Günümüz ortamında büyük firmalar uzak bölgelere şubeler açma ihtiyacı duyabilirler. Böyle dağınık konumda bulunan firmalar Main Office ile Branch Office’leri arasında network bağlantıları kurma ihtiyacını düşük maliyetlerle karşılamak isterler. İşte bu ve buna benzer ihtiyaçları karşılamak üzere farklı teknolojiler üretilmiştir. Bunlardan iki tanesi makale konumuzu oluşturmaktadır.
VPN ve RAS VPN (Virtual Private Network) VPN şirket network kullanıcılarının internet bulutu aracılığı ile uzak yerlerden şirket networküne bağlanmalarını sağlayan herkese açık bir erişim yöntemidir. Bunun için şirket server’ı üzerinden çeşitli ayarlamalar yapmak gerekmektedir. RRAS olarak adlandırdığımız servis Windows Server 2003 cd’si üzerinden ilgili server’a kurulduğunda bu hizmet network kullancılarına sunulabilir. Yada Web arayüzlü bir konsol sayesinde kullanıcılar erişim yapabilecekleri diğer kullanıcı ve sunucuları görebilirler. Bir çok firewall bu hizmeti sağlamaktadır. VPN sayesinde kullanıcılar uzak yerlerden şirket networküne kendi kullanıcı adları ve şifreleri ile bağlanıp sanki şirket networkündeymiş gibi hareket edebilirler. Tabi böyle kritik bir uygulamanın güvenlik düzeyi de önem kazanmaktadır. Bilindiği gibi internet herkese açık bir ortamdır ve uzak kullanıcıların şirkete bağlanmaları esnasında bilgiler başka kişilere de geçebilir.
Vpn servisi bu açığı internet bulutu içerisinde uzak kullanıcı ile şirket networkü arasında güvenli bir tunel oluşturarak kapatmaktadır. Böylece veriler kapsüllenerek bu özel tunelden geçer ve şirket networküne ulaştırılır. Bu sayede kullanıcı şirket networküne bağlanırken güçlü Authentication yöntemleriyle (MS-CHAPv2,EAP,EAP-TLS) karşılaşır ve gönderilen veriler de şifrelenerek (encryption) tam bir güvenlik sağlanır.
Peki bu olay nasıl gerçekleşiyor?
Uzak bir yerden şirket networküne bağlanmak isteyen kullanıcı bilgisayarı, bağlantıda bulunduğu ISP( İnternet Servis Sağlayıcı) ‘yi arar. ISP’de bilgisayar ile şirket network’ü arasında direk iletişimi sağlayacak sanal bir ağ oluşturur. Ve bu sayede kullanıcı şirket networküne güvenli bir giriş yapmış olur. Bu tunel iki farklı güvenlik protokolünü kapsar
• PPTP (Point to Point Tunneling Protocol)
• L2TP (Layer Two Tunneling Protocol) Her ikisi de istemci bilgisayar ile sunucu bilgisayar arasında şifrelenmiş veri iletimini sağlayan ve bu veriler için özel tuneller oluşturan protokollerdir.
Aralarındaki fark ise L2TP’nin IPSec adı verilen makine tabanlı şifreleme teknolojisini kullanmasıdır. L2TP tunelin güvenlik ayarlarını dikkate alarak otomatik olarak IPSec ile ikincil bir güvenlik daha sağlar. PPTP ‘de aynı şekilde iki bağlantı arasında güvenli bir tunel oluşturarak point to point (uçtan uca) bir bağlantı sağlar. Fakat L2TP’den farklı olarak IPsec güvenlik protokolünü kullanmaz. Sadece tunelden gönderdiği verileri şifreler.
PPTP Microsoft tarafından geliştirilmiş TCP/IP kullanan bir protokoldür. Buna karşı Cisco ise L2F’i geliştirmiştir.Bu da PPTP’nin aksine TCP\IP’yi değil UDP’yi kullanan bir protokoldür. L2TP Microsoft ve Cisco’nun ortaklaşa oluşturduğu IP,IPX ve bunun gibi bir çok protokolü kullanan entüstri standardı olmuş bir yöntemdir.
L2TP kimlik doğrulama, kaynak ve hedef bilgisayarların birbirlerine güvendiklerini doğrulamak için kullanıcı kimliklerini değil bilgisayar kimliklerini (IPsec sayesinde) kullanır. IPSec güvenliği başarıyla tamamlandıysa L2TP encryption ve authentication seçenekleri de dahil olmak üzere tuneli belirler ve kullanıcı kimliğine bağlı olarak erişimi gerçekleştirir.
RAS (Remote Access Service) RAS uzak kullanıcıların bağlı bulundukları modem aracılığı ile şirket networkündeki modeme doğrusal olarak yaptıkları dial-up bağlantılardır. RAS bağlantısı için telefon hatları (ISDN) kullanılır. Bu bağlantılar aracılığı ile kullanıcı kendi kullanıcı adı ve şifresini kullanarak şirket networküne doğrudan bağlanabilir. Bu bağlantı internet sağlayıcısı tarafından dial-up bağlantı olarak ücretlendirilir.
