Virtual Private Network

Vikipedi, özgür ansiklopedi
Atla: kullan, ara

VPN, Virtual Private Network'ün VPN, Virtual Private Network, yani Sanal Özel Ağ‘ın kısaltılmasıdır. VPN sayesinde ağlara uzaktan erişim sağlanır. VPN sanal bir ağ uzantısı oluşturduğu için ağa fiziksel olarak bağlıymış gibi görünür. Kısacası Virtual Private Network (VPN), İnternet üzerinden başka bir ağa bağlanmayı sağlayan bağlantı çeşididir. VPN istemcisi, TCP/IP (tünel protokolleri) tabanlı sanal bir bağlantı noktasına sanal bir arama gerçekleştirir. VPN istemcisi, İnternet üzerinden bağlantı kurmak istediği kaynakla sanal bir noktadan noktaya bağlantı kurar, kaynak ya da uzaktan erişime geçmek istediği sunucu kimlik bilgilerini kontrol eder ve doğruladıktan sonra VPN istemcisiyle uzaktan erişime geçtiği sunucuyla veri akışı gerçekleşir. Veriler, akı sırasında noktadan noktaya bağlantı gibi üst bilgi kullanılarak kapsüllenir. Üst bilgi verilerin bitiş noktasına erişimleri için paylaşılan veya ortak ağ üzerinden yönlendirme bilgileri sağlar. Özel ağ bağlantısını taklit etmek için transfer edilen veriler şifrelenir. Bu sayede ortak ağ üzerinden başka kimse tarafından ele geçirilen veriler elde edilemez.

İki çeşit VPN bağlantısı vardır. İlki uzaktan erişim VPN, diğeri ise siteden siteye VPN’dir.

Sanal Özel Ağlar (VPN)[değiştir | kaynağı değiştir]

  1. (Uzaktan Erişim VPN:): Uzaktan erişim VPN bağlantıları, evinde çalışan ya da seyahat esnasında ofisinde olamayan kullanıcıların İnternet üzerinden özel ağ üzerindeki sunucuya erişme imkânı sağlar. VPN, istemcisiyle uzaktan erişim sunucusu arasında noktadan noktaya bir bağlantıdır. Ayrıca veriler özel bir ağ üzerinden gönderiliyormuş gibi görünmektedir. Bu yüzden ortak ağın gerçek alt yapısı önemli değildir.
  2. (Siteden siteye VPN:): Siteden siteye VPN bağlantıları farklı ofisler arasında veya farklı kuruluşlar arasında ortak bir ağ üzerinden güvenli bir şekilde iletişimi sağlamaz. VPN bağlantısı WAN (Wide Area Network) bağlantısı gibi çalışır. WAN bağlantısı şehirler, ülkeler gibi uzun mesafeler arasında iletişimi sağlayan ağ çeşididir. Ağlar, İnternet üzerinden verileri bir yönlendirici ile başka bir yönlendiriciye iletir. Yönlendicilere göre VPN bağlantısı, veri bağlantısı olarak işlev görmektedir.

Siteden Siteye VPN bağlantısı özel bir ağın iki bölümünü birbirne bağlar. VPN sunucusu, bağlı olduğu ağa bağlantı sunarken, yanıtlayan diğer sunucu ya da yönlendirici (VPN sunucusu), yanıtlayan yönlendiricinin (VPN istemcisi) kimlik bilgilerini doğrular. Karşılıklı doğrulama sağlanır. Ayrıca siteden siteye VPN bağlantısı üzerindeki iki sunucuda gönderdikleri veri transferlerinin başlangıç noktaları tipik olarak yönlendiriciler veya sunucular değillerdir.

VPN Bağlantılarının Özellikleri[değiştir | kaynağı değiştir]

PPTP, L2TP/Ipsec ve SSTP kullanan VPN bağlantılarının özellikleri kapsülleme, kimlik doğrulama ve son olarak ise veri şifrelemedir.

  1. Kapsülleme: VPN ağında veriler bir üstbilgi ile kapsüllenirler. Bu üstbilgi, verileri geçiş ağı sırasında çapraz geçmelerine izin verecek bilgileri içerir. Kapsülleme işlemini anlamak için VPN tünel protokolleri anlaşılmalıdır.
  2. Kimlik doğrulama: Ağa erişmeye çalışan kişinin buna yetkili olup olmadığı, dışarıdan müdahele edilemeyecek şekilde, yani şifreli olarak HTTPS protokolü ile yapılır ve izini olanlar ağa alınır.
  3. Veri şifreleme: Veriler de dışarıdan ağdan geçen bilgileri dinleyenlerin çözümleyemeyeceği biçimde şifrelenerek dışarıdakiler için anlaşılmaz hâle getirilir.

VPN tünel protokolleri[değiştir | kaynağı değiştir]

İlk olarak tünel oluşturma, bir protokol türündeki paketin başka bir protokol türünde kapsüllenmesini sağlar. Örnek olarak VPN, IP paketlerini ortak bir ağ üzerinden kapsüllemek için PPTP protokolünü kullanır. Noktadan Noktaya Tünel Protokolü (PPTP), Katman İki Tünel Protokolü (L2TP) veya Güvenli Yuva Tünel Protokolü (SSTP) gibi protokoller, bir VPN çözümüdür. PPTP, L2TP ve SSTP protokolleri, Noktadan Noktaya Protokolü (PPP) için belirlenen özellilkleri esas alır. PPP, çevirmeli veya noktadan noktaya bağlantılar üzerinden veri transferi yapmak için yapılmıştır. IP kullanımı için PPP, IP paketlerini PPP içinde kapsüller. Kapsüllenen PPP IP paketleri noktadan noktaya bağlantılar üzerinden aktarır. PPP, çevirmeli istemci ve ağ erişimi sunucusu arasında kullanılan protokoldür.

