Özellikle kablosuz haberleşmede güvenlik için başvurulan Virtual Private Network (VPN) tünelleri, bu VPN bağlantılarının gereksinimlerine göre geliştirilmiş çeşitli protokoller kullanılarak kurulur. IPsec, L2TP, OpenVPN, SSTP, IKEv2, PPTP, mevcut VPN protokolleri arasında en çok tercih edilen protokollerdir. Güvenli haberleşmenin elzem olduğu ve VPN’den yararlanılması gereken uygulamalarda hangi protokolün tercih edileceği ise, aralarında bağlantı sağlanan cihazların teknik özellikleri, bağlantı hızı, güvenlik derecesi, uygulama alanları gibi birçok unsura bağlıdır.
Genel itibariyle IPsec ve OpenVPN, çoğu uygulamanın güvenlik ve kullanım taleplerine en iyi cevap verebilen VPN protokolleridir. Diğer protokoller özellikle işletim sistemi kaynaklı yetersizlikleri ve bilinen zayıflıklarının daha fazla olması nedeniyle daha az tercih edilmektedir. IPsec ve OpenVPN arasındaki seçimde ise en önemli etken maliyet olarak öne çıkmaktadır: OpenVPN, kurulumda bu protokolü destekleyen iki cihaza ek olarak mutlaka bir server kullanılmasını gerektirirken, IPsec VPN, bu protokolü destekleyen cihazlar arasında doğrudan kurulabilir. Türkiye’de de başta enerji olmak üzere birçok endüstriyel uygulamada IPsec üzerinden VPN tünel kullanımı talep edilmektedir.
Uzak sahalardan merkeze veri aktarımı ve ağ yönetimi gerektiren, başta elektrik, su, doğal gaz dağıtımı, sayaç otomasyonu ve enerji izleme olmak üzere Endüstriyel Nesnelerin İnterneti uygulamalarının birçoğunda VPN teknolojisinden yararlanılmaktadır. Yaşamsal altyapılar olarak da tabir edilen bu uygulamalar çoğu zaman kablolama masraflarından kaçınma isteği ve saha koşullarının oluşturduğu imkansızlıklar nedeniyle merkeze veri aktarımını router özellikli donanımlar üzerinden gerçekleştirir. Router donanımlarının, veri trafiğini merkeze güvenli biçimde aktarabilmek için VPN protokol desteği sunması da beklenir. Bu yazıda bize ulaşan teknik destek talepleri içerisinde hakkında en çok soru sorulan router fonksiyonlarından IPsec VPN protokolünün özellikleri, çalışma prensibi ve modlarını inceleyeceğiz.
IPsec Nedir?
“Internet Protokolü (IP) Güvenliği” veya “IP Güvenlik Protokolü” olarak da bilinen IPsec, IP ağ trafiği için oluşturulmuş bir güvenlik hizmeti altyapısını tanımlar. IPsec, IP katmanında veri güvenliğinin sağlanmasına yönelik bir çerçeve ortaya koyar, bu güvenliği sağlamak için IP ağ paketlerinin kimlik doğrulaması ve şifrelenmesi yoluyla tasarlanmış protokolleri ifade eder. IPsec, paketleri şifreleme, şifresini çözme ve kimlik doğrulamasını yapmada kullanılan şifreleme algoritmalarını tanımlar. Bunun yanı sıra güvenli anahtar değişimi ve anahtar yönetimi için gerekli olan protokoller de IPsec kapsamındadır.
IPsec IP paketlerinde güvenliği sağlamak için ilk olarak iki mekanizma tanımlamıştır: IP paketlerinde verileri şifrelemenin bir yolu olan Encapsulating Security Payload (ESP) protokolü ve IP paketlerini dijital olarak imzalamanın bir yolu olan Authentication Header (AH) protokolü. IPsec sunucuları tarafından kullanılan kriptografik anahtarları yönetmek için ise Internet Key Exchange (IKE) protokolü kullanılır.
