1. VPN (Vırtual Prıvate Network / Özel Sanal Ağ)’in Tanımı
Sanal Özel Ağ (Virtual Private Network) (VPN), uzakta yer alan bir ağdan yerel ağa erişerek bilgisayarın yerel ağdaymış gibi çalışabilmesini sağlayan bir alt yapıdır. VPN platforma bağlı olmayan bir yapıdır ve çeşitli yazılımsal veya donanımsal çözümler kullanılarak farklı mimariler ile oluşturulur.
VPN ile Internet gibi halka açık ağlar üzerinden güvenli bir şekilde kullanıcıların kendi kurum kaynaklarına erişmeleri sağlanmaktadır. Genel kullanıma açık olan ağ yapısını kullanıyor olması bir takım güvenlik endişeleri doğurabilir. Bu durum göz önünde bulundurularak bağlandığı nokta ile bilgisayar arasında adanmış ve şifreli bir tünel bağlantısı sayesinde bilgi akışının güvenliği arttırılmıştır.
VPN; Şifreleme, Kişilik Belirleme ve Yetkilendirme uygulamaları ile güvenliği sağlamak üzere geliştirilmiş bir ağ modelidir.
2. VPN ÇEŞİTLERİ
VPN uygulamalarının birçok çeşidi vardır. Bunları 3 temel başlık altında toplayabiliriz:
· Intranet VPN:
İntranet VPN, çoğunlukla farklı şehirlerde veya farklı binalarda farklı ofislerdeki şirketlerin bilgi yapılarının iletişiminin kolaylıkla sağlanması için kullanılır. Teknolojik gerekliliklerin en önemlisi ağda aktarılan bilginin korunması için verinin güçlü bir şekilde şifrelenmesidir. Intranet VPN’nin diğer önemli özelliği; ağdaki satışlar, müşteri veritabanı yönetimi ve doküman değişikliği gibi önemli uygulamalara öncelik vermektir.
· Remote Access VPN:
Remote Access VPN, firmaların gezgin çalışanlarının firma ağına her yerden güvenli iletişimlerini sağlamak için kullanılır. Ya da büyük bir firmanın farklı lokasyonlardaki şubelerini merkeze bağlamak için kullanılır. Remote Access VPN’nin en önemli özelliği kimlik sorgulaması ile uzak ve gezgin kullanıcıların kimliklerini doğrulamasıdır. Kullanıcılar uygun erişim ve teknolojiye sahipse ISP ile bağlanabilir.
· Extranet VPN:
Extranet VPN, daha esnek ve kullanıcılara daha çok seçenek sunan geniş ölçekli VPN oluşturmak için birçok teknolojiyi bünyesinde barındırır. Internet Security Protocol (IPSec), Extranet VPN’nin en çok kullanılan standardıdır.
Ekstranet'ler, bir şirketin intranet'i ile yetkili kılınmış iş ortakları arasında iletişim düzenlemeleri yapılmasına olanak tanır. İş hareketlerinin etkin yönetimi açısından, her bir iş ortağı grubu için ayrı bir ekstranet yaratılmalıdır. Sonuç olarak, yetkilendirilmiş iş ortakları, denetleyici rol oynayan intranet'e ekstranet'ler üzerinden güvenli bir biçimde ulaşmış olur. İş hareketleri İnternet üzerinde oluşur ve intranet'in güvenlik duvarına erişinceye kadar kriptolanmış durumda kalırlar. Bu şekilde, ticari sırların yattığı hareketlere üçüncü şahısların erişmesi engellenmiş olur.
Ekstranet'ler intranet'lerin mantıksal uzantılarıdır. İntranet'lerin sağladığı gizlilik ve güvenlik ile İnternet'in sağladığı küresel erişim olanağını üzerlerinde birleştirirler. Bu şekilde, kurum dışındaki iş ortakları, tedarikçiler, müşteriler ve distribütörlerin kurumsal ağa erişmesi sağlanmış olur. Ekstranet'ler, işletmeler arası iletişim kavramına yeni bir boyut getirdiğinden, ekstranet e-ticareti mümkün kılan teknoloji olarak görülmelidir.
3. VPN Tipleri
· İstemci-Girişimli VPN
Uzaktan erişim aygıtları kullanıcıların kurumları ile ilişkiye geçmelerini ve gerekli işlemlerini yapmalarını olanaklı kılan dial-in kapıları (ports) donatılmıştır. Bu yapıda, yapının sahibi kurumdur. İşlemler ve kontrol kurum tarafından yürütülür. Bu organizasyonda ISS ler çok ender olarak uzaktan erişim noktalarından internete erişim sağlarlar. Bu yapı uzaktan erişim için kullanılan İstemci-girişimli VPN diye adlandırılır. Bunun da nedeni ISS (Internet Service Supplier-İnternet Servis Sağlayıcıları)’lerin ne ilettiklerinin genellikle farkında olmamasındandır.
· ISS- Girişimli VPN
Bu uygulamada, yapının sahibi ISS’dir ve uzaktan işletim aygıtlarının işletimi ve kontrolü ISS lerin elindedir. Bu durumda VPN güvenliğinin sağlanması tümüyle ISS’lere aittir. Eğer ISS servisi tüm ülkeye dağılmış durumda ise ve çalışanların hareketleri çok değişken bir durumda ise, bu uygulama yararlı olabilir. Bu durumda bilgisayar ağını ve kurumsal yerel alan ağını (LAN) korumak için ek bir güvenlik desteğine gereksinim vardır. Örneğin en azından kurumsal LAN ile internet arasında bir güvenlik duvarının bulunması gerekmektedir. Uzaktan erişim kurumsal bilgisayar ağını yetkili kılınmamış ulaşımlara karşı çok hassas hale getirir. Bu durumda VPN nin rolü çok önem kazanır.
Uzakta erişim aygıtlarının en bilinen formu, uzaktan erişim dial-in istemcilerine sunucu tipi fonksiyonları sağlayan Uzaktan Erişim Sunucusu (Remote Access Server – RAS)’dur. Bir RAS, PSTN üzerinde anolog ulaşımlar için çeşitli dial-in kapılardan, kullanıcı belirleyicileri, parolaları taşıyan veri tabanından ve ağın geri kalan kırımlarına bağlantıdan oluşmaktadır.