PPTP[değiştir | kaynağı değiştir]

PPTP, birden çok protokolün şifrelenmesi ve IP ağı veya ortak IP üzerinden gönderilen verilerin IP üstbilgisi ile kapsüllenme işleminin yapılmasını sağlamaktadır. PPTP, uzaktan erişim veya siteden siteye VPN bağlantıları için kullanılmaktadır. PPTP, etkin bir VPN sunucusudur. Çünkü ortak ağ üzerinden olan İnternet ve intranet arasında bulunan etkin bir sunucudur.

PPTP, ağ üzeri aktarım yaptığında PPP çerçevelerini IP datagramları içinde kapsüller. PPTP, tünel yönetimi için Genel Yönlendirme Kapsüllemesi‘nin (GRE) değiştirlmiş bir sürümünü kullanır. Ayrıca kapsüllenen PPP çerçeveleri şifrelenebilir veya sıkıştırılabilir.

PPP çerçevesi, MS-CHAPv2 veya EAP-TLS gibi şifreleme anahtarlarıyla Microsoft Noktadan Noktaya Şifreleme (MPPE) ile şifrelenir. PPP çerçeve yüklerinin şifrelenebilmesi için MS-CHAPv2 veya EAP-TLS gibi kimlik doğrulama protokollerinin kullanılması gerekmektedir. PPTP, önceden şifrelenen ve PPP şifrelenmesinin kapsüllenmesinden faydalanılır.

L2TP[değiştir | kaynağı değiştir]

L2TP, birden çok protokol trafiğinin şifrelenmesi ve sonrada IP gibi noktadan noktaya veri transferi teslimini destekleyen herhangi bir medya üzerinden iletilmesini sağlar. L2TP, Cisco Sytems Inc. tarafından geliştirilmiştir. Ayrıca PPTP ve Katman İki İletme (L2F) protokollerinin birleşiminden oluşmaktadır. L2TP, PPTP ve L2F’nin en donanımlı özelliklerine sahiptir.

Microsoft’un L2TP uygulaması PPTP gibi davranmaz. PPP, veri iletiminin (datagramların) şifrelenmesinde MPE’yi kullanmaz. L2TP, şifreleme esnasında Aktarım Modunda İnternet Prtokolü (Ipsec) güvenliğini kullanır. L2TP ve IPsec’in birleşimine L2TP/Ipsec denilmektedir. Ek olarak L2TP, TCP/IP protokolüyle birlikte yüklenir.

L2TP/IPsec paketlerinin kapsüllenmesi iki katmandan oluşmaktadır. Birinci katman, PPP çerçevesi L2TP ve UDP üstbilgisiyle sarılmaktadır. İkinci katman ise Ipsec güvenlik yükü dediğimiz (ESP) üstbilgi ve altbilgi olmak üzere iletiyi ve kimlik doğrulamayı destekleyen Ipsec kimlik doğrulama altbilgisi ve IP üstbilgisiyle sarılır. IP üstbilgisinde VPN sunucusuna karşılık gelen IP adresi yer almaktadır.

SSTP[değiştir | kaynağı değiştir]

SSTP (Güvenli Yuva Tüneli Protokolü), TCP bağlantısı üzerinden (443 numaralı) HTTPS protokolünü kullanan yeni bir tünel protokolüdür. Bu protokol, trafiğin güvenlik alanından PPTP ve L2TPsec trafiğini engelleyen We proxylerden geçimesine yardımcı olmaktadır. Ayrıca SSTP ve PPP trafiğini HTTP protokolünün SSL (Güvenli Yuva Protokolü) üzerinde kapsülleme işlemi yapmak için bir işleyiş sağlar. PPP’de aynı EAP-TLS gibi kimlik doğrulama metodlarını sağlar. SSL ise gelişmiş anahtar antlaşması, şifreleme ve bütünlük denetimi kullanarak transfer ânında güvenliği sağlar. Eğer istemci SSTP tabanlı VPN bağlantısı oluşturmak isterse ilk başta SSTP, SSTP sunucusunda çift yönlü bir HTTPS katmanı oluşturur. Paketler de HTTPS katmanı üzerinden veri yükü olarak ilerler. Kapsülleme işleminde SSTP, PPP çerçevelerini IP datagramları içinde kapsüller. Ayrıca SSTP ve PPP veri çerçevelerinin aksine tünel yönetimi için TCP bağlantısı (443 numaralı bağlantı noktası) kullanır. Şifrelemede ise HTTPS protokolü, SSL ile SSTP iletisini şifreler.

Tünel protokolleri arasında seçim yapma[değiştir | kaynağı değiştir]

PPTP, L2TP/Ipsec ve SSTP ile VPN çözümlerinde dikkat edilmesi gereken hususlar:

  • PPTP, Microsoft işletim sistemleriyle birlikte (Microsoft 2000, WindowsXP, Windows Vista vb.) ve aynı zamanda farklı Microsoft istemcileriyle kullanılabilir. PPTP, L2TP/Ipsec gibi ortak anahtar altyapısı (PKI) kullanımını gerektirmez. Bunun üzerine PPTP, veri akışındaki güvenliği sağlar, yani veri bir başkasının eline geçtiğinde şifreleme anahtarı olmadan ulaşılamaz. Fakat veriler, PPTP tabanlı VPN bağlantılarının akış sırasıda verilerin değişimi konusunda ve kimlik doğrulama, yani veriyi gönderen kişinin yetkili kullanıcı olup olmadığı konularında kanıt sağlayamaz.
  • L2TP/Ipsec, sadece Microsoft 2000, Windows XP ve Windows Vista ve üstü çalıştıran bilgisayarlarla kullanılabilir. L2TP/Ipsec, kimlik doğrulama yöntemi için önceden paylaşılan anahtarları veya bilgisayar sertifikalarını sağlar. Kimlik doğrulama kısımında bilgisayar sertifikalarını sağlamak için PKI’ya başvurur. L2TP/Ipsec, VPN bağlantıları kimlik doğrulama, veri gizliliği ve veri bütünlüğü için IPsec'i kullanır.
  • SSTP, Windows Vista Service Pack 1 (SP1) veya Windows Server 2008 ve üstü işletim sistemleriyle çalışan bilgisayarlarda kullanılır. SSTP VPN bağlantılarında SSL kullanılarak veri gizliliği, kimlik doğrulaması ve veri bütünlüğü sağlanır.

Ayrıca, bu üç tünel türünde de kimlik doğrulama, İnternet Protokolü sürüm 4 (Ipv4) ve İnternet Protokolü 6 (Ipv6) antlaşması ve ağ erişim koruması (NAP) gibi PPP özellikleri, bu üç tünelde de değişmez bir kıstastır.

Sanal Özel Ağ (VPN)[değiştir | kaynağı değiştir]

VPN, İnternet gibi halka açık telekominikasyon altyapılarını kullanarak kullanıcılar veya uzak ofisleri organizasyonun yerel bilgisayar ağına güvenli bir şekilde eriştirmeyi sağlamak için geliştirilmiş sanal bilgisayar ağ yapısıdır. Yapı, genel olarak uzak ofisler için noktadan noktaya hatlar (lease line gibi) yerine standart bağlantılar üzerinden daha az maliyetle aynı hizmeti sağlar. Tekil kullanıcılar için ise uzaktan (herhangi bir yerden) sanki fiziksel olarak ofis içerisindeymiş gibi çalışma imkânını verir.

Kapsülleme[değiştir | kaynağı değiştir]

Virtual Privat Network, aynı özel ağda bulunmayan bir veya birden fazla ağ cihazı arasından güvenli bir şifreleme metodu kullanarak kapsüllenmiş veri akışı yapar. Güvenli şifreleme metodunun amacı, verilerin özel ya da kamusal alandaki diğer ağ cihazlarından gizlenmesidir.

VPN’nin asıl amacı kullanıc İnternet akışısını başka bir ağa aktararak kullanıcı kimliğini gizlemektedir. Bu sayede kullanıcıların kimlikleri bilinmeksizin İnternet'te gezinmeleri sağlanmaktadır. Birçok işletim sistemi VPN’e bağlanma desteği vermektedirler.

Firmalar tarafından yaygın olarak tercih edilen VPN, yöneticilerin, uzak ofislerin, bayi, acenta satış temsilcilerinin güvenli bir şekilde özel ağlara bağlanmalarını sağlar. Örnek olarak bilgisayarı veya akıllı telefonları (iPhone, Android bazlı telefonlar vb.) bir VPN’e bağladığında bilgisayar, bağladıkları VPN’in herhangi bir bilgisayarı gibi davranır. Tüm ağ trafiği güvenli bir bağlantı üzerinden VPN’e iletilir. Çünkü bilgisayarla VPN’in bağlandığı tüm kaynaklara erişebilmeyi sağlanmıştır. Örneğin bir Web sitesine bağlanmak gerektiğinde bilgisayarın ilk olarak güvenli bir şekilde VPN’e bağlanması yapılır. Ardından VPN kaynaklarını kullanarak ulaşmak istenen Web sitesine güvenli bir şekilde bağlanmaya yardımcı olur. Mesela Almanya’daki VPN ile İnternet'e bağlanmak denendiğine IP adresi dâhil tüm bağlantı özellikleri Almanya’daki ağla entegre olur.

Kimlik Doğrulama[değiştir | kaynağı değiştir]

Üç farklı kimlik doğrulama metodu mevcuttur. İlk olarak kullanıcı düzeyinde PPP kimlik doğrulamasında VPN bağlantısında bağlanan VPN sunucusu, VPN istemcisinin kimliğini Noktadan Noktaya (PPP) kullanıcı düzeyinde kimlik doğrulama metodlarıyla doğrular. Sonra VPN istemcisinin yetkili kişi olmasını onaylar. Eğer, karşılıklı kimlik sorgusu yapılırsa VPN istemcisi de VPN sunucusunun kimliğini doğrular. Bu sayede bilgisayarlara karşı da bir koruma sağlanmış olur. İkinci olarak İnternet anahtar değişimi (IKE) ile bilgisayar düzeyinde kimlik sorgulama işlemi, VPN istemcisi ve VPN sunucusu İnternet Protokolü güvenliği (IPsec) ile güvenlik oluşturmak üzere bilgisayar sertifikası veya önceden paylaşılan bir anahtar değişimi için IKE protokolünden yararlanırlar. Bu iki durumda da VPN istemcisi ve VPN sunucusu, karşılıklı olarak bilgisayar düzeyinde kimliklerini doğrular. Bilgisayar düzeyinde kimlik doğrulama, kullanıcı düzeyinde kimlik doğrulamaya oranla daha güvenlidir. Bu yüzden bilgisayar düzeyinde kimlik doğrulama daha çok önerilir. Bilgisayar düzeyinde kimlik doğrulama, sadece L2TP/IPsec bağlantıları için kullanılır. Üçüncü olarak veri kaynağı için kimlik doğrulama ve veri bütünlüğü yer almaktadır. VPN bağlantısında veri gönderimi sırasında gönderilen verilerin bağlantının diğer ucundan gönderildiğini ve verilerin gönderim aşaması sırasında değişmediğini sağlamak için veride yalnızca gönderenin ve o alanın bildiği bir şifreleme anahtarına uygun bir şifreleme toplamı vardır. Veri kaynağı için kimlik doğrulama ve veri bütünlüğü, sadece L2TP/IPsec bağlantılarında kullanılır.