RAS servisini konfigure etmek için Windows Server 2003 cd’si aracılığı ile RRAS(Routing and Remote Access Services)’ı şirket networkünde kullanılan server’a kurmamız gerekmektedir. RRAS servisi sayesinde kaç kişinin RAS ile bağlantı yapabileceği hangi günlerde hangi saat aralıklarında bağlanabilecekleri ve ne kadar bağlı kalabilecekleri gibi yönetim ayarlarını gerçekleştirebiliriz. RAS servisi bu bağlantıları gerçekteştirmek için PPP (point to point protocol)’ü kullanır. Bu protokol sayesinde kullanıcılar uzak bilgisayarlardan network’e güvenli bağlantılar yapabilirler.
VPN ve RAS arasındaki en önemli fark güvenliktir. VPN PPTP ve L2TP gibi üst düzey güvenlik sağlayan protokolleri kullanmaktadır. Özellikle L2TP IPSec ile konfigure çalıştığından ve çok güçlü şifreleme tekniklerini kullandığından uzak bağlantılar için tam bir güvenlik sağlar. Ayrıca L2TP büyük ağlar için PPP’ye göre çok daha iyi ölçeklenmiştir. Bunun yanında L2TP’nin Microsoft ve Cisco ortaklığında sadece TCP\IP protokolünü değil UDP gibi daha bir çok protokolü desteklemesi VPN’i RAS’dan ayıran özelliklerden bir diğeridir.
VPN güçlü Authentication teknikleri (MS-CHAPv2, EAP) ile de RAS’dan tamamiyle ayrılmaktadır. Kullanıcılar networke bağlanmak istediklerinde güçlü Authentication yöntemleriyle karşılaşırlar bu sayede sisteme yabancı kişilerin giriş yapabilmesi engellenmiş olur. RAS güvenlik bakımından VPN’e oranla daha zayıf bir görüntü vermektedir. Bunun nedeni RAS servisinin VPN gibi IPSec destekli L2TP protokolünü değilde kısmen daha zayıf özelliklere sahip PPP protokolünü kullanmasıdır. Bu sebeplerden dolayı RAS’ın kısmen güvenlik gerekliliğinin daha az olduğu durumlar için kullanıldığını söyleyebiliriz.
Şöyle ki bir Main Office-Branch Office ilişkisini RAS üzerinden kurmak şirket için hem ek bir masraf getirecek hem de güvenlik açısından sorunlar doğurabilecektir. Bunun yerine bir kullanıcının seyahat esnasında şirket networküne bağlanma ihtiyacı duyması gibi daha küçük çözümler RAS için düşünülebilir.
VPN bütün bu güvenlik özelliklerinin yanında ekonomik olarak da şirketlere kolaylıklar sağlar. VPN sayesinde şirketler ek bir masraf yapmadan, uzak kullanıcılarının hedef bilgisayara yada network’e sorunsuz ve güvenli bir şekilde bağlanmalarını sağlayabilirler.
RAS ise kullanıcıların dial-up bağlantılarla uzak bilgisayarlardan şirket içinde bulunan RAS servera erişim yaparak networke bağlanmalarını sağlayan bir yöntemdir ve bu da şirket için ek masrafları beraberinde getirecektir. VPN’ler kullanıcıların şirket networküne ISP (internet servis sağlayıcı)’nin herkese açık ağını kullanarak ISP yerel noktaları üzerinden bağlanabilmelerine olanak sağlar. Bu durum şirket main office’inde bulunan RAS server’a yapılan uzun mesafeli telefon çağrı ücretlerinden tasarruf sağladığı gibi, aynı zamanda şirket içinde RAS tabanlı uzaktan erişim yöntemleri barındırmanın getirdiği donanımsal, yönetimsel vb. harcamalarda da azalmalar sağlar.
VPN’ler aynı zamanda işletmeden işletmeye e-ticaret bağlantılarına yönelik, yeni ekstranet uygulamalara da olanak tanır. Frame Relay veya özel kiralık hatların bulunmadığı veya çok pahalı olduğu uzak ofisler için , şirketler internetin her tarafta bulunma ve ekonomik olma özelliğinden yararlanabilir. İnternet üzerinden yapılan işlerle ilgili kritik bilgilerin alış-verişi için gerekli olan, gizlilik ve güvenlik konuları VPN teknolojileri ile çözülmüştür. İşte bütün bu bilgiler ışığında gerek güvenlik, gerek maliyet gerekse büyük çözümlere yanıt verebilme açısından VPN’i RAS ‘a oranla daha üstün bir seçenek olarak gösterebiliriz.
Yazar ceyhun çamlı
\\ tags: l2tp, pptp, ras, vpn
Son Yorumlar