4. VPN Tünel Oluşturma
VPN’de iki bilgisayar arasındaki iletişim VPN tünelleriyle gerçekleşir. Tünel oluşturma, iletim yapılırken bütünlüğün ve gizliliğin korunması için paketleri diğer paketlerin içine kapsülleme işlemidir. Tünellemenin, kriptolama, kimlik sorgulama, paket iletme ve özel IP adresini gizleme gibi görevleri vardır. Tünelin iki bilgisayar arasındaki özel bir bağlantı olduğu düşünülebilir. Sadece izinli olana gönderilebilen ve internet gibi herkese açık bir ağ üzerinden gönderilen bir bağlantıdır· VPN Tünel Çeşitleri:
(1) İstemciden LAN’a:
Eskiden uzak kullanıcılar için RAS'lar kullanılmaktaydı. Bu elemanların kullanımı uzun mesafe telefon çağrılarını gerektirmekteydi. VPN'ler sayesinde, kullanıcı yerel ISS'yi aramakta ve Internet üzerinde kurum ağına güvenli bağlantı kurmaktadır. Bunun için, istemci bilgisayarına küçük bir istemci yazılımı kurulması yeterlidir (üçüncü şahıs firma yazılımı veya işletim sistemi ile birlikte sağlanan).
(2) LAN’dan LAN’a:
Geçmişte bu tür bağlantılar özel kiralık hatlarla gerçekleştiriliyordu. VPN sayesinde, Internet gibi genel olarak herkes tarafından paylaşılan bir ağ üzerinden yerleşkeler arasında oluşturulan tünel yardımıyla veri güvenliği sağlatılabilmektedir.
5. VPN Tünel Oluşturma Protokolleri
· PPTP (Point to Point Tunnelling Protocol):
PPTP yönlendiriciler arasında çok yoğun olarak kullanılan PPP nin geliştirilmiş bir şekli olan veri bağlantı protokoludur. PPTP yapımcıları olan 3Com , Ascent , ECI Telamatics, Microsoft , US Robotics ‘in oluşturduğu PPTP Forum tarafından geliştirilmiştir.
PPTP , IPX , NetBEUI , AppleTalk ve IP gibi protokollerin çalışmalarına izin veren GRE protokolünü kullanarak paketleri kapsülleştirir ve internet aracılığı ile gönderir.
PPTP, kimlik sorgulaması ve kriptolama servislerini sağlar. LAN’dan LAN’a ve çevirmeli bağlantı gibi birçok Microsoft ağ protokolünü destekler. Fakat bu protokol patentli ve kriptolaması zayıftır. Ancak, Microsoft PPTP uygulamasında RFC-40-bit şifreleme algoritması da eklenmiş bulunmaktadır. Bu uygulama özellikle Brute-Force , Play-Back saldırısına karşı korumalarda etken rol oynar.
· L2TP (Layer 2 Tunnelling Protocol):
L2TP, IPSec tabanlı doğrulama/onaylama ve kriptolamayı desteklemesi nedeniyle PPTP'nin bir adım ötesine geçer. IPSec'in sağladığı temel özellik ve üstünlükler şunlardır:
(1) PPTP'den daha güçlü bir kriptolama ve doğrulama sağlar.
(2) Büyük ağlar için, PPTP'den daha iyi ölçeklenmektedir.
(3) VPN üreticilerince sağlanmaktadır.
· L2F (Layer 2 Forwarding) Protokolü:
Cisco'nun desteklediği VPN protokolüdür. L2F , RAS (Remoute Access Server) ve ağ yönlendiricileri gibi ağ bağlantı sunucuları arasında tünel sağlamaktadır. PPTP de olduğu gibi L2F de, IPX , NetBEUI ve AppleTalk gibi pek çok protokolü desteklemektedir. L2F bir donanım çözümü iken PPTP bir yazılım çözümüdür. PPTP, ağ katmanında sadece IP’yi desteklerken, L2F IP’ye ek olarak pek çok ağ katmanı protokolünü desteklemektedir.
6. VPN Güvenliği
Genellikle VPN uygulamalarında, RAS ve diğer sunucular çok güçlü güvenlik özelliği sağlamalıdır. Bu özellikler;
· Kimlik Sorgulama
· Yetkilendirme
· Kriptolama
· Paket Filtreleme
· Güvenlik Duvarı
· IPSec’dir.
· Kimlik Sorgulama (Authentication):
Kimlik sorgulama (yada kişilik belirleme), uzaktan erişim söz konusu olduğunda en önemli fonksiyondur. Güçlü bir kişilik belirleme olmaksızın ağ’a girişimin kontrol altına alınması olanaksızdır ve bunun sonucu kurumsal bilgilerin yetkilendirilmemiş kişilerin eline geçmesi çok kolay olacaktır.
En yaygın kullanılan kişilik belirleme yöntemi Tek Uygulamalı Parola (One-Time-Password-OTP) dır. Kişilik belirleme kullanıcı ağ’ın RAS veya yönlendiricisine ulaştığında çalışmaya başlar. Bazı durumda kullanıcı ayni anda bir diğer kısıtlı alana girmeyi arzu edebilir. Bu durumda ek bir kişilik belirlemesi uygulaması gerekmektedir.
VPN de kişilik belirlemede kullanılan en etken yöntem iki-faktörlü kişilik belirlemedir. Bu yöntemde ID/Parola kontrolüne ek olarak kişiyi belirlemek için ikinci bir eleman devreye alınır.
Güvenlik için önemli bir yöntemdir. 2 adımda gerçekleştirilir.
(1) Makine Tabanlı Kimlik Sorgulama (Machine-level authentication): VPN bağlantısı için IPSec protokolü kullanıldığı zaman, machine- level authentication, kurumun IPSec bağlantısındaki makine sertifikasını değiştirir.
(2) Kullanıcı Tabanlı Kimlik Sorgulama (User-level authentication): Veri, PPTP veya L2TP tüneline gönderilmeden önce, kullanıcı kimliğini doğrulamak zorundadır. Bu da PPP kimlik doğrulama metodu kullanılarak yapılmaktadır.