Veri şifreleme[değiştir | kaynağı değiştir]

Veriler, paylaşılan veya ortak geçiş ağından çapraz geçer ve gizliliğin sağlanması için gönderici tarafından şifrelenir. Daha sonra bu şifreler, alan tarafından çözümlenir. Şifreleme ve alan tarafından şifre çözme işlemi, gönderecinin ve alanın kullandığı şifreleme anahtarına bağlıdır.

VPN bağlantısı üzerinden veri transferi yapıldığında şifreleme anahtarı olduğu için bilgiler ele geçirilse bile dışarıdaki için bir anlam ifade etmez. Ayrıca şifreleme anahtarının uzunluğu da güvenlik anlamında önemli bir faktördür. Çünkü şifreleme anahtarını belirlemek adına hesaplama işlemleri yapıldığında bu tür metodlar, şifreleme anahtarı büyüdüğünde daha uzun hesaplama zamanı alır. Bu yüzden güvenliği sağlamak adına, yani veriyi mümkün olduğu kadar gizli tutmak amacıyla şifreleme anahtarını mümkün olan en büyük boyutta seçmek veya kullanmak önemli bir faktördür.

VPN için Ağ Erişimi Koruması Zorlaması (NAP)[değiştir | kaynağı değiştir]

Network Access Protection (NAP), Türkçeye Ağ Erişimi Koruması olarak çevirilmiştir. NAP, Windows Vista ve Windows Server 2008 tarafından teknoloji dünyasına sunulan yeni bir ağ erişim koruması sistemidir. NAP, kullanıcının ağına bağlanan bilgisayarlar için gerekli olan bütün yazılım ve sistem durumlarını tanımlayan sistem durumunun tüm gereksinimleri oluşturmasını ve kullanılmasını mecbur tutmayı sağlayan istemci ve sunucu bileşenlerini içermektedir.

Network Access Protection (NAP), istemci bilgisayarın durumunu araştırıp değerlendirir, sistem durumunun bütün gereksinimlerini tayin eder, gereksiz olarak nitelendirdiği ve düşünülen istemci bir bilgisayar bağlandığında ağ erişimi durumunu kısıtlar ve uygun ve uyumlu olan istemci bilgisayarların ağa sorunsuz ve sınırsız bağlanmaları için gerekli bütün düzeltmeleri yapar. NAP, kullanıcının ağına bağlanmaya çalışan istemci bilgisayarda sistem durumunun tüm gereksinimlerini kısıtlar. Network Access Protection, ayrıca sorunsuz ve uygun bir istemci bilgisayar ağa bağlandığında sistem durumu zorlamasını çalıştırmaya ve etkinleştirmeye devam etmek isteyerek kısıtlar.

NAP zorlaması, istemci bilgisayar ve Yönlendirme ve Uzaktan Erişim hizmetini çalıştıran Virtual Private Network sunucusuna benzer bir ağ erişimi kullanıcısı üzerinden ağa ulaşmarak veya diğer tüm ağ kaynakları ile iletişim kurmayı aşamasını tamamlayarak çalışmaya başlamış olacaktır.

Virtual Private Network için Network Access Protection kısıtlaması, bir VPN zorlama sunucusu bileşeni ve VPN zorlama istemcisi bileşeni ile beraber kullanılır. VPN için NAP zorlamasını kullanan tüm VPN kullanıcıları, istemci bilgisayarlar ve VPN bağlantısı üzerinden ağa bağlanmak istediğinde sistem durumu ilkesini zorlayabilirler. Bu VPN zorlaması, kendi ağına bir VPN bağlantısı üzerinden ulaşan tüm kullanıcı bilgisayarlar için etkin ve uygun bir kısıtlı ağ erişimi sağlamaktadır. Ayrıca VPN kısıtlaması, Windows Server 2003′ün ve Internet Security and Acceleration (ISA) Server 2004′ün kendilerine ait olan Ağ Erişimi Karantina Denetimi’nden birçok farklılıkları bulunmaktadır.

Virtual Private Network kullanarak Network Access Protection} dağıtımı yapmak için şunları yapılandırmak gerekmektedir:

  • Kullanıcıların kendi sistemlerinde bulunan Yönlendirme ve Uzaktan Erişim sunucusunu bir Virtual Private Network sunucusuna ait olarak yüklemeli ve yapılandırılmalıdır.
  • Network Policy Server (NPS) içinde VPN sunucusunu radius istemcisi olarak yapılandırılmalıdır. Bununla birlikte bağlantı isteği ilkesi ve ağ ilkesini NAP sisteminin bir parçası olarak tanımlandırılmalıdır.
  • Tüm bu ilkeleri ve Network Policy Server konsolunu kullanarak birebir şekilde yapılandırılabilir veya bunun yanında Yeni Ağ Erişimi Koruması sihirbazı kullanılarak da kullanıcılar, yapılandırma işlemini tamamlayabilirler. Network Access Protection kullanabilen bütün istemci bilgisayarlarda NAP VPN kısıtlaması istemcilerini ve NAP hizmet paketini etkinleştirmek zorundadırlar.
  • Bunun yanında kullanıcılar, bilgisayarlarında Windows Güvenliği Sistem Durumu Doğrulayıcısı’nı yapılandırmalı veya NAP dağıtımına bağlı olarak bir diğer sistem durumu arayıcısı olan (SHA) ve sistem durumu doğrulayıcılarını (SHV) yükleyip bunları yapılandırmalıdır.
  • Sistem içerisinde bulunan akıllı kartlar veya gerekli sertifikaların yanında kullanıcılar, PEAP-TLS ya da EAP-TLS kullanmakta ise Active Directory Sertifika Hizmetleri (AD CS) ile birlikte bir ortak anahtar altyapısı olan (PKI), sistemde dağıtılmalıdır. Eğer kullanıcılar PEAP-MS-CHAP v2 kullanmakta iseler sunucu sertifikasını (AD CS) ile birlikte veya güvenilir bir kök sertifika yetkilisi (CA) satın almaları gerekmektedir.

Eğer kullanıcı bilgisayarlarında Virtual Private Network sunucu olarak yapılandırılan Yönlendirme ve Uzaktan Erişim hizmeti yerel bilgisayarlarında yüklü değil ise, kullanıcılar ilave adımlar kullanarak yapılandırmalıdırlar. Bu yapılandırmalar, VPN sunucusu olarak sistemde yapılandırılmış olarak bulunan Yönlendirme ve Uzaktan Erişim Hizmeti çalıştıran bilgisayarlarda Ağ İlkesi Sunucusu’nu (NPS) yüklemelidir.

Bunun yanı sıra bağlantı isteklerini yerel NPS sunucusuna göndermek üzere ve uzak Yönlendirme ve Uzaktan Erişim (NPS) sunucusunda bulunan NPS’yi radius proxy olarak yapılandırabilirler.

VPN ile güvenli dolaşım ve kısıtlar[değiştir | kaynağı değiştir]

Türkçeye Sanal Özel Ağ olarak çevrilen Virtual Privat Networklar, tünelleme protokolü üzerinden transferler gerçekleştiren her veri durumunu şifreler ve oldukça güvenlidirler. VPN ile veri transferleri durumunda transferleri gerçekleştirilecek veri paketleri güvenli olmayan ve herkes tarafından kullanılıp ayrıca görülebilen çalışma ağlarından transfer edilmeden hemen önce şifrelemektedir. Ayrıca bu durumda transferlerin gerçekleştiği ağlar da şifrelenmektedir. Çok düşük bir olasılıkla veri transferi sağlanan paketlerin üçüncü kişilerce ele geçirildiğinde sistem tarafından önceden şifrelendiği için verilerin görüntülenmesi, paylaşılması veya kullanılması mümkün olmamaktadır. Ayrıca Virtual Privat Network, oluşturduğu bu yüksek güvenlik duvarının yanında özel ağlara göre (özel ağ satın almak yerine kiralama imkânı sunduğu için) çok düşük maliyette olan VPN ağları, özel çalışma ağına ihtiyacı olan tüm kurumsal şirket ve kuruluşların öncelikli tercihi olmuştur.

Virtual Privat Network, tüm Web siteler üzerindeki engeli kaldırır. VPN ile yönetici, iş verenin veya ülke içinde hükümet tarafından bloke edilmiş olan herhangi bir Web sitesine ulaşabilir ve o engeleri kaldırabilir. Fakat VPN’ler ülkemizde son yıllarda İnternet sitelerine uygulanan erişime kapatılma kararları ile gündeme gelmiştir. Virtual Privat Network ile İnternet'te kişisel bilgilerin saklanabilmesi, ayrıca kullanıcıların casus yazılımlardan ve bilgisayar korsanlarından korumasına da yardımcı olur.

Virtual Privat Network, özellikle günümüzde çok sık kullanılan İnternet erişimi sağlayan bilgisayar, tabletler, oyun konsolları ve akıllı telefon gibi cihazlar üzerinde güvenli bir şekilde dolaşmayı sağlar. Bu cihazlara örnek olarak Windows PC, Mac PC, Linux PC, iPad, iPhone, Android tablet, Android telefonlar, Play station 3, Wii gibi birçok cihazla birlikte çalışır.

Ayrıca VPN ile kısıltlı ve kilitli olan Dünya kanalları izlinebilir. Mesela ABD merkezli yayınlar, Alman kanalları ve Netflix, Hulu, CWTV, Pandora, Fox ve daha birçok kanalların hizmetinden VPN sistemi sayesinde faydalanılabilir.

VPN ağları kullanım durumlarına göre Access VPN, yani İntranet tabanlı VPN ve extranet (İnternet) tabanlı VPN olmak üzre üç grupta incelenir.

  1. Access VPN, gerçek kişiler tarafından kişisel kullanım amacıyla oluşturulup tercih edilir. İntranet ve extranet tabanlı VPN ağları tüzel kişiler (şirketler, üniversiteler gibi kurum ve kuruluşlar) tarafından tercih edilmektedir.