IPsec’in temel kullanım amacı, ağ verisini korumaktır. Bu, her VPN bağlantısında olduğu gibi IPsec tünelleme kullanarak, iki uç nokta arasında iletilen verinin şifrelendiği bağlantılar kurarak yapılabilir. Bunun yanı sıra IPsec, ağ verisini uygulama katmanında şifreleyerek veya verilerini herkese açık internet üzerinden ileten router özellikli cihazların güvenliğini sağlayarak da koruyabilir. Dahası, şifreleme olmadan da IPsec kimlik doğrulamada kullanılabilir, örneğin verinin bilinen bir göndericiden geldiğini teyit edebilir.
İnternet trafiği, bir sunucu (host) ile diğeri arasında IPsec kullanılmadan da güvenlik altına alınabilir. Örneğin, uygulama katmanında (OSI modelinin 7. katmanı) HTTP Secure (HTTPS) ile veya aktarım katmanında (OSI modelinin 4. katmanı) Transport Layer Security (TLS) protokolüyle veri şifrelenerek güvenliği sağlanabilir. Ancak, bu yüksek katmanlarda şifreleme veya kimlik doğrulaması kullanıldığında, tehdit unsurları, gizli kalması gereken verileri ortaya çıkarabilecek protokol bilgilerine müdahale edebilir.
IPsec Protokolünün Bölümleri
IPsec, Internet Protokolünün mevcut her iki sürümüyle de (IPv4 ve IPv6) kullanılabilmek üzere tasarlanmıştır. IPsec protokolünün üst bilgileri (IP Header) IP üst bilgisine dahil edilir, bir sistem IPsec kullanırken burada IP üst bilgisi uzantıları olarak görünürler.
IPsec'in bir bölümü olarak kabul edilen en önemli protokoller şunlardır:
• IP Authentication Header (AH), IP paketleri için bağlantısız veri bütünlüğü ve veri kaynağının kimlik doğrulamasını güvenceye almayı ve eski paketlerin tekrarını önlemeyi sağlayan opsiyonel bir paket üst bilgisi tanımlar.
• IP Encapsulating Security Payload (ESP), paketin şifrelenmesi yoluyla gizliliği sağlamak için kullanılabilen opsiyonel bir paket üst bilgisi tanımlar. Ayrıca veri bütünlüğünü koruma, veri kaynağının kimlik doğrulaması, erişim kontrolü, gerektiğinde tekrarları önleme veya trafik analizinde de kullanılabilir.
• Internet Key Exchange (IKE) veya "Internet Key Exchange Protocol Version 2” (IKEv2), sunucuların, hangi hizmetlerin paketlere dahil edileceğini, hangi kriptografik algoritmaların bu hizmetleri sunmada kullanılacağını ve bu kriptografik algoritmalarda kullanılan anahtarları paylaşmanın bir yolunu belirlemesi için tanımlanmış bir protokoldür.
• Önceden kendi başına tanımlanmış olan Internet Security Association and Key Management Protocol (ISAKMP) de artık IKE protokol spesifikasyonlarının bir parçası olarak belirtilmektedir. ISAKMP, IPsec kullanan iki sunucu arasındaki doğrudan bağlantıları tanımlamak için güvenlik ilişkilendirmelerinin (Security Association, SA) nasıl kurulup kullanıldığını tanımlar. Her bir SA, tek bir yönde, bir sunucudan diğerine bir bağlantıyı tanımlar; yani bir çift sunucu iki SA ile tanımlanır. SA, bağlantının ilgili tüm niteliklerini içerir; kullanılan kriptografik algoritma, IPsec modu, şifreleme anahtarı ve bağlantı üzerinden verinin iletimiyle ilgili diğer tüm parametreler de buna dahildir.
IPsec tarafından kullanılan sayısız başka protokol ve algoritma bulunur. Şifreleme ve dijital imza algoritmaları da bunlar içerisindedir. İlgili protokollerin çoğu Internet Engineering Task Force (IETF) tarafından oluşturulan “IP Security (IPsec) and Internet Key Exchange (IKE) Document Roadmap”te açıklanmıştır.
IPsec Nasıl Çalışır?
