Sanal özel ağ (VPN), özel veya Internet gibi ortak ağlar üzerindeki noktadan noktaya bağlantıdır. VPN istemcisi, verilerin gönderilebildiği iki bilgisayar arasında güvenli bir kanal kuran tünel protokolleri adı verilen özel TCP/IP tabanlı protokoller kullanır. Katılan iki bilgisayarın perspektifinden, bunlar arasında atanmış noktadan noktaya bir bağlantı olsa da gerçekte veriler diğer paketlerde de olduğu gibi Internet'te yönlendirilir. Tipik bir VPN dağıtımında, istemci, Internet üzerinden uzaktan erişim sunucusuyla sanal noktadan noktaya bağlantı başlatır. Uzaktan erişim sunucusu aramaya yanıt verir, arayanın kimliğini doğrular, verileri VPN istemcisiyle kuruluşun özel ağı arasında aktarır.

Veriler, noktadan noktaya bağlantıyı taklit etmek amacıyla üstbilgi kullanılarak kapsüllenir veya sarılır. Üstbilgi, verilerin bitiş noktalarına erişmeleri için, paylaşılan veya ortak ağ üzerinden çapraz geçebilmelerini sağlayan yönlendirme bilgileri verir. Özel ağ bağlantısını taklit etmek için, gönderilen veriler gizlilik amacıyla şifrelenir. Windows'un bu sürümünde desteklenen tünel protokolleri hakkında daha fazla bilgi için bkz. VPN Tünel Protokolleri (sayfa İngilizce olabilir).

Yükleme gereksinimleri için bkz. RRAS'yi VPN Sunucusu Olarak Yükleme Gereksinimleri.

VPN bağlantısı

VPN Bağlantısı

İki tür VPN bağlantısı vardır:

Uzaktan erişim VPN

Uzaktan erişim VPN bağlantısı, evinden çalışan veya yolda olan kullanıcının, Internet gibi ortak bir ağ tarafından sağlanan altyapıyı kullanarak özel ağ üzerindeki bir sunucuya erişmesini sağlar. Kullanıcı açısından bakıldığında VPN, istemci bilgisayarla kuruluşun sunucusu arasında noktadan noktaya bir bağlantıdır. Mantıksal olarak veriler, adanmış bir özel ağ üzerinden gönderiliyormuş gibi göründüğünden, paylaşılan veya ortak ağın altyapısı önemli değildir.

Siteden siteye VPN

Siteden siteye VPN bağlantısı (yönlendiriciden yönlendiriciye VPN bağlantıları olarak da bilinir), kuruluşun farklı ofisler arasında veya diğer kuruluşlarla ortak bir ağ üzerinden yönlendirilmiş bağlantılar kullanabilmelerini sağlarken, iletişim güvenliğinin sağlanmasına da yardımcı olur. Aşağıdaki şekilde de gösterildiği gibi ağlar Internet üzerinden bağlandığında, VPN etkin bir yönlendirici, paketleri VPN bağlantısı üzerinde başka bir VPN etkin yönlendiriciye iletir. Yönlendiriciler açısından VPN bağlantıları, veri bağlantısı katmanı bağlantısı mantıksal olarak atanmış görüntülenir.

Siteden siteye VPN bağlantısı özel ağları birbirine bağlar. VPN sunucusu, bağlı bulunduğu ağa yönlendirilmiş bağlantı sağlar. Yanıtlayan yönlendirici arayan yönlendiricinin kimliğini doğrular ve karşılıklı kimlik doğrulama amacıyla, arayan yönlendirici de yanıtlayan yönlendiricinin kimliğini doğrular. Siteden siteye VPN bağlantısında, VPN bağlantısı üzerindeki iki yönlendiriciden birinden gönderilen paketlerin başlangıç noktaları tipik olarak yönlendiriciler değildir.

İki uzak siteyi Internet üzerinden bağlayan VPN

Internet Üzerinden Uzak Siteleri Bağlayan VPN

VPN bağlantılarının özellikleri

  • Kapsülleme. Özel veriler, geçiş ağını çapraz geçmelerine izin verecek yönlendirme bilgilerini içeren bir üstbilgiyle kapsüllenir. Kapsülleme örnekleri için bkz. VPN Tünel Protokolleri (sayfa İngilizce olabilir) (https://go.microsoft.com/fwlink/?linkid=140602).

  • Kimlik doğrulaması. VPN bağlantılarında kimlik doğrulama üç farklı biçimde yapılır:

    1. Noktadan Noktaya Protokolü (PPP) kimlik doğrulama kullanılarak kullanıcı düzeyinde kimlik doğrulama. VPN bağlantısı oluşturmak için, VPN sunucusu bağlanmayı deneyen VPN istemcisinin kimliğini, PPP kullanıcı düzeyinde kimlik doğrulama yöntemi kullanarak doğrular ve VPN istemcisinin uygun yetkilendirmeye sahip olduğunu onaylar. Karşılıklı kimlik doğrulama kullanılırsa, VPN istemcisi de VPN sunucusunun kimliğini doğrular; bu şekilde kendilerini VPN sunucuları gibi tanıtan bilgisayarlara karşı koruma sağlanır.

    2. Internet Anahtar Değişimi (IKE) kullanarak bilgisayar düzeyinde kimlik doğrulama. Internet Protokolü güvenliği (IPsec) güvenlik ilişkisi (SA) oluşturmak üzere VPN istemcisi ve VPN sunucusu, bilgisayar sertifikaları veya önceden paylaşılan bir anahtar değişimi için IKE protokolünü kullanır. Her iki durumda da VPN istemcisi ve sunucusu, birbirlerinin kimliklerini bilgisayar düzeyinde doğrular. Bilgisayar sertifikası kimlik doğrulaması çok daha güçlü bir kimlik doğrulama yöntemi olduğundan daha fazla önerilir. Bilgisayar düzeyinde kimlik doğrulaması Katman İki Tünel Protokolü (L2TP)/IPsec veya IKE sürüm 2 bağlantıları tarafından kullanılır.

    3. Veri kaynağı için kimlik doğrulama ve veri bütünlüğü. VPN bağlantısı üzerinden gönderilen verinin, bağlantının diğer ucundan gönderilmiş olduğunu ve aktarım sırasında değiştirilmediğini onaylamak için, veride yalnızca gönderenin ve alanın bildiği bir şifreleme anahtarına dayalı şifreleme sağlama toplamı bulunur. Veri kaynağı için kimlik doğrulama ve veri bütünlüğü L2TP/IPsec ve IKE sürüm 2 bağlantılarında kullanılabilir.

  • Veri şifreleme. Veriler, paylaşılan veya ortak geçiş ağından çapraz geçerken gizliliğinin sağlanması amacıyla gönderen tarafından şifrelenir ve şifreleri alan tarafından çözülür. Şifreleme ve şifre çözme işlemleri gönderenin ve alanın ortak kullandığı bir şifreleme anahtarına bağlıdır.

    VPN bağlantısı üzerinden geçiş ağında gönderilen paketler ele geçirildiğinde, ortak şifreleme anahtarı olmadan hiç kimse için bir anlam ifade etmezler. Şifreleme anahtarının uzunluğu çok önemli bir güvenlik parametresidir. Şifreleme anahtarını belirlemek için hesaba dayalı teknikler kullanabilirsiniz. Ancak, bu tür teknikler için şifreleme anahtarları büyüdükçe daha fazla bilgi işlem gücü ve hesaplama süresi gerekir. Bu nedenle, veri gizliliğini sağlamak için mümkün olan en büyük anahtar boyutunu kullanmak önemlidir.

Ek başvurular


İçindekiler