· Yetkilendirme (Authorization):
Kişilik belirleme ile yetkilendirmenin sınırı her zaman kesin çizgilerle belli değildir. Yetkilendirme genellikle kişilik belirleme işlemini izliyerek uygulanır , ancak kişilik belirleme gerekli değilse birinci uygulama olarak devreye girer.
· Kriptolama (Data Encryption):
Şifrelenmiş verinin ağ üzerinde gönderilmesine izin veren VPN bağlantısı oluşturur. VPN bağlantıları için end-to-end güvenliği sağlanamaz, sadece istemci ve VPN server arasında sağlanır. End-to-end bağlantısı oluşturmak için, VPN bağlantısı kurulurken IPSec protokolü kullanılmalıdır.
· Paket Filtreleme (Packet Filtering) :
VPN server’ın güvenliğini artırmak için packet filtering kullanılır.
· Güvenlik Duvarı (Firewall):
Özel ağ ve internet arasında güçlü bir duvar oluşturur. Hangi türde paketlerin geçtiğine, hangi protokollerin izinli olduğuna ve açık portların sayısına göre firewall ayarlanabilir.
· IPSec (Internet Protocol Security):
En iyi şifreleme algoritmaları ve çok kapsamlı kimlik sorgulama gibi güvenlik özelliklerini geliştirmeyi sağlar.
Ağ performansını etkileyen en önemli etkenler paket kaybı ve ortaya çıkabilecek gecikmelerdir. Bu nedenle oluşturulan VPN’lerde ağ performansını ve eş zamanlı iletilmesi gereken servisleri garanti altına almamız gerekir. Bunun için de QoS (Servi Kalitesi)’i çalıştırmalıyız.
7. QoS (Servis Kalitesi)
İnternet Protokolü üzerinde çalışan ağlar, En İyi Çaba (Best Effort-BE) tekniğini kullanarak veri dağıtımı yapar. BE, servislere ait paketleri iletirken herhangi bir önceliklendirme yapmadan tüm paketleri hedeflerine belirli bir sürede ulaştırmak için çaba sarf eder. Hedeflerine zamanında ulaşamayan paketler bekletilir veya ağdan atılır. BE elektronik posta, dosya transferi gibi eş zamanlı olmayan servisler için uygundur; çünkü veri uygulamaları şebeke içerisinde meydana gelebilecek paket kayıplarını TCP kaynaklı olmalarından dolayı tolere edebilir ve bu paketlerin tekrar gönderimi sağlanabilir. Ses, video konferans gibi eş zamanlı servisler gecikmeye karşı oldukça hassas olduklarından BE bu servisler için uygun değildir. Ses ve video servislerinde oluşan gecikme ve paket kayıpları ses ve görüntüde bozulmalara neden olur. Eş zamanlı servislerin iletiminde problem oluşmaması, yeterli band genişliğinin sağlanması ve iletimde gereken önceliğin verilmesine bağlıdır. Bu nedenlerle eş zamanlı servislerin iletiminde QoS’in çalıştırılması gereklidir.
QoS; ağ bileşenlerinin belirlenmiş düzeydeki ağ trafiği gereksinimlerini yerine getirebilme özelliğidir. Gecikmeye duyarlı olan ses ve görüntü servisleri; e-mail, ftp, web gibi veri servislerinden daha fazla QoS garantisine ihtiyaç duyarlar. QoS; band genişliğinin, tüm servisler arasında gecikme, gecikmedeki değişim (Jitter) ve paket kaybı parametrelerine göre en verimli şekilde paylaştırılmasını sağlar. Ses, video gibi eş zamanlı servislerin gecikme hassasiyetleri göz önünde bulundurularak eş zamanlı servislere göre iletimde gerekli önceliğin verilmesini sağlar.
· QoS’in Özellikleri
(1) Kaynak Kontrolü: Ağ üzerinde kullanılmakta olan cihaz ve band genişliği gibi kaynaklar üzerinde kontrolü sağlar. Ses, video ve veri aynı yolu kullandıklarında bu hattın band genişliği için sürekli bir mücadele içinde olurlar. QoS bu noktada kaynak kullanımını takip eder ve düşük öncelikli trafiğin band genişliğini gerektiğinde düşürür ve hatta hakim olmasını engeller. Böylece yüksek öncelikli trafiğin olumsuz etkilenmesine engel olur.
(2) Şebeke Kaynaklarının Verimli Kullanımı: Çeşitli ağ analiz yönetim araçları sayesinde ortaya çıkarılan trafik profiline ve bu profildeki sınıfların (farklı kullanıcı uygulamaları) gecikme, gecikme değişimi, paket kaybı karakteristiklerine göre bir takım QoS özellikleri devreye alınarak en iyi performansın elde edilmesi sağlanır.
(3) Kritik Uygulamalar: Bir ağda önem arzeden uygulamalar için (VOIP, video gibi) ağın en verimli şekilde kullanımını sağlar. Zamana duyarlı multimedya ve ses uygulamalarının ihtiyaç duyduğu band genişliği ve asgari gecikme kriterleri sağlanırken, diğer uygulamalara yeterli seviyede ve kritik uygulamaları etkilemeyecek şekilde servis verilir.
(4) Tıkanmaya Karşı Sıralama Yöntemleri: Ses, video ve verinin birlikte çalıştığı paket anahtarlamalı ağlarda zaman zaman aşırı trafiğe bağlı olarak tıkanmaların oluşması kaçınılmazdır. Tıkanmanın oluşması durumunda başlayan paket kaybı o sırada sürmekte olan uygulamaların performanslarını düşürür. Tıkanma oluştuğundaki davranış şeklini belirlemek için ağ cihazlarında sıralama yönetimi uygulanır. Sıralama yönetimi sayesinde zaman duyarlılığı gösteren eşzamanlı servisler, veri uygulamalarına göre öncelik kazanır. Bu yöntemlerden biri uygulanmadan önce paket sınıflamasının yapılmış olması gerekmektedir. Ağda yer alan cihazlar ancak bu şekilde gelen paketleri değerlendirip ilgili sıralara atabilirler. Tıkanmanın olabileceği noktalarda aşağıda belirtilen sıralama yöntemlerinden biri kullanılır.