Bir IPsec bağlantısı kurulmasının ilk adımı, bir sunucunun, bir paketin IPsec kullanılarak iletilmesi gerektiğini tespit etmesidir. Bu, veri trafiğinin IPsec kullanımı için "anlamlı" olup olmadığına karar vermek amacıyla, kaynak veya hedef IP adresini mevcut yapılandırmalara göre kontrol ederek yapılabilir. Anlamlı trafik, paketlere yönelik güvenlik politikasını tetikler; yani paketi gönderen sistem, uygun şifreleme ve/veya kimlik doğrulamasını pakete uygular. Gelen paket "anlamlı" olarak tanımlandığında, sunucu gelen paketin şifrelenmiş ve/veya kimlik doğrulamasından geçmiş olduğunu doğrular.
IKE Faz 1 de denen ikinci adım, IPsec kullanan iki sunucunun güvenli bağlantıda kullandıkları kurallarda anlaşmalarını, birbirlerinin kimliklerini doğrulamalarını ve iki sunucu arasında güvenli bir ön kanal başlatmalarını sağlar. IKE Faz 1 IPsec kullanan sunucular arasında kurulan güvenli ön kanal; daha sonra IPsec bağlantısının gönderilen veriyi şifrelemesi veya kimlik doğrulaması için kullanacağı yöntem konusunda güvenli bir şekilde anlaşma sağlamak için kullanılır.
IKE Faz 1’in iki seçeneği vardır: Ana (main) Mod ve Agresif (Aggressive) Mod. Ana Mod oturum algoritmalarının ve anahtarlarının değiş tokuşu için güvenli bir tünel oluşturduğundan, daha yüksek güvenlik sağlar. Agresif Mod ise, bazı oturum yapılandırma verilerinin düz metin olarak geçirilmesine izin verir, öte yandan sunucuların IPsec bağlantısını daha hızlı oluşturmasını da sağlar.
• Ana Modda, oturumu başlatan sunucu oturum için bir veya daha fazla istek gönderir, bunu yaparken tercih ettiği şifreleme ve kimlik doğrulama algoritmaları ile bağlantının diğer özelliklerini de gösterir. Karşıdaki sunucu her iki taraf da mutabık kalana ve bir IKE güvenlik ilişkilendirmesi oluşturana kadar görüşmeyi devam ettirir. Oluşturulan bu IKE güvenlik ilişkilendirmesi ise IPsec devresini tanımlar.
• Agresif Mod kullanımdayken, bağlantıyı başlatan sunucu IKE güvenlik ilişkilendirme verilerini tek taraflı olarak ve açık olarak belirler, karşı taraftaki sunucu ise oturumu doğrulayarak yanıt verir.
Bir IPsec bağlantısı kurulmasının üçüncü adımı ise, IKE Faz 1’de kurulan güvenli kanal üzerinden gerçekleştirilen IKE Faz 2’dir. İki sunucunun anlaşmasını, buna ek olarak asıl ağ verisini taşıyan IPSec devresi için de güvenlik ilişkilendirmesini başlatmasını gerektirir. İkinci fazda iki taraf oturumda kullanılacak kriptografik algoritma tipini müzakere eder, bu algoritmalarda kullanılacak gizli anahtarlama materyaline karar verir. Oturumların kimlik doğrulaması ve eski paketlerin tekrar gönderilmesinin engellenmesi için yalnızca tek sefer kullanılan rastgele sayılar olan nonce’lar, bu fazda değiş tokuş edilir. İki taraf bu fazda değiş tokuş sırasında tam iletim güvenliği uygulama üzerinde de anlaşabilirler.
IPsec bağlantısının dördüncü adımı, yeni oluşturulan, IPsec ile şifrelenen tünel üzerinden gerçek veri aktarımıdır. Bu noktadan itibaren, paketler, önceki üç adımda oluşturulan IPsec SA’lar kullanılarak iki uç nokta tarafından şifrelenir ve deşifrelenir.
Son adım IPsec tünelinin sonlandırılmasıdır. Genellikle taraflar arasındaki iletişim tamamlandığında, oturum zaman aşımına uğradığında veya önceden belirlenmiş bir bayt miktarı IPsec tünelinden geçirildiğinde gerçekleşir. IPsec tüneli sonlandırıldığında, taraflar bu güvenlik ilişkilendirmesinde kullanılan anahtarları boşa çıkarır.