Routing and Remote Access Service (RRAS)[değiştir | kaynağı değiştir]

Routing and Remote Access Service (RRAS), Windows Server 2003, Windows Server 2008, Windows Server 2012 ile uzaktan erişim durumuyla Windows sunucuları üzerinden VPN oluşturabilir. İlk olarak sistemdeki RRAS servisi çalıştırılmalıdır. Kurulu gelen Windows paketlerinde bu sistem kapalı olarak kullanıcılara verilir. Bu sebepten dolayı yönetimsel araçlar bölümünün hemen altında “yönlendirme ve uzaktan erişim” konumuna girip uzaktan erişim kısmını açmak gerekebilir. Bu uzakta bulunan kullanıcıların o sunucu üzerinden VPN ağları ile İnternet yoluyla bağlanmaları amaçladığı için ortaya çıkan ilk durum kabul edilmelidir. Çünkü VPN bağlantısını kullanıcılar onaylayıp girmek isterlerse tekrardan ilk durum kabul edilmelidir. Bunun için en az iki adet NIC (Network Interface Card) arayüze (interface) ihtiyaç vardır. Arayüzlerden birini dış ağ kullanıp kullanıcı ile iletişime geçerken bir diğeri ise kullanıcın iç ağ ile birebir iletişimde olmasını sağlamaktadır. Kullanıcılara gerekli olan PPTP, VPN sistemine başladıktan sonra bağlantı oluşturacak hesap için izinlerin ve yetkilerin tamamen verilmiş olması gerekmektedir. Bu izinler ve yetkilendirmeleri kullanıcıların kullanması içi sistemin kullanıcı hesaplarından kullanıcı özelliklerine girerek “Dial-in” kısmının altında bulunan “Allow Access” ("erişime izin ver") opsyon sekmesinin seçili bir durumda olması gerekmektedir. Aslında bu yetkilendirme ve izinler kullanıcının sisteminde bulunmayan bir alıtta (domain) ve bir sunucu üzerinden yapılmaktadır. RRAS kurulumunda yapılması plânlanan ve olağan durumlar için bâzı gereksinimler üzerinden sunucu, kendi alıtının içinde ve gayet tabii olmayabilir. Bu durum, kullanıcıların kendi ihtiyaçlarına göre oluşan bir durumdur. Bu genel izin ve yetkilendirme ayarlarından sonra “RRAS” konsolunu açmak gerekmektedir. Kullanıcılar, PPTP VPN tanımlaması oluşturmak için de “Configure and Enable Routing and Remote Access” kısmına girmelidirler. Kullanıcılar PPTP VPN yapılandırması yapacağından dolayı sistem tarafından otomatik olarak seçili olan ilk durumu olan “Next” ile ilerlemelidirler. Kurulumun ilk aşamasında birçok ağ kurulum sistemi gösterilecektir. Fakat dikkatli bakılığında "a secure virtual private network (VPN) Internet connection" kısmı görülür ve sisteme ilk adım buradan atılabilir. Kullanıcılar VPN'i seçtikten sonra ekranlaa arayüzlerin bir listesi gelir. Bunun için dış ağlardan gelen bağlantıları tanımlamak için “External” adlı Ethernet kartı seçilerek “Next” ile bir sonraki duruma geçilir. Burada oluşturulan IP numaraları tamamen sistem tarafından yapılabilir. Ayrıca kullanıcılarda manuel olarak elle giriş yapılabilir. Eğer sistemimizde DHCP oluşturulmuş ise VPN ile kullanıcın dışarıdan bağlantı kuracağı bilgisayarlara otomatik bir şekilde IP verilebilir. Fakat bâzı kullanıcıların sisteminde DHCP olmadığından böyle durumlarda dışarıdan bağlantılara manuel olarak IP ataması yapılmalı ve bunun için ekranda ki ”From a specified range of addresses” kısmını seçilerek “Next” ile bir sonraki duruma ilerlemelidir. "Address Range Assignment" kısmı, bağlantı yapılmak istenilen bilgisayara verilecek olan IP aralığını belirlemek için oluşturulmuştur ve bunu gerçekleştirmek için “New” kısmı seçmilmelidir. Bu kısımda belirlenen IP aralığı, ağın iç bacağında olmalıdır. Çünkü kullanıcı tarafından dış bacağa gelen istekler, zaten iç bacağa iletilerek nâdir bir şekilde iletişim sağlanmaktadır ve dışarıdan bağlantı yapan bilgisayarlarda iç ağda çalışma gibi hareket etmektedir. Bu kısımda "Start IP Address" ve "End IP Address" aralığının yanında "Number of address" aralığı bulunur. "Number of address", gerekli olan aralıktır ve IP adresinin gerekli olarak nasıl dağıtılacağını belirtir. Start IP Address, End IP Address ve Number of address bölümlerine IP numaralarını yazdıktan sonra IP numaralarını alarak IP sistemine bağlantıyı kurmuş olacaktır. "Address Range Assignment" bölümünün son kısmında kullanıcılara oluşturulacak bağlantı esnasında herhangi bir "Authencation" yapılıp yapılmayacağı sorulur. Bir diğer seçenekte ise "Radius" kısmı bulunmaktadır. Kullanıcılar bu kısmı seçmeleri durumunda Radius üzerinden oluşturulacak bir kimlik doğrulama işlemine girmiş olacaklardır. Fakat sistemin daha hızlı ve otomotik bir şekilde ilerlemesi için kullanıcılar "Authencation connection request" kısmını seçmeleri daha uygundur. Gerekli lisans koşullarını onayladıktan sonra "Finish" kısmı ile bu bölümü tamamlanır. Bu kısım ile gerekli olan PPTP VPN bağlantısını oluşturulup bu yapılandırma tamamlanmış olur. Fakat dışarıdan yapılması plânlanan bağlantılar için sunucu üzerinden ve ağ sisteminin içinde yer alan "Firewall" kısmından da gerekli kapılar (port) içih izinlerin açık olması gerekmektedir. PPTP VPN üzerinden herhangi bir özelleştirme yapılmamışsa genellikle sistemler, 1723 ve 47 numaralı kapıyı kullanmaktadırlar. Bu kısım ile birlikte loopback, dâhilî ve hâricî kısımları oluşturulur.

Gerekli yapılandırmalar yapıldıktan sonra bağlanı denenmesi, daha sonra problem yaşanmaması için tavsiye edilir. Bunun için bilgisayarlarda VPN tanımlaması yapılmalıdır. Bu test işlemini kullanıcılar, tüm Windows işletim sistemlerinde yapabilirler. Windows 7 işletim sistemin de “Network and Sharing Center” ekranına girdikten sonra çıkacak olan “Setup a new connection or network” kısmı seçilerek başlanır. Daha sonra oluşturulmak istenen VPN bağlantısının tanımlanmasını için “Connect to a workplace” kısmı seçilerek “Next” ile bir diğer adıma geçilir. Connect to a workplace kısmı, çalışmaya başladıktan sonra bu bilgisayardan yapılacağı için "Use my Internet connection VPN" ile "Setup an Internet connection” kısımlarını seçerek gerekli olan bağlantı bilgileri tanımlanmalıdır. Burada VPN ile kurulmak istenen sunucunun dış IP adresinin eklenerek giriş yapılması ve VPN bağlantısı etkin olarak kullanmak için tüm hesap bilgilerinin tanımlanması şarttır. Kullanıcılardan istenen User name, password ve seçenek olan bir alıttır (domain). Bu bilgiler girildikten sonra create kısmından oluşturmaya başlanabilir. Bu adımlarla birlikte VPN bağlantısı kurulmuş olur ve Windows bağlantılar kısmında bulunan diğer bağlantıların hemen yanında oluşturulur. RRAS ekranına bakıldığında “Remote Access clients” kısmından bağlantı sağlanan kullanıcının bilgisayarına ait bütün bilgiler görülebilmektedir. Tabii ki bunun yanında sunucunun iç bacağına sorunsuzca ping (bir bilgisayarın ağ içinde olup olmamasını tespit) durumunda olduğunu görülebilir.

VPN nedir?[değiştir | kaynağı değiştir]

İnternet bağlantısı açık iken VPN, tüm sitelere yüzde yüz erişme imkânı sağlar. Ekstra bir ayarlama veya başka bir İnternet tarayıcısıne ihtiyaç duymaz. Hiç kimse VPN trafiği sayesinde hangi sitelerde gezinildiğini göremez. Ayrıca bütün işler güvenle yapılır. Yani VPN, güvenliği ve gizliliği sağlar. VPN traffic’in esas amacı İnternet sansürünü çözümlemektir. Ayrıca bilgiler 128 bit ile şifrelenmektedir. Bu sayede her kullanıcıya ait özel kullanıcı adı ve şifre sağlanmaktadır. Önceden de belirtildiiği üzere bilgisayarda hiçbir değişiklik yapmaya gerek kalmaz.

VPN, Türkçe entegreli bir VPN projesidir. VPN, Mayıs 2011 îtibâriyle kullanıma açılmakla birlikte 40 farklı konumdan (location) 52 adet sunucusuya hizmet vermektedir. Ayrıca kullanıcı tercihine göre kotalı ve kotasız olmak üzere iki adet paket sunulmakta, bu iki pakette konum kısıtlaması yapılmamaktadır. En önemli noktalardan biri de İnternet hızını azaltmaz ve ekstra kota oluşturmaz. Sunulan 40 konum sayesinde istenen bir yerden başka bir yere çok kolay bir şekilde bağlanılabilir. Ek tuşla Amerika veya tek tuşla Singapur gibi… Ayrıca bu yazılım, 3G modemler, iPhone, Windows Mobile ve Nokia cep telefonlarıyla da desteklenmekte ve kullanılmaktadır. Ek olarak, istediğinde VPN bağlantısını keserek normal İnternet bağlantısı da kullanılabilir.

VPN, bütün yasakları kaldırır ve rahat bir şekilde Skype, VoIP, televizyon kanalları, Hulu, Netfix, BBC iPlayer gibi videoları izleyi sağlar. Ayrıca GizlenVPZ, PPTP ve L2TP/Ipsec protokollerini desteklemektedir.

Sanal Özel Ağların çalışma prensipleri[değiştir | kaynağı değiştir]

Sanal özel ağ (VPN), komşu ağlar arasında gizli bir bilgi akışını sağlamaya yönelik olarak kurulur. Veriler, İnternet üzerinden gitse de kullanılan güvenlik yazılımları sayesinde özel ve gizli verilere ulaşmak isteyen yabancı kişiler, elde ettikleri verileri anlayamayacaktır. VPN özelliği sağlanayan programlar Wippien, OpenVPN, Hamachi, Tomato, OpenWRT'dir.

VPN ne işe yarar?[değiştir | kaynağı değiştir]

VPN basit bir araç olmakla beraber birçok yaygın kullanım alanları vardır:

  • Seyahat esnasında işyerindeki bilgisayara erişmek: Virtual Private Network sayesinde seyahat esnasında ofisteki bilgisayarda bulunan kaynaklara güvenli bir şekilde ulaşılabilir. Ofisteki kaynaklar, İnternet'e açık olmayabilir. Bu durumda ilk önce ofisteki ağa bağlanmak gerekir.
  • Seyahat esnasında evdeki bilgisayara erişmek: Virtual Private Network, ev bilgisayarına bağlanmak için de kullanılabilir. Ev bilgisayarına “Uzak Masaüstü Bağlantısı” (Windows Remote Dekstop) ile bağlanmak yardımcı olacaktır. VPN sayesinde seyahat sırasında evdeki bilgisayardaki verilere güvenli bir şekilde erişilebilir.
  • Yapılan işlemler ISS (İnternet Servis Sağlayıcı) tarafından gizlenebilir: Eğer HTTP’si olmayan bir siteye Wifi üzerinden bağlanılıyorsa bu bağlantı üzerinden nereye ne zaman bağlanıldığı, bu ağı kullanan başka kişi tarafından izlenebilir. Eğer gizliliğe önem veriliyorsa VPN kullanmak tercih edilmelidir. Eğer VPN üzerinden bağlanılıyorsa, yerel ağ (local network) güvenli bir VPN ağını seçecektir. Bu sayede gizlilik korunmuş olacaktır.
  • Ülke kısıtlamasına sahip Web siteler: Bâzı Web siteleri ülke kısıtlaması getirerek sadece izin verilen ülkeler bu siteleri kullanabilir. Örnek olarak spotify adlı online müzik sitesi, sadece Amerika Birleşik Devletleri ve İngiltere gibi belirli ülkelerden kayıt alır ve ancak buralardan müzik dinlenebilir. VPN kullanarak bu siteler erişmek mümkündür.
  • İnternet filtresi: Bâzı ülkeler Türkiye, İran, Çin gibi bâzı Web siteleri erişimini engelleyebilir. VPN, bu İnternet filtresinden kurtulup engellenen Web sitelerine erişimi sağlaar.

En iyi VPN nasıl seçilir?[değiştir | kaynağı değiştir]

Satın almadan önce VPN’de dikkat etmek gereken hususlar vardır. Bu hususlardan en önemlisi kullanıcının VPN ile arasında sıkı bir bağ olması gerekir. En iyisi, bu bağları çok iyi bir şekilde kontrol edendir.

İlk olarak satın alma ve kurulumdan başlanarak VPN satıcılarının kullanıcılarına uygun ödeme avantajı sunmakla beraber satın alma sürecinı kısa sürdürürerek, tüketicileri endişe ettirmemelidir. Tüketicilerin ise önem vermeleri gereken şey, satın alma sürecinin güvenli bir şekilde sürmesi ve o hızla hesaplarının aktif hâle getirilip kullanıcıya hazır edilmesidir. Ayrıca VPN şirketlerinin tüketiciye zahmetsizce kurulum yapması gerekmektedir. VPN şirketleri hızlı ve güvenli sunucuda kendine ait kurulum dosyalarını tüketiciyle paylaşır. Ayrıca kurulan programın tüm işletim sistemleriyle uyumlu olması gerekmektedir.

İkinci olarak kullanım kolaylığına dikkat edilmelidir. VPN satın almadan önce mutlaka alakalı programları araştırmalı ve öğrenmelidir. Ek olarak birçok programlar İngilizce olduğundan eğer İngilizce bilnmiyorsa programın Türkçe kullanılıp kullanılmadığı mutlaka kontrol etmelidir. Ayrıca VPN programları kullanıcıya bâzı özellikler sunmalıdır. Bunlar sunucular arasında kolay geçiş, bağlantı hatalarına karşı koruma, otomatik IP değişimi, kullanıcıya ait en yakın sunucuyu bulma ve son olarak bilgisayarın başladığı zaman VPN'in otomatik olarak başlamasıdır.

Üçüncü olarak sunucu ağı erişilebilirlik ve hız yer almaktadır. VPN şirketlerinin VPN sunucuları iyi ise ağ da iyidir. Kullandıkları programlar çok iyi olsa da yanlış bir bölgeye kalitesiz sunucu koynmuşsa VPN’den hiçbir kalite beklenemez. Bu yüzden dikkat edilmesi gereken şeyler şunlardır:

  1. Sunucunun hız ve ping kontrolünden geçmiş olması,
  2. Sürekli erişebilir olması,
  3. Kullanıcı yükünü dengeleyen bir yapıya sahip olması ve son olarak
  4. Sunucunun kara listeye yazılmamış ve IP’lerinin kaliteli olması gerekmektedir.

Aksi takdirde IP kapanır ve erişim sona erer.

Dördüncü olarak ise satış desteği ve müşteri hizmetleri yer almaktadır. Burada dikkat edilmesi gereken beş ana unsur yer almaktadır: Bunlar talep desteği, canlı destek, 7/24 destek, bilgi tabanı ve sıkça sorulan sorulara dikkat edilmelidir. Eğer bir şirket bu beş ana unsuru şirketinde barındırıyorsu o şirket, VPN alanında o işi biliyor demektir. Unutulmamalıdır ki burada amaç, en kısa sürede bilgilere güvenle ulaşabilmek.

Beşinci olarak ise gizlilik politikası gelir. Güvenli bir şekilde VPN sunucusunun kullanıldığı düşünülebilir. Fakat bâzı VPN şirketleri, edinmiş olunun bilgileri kayıt ederek ileride soruşturma açıldığında gerekli kurumlara iletebilmektedir. Fakat bu bilgileri gizli tutan şirketlerde bulunmaktadır.

Son olarak para iadesi garantisi gelir. Eğer alınan VPN hizmeti sorun çıkararsa bâzı şirketler para iade garantisini yedi hafta olarak belirlerken bâzı şirketler, bu süreyi 30 güne kadar çıkarabilmektedir. Bu yüzden bir VPN hizmeti alacağınız zaman bunu da göz önünde bulundurmalıdır.

Kaynakça[değiştir | kaynağı değiştir]

VPN kullanımı için sunulan bazı internet siteleri[değiştir | kaynağı değiştir]