(a) FIFO (First In First Out-İlk Giren İlk Çıkar): Tek bir kuyruk vardır ve paketler ağ cihazının ilgili arayüzüne hangi sırayla geldiyse o sırayla gönderilirler. Öncelik verme ve band genişliği garantisi yoktur. Daha çok yüksek hızlı LAN arayüzlerinde kullanılır.
(b) WFQ (Weighted Fair Queueing- Ağırlıklı Adaletli Sıralama): Daha önce bahsedilen paket sınıflamasına göre ayrılmış trafik akışları farklı kuyruklara yerleştirilirler. Önceliği yüksek paketler diğerlerine göre bir seferde daha fazla işleme tabii tutulur. Öncelik ve band genişliği garantisi yoktur.
(c) CQ (Custom Queuing – İsteğe göre Sıralama) : Çok sayıdaki kuyruk konfigüre edilebilir uzunluğa sahiptir. Tam olmasa da belirli bir band genişliği garantisi sağlar.
(d) PQ (Priority Queuing – Öncelik değerine göre Sıralama): Trafik, farklı öncelik düzeylerindeki kuyruklara dağıtılır. Bu yöntemin sakıncası yüksek öncelikli trafik gerektiğinde, düşük öncelikli trafiğin band genişliğini kullanabilmesidir. Bu da düşük öncelik verilmiş servislerin zaman zaman çalışmasını engeller.
(e) CBWFQ (Class Based Weighted Fair Queueing-Sınıf Temelli Ağırlıklı Adaletli Sıralama): Oluşturulmuş olan farklı trafik sınıfları ağırlıklarına göre hizmet alırlar. Herhangi bir servis için öncelik söz konusu değildir.
(f) PQWFQ (Priority Queuing Weighted Fair Queueing- Öncelik değerine göre Ağırlıklı Adaletli Sıralama): UDP paketlerine öncelik verilir. Diğer tüm trafik, WFQ’e tabii tutulur.
(g) LLQ (Low Latency Queueing-Düşük gecikmeli Sıralama): Sınıflandırılmış olan trafik öncelikli kuyruğa yönlendirilir. Bu uygulamada öncelikli trafik ses olduğu için öncelik bu servise verilmiştir. Diğer tüm servislere garanti edilmiş minimum band genişliği sağlanır. Tıkanıklığın oluşması durumunda ses trafiği önceden ayarlanmış band genişliğine çekilir. Böylece sesin bu gibi durumlarda varolan tüm band genişliğini kullanması engellenmiş olur.
8. UYGULAMALAR:
· QoS Uygulaması:
İlk uygulamada, oluşturulan iki yerel alan ağı (A ve B ağları) yönlendiriciler kullanılarak 512 Kbps ISDN hatlarıyla Şekil-4’de gösterildiği gibi bağlanmışlardır. Kurulan bu bağlantı üzerinde Servis Kalitesi (QoS) testleri yapılmıştır.
A ile B alt ağları arasında yapılan testlerin öncelikle yönlendiricilerde QoS çalıştırılmadan, daha sonra ise çalıştırılarak tekrar edilmesine karar verilmiştir. Sonuçlar; paket kayıpları, veri işleme, gecikme, gecikmedeki değişim (Jitter) ve ses için MOS (Mean Opinion Score- Ortalama Tahmin Değer) yönünden karşılaştırılmıştır.
Testler esnasında; ses (VoIP), video (VTC, NetMeeting), SMTP, ftp, http paketleri IXIA-Chariot, trafik üreteç/analizörü tarafından yaratılmış, yine aynı cihaz tarafından paketler incelenmiş ve sonuçlar analiz edilmiştir. Uygulamada tüm servisler aynı anda başlatılarak mevcut band genişliğinde yoğunluk oluşturulmuştur. Hatta trafik yoğunken tüm servislerin çalışmasına QoS’in etkisi incelenmiştir.
A ile B alt ağları arasında yapılan QoS testinde, mevcut band genişliğinde tüm servisler çalıştırılarak tıkanıklık oluşturulmuştur. QoS çalıştırıldığında tıkanıklığı gidermek için, Şekil-5’de gösterildiği gibi ses için LLQ, diğer servisler için de CBFQ yöntemi uygulanmıştır.
QoS kapsamında yapılan uygulamalar genel olarak değerlendirildiğinde, QoS çalıştırılmadan yapılan testte, eş zamanlı servislere ihtiyaç duydukları band genişliğinin sağlanmadığı, paket iletiminde öncelik verilmediği WFQ tekniğinin kullanıldığı ve bu nedenlerle eş zamanlı servislerde gecikme, jitter miktarlarının ve paket kayıplarının yüksek olduğu görülmüştür.
Video ve ses gibi gerçek zamanlı servisler gecikmeye, gecikmedeki değişime (Jitter) ve kayıplara karşı oldukça hassastır. Bu servisler de oluşan kayıplar ses ve görüntüde bozulmalara neden olur. Ses servisinde oluşan büyük gecikme ve Jitter miktarları da önemli problemler oluşturur. Bu nedenle gerçek zamanlı servislerde gecikme, Jitter ve kayıp miktarlarının minimum seviyede tutulması iletişimin verimli yapılabilmesi için oldukça önemlidir. QoS çalıştırılırılarak tekrarlanan uygulamada ise, eş zamanlı servislerin ihtiyaç duydukları band genişliğinin sağlandığı CBWFQ ve ses servisine ait paketlerin iletiminde önceliğinin verildiği LLQ sıralama tekniklerinin kullanıldığı görülmüştür. CBWFQ sayesinde eş zamanlı servislere ihtiyaç duydukları band genişlikleri sağlanmış, LLQ sıralama tekniği ile de diğer servislere göre daha küçük paket boylarına sahip olan ses paketlerine öncelik vererek bu servisin diğer servislerden etkilenmemesi sağlanmıştır. QoS’in çalıştırıldığı uygulama da, band genişliğinin verimli paylaştırıldığı, gecikme, Jitter ve kayıp miktarlarının düştüğü görülmüştür.
İlk uygulama sonuçları QoS ve sıralama uygulamalarının düşük band genişliğine sahip hatlarla irtibatlandırılan LAN’larındaki gerçek zamanlı servislerin (trafiklerin) performansını artırmak için gerekli olduğunu göstermiştir.
· VPN Uygulaması:
Bu uygulamada, A ile B alt ağları arasında güvenlik konusunda testler yapılmıştır. üzerine yoğunlaşmıştır. Bu amaçla, kamuya açık olan internet ortamında, A ile B alt ağları arasında “GRE Tünelleme” (GRE tunnelling) metodu ile bir Sanal Özel Ağ (Virtual Private Network-VPN) yaratılmış ve IP güvenliği bu tünel üzerinde çalıştırılmıştır. Çalışmalarda kullanılan yapı Şekil-6’da gösterildiği gibidir.
Uygulama esnasında A ile B alt ağları arasında GRE tünel kurulmuştur. Kullanılan ağ yapısında da bu amaçla tünel uygulanmasına karar verilmiştir. Daha sonra GRE tünelin IPSec ile beraber kullanımında; dinamik yönlendirme, çoklu yayım, IP olmayan protokollerin de desteklenmesi ve uygulama, sorun çözümünde kolaylık sağlama konularında avantajlar getirmesi nedeniyle GRE tünel kullanılmasına karar verilmiştir.
Uygulamada, GRE tünel B yönlendiricisi ile A yönlendiricisi arasında oluşturulmuş ve bundan sonra iletişim bu tünelden sağlanmıştır. GRE tünelin IPSec ile beraber kullanımında; dinamik yönlendirme, çoklu yayım, IP olmayan protokollerin de desteklenmesi ve uygulama, sorun çözümünde kolaylık sağlama konularında avantajlar getirmesi nedeniyle GRE tünel secilmiştir. Tünel sayesinde ülkeler, global IP adresleriyle değil, farklı LAN’lara sahip olmakla beraber aynı LAN’daki iki terminal gibi özel IP adresleriyle haberleşmişlerdir. A alt ağında bulunan yönlendirici 10.10.0.0, B yönlendiricisi ise 10.3.0.0 özel IP adreslerini kullanmışlardır.
Beraber çalışılan ağa (B) internet üzerinden ulaşılırken arada güvenlik için tünel, kriptolama ve ‘kimlik doğrulama’ (authentication) kullanılması gerektiği kararına varılmıştır. ‘Kimlik doğrulama’ gelen paketleri kimin gönderdiğinin belirlenmesi, kriptolama da orjinal kullanıcı bilgisinin gizliliğinin garanti altına alınması için kullanılmıştır. Güvenlik protokolü olarak kullanılan IPSec kriptolanmış güvenlik servisleri sağlamıştır.
IPSec’le iki taraf arasında ESP ve AH güvenlik protokolleri de kriptolama amacıyla kullanılmıştır. AH (Authentication Header-Başlık bilgisi Doğrulama) protokolünde, şifre doğrulama bilgisi başlık (header) ile yük (payload) arasına yerleştirilir. AH iletim metodu, kaynak şifre doğrulama ve veri bütünlüğünü sağlayarak, verinin yetkisiz istemciler tarafından erişimini engeller. Bu koruma yöntemi ile paket tekrarı saldırıları önlenmiş olur. ESP (Encapsulating Security Payload- Sarmalama Güvenlik Yükü) protokolünde ise; tüm paket şifrelenir ve yeni bir ESP ve IP header yaratılır, şifreleme bilgisi olarak pakete ilave bir kuyruk eklenir. ESP iletim metodu, gizliliği ve verinin okunmamasını sağlar.
IPSec uygulamasında Internet Anahtar Değişimi(IKE) kullanılmıştır. IKE anahtar belirlenmesi, değiştirilmesi ve yönetimi için kullanılmaktadır. IKE iki safhada gerçekleşir. Bunların ilkinde ‘kimlik doğrulama’, ikincisinde anahtar değişimi gerçekleşir. Burada kullanılan anahtara önceden paylaşılmış anahtar denir. Bunun nedeni iletişim sağlanabilmesi için bu anahtarın önceden paylaşılma geresinimidir.
Yönlendirici ile ilgili IPSec’in hayata geçirilmesi için ilk etapta, anahtar değişim politikası belirlenmiş ve ‘kimlik doğrulama’ metodu olarak da daha önceden paylaşılmış anahtar (‘Alt Ağ’ dizini) kullanılmıştır.
Kullanacak kriptolama algoritması DES olarak planlanmıştır. DES (Data Encryption Standard-Veri Kriptolama Standardı) 64-bitlik veri bloklarını kriptolama ve çözme için 64-bitlik bir anahtar kullanan, bu amaçla bir permütasyon, değiş-tokuş ve değiştirme döngüsü kullanan bir algoritmadır. Kimlik doğrulama algoritması olarak da MD5 (Message Digest - Mesaj Özü) kullanılmıştır. MD5 bir mesajdan 128-bitlik bir çıktı üreten, hafızada az yer kaplayacak şekilde kodlanabilen bir algoritmadır.
Ayrıca IPSec uygulamasında dizi numaraları da kullanılmıştır. Bu numaralar paket tekrarını önlemek (antireplay) amacıyla kullanılmıştır. Paket tekrarının önlenmesi; dış kaynaklarca yaratılabilecek ve iki noktadan birini simüle etmeye yönelik tehditleri önlemek amaçlı kullanılmıştır. Paketin gerçekten karşı yönlendirici tarafından geldiğini paketi alan yönlendirici ancak bu şekilde anlayacağı için bu yola başvurulmuştur.
Güvenlik uygulamalarında, A yönlendiricisinin internet bağlantısı NAT uygulanarak sağlanmıştır. Yönlendirici LAN’a gelen ve LAN’dan giden trafikleri birinden diğerine çevirmiştir. Böylece sadece bir tek global IP adresi kullanılarak aynı LAN içerisindeki tüm terminaller internet erişimi kazanmıştır.
NAT uygulamasının “overloading (aşırı yükleme)” formu kullanılmıştır. Bu uygulamayla global olmayan IP adresli terminallerin bulunduğu LAN’dan, global IP adresi olan ve üstünde NAT uygulaması konfigürasyonuna eklenmiş yönlendiriciyle ağ dışındaki diğer tüm alt ağlara erişim sağlanmıştır. LAN’daki herhangi bir terminal internet üzerindeki herhangi bir global adresli bilgisayara erişmek istediğinde yönlendirici paketi almış, kaynak adresine kendi global adresini yazmış ve kaynak portunu da çevrim tablosunda bu bilgisayarın adresini tuttuğu yerdeki port numarasıyla eşlemiştir. Dışardan bu bilgisayara bir paket geldiğinde de bu işlemlerin tersi gerçekleşmiştir.
· Güvenlik Testleri Aşaması
Güvenlik konusunda yapılan ilk test; GRE tüneli kullanan ve kullanmayan IP adreslerine ping atılmasıdır. Testin yapılma amacı; tünel kullanılarak iletilen paketin ulaşma süresi ile tünel kullanılmadan gönderilen paketin ulaşma süresini kıyaslayarak, tünel uygulamasındaki gecikmenin kabul edilebilir bir seviyede olup olmadığının incelenmesidir. Bu testte; 10.3.0.1(GRE Tünel içindeki Kanada IP adresi)adresine giden herhangi bir paket için GRE tüneli kullanılmıştır. 142.92.65.36 ise global bir adres olduğu için bu adrese gönderilen bir paket tünel içerisinden ilerlememiştir.
Tünelin paket iletimindeki gecikmeye olan etkisini görmek amacıyla 10.3.0.1 adresine atılan ping paketinin ulaşım süresiyle 142.92.65.36 adresine atılan ping paketinin ulaşım süresi karşılaştırılmıştır. 10.3.0.1’e atılan pinglerin ortalama 230 ms’de, 142.92.65.36’e atılan pingler de ortalama 200 ms’de ulaşmıştır.
GRE tünele giren IP paketlerinin yapısındaki GRE sarmalama (encapsulation) paketlerin, tüneli kullanmayan paketlere nazaran daha geç iletilmesine neden olmaktadır. Encapsulation (Sarmalama) işlemi aynı protokolü kullanan iki ağ arasındaki iletişimin, aradaki farklı protokolü kullanan ağdan geçmesi durumunda bu ağa yabancı olan protokollerle düzenlenmiş paketleri yalıtmak için kullanılan taşıma tekniğidir. A ile B alt ağları arasında yapılan GRE tünelleme uygulamasında paketler global internet ağından geçeceği için sarmalama işlemi gerçekleştirilmiştir.
Yukarıdaki değerler incelendiğinde tünel içerisinde bulunan 10.3.0.1 adresine atılan ping paketinin süresi global bir IP numarası olan 142.92.65.36’ya atılan ping süresinden 30 ms daha fazladır. Gecikme sürelerinde incelendiği gibi, 200 ms ve 230 ms aynı performans grubunun (150-300 ms arası kabul edilebilir gecikme sınırları)içerisindedir. Sonuç olarak, sarmalama işlemi nedeniyle oluşan 30 ms’nin kabul edilebilir bir gecikme miktarı olduğunu ve GRE tünel uygulamasının verimli bir şekilde kullanılabileceği görülmüştür
· GRE Tünel ve IPSec Uygulamalarının VOIP iletimine Etkisi
IP kapsamında yapılan testlerde Ethereal kullanılarak çağrılar sırasında IP paket yapılarının incelenmesi hedeflenmiştir. Ethereal, ağ üzerindeki paketleri yakalamayı ve çeşitli protokollerin akışını izlemeyi sağlayan grafik arabirimli bir yazılımdır. Paketlerin Türkiye-Kanada arası bağlantıda bir taraftan işaretlenerek gönderilmesine ve diğer tarafta paketin içeriğinin gözlemlenmesi, bu şekilde IPSec ve GRE uygulanmasının etkilerini görmek amaçlanmıştır.
A ile B alt ağları arasında ses iletimi konusunda yapılan ikinci test ethereal kullanılarak internet üzerinden ses iletimi (VoIP) konusunda yapılmıştır. İlk testten farklı olarak IPSec denenmiştir.
Test iki aşamada yapılmıştır. İlk aşamada bir tam VoIP çağrısı boyunca (çağrı kurulumu-ses trafiği-çağrının koparılması) IPSec uygulanarak ve uygulanmadan IP paket yapıları incelenmiştir. İkinci aşamada ise, IP paketler A alt ağı tarafından işaretlenmiştir. Bu işaretler, paketler IPSec uygulanarak ve uygulanmadan GRE tünel yapısı gözönünde bulundurularak B alt ağı tarafında WAN ve LAN bölümlerinde incelenmiştir.
IPSec uygulanarak yapılan test başarıyla tamamlanmıştır. B alt ağı tarafından VOIP çağrısı IPSec uygulanmadan gönderilmesi esnasında A alt ağı tarafında IPSec konfigürasyondan çıkartmadığı için, çağrı gelince “Bu bir IPSec paketi değildir” (this is not an IPSec packet) mesajı gelmiştir. IPSec uygulanırken IPSec paketi olmayan bir paket reddedildiği için bu mesaj gelmiş ve çağrı oluşturulamamıştır. Bu da IPSec uygulamasının çalışmasına bir örnek oluşturmuştur. IPSec konfigürasyondan çıkartılmış ve IPSec uygulanmadan VOIP çağrıları iletilmiştir.
Testin ikinci aşamasında paket işaretlemesi yapılmıştır. Paketlerin işartelenmesinin amacı çeşitli QoS uygulamasının yapıldığı SLS sınıflarına ait paketlere gerekli işlemlerin yapılıp yapılmadığının incelenmesidir. QoS uygulamasında olduğu gibi bu uygulamada da, QoS modellerinden DiffServ modeli kullanılmıştır.