IPsec VPN Modları
IPsec protokolleri, iki veya daha fazla nokta arasındaki tüm trafiği şifrelemek ve/veya doğrulamak amacıyla, bir VPN bağlantısı kurmak için kullanılabilir. VPN'ler de dahil IPsec devreleri iki modda kullanılmak üzere ayarlanabilir:
Tünel modu: Genellikle güvenli ağ geçitleri arasında kullanılan IPsec tünel modu, ağ geçitlerinden birinin arkasındaki sunucuların diğer ağ geçidinin arkasındaki sunucularla güvenli bir şekilde iletişim kurmasını sağlar. Örneğin bir firmanın şubesinde yer alan bir sistemin kullanıcıları, şube ve merkez ofislerde sunucular için IPsec vekilleri gibi davranabilecek güvenli ağ geçitleri varsa, merkezde bulunan sistemlere güvenli biçimde bağlanabilir. IPsec tüneli iki ağ geçidi arasında kurulur, ancak tünelin kendisi korunan ağların içindeki herhangi bir sunucudan veri taşıyabilir. Tünel modu, iki ağ arasındaki tüm trafiği, her iki uçtaki farklı sunuculardan koruyabilecek bir mekanizma kurmak için kullanışlıdır.
Aktarma (transport) modu: İki ayrı sunucu doğrudan bağlı bir IPsec VPN bağlantısı kurduğunda, bu devre aktarma modunda bir IPsec devresine örnek verilebilir. Örneğin, sahadaki IT personelinin bakım görevlerini tamamlamak amacıyla uzak bir sunucuya erişebilmesi için, aktarma modunda bir IPsec devresi kurulabilir. Aktarma modunda IPsec, bir sunucunun başka bir sunucuyla etkileşime girmesi gerektiğinde kullanılır; iki sunucu IPsec devresini doğrudan birbiriyle görüşür ve devre genellikle oturumun tamamlanmasından sonra kaldırılır.
Uygulamalarda IPsec
IPsec desteği genellikle 1990’dan beri piyasaya sürülmüş olan çoğu işletim sisteminde mevcuttur. Bu tarihten beri kullanımı gittikçe yaygınlaşan IPsec, masaüstü ve sunucu işletim sistemleri, router ve benzeri ağ güvenlik donanımları gibi birçok cihaz tarafından desteklenir hale gelmiştir. Protokol, nesnelerin internetinin getirdiği artan siber güvenlik ihtiyacına paralel olarak da kendisini yenilemeye devam etmiş, her bir sürümüyle sağladığı güvenlik derecesi artmıştır.
Eski sistemler IPsec'in bazı sürümlerini destekleyebilirken, işletmeler IPsec'i güvenlik yamaları güncel işletim sistemleri üzerinden IPsec kullanmalıdır. Ayrıca, IPsec'in eski sürümlerini destekleyen ve güvenli IPsec devrelerini etkinleştirebilir görünen eski sistemlerin verilerini güvenli tutuyor olmayabileceğini de belirtmek gerekir.
GSL olarak katkı verdiği birçok projede, uzaktan veri aktarımında veri güvenliğini sağlamak için Robustel’in R3000 ve R2000 serisi routerlarının IPsec desteğinden faydalanılmıştır. OpenVPN, PPTP, L2TP, GRE gibi diğer VPN protokollerini de destekleyen bu cihazlarda VPN tünelleme ile sağlanan bağlantı güvenliğinin yanı sıra, özel bir yazılım üzerinden VPN ağı kurmak da mümkündür. RobustVPN adlı bu “Bulut VPN Portalı”, kullanıcıların VPN ağı üzerinden routerlara bağlı cihazlardan veri aktarımı yapılabilmesini, bu cihazlara erişilebilmesini sağlar. Siber güvenlik ihtiyaçlarının artması ve çeşitlenmesiyle IPsec protokolü kullanan VPN çözümü sayısı da hızlı artışına devam etmektedir.
Kaynak: Rouse, M. (2018) “IPsec (Internet Protocol Security)”, TechTarget
IETF (2011) “IP Security (IPsec) and Internet Key Exchange (IKE) Document Roadmap”, RFC 6071