Buyuknet

Eğitim => Türkçe Ansiklopedi => Bilgisayar Bilgileri => Konuyu başlatan: tarantula901 - 15.11.2008 - 21:46

Başlık: ağ güvenliği
Gönderen: tarantula901 - 15.11.2008 - 21:46
                                        AĞ GÜVENLİĞİ

        Bilgisayar ağlarından beklenen hizmet türleri ve hizmet kalitesi dahada artmıştır; dolayısıyla bilgisayar uygulamasında gereksinim duyulan her türlü sayısal iletişim ihtiyacının karşılanması bilgisayar ağlarından beklenmektedir.Bunu karşılamak amacıyla da kurumlar ,firmalar hem kendi alt yapılarını güçlendirmekte hemde önceden var olan internet gibi tüm dünyaya yayılmış global ağlardan olabildiğince yararlanmaya çalışmaktadır.Yani kendi özel bilgilerini herkese açık ortamlardan geçirmek zorunda kalmakta ve kendi ağını herkesin kullandığı ağa fiziksel bağlamak zorunda kalmaktadır. Internet’in genişlemesi ile beraber ağ uygulaması  da beklenmedik şekilde genişlemiştir.Bu gelişmeye paralel olarak ağ kurulup işletime alındıktan sonra , ağ yönetimi ve  ağ güvenliği büyük önem kazanmış ve ağın güvenilir biçimde çalıştırılması anahtar sözcük konumuna gelmiştir. Birçok insan bilgisayar güvenliğinin yanlış şeyler olmasını engellemek olarak düşünür. Yakın geçmişte bile, firewall`lara rağmen, bu yaklaşım başarılı olmadı. .
Bilgisayar güvenliği karışık bir konu. Söylediklerinizin ve diğerlerinin söylediklerinin kesin olması için basit terimlerle düşünmek gerekiyor.. Bilgisayarlarınız ve ağlarınız ne kadar karışık olursa olsun, her bir parçasına, özneler, nesneler ve erişim kontrolu terimleri ile yaklaşabilirsiniz.Bilgisayar güvenlik çözümleri uygulamak için ve güvenlik açıklarından kaçınmak için sistemlerinizin her parçasının detaylarını düşünmek zorundasınız. Sitenizdeki parçaları anlamalı ve 'Bunun altında ne var?' gibi soruları kendinize sormalısınız. Eğer biri size gelirde yeni bir uygulama kurmak istediğini belirtirse her seferinde aynı sorularla başlamalısınız: Kimler kullanacak? Nesneler neler? Erişimler nasıl ayarlanıyor? Güvenliğinden kim sorumlu?
 Bilgisayar güvenliğinden ne beklediğinizi bildikten sonra, beklentilerinizin gerçekleştiğine karar vermek için yararlı bir yol bulmanız gerekiyor. Her site bilginin nasıl kullanılacağını anlatan iyi tanımlanmış bir güvenlik politikası`na sahip olmalı. Bu güvenlik politikası farklı güvenlik modellerinden oluşturulmuş olabilir, çünkü bir güvenlik modeli çeşitli yollar ile uygulanabilen genel bir modeldir. Bir güvenlik modelini gerçekleştiren bir ürün güvenlik politikasını uygulamanıza yarayan bir araç sunar. Aynı güvenlik modeli diğer güvenlik politiklarınıda destekleyebilir. Sitenizin güvenliğini arttırmak için kullandığınız her ürün kendi güvenlik modelini sunmalı. Birçok model, ürünler sitede birleştirildiğinde birbirini etkiler. Örneğin bir firewall ve işletim sistemi beraber çalışarak şirketiniz için güvenli bir internet bağlantısı sunarlar. Firewall ve işletim sistemi toplam çözümü sunmada farklı rollere ve sorumluluklara sahiptirler. Firewall, kendisinin güvenli bir ortamda çalışması için işletim sistemine bağımlıdır. Eğer işletim sistemininde güvenlik açığı varsa firewall`un güvenliği sağlamasına güvenilemez. Bu tip etkiler yüzünden, bir genel güvenlik modelinin nelerden oluştuğunu ve nasıl uygulayabileceğinizi bilmeniz gerekir.
Kısaca, bir güvenlik modeli bireyleri ve bu bireylerin birbirleriyle nasıl etkileştiğini ve yardımlaştığını belirler. Ağlarınızdaki birçok bireyi zaten biliyorsunuz - kullanıcılar, gruplar, dosyalar, router`lar, workstation`lar, yazıcılar, disk sürücüleri, uygulama programları, istemciler, sunucular ve ağ adaptörleri. Bu bireyler bilgisayar ağlarında birbirleriyle çok farklı yollarda birbirleriyle etkileşirler. Sık rastladığınız nir erişim kontrol kuralı, bir bilgisayardaki dosyayı hangi kullanıcıların okuyabilecegi olabilir. Daha başka örneklerde aklınıza gelebilir, ki buda güvenlik modeli fikrini zaten bildiğinizi gösterir.
Genel güvenlik modelini araştırmadan önce, güvenliğe niye birinci derecede ihtiyaç duyulduğunu düşünün. Bir veya daha fazla ürün tarafından uygulanan bir güvenlik modeli, 3 ana amaca hizmet etmelidir.

Bilgisayar güvenliğinin amaçları
İzinsiz-giriş saptama ürünlerinin güvenliği arttırmada niye kullanılmaya başladığını anlamak için güvenlik ürünlerinin sağlamaya çalıştığı amaçları bilmelisiniz. Bu amaçlar geleneksel ürünlerle sağlanamadığı için kuruluşlar izinsiz-giriş saptama çözümlerine eğiliyorlar.
CIA kısaltması, bilgisayar güvenliğindeki üç amacı simgeleyen kolay hatırlanabilir bir kelime.

Confidentiality. (Gizlilik) Bilginin tanılanmış/doğrulanmış kişiler haricinde okunmasına karşı koruma.
Integrity. (Bütünlük) Bilginin yetkisi olmayanlarca modifiye edilmesine karşı koruma.
Availability. (Mevcudiyet) Bilginin yada bilgisayar kaynaklarının yetkisiz olarak mevcudiyetinin engellenmesine karşı korunma.

Günümüzde ağ güvenliği denildiğinde  VPN(virtual private network) ve Firewalllar  akla gelmekte ve en çok bu çözümler kullanılmaktadır.Bundan sonraki bölümde bu iki konu ayrıntılı olarak ele alınacaktır.






1.SANAL ÖZEL BİLGİSAYAR AĞLARI   ( VIRTUAL PRIVATE NETWORKS- VPN )
                               
Bugün bilgisayar ağları uygulamaları geniş bir şekilde istemci/sunucu , karşılıklı etkileşimli ( Interaction ) şekle dönüşmüş bulunmaktadır. İstemciler tarafından kullanılan bilgilerin büyük bir bölümü LAN sunucuları üzerinde bulunan kütükler , dökumanlar , veri tabanları veya sayısal bilgilerin diğer şekilleridir.
İdeal olan , istemcilerin işlerini gerçekleştirmek için gerek duydukları bütün bilgilerin , istemciler gibi ayni LAN’a bağlanmış bulunan sunucular üzerinde bulunmasıdır. Ancak kurumlar büyüdükçe merkez ve çevre ofislere bölünmektedir. Bu durumda fonksiyonlara bağlı olarak gereksinme duyulan bilgilerin , çeşitli LAN’lara dağılması kaçınılmazdır. Bu durum da VPN uygulamasını gerekli kılan en önemli etkendir.
Virtual Private Netvork (VPN) nin cazip hale gelmesinde etken olan bir diğer konu da ; artan oranda elemanların LAN sunucularda ve kurumsal ağlarda uzak noktalarda çalışmaya başlamış olmalarıdır. Bu elemanların işlerini uygun bir şekilde yürütebilmeleri için kurumsal LAN’lara , WEB uygulamalarına ve diğer sunuculara uzaktan erişim sağlamaları büyük önem taşımaktadır.
Dışta çalışan kişilerin yüzdesi arttıkça bu durum çok daha büyük önem kazanmaktadır. Pek çok çalışan kişi ve yöneticiler küçük ofislerden veya evde kurdukları ofislerden (Small Office and Home Office-SOHO) yürütmektedirler ve hareketli (Mobile) çalışma geçmiş yıllara oranla inanılmaz boyutta artmış bulunmaktadır. Şehirler arası dolaşanların otel odalarından bağlı bulundukları kurumun WEB sunucusuna ulaşma zorunluluğu da son zamanlarda küçümsenmiyecek derecede çoğalmıştır.
1.1. Klasik olarak hareketli ve SOHO çalışanları için verilen destek üç tipte toplanabilir.

1.1.1 SOHO çalışanların bulundukları nokta ile kurumsal sunucu arasında özel (kiralık) bir hat sağlanması.

Bu çözümün gerçekleşmesi maliyetin yüksekliği nedeniyle çok zordur. Ayrıca kurumsal sunuculara bağlantı gereksinimi günde en çok 8-10 saati ancak bulmaktadır. Halbuki kiralık hatlara ödenen ücret 24 saat tam olarak hattı kullanıyormuş gibidir. Başka bir deyişle kiralanan hat hiç kullanılmasa da 24 saat kullanılıyormuş gibi hatta ödeme yapmak gerekmektedir. Bu uygulama özellikle hareketli çalışanlar için ise hiç te uygun değildir.



1.1.2- SOHO veya hareketli çalışanların Dial-up ile bağlanması.

Bu uygulama çok yaygındır ve fiat bakımından çok uygundur. Ancak en önemli sorunu hız ve kalite düşüklüğüdür. Uzakta erişim PSTN’i (Public Switch Telephone Network)  kullanmaktadır ve ağ tüm ülke çapında kullanıma hazırdır. Bazı durumlarda (800 lü hatlar gibi ) ücretsiz bağlantı olanağı sağlandığı gibi , bazı durumlarda uzak erişim için yerel bağlantı ücreti ödeyerek şehirler arası bağlantı olanağı (444 lü hatlar gibi ) sağlanır.

1.1.3- Paket Anahtarlama

X-25 ve Frame Relay uygulamalarında sadece gönderilen paket adedi üzerinden ödeme yapılır. Özellikle yeni uygulamaya geçen Frame Relay uygulaması hız ve kalite yönünden de kiralık hatlara kıyasla çok daha uygundur.
Şimdi bu üç uygulamada VPN’in rolü ne olabilir ? onu inceleyelim. SOHO çalışanlarının pek çoğu Internet bağlantısına sahiptir. Eyer kendilerine özel böyle bağlantıları yoksa bu servis Internet Servis Sağlayıcı ( ISS )dan alınabilir. Kurumsal LAN’larda uzakta çalışanlar için gereksinme duyulan bilgileri taşıyan en az bir tane WEB sitesine sahip olduğuna göre , ISS’ler  aracılığı ile genel Internet ve WEB ulaşımı ve kurumsal LAN ulaşımının birleştirilmesi en uygun çözümlerden biridir. Eğer ISS tüm ülkeye yayılmış bir hizmet ağına sahipse otel odasından merkeze bağlantı kurma işleminde bu yerel  bağlantı yeterli olacaktır. Bağlantı kurulduktan sonra kurumsal bilgisayar ağı gerekli LAN sunuculara ulaşma olanağı sağlar. Bu açıklamadan da anlaşılacağı gibi Internet , SOHO ve hareketli çalışanların bağlantıları için yapılan diğer uygulamaların yerini almaktadır. VPN , uzaktan erişim için kullanılan dial-in (dial-up yaparak gerçekleştirilen bağlantı) nin basitleştirilmesinde iki seçeneğin yaratılmasında rol oynar.









1.2 VPN Tipleri

1.2.1 İstemci-Girişimli VPN
Uzaktan erişim aygıtları kullanıcıların kurumları ile ilişkiye geçmelerini ve gerekli işlemlerini yapmalarını olanaklı kılan dial-in kapıları ( ports ) donatılmıştır. Bu yapıda , yapının sahibi kurumdur  İşlemler ve kontrol kurum tarafından yürütülür.Bu organizasyonda ISS ler çok ender olarak uzaktan erişim noktalarından Internete erişim sağlarlar. Bu yapı uzaktan erişim için kullanılan İstemci-girişimli VPN diye adlandırılır. Bunun da nedeni ISS lerin ne ilettiklerinin genellikle farkında olmamasındandır.
ISS- Girişimli VPN
Bu uygulamada , yapının sahibi ISS dir ve uzaktan işletim aygıtlarının işletimi ve kontrolü ISS lerin elindedir. Bu durumda VPN güvenliğinin sağlanması tümüyle ISS lere aittir. Eğer ISS servisi tüm ülkeye dağılmış durumda ise ve çalışanların hareketleri çok değişken bir durumda ise , bu uygulama yararlı olabilir. Bu durumda bilgisayar ağını ve kurumsal LAN nı korumak için ek bir güvenlik desteğine gereksinim vardır. Örneğin en azından kurumsal LAN ile Internet arasında bir güvenlik duvarının bulunması gerekmektedir. Uzaktan erişim kurumsal bilgisayar ağını yetkili kılınmamış ulaşımlara karşı çok hassas hale getirir. Bu durumda VPN nin rolü çok önem kazanır.
Uzakta erişim aygıtlarının en bilinen formu , uzaktan erişim dial-in istemcilerine sunucu tipi fonksiyonları sağlayan Uzaktan Erişim Sunucusu (Remote Access Server – RAS ) dur. Bir RAS , PSTN üzerinde anolog ulaşımlar için çeşitli dial-in kapılardan , kullanıcı belirleyicileri (Identifications) , paroloları taşıyan veri tabanından ve ağın geri kalan kırımlarına bağlantıdan oluşmaktadır. Hemen belirtelim ki , bu saydığımız sunucular en az bulunması gerekenlerdir. Bunlara ek olarak E-Mail sunucu , Chat Sunucu , E- Ticaret Sunucu , kullanıcılarla ilgili bilgilerin tutulduğu üye kütüklerini taşıyan sunucu gibi pek çok sunucu ve hattağa bunların bir araya geldiği Cluster lerden oluşur.

































Şekil-1: Uzaktan Erişim ve VPN Yapısı



Genellikle RAS organizasyonunda , VPN de RAS ve diğer sunucular çok güçlü güvenlik özelliği sağlamalıdır. Bu özellikler Authentication , Authorization  ve Accounting ‘in ilk harflerinden oluşan AAA olarak adlandırılır.
1.3  AAA

AAA temel fonksiyonlardır ve kurumsal VPN lerde etken uzaktan erişim yapısına düzgün bir şekilde yerleştirilmelidir. Uzaktan erişim gereksinmelerini dış kaynaktan yararlanarak sağlayacak kurumlar AAA yı çok iyi anlamak zorundadırlar. Bu konuyu ne kadar çok iyi ve ayrıntılı olarak bilirlerse uzaktan erişim için destek sağlayacakları kurulu seçmeleri o derece kolaylaşır. Şimdi bu üç özelliği birer birer ele alalım.


Kişilik Belirleme (Authentication)

Kişilik belirleme , uzaktan erişim söz konusu olduğunda en önemli fonksiyondur. Güçlü bir kişilik belirleme olmaksızın ağ’a girişimin kontrol altına alınması olanaksızdır ve bunun sonucu kurumsal bilgilerin yetkilendirilmemiş kişilerin eline geçmesi çok kolay olacaktır.
Uluslar arası büyük şirketlerde en gizli bilgilerden biri kişilerin aldıkları maaşlardır. Bu bilgi kurum için nerde ise ticari bilgilerden daha çok hayati öneme sahiptir. Bir sabah daireye geldiğinizde ve sisteminizi açtığınızda kurumda çalışan tüm elemanların maaşlarını , kendinizinki dahil , ekranınızda gördüğünüzü var sayalım. O kurumun yöneticilerinin ne duruma düşeceğini sizin görüşlerinize bırakıyorum. İçten ve dıştan gelecek her türlü yetkilendirilmemiş girişlere karşı sistemin daima koruma altında tutulması gerekir , bunun da en etken silahı kişilik belirlemedir.
En yaygın kullanılan  kişilik belirleme yöntemi  Tek Uygulamalı Parola (One-Time-Password-OTP) dır.
Kişilik belirleme kullanıcı ağ’ın RAS veya yönlendiricisine ulaştığında çalışmaya başlar. Bazı durumda kullanıcı ayni anda bir diğer kısıtlı alana girmeyi arzu edebilir. Bu durumda ek bir kişilik belirlemesi uygulaması gerekmektedir.
VPN de kişilik belirlemede kullanılan en etken yöntem iki-faktörlü kişilik belirlemedir. Bu yöntemde ID/Parola kontrolüne ek olarak kişiyi belirlemek için ikinci bir eleman devreye alınır.
Bu uygulama ATM lerde uygulamalara benzetilebilir. Birinci kontrol makinaya verdiğiniz kart üzerinden yapılır. İkinci kontrol için kişisel ID numarası (PIN-Personel ID-Number) kontrolü işleme girer.

Yetlilendirme
Kişilik belirleme ile yetkilendirmenin sınırı her zaman kesin çizgilerle belli değildir. Yetkilendirme genellikle kişilik belirleme işlemini izliyerek uygulanır  , ancak kişilik belirleme gerekli değilse birinci uygulama olarak devreye girer. Örneğin WEB sayfasındaki her kesin kullanımına açık bilgiler gibi verilere ulaşmada , yani kişilik belirlemeye gereksinim duymayan durumlarda , kullanılan ağ servisi gerekli desteği sağladı durumlarda yetkilendirme işlemi yeterli olacaktır.
Kişiye özellik , güvenlik ve mahremiyet , kısıtlama yeterli olmadığı durumlarda kolaylıkla bozