GÜVENLİK
/ VPN
Sanal Özel Ağ
VPN (Virtual Private Network)
VPN, uzaktaki ofislerin, iş ortakları ve ya bireylerin internet
gibi açık telekomünikasyon ağları üzerinden kuruluşun intranetine
güvenli erişimini sağlayan sanal ağ olarak ifade edebilir.
Bu ağın sanal olarak nitelendirilmesi, söz konusu sistemin
çalışabilmesi için iki uç arasında uçtan uca (point-to-point)
leased line, frame relay ve ya xDSL gibi fiziksel bir WAN bağlantısına
ihtiyaç duymadan tamamen iki uçta bulunan donanım ve ya yazılımın
şifreleme kabiliyetleri ile gerçekleşmesinden dolayıdır. Bu
sebeplede bu sanal yapı, pahallı bir sisteme sahip olan edinilmiş
ve ya kiralanmış herhangi bir fiziksel bağlantıya göre daha
ekonomiktir.
Site-to-site | Client-to-site (Remote Access) VPN
Lokasyonlar arasında gerçekleştirdiğimiz sanal ağ bağlantısına Site-to-site
VPN, mobile kullanıcıların bulundukları herhangi
bir noktadan herhangi bir lokasyona erişimini sağlamak için
gerçekleştirdiğimiz sanal ağ bağlantısına ise Client-to-site
VPN (Remote Access VPN) adını vermekteyiz.
Ağ iletişiminin paket işleme katmanı ve güvenliği için bir
protokol setinin çatısı olan IPSec (Internet Protocol Security)
VPN bağlantılarının gerçekleştirilmesinde sıklıkla tercih edilen
standart protokoldür. IPSec, hem paketi gönderenin kimliğinin
doğrulanması hemde verinin şifrelenmesini destekleyen ESP (Encapsulating
Security Payload) güvenlik servisini sağlar. Bu servisle ilişkili
özel bilgi IP paket başlığını takip eden başlık içerisine yerleştirilir.
IPSec’in en büyük avantajı herbir kullanıcının bilgisayarında
ayar yapmaya gerek kalmaksızın güvenlik ayarlamalarının gerçekleştirilebilmesine
olanak sağlamasıdır. Bir IPSec standardı olarak tanımlayabileceğimiz
IKE (Internet Key Exchange) servisi, VPN uçlarının el sıkışmasındaki
otomatik yöntemi ortaya koyar. Bu protokol ve servis setleri
VPN kurulacak uçlarda karşılıklı uygulanarak meydana getirilen
bağlantı iki uç arasında içinden geçtiği ortamdan bağımsız
bir link meydana getirerek güvenli iletişimin kapılarını aralar.
Microsoft ve farklı birkaç firma tarafından geliştirilen, son
kullanıcıların herkese açık komünikasyon ortamı içerisinde
birbirleri ile iletişimindeki özel veriyi makul ölçülerde güvenli
kılan PPTP (Point-to-point Tunneling Protocol) ve ya Cisco
Sytems tarafından geliştirilen daha çok ağ inşasında özel amaçlarla
kullanılan GRE (Generic Routing Encapsulation) gibi tünelleme
(tunelling) protokolleri, şifreleme/deşifrelemeye
ve gelişmiş VPN yapılarına alternatif olarak düşünülmemelidir.
Özellikle orta ve üstü girişimlerde maliyetine rağmen kimlik
doğrulama, şifreleme ve diğer VPN fonksiyonlarını bir arada
vermek amacıyla uygun donanım ve yazılımla inşa edilmiş VPN
çözümlerine yönelmek gereklidir. Cisco yönlendiriciler ve güvenlik
cihazları ile Checkpoint firewall ve VPN ürün ailesi, gerçekleştirilecek
sanal ağlarınız için uçtan uca performanslı, kolay yönetilebilen
profesyonel çözüm fırsatları sunmaktadır. Donanım tabanlı VPN
çözümleri maliyetlerinden dolayı orta ve büyük ölçekli işletmeler
için daha realistik çözümler olmasına rağmen, küçük işletmeler
için VPN desteği ile birlikte Firewall, IPS ve URL/Content
Filtering fonksiyonlarını
bir kutu içerisinde barındıran TippingPoint
X505 gibi
donanım tabanlı çözümler son derece ekonomik ve kullanışlı
seçeneklerdir.
|
