikalarını kullanır IPSec aktarım güvenliği başarıyla kurulduysa, L2TP sıkıştırma ve kullanıcı kimliği doğrulama seçenekleri de dahil olmak üzere tüneli belirler ve kullanıcı kimliğine bağlı olarak erişim kontrolünü gerçekleştirir. Bunun için, L2TP/IPSec, hem istemci uzak erişim VPN, hem de ağ geçidinden ağ geçidine tünelleri için en kolay, en esnek, birlikte çalışabilirliği en yüksek ve daha güvenli tünel seçeneğidir.
L2TP/IPSec uzaktan erişim istemcileri yapılandırması, Ağ ve Çevirmeli Bağlantılar kullanılarak gerçekleştirilir.Uzaktan erişim sunucusu ve ağ geçidinden ağ geçidine tünelleri yapılandırması, Yönlendirme ve Uzak Erişim konsolu kullanarak gerçekleştirilir.
Burada IP veya IPX üstbilgisi olarak gösterilen özgün paket üstbilgisi, özgün ve son kaynağı ve hedef adresleri (özel ağda kullanılan adresler) taşır,yeni IP üst bilgisi olarak gösterilen dış IP üstbilgisi ise tünel bitiş noktalarının kaynak ve hedef adreslerini (ortak ağda kullanılan adresler) içerir. L2TP üstbilgisi, tünel denetim bilgisini taşır. PPP üstbilgisi özgün paketin iletişim kuralını tanımlar (örneğin, IP veya IPX).
IPSec Tüneli
IPSec tünel modunun kullanılmasının temel nedeni, L2TP/IPSec veya PPTP tünel teknolojisini desteklemeyen diğer yönlendiriciler ağ geçitleri veya uç sistemlerle birlikte çalışabilirliğidir. IPSec tünel modu gelişmi bir özellik olarak yalnızca ağ geçidinden ağ geçidine tünel oluşturma senaryolarında ve belirli sunucudan sunucuya veya sunucudan ağ geçidine yapılandırmalarında desteklenir. IPSec tünel modunu kullanmadan önce bu senaryo ve yapılandırmaları anlamak gerekir. IPSec tünel modu istemci uzaktan erişim senaryoları için desteklenmez.İstemci uzaktan erişim VPN için L2TP/IPSec veya PPTP kullanılmalıdır.
IPSec paketlerinin iki biçimi, tünel modunda da kullanılabilir:
ESP Tünel modu özgün IP üstbilgisi genellikle son kaynak ve hedef adreslerini dış IP üstbilgisi ise genellikle güvenlik ağ geçitlerinin kaynak ve hedef adresilerini içerir. ESP tünel biçimi tünel içindeki akış için her zaman güçlü bütünlük ve kimlik doğrulama sağlar.ESP tüneli genellikle DES ve 3DES şifrelemesi kullanan tünel oluşturulmuş paketler için gizlilik sağlamak amacıyla kullanılır.Şifrelemenin düzeyi tünel kuralının Süzgeç Eyleminde belirtilir bu nedenle, tünel akışının içeriği gizlilik gerektirmiyorsa Şifreleme kullanmamak üzere de yapılandırılabilir.
Önceki örnekte son kaynak ve hedef arasındaki özgün paket yeni IP ve ESP üstbilgileri tarafından saklanmıştır.İmzalanan alan, paketin bütünlükle korunduğu yeri gösterir.Şifrelenen özgün paketin şifrelenebileceğini gösterir.
Yeni IP üst bilgisindeki bilgiler paketi, kaynaktan genellikle güvenli bir ağ geçidi olan tünel hedef son noktasına yönlendirmekte kullanılır.Yeni IP ESP üst bilgisi bütünlük karması tarafından korunmaz. Bu, paket üst bilgisinin, kaynak veya hedef IP adresini değiştirmek veya diğer paketlerin üstünde öncelik vermek gibi ek hizmetleri sağlamak için, gerektiğinde ağ bileşenleri tarafından değiştirilmesine izin veren IETF RCF tasarımıdır.AH tünel modu, tünelin içeriği için şifreleme gizliliği sağlamaz, yalnızca güçlü bütünlük ve kimlik doğrulama sağlar.
AH Tünel Modu
Tüm paket, yeni tünel üstbilgisi de dahil olmak üzere bütünlük için imzalanır. Bu nedenle, paket tünelin kaynağı tarafından gönderildikten sonra, kaynak veya hedef adreste hiçbir değişiklik yapılamaz. IETF RCF tasarımı, yeni IP üstbilgisindeki birkaç alanın, belirli paketlere öncelik sağlamak ve gereksiz veya eski paketleri silmek için ağ bileşenleri tarafından değiştirilmesine izin verir. ESP ve AH, tüm paket için bütünlük ve özgün IP paketi için gizlilik içeren tünel oluşturma sağlamak üzere birleştirilebilir.
IPSec tünelleri, 'sadece IP' akışı için güvenlik sağlar. Tünel, iki IP adresi veya iki IP alt ağ arasındaki akışı korumak için yapılandırılmıştır.Tünel, iki ağ geçidi yerine iki ana makine arasında kullanılıyorsa, dış IP adresi iç IP adresinin aynısıdır. Windows 2000`de, IPSec, iletişim kuralı temelli, bağlantı noktası temelli veya uygulama temelli tünelleri desteklemez. Yapılandırma, tünele giren akışı tanımlamak için bir süzgeç, tüneli korumak için bir süzgeç eylemi ve tünel uç noktaları tarafından kullanılacak bir kimlik doğrulama yöntemi içeren güvenlik kuralını belirlemek suretiyle IPSec ilke Konsolu kullanılarak gerçekleştirilir. Üç tür kimlik doğrulama desteklenir: sertifikalar, önceden paylaştırılmış anahtar.ve Kerberos.
Windows 2000`de, IPSec kullanan iki tünel türü sağlanır.
L2TP`nin her türlü ağ trafiği ve aktarım modundaki IPSec için saklama ve tünel yönetimi sağladığı katman 2 Tünel iletişim Kuralı (L2TP/IPSec) L2TP tünel paketlerinin güvenliğini sağlar.
IPSec`in kendisinin yalnızca IP akışı için sakladığı tünel modundaki IPSec
Bu tünelleri kullanmadan önce işlevsel özelliklerinin tam olarak kavranması gerekir.
Saklı paketler tünel içinde ağda gezinir.Bendeki anlatımda, ağ Internet`tir Ağ geçidi, Internet dünyası ile özel ağ (yönlendirici, koruma duvarı, proxy sunucusu veya diğer güvenlik ağ geçitleri) arasında bir sınır geçidi olabilir. Ayrıca ağın az güvenilir olduğu kısımlarındaki veri akışını korumak için özel ağ içerisinde iki ağ geçidi kullanılabilir.
L2TP ve IPsec
IPSec ve L2TP, bir IP ağında IP, IPX ve diğer iletişim kuralı paketleri için tünel oluşturma ve güvenlik sağlamak içn birleştirilir. IPSec L2TP olmadan da tünel oluşturabilir, ancak bu yöntem, ağ geçitlerinden birinin L2TP veya PPTP desteklememesi durumunda birlikte çalışabilirliği sağlamak için önerilir.
L2TP, mümkün olduğunda sıkıştırma uygulayarak özgün paketleri önce bir PPP çerçevesi içine sonra da bağlantı noktası 1701`e atanmış olan UDP türünde bir paketin içine saklar. UDP paket biçimi bir IP paketi olduğundan, L2TP, tüneldeki güvenliğini sağlamak için L2TP tünelinin kullanıcı yapılandırmasındaki güvenlik ayarlarını dikkate alarak otomatik olarak IPSec kullanır. IPSec Internet Anahtar Değişimi (IKE) iletişim kuralı varsayılan olarak sertifika temelli kimlik doğrulama kullanarak L2TP için güvenlik belirler. Bu kimlik doğrulama, kaynak ve hedef bilgisayarların birbirlerine güvendiklerini doğrulamak için kullanıcı sertifikalarını değil, bilgisayar sertifikalarını kullanır IPSec aktarım güvenliği başarıyla kurulduysa, L2TP sıkıştırma ve kullanıcı kimliği doğrulama seçenekleri de dahil olmak üzere tüneli belirler ve kullanıcı kimliğine bağlı olarak erişim kontrolünü gerçekleştirir. Bunun için, L2TP/IPSec, hem istemci uzak erişim VPN, hem de ağ geçidinden ağ geçidine tünelleri için en kolay, en esnek, birlikte çalışabilirliği en yüksek ve daha güvenli tünel seçeneğidir.
L2TP/IPSec uzaktan erişim istemcileri yapılandırması, Ağ ve Çevirmeli Bağlantılar kullanılarak gerçekleştirilir.Uzaktan erişim sunucusu ve ağ geçidinden ağ geçidine tünelleri yapılandırması, Yönlendirme ve Uzak Erişim konsolu kullanarak gerçekleştirilir.
Burada IP veya IPX üstbilgisi olarak gösterilen özgün paket üstbilgisi, özgün ve son kaynağı ve hedef adresleri (özel ağda kullanılan adresler) taşır,yeni IP üst bilgisi olarak gösterilen dış IP üstbilgisi ise tünel bitiş noktalarının kaynak ve hedef adreslerini (ortak ağda kullanılan adresler) içerir. L2TP üstbilgisi, tünel denetim bilgisini taşır. PPP üstbilgisi özgün paketin iletişim kuralını tanımlar (örneğin, IP veya IPX).
IPSec Tüneli
IPSec tünel modunun kullanılmasının temel nedeni, L2TP/IPSec veya PPTP tünel teknolojisini desteklemeyen diğer yönlendiriciler ağ geçitleri veya uç sistemlerle birlikte çalışabilirliğidir. IPSec tünel modu gelişmi bir özellik olarak yalnızca ağ geçidinden ağ geçidine tünel oluşturma senaryolarında ve belirli sunucudan sunucuya veya sunucudan ağ geçidine yapılandırmalarında desteklenir. IPSec tünel modunu kullanmadan önce bu senaryo ve yapılandırmaları anlamak gerekir. IPSec tünel modu istemci uzaktan erişim senaryoları için desteklenmez.İstemci uzaktan erişim VPN için L2TP/IPSec veya PPTP kullanılmalıdır.
IPSec paketlerinin iki biçimi, tünel modunda da kullanılabilir:
ESP Tünel modu özgün IP üstbilgisi genellikle son kaynak ve hedef adreslerini dış IP üstbilgisi ise genellikle güvenlik ağ geçitlerinin kaynak ve hedef adresilerini içerir. ESP tünel biçimi tünel içindeki akış için her zaman güçlü bütünlük ve kimlik doğrulama sağlar.ESP tüneli genellikle DES ve 3DES şifrelemesi kullanan tünel oluşturulmuş paketler için gizlilik sağlamak amacıyla kullanılır.Şifrelemenin düzeyi tünel kuralının Süzgeç Eyleminde belirtilir bu nedenle, tünel akışının içeriği gizlilik gerektirmiyorsa Şifreleme kullanmamak üzere de yapılandırılabilir.
Önceki örnekte son kaynak ve hedef arasındaki özgün paket yeni IP ve ESP üstbilgileri tarafından saklanmıştır.İmzalanan alan, paketin bütünlükle korunduğu yeri gösterir.Şifrelenen özgün paketin şifrelenebileceğini gösterir.
Yeni IP üst bilgisindeki bilgiler paketi, kaynaktan genellikle güvenli bir ağ geçidi olan tünel hedef son noktasına yönlendirmekte kullanılır.Yeni IP ESP üst bilgisi bütünlük karması tarafından korunmaz. Bu, paket üst bilgisinin, kaynak veya hedef IP adresini değiştirmek veya diğer paketlerin üstünde öncelik vermek gibi ek hizmetleri sağlamak için, gerektiğinde ağ bileşenleri tarafından değiştirilmesine izin veren IETF RCF tasarımıdır.AH tünel modu, tünelin içeriği için şifreleme gizliliği sağlamaz, yalnızca güçlü bütünlük ve kimlik doğrulama sağlar.
AH Tünel Modu
Tüm paket, yeni tünel üstbilgisi de dahil olmak üzere bütünlük için imzalanır. Bu nedenle, paket tünelin kaynağı tarafından gönderildikten sonra, kaynak veya hedef adreste hiçbir değişiklik yapılamaz. IETF RCF tasarımı, yeni IP üstbilgisindeki birkaç alanın, belirli paketlere öncelik sağlamak ve gereksiz veya eski paketleri silmek için ağ bileşenleri tarafından değiştirilmesine izin verir. ESP ve AH, tüm paket için bütünlük ve özgün IP paketi için gizlilik içeren tünel oluşturma sağlamak üzere birleştirilebilir.
IPSec tünelleri, 'sadece IP' akışı için güvenlik sağlar. Tünel, iki IP adresi veya iki IP alt ağ arasındaki akışı korumak için yapılandırılmıştır.Tünel, iki ağ geçidi yerine iki ana makine arasında kullanılıyorsa, dış IP adresi iç IP adresinin aynısıdır. Windows 2000`de, IPSec, iletişim kuralı temelli, bağlantı noktası temelli veya uygulama temelli tünelleri desteklemez. Yapılandırma, tünele giren akışı tanımlamak için bir süzgeç, tüneli korumak için bir süzgeç eylemi ve tünel uç noktaları tarafından kullanılacak bir kimlik doğrulama yöntemi içeren güvenlik kuralını belirlemek suretiyle IPSec ilke Konsolu kullanılarak gerçekleştirilir. Üç tür kimlik doğrulama desteklenir: sertifikalar, önceden paylaştırılmış anahtar.ve Kerberos.