IPSec uygulanmadan işaretli paketlerin gönderildiği uygulamanın sonuçları incelendiğinde, gönderilen ve alınan paketlerin ait oldukları DSCP gruplarına ve SLS sınıflarına göre işlem yapıldığı görülmüştür. Örneğin; A alt ağı tarafından gönderilen 296.paket B alt ağı tarafına DSCP bölümü 2*.E gelmiş ve B alt ağı tarafında bu pakete 2*E’ye göre işlem yapılmıştır. Tablo-2 incelendiğinde, 2*E’nin ses çağrı servsine ait bir paket olduğu görülmektedir. A alt ağı tarafından gönderilen bu paket B alt ağı tarafında ses paketi olduğu anlaşılmış ve bu pakete ses servisinin ihtiyaç duyduğu band genişliği ve öncelik gibi gereklere göre işlem yapılmıştır. Sonuç olarak IPSec uygulanmadan paket işaretlemesinin yapıldığı uygulama da tüm servisler başarıyla iletilmiştir.
Ses Trafiği Uygulaması | DSCP Değeri |
Ses Çağrı Trafiği | EF (2*E) |
Ses Kontrol Trafiği | AF31 (1*A) |
Video Konferans | AF41 (2*2) |
Video Streaming (Kesintisiz Video) | AF13 (0*E) |
Tablo 2: DiffServ Trafik Sınıflandırması ve Sınıfların DSCP Değerleri
IPSec’in uygulanarak yapılan uygulamada ise, IPSec uygulandığında paket içeriği gizlendiği için inceleme yapmakta zorlanılmıştır. Bu durum güvenlik uygulaması açısından beklenen ve istenen bir özelliktir. Bu nedenle paketlerin işaretleri tam olarak incelenemeiştir ancak tutulan port numarasına ve paketlerin DSCP değerlerine bakılarak işlem yapılmıştır. Uygulama sonuçları incelendiğinde işaretli paketlere doğru işlem yapıldığı görülmüştür. Örneğin, kullanılan portlardan DSCP’si 18 (010 010) olan paketlerin çağrının kurulma aşamasında gönderilen ve IP telefonlar arasında gidip-gelen paketler olduğu düşünülmüştür. DSCP’si 18 incelendiğinda, çağrı kurulma aşamasında gönderilen mesajlar SMCS mesajlarından olduğu için bu pakete doğru işlem yapıldığı görülmektedir. Bu değerlendirme, port numarası ile paketin işaretin doğru tespit edildiği göstermektedir. Tünel üzerinde herhangi bir servis gönderilmediği durumda karşı taraf ile olan iletişimin halen aktif olup olmadığını görmek için Keep-alive mesajları gönderilir. Hat boş olduğu zamanlarda 179 no’lu porta bu paket gönderimin devam ettiği gözlenmiş ve bu paketlerin Keep-alive mesajı paketleri olduğu tespit edilmiştir.
Sonuç olarak, ses, görüntü ve veri iletiminde herhangi bir problem yaşanmamış olması; işaretli olarak gönderilen ve alınan paketlerin hangi servise ait olduğunun anlaşıldığını ve buna göre işlem yapıldığının göstemektedir.
· GRE Tünel ve IPSec Uygulamlarının Ek Yük (OVERHEAD)’e Etksinin İncelenmesi
Band genişliği sınırsız olmayan ve aksine en kısıtlı kaynaklardan biridir. Bu nedenle kısıtlı band genişliği; iletilen paketlerin boyutlarına belirli sınırlar getirmektedir. Bir paketin büyüklüğünü; iletilecek veri ve ek yük olarak adlandırılan overhead kısmı belirler. Paketteki overhead oranının mümkün olduğu kadar düşük olması istenir. Çünkü overhead boyutlarının büyük olması gecikme ve kayıp gibi iletişimde performansı olumsuz etkileyen sonuçlara neden olabilir. GRE tüneli ve IPSec uygulaması overhead miktarı yönünden de incelenmiştir. Çünkü bu uygulamaların neden olduğu overhead’in kabul edilebilir seviyelerde olması gerekmektedir. Güvenlik testleri sonucunda B alt ağı tarafında toplanan istatistikler değerlendirilerek. GRE Tünel ve IPSec uygulamalarının neden olduğu overhead’in belirlenmesi amaçlanmıştır. Bu amaç doğrultusunda ilk olarak GRE Tünel uygulanarak ve IPSec uygulanmadan iletilen paketlerin yapısı, ikinci olarak da GRE Tünel ve IPSec uygulanarak iletilen paketlerin yapısı overhead yönünden incelenmiştir.
Tünelleme uygulamasında; GRE IP başlığı 20 Byte’tır. Opsiyonel bölümleri eklenmeden GRE başlığı ise 4 Byte’tır. Opsiyonel olarak ‘checksum’(2B) ve ‘sequence number’(sıra numarası) (4B) bölümleri yönlendirici konfigürasyonu sırasında eklenmiştir. Checksum; gönderilen bir dizi bilginin tam olarak alınıp alınmadığının tüm bayt değerlerinin toplanarak kontrol edilmesini sağlar. Bu sayede gönderilen bilginin eksik ya da bozuk olup olmadığı anlaşılır. Sequence number ise gönderilen paketin sıra numarasını gösterir. Gönderilmeden önce daha küçük parçalara ayrılan verinin, alıcı kısımda yeniden aynı sırada elde edilmesinde kullanılır. Checksum’ı aktive etmesi için 1 yapılan başlık bitinin ‘offset’ bölümünü(2B) de eklediği gözlemlenmiştir. Veri offset bölümü, TCP başlığını oluşturan, 32-bit sıralı kelimelerin sayısını belirtir. Bu alan, veri alanının nerede başladığının tespitinde kullanılır. Bu durumda toplam overhead 32 Byte olmuştur.
Paketler incelendiğinde 1720 no’lu portu tutmasından TCP çağrı ayarları (call setup) paketleri olduğu anlaşılan paketlerin boyları 32 byte’lık GRE başlığı dışında 44-50 Byte gibi değerler almıştır. Yani overload (ek yük) yüzdesi degişmektedir; ancak genelde %30 civarında olduğu görülmüştür. Overload oranı overhead büyüklüğünün toplam paketin büyüklüğüne oranı ile bulunmaktadır. Burada bulunan % 30 oranı kabul edilebilir bir orandır.
IP üzerinden ses, görüntü, çoklu media paketlerinin iletiminde ITU-T tarafından belirlenen H323 protokolü kullanılmaktadır. Genelde bir H.323 terminal bağlantısında ilk sinyalizasyon terminal ile gatekeeper arasında olur. Daha sonraki iki sinyalizasyon bağlantısı terminaller arasında oluşturulur. İlki, yeni bir bağlantının istendiğini belirten çağrı sinyalleşmesi bağlantısıdır. Eğer bu sinyalleşme başarılı olursa kontrol kanalı yani ikinci sinyalizasyon bağlantısı açılır. Genelde bu aşamadan sonra çağrı sinyalleşmesi kapatılır ve medya iletimi başlar. H.323 ilk sinyalizasyon (RAS) ve mesaj formatı için H.225 protokolünü kullanır. H.323 kontrol kanalında yapılan; ses/video kodlayıcıları, protokol tanımlayıcısı ve çalışılabilecek modlar gibi terminal özelliklerinin değiş tokuşu, mantıksal kanalların(logical channels) açılması ve kapanması, kontrol kanalında gecikmenin ölçülmesi gibi işlemler için de H.245 protokolünü kullanır.
H.225 paketlerinin orjinal IP paket boyları daha büyük(400-500 byte) olduğu için bu paketlerde overload yüzdesi düşmektedir. Bu nedenle H.225 paketlerinde daha büyük miktarlarda veri iletilir. H.245 paketlerinin boyları H.225 paketleri kadar büyük değildir. Bu nedenle overhead’in oranı H.225’e göre biraz daha yüksek bulunmuştur. Çağrı esnasındaki paketlerin boyları (60B-Orjinal IP paketi, 32B-GRE header) ve dolayısıyla overhead oranı ses servisinin sabit band genişliği kullanmasından dolayı sabittir.
GRE tünel ve IPSEC uygulanarak iletilen paketlerin yapısının şekillendirilişi 76 Byte’lık bir GRE tünel uygulanmış IP paketi örnek alınarak aşağıda gösterilmiştir:
76 Byte : GRE ile enkapsule edilmiş IP paketi
1 Byte : Pad uzunluğunu gösteren kısım.
1 Byte : Bir dahaki header uzunluğunu gösteren kısım.
6 Byte : Kripto algoritmasına uygun hale getirmek için yapılan padding.
4 Byte :Gerçek payload uzunluğunu gizlemek ve standart hale getirmek amacıyla uzunluğu 8’e bölünür hale getirmek için eklenen kısım.
12 Byte : HMAC-MD5 128 bit kimlik doğrulama değeri oluşturur ve en azından 96 bitin desteklenmesi gerekir.
Şekil-38’de görüldüğü gibi, sonuçta 76 byte’lık bir GRE ile enkapsule edilmiş IP paketinden 100 Byte’lık yeni paket oluşturulmuştur:
Yeni IP Header : 20 B | Padding: 4B | GRE Header : 32 B | IP Header + DATA : · |
Şekil 7: GRE Tünel ve IPSec Uygulanan Paket Yapısı
GRE tünel ve IPSec uygulanarak yapılan testlerde servislerin başarıyla iletilmesi, incelenen paket yapısındaki overhead oranlarının kabul edilebilir seviyede olduğunu göstermiştir.
9. SONUÇ:
Sonuç olarak, sanal ve özel ağlar teknolojisini kullanarak, dünyanın neresinde olursak olalım, internet üzerinden, yerel ağımıza oldukça ekonomik bir şekilde bağlantı kurabiliriz. Herkesin girebildiği internet gibi paylaşılmış bir ağda yaşayacağımız problemler güvenlik çözümleridir. Ancak yapılan uygulamalarda gördüğümüz üzere ve diğer şifreleme tekniklerini de göz önüne aldığımızda VPN teknolojisinin bireysel bilgisayarlarımızdan en geniş ağlara kadar yaygın bir kullanım alanına ulaşacağı görülmektedir.
10. KAYNAKÇA:
GÖNEN, Serkan. "Taktik Saha Muhabere Sistemleri Arasında Müşterek Çalışabilirliğin Sağlanması" (Yüksek Lisans Tezi), Kara Harp Okulu Savunma Bilimleri Enstitüsü, Ankara, Şubat 2006.
HALSALL Fred. Data Communications Computer Networks and Open Systems (Fourth Edition), Addison-Wesley Publishing Company,1996.
LAMMLE Todd. Cisco Certificate Network Associate, Alomada, SYBEX Inc., 1999.
LEVESQUE, A.H. ve R.A, Dean. “Secure Communications İnteroperability İn Mixed Analog And Digital Networks”, Military Communications Conference, 1991. MILCOM '91, Conference Record, 'Military Communications in a Changing World'., IEEE, 4-7 Nov. 1991, 303 – 307.
NARULA, Tam ve E. MODİANO. “Designing physical topologies that enable survivable routing of logical rings”, Design of Reliable Communication Networks, 2003. (DRCN 2003). Proceedings. Fourth International Workshop on 19-22 Oct, 2003, 379 – 386.
TANERBAUM S. Andrew. Computer Networks (Fourth Edition), Prentice Hall PTR, 2003.
YAMADA, H. ve N. HİGUCHİ. “Voice Quality Evaluation Of Ip-Based Voice Stream Multiplexing Schemes”, Local Computer Networks, 2001. Proceedings. LCN 2001. 26th Annual IEEE Conference on 14-16 Nov, 2001, 356 – 364.
TANERBAUM S. Andrew. Computer Networks (Fourth Edition), Prentice Hall PTR, 2003.
ab.org.tr/ab07/bildiri/187.doc
www3.itu.edu.tr/~orencik/.../akbal_verikaydi_rapor.doc
img524.imageshack.us/img524/8186/89465120qn6.gifvpntüneli
cozumpark.com/.../image002_thumb_4.jpg
Hiç yorum yok:
Yorum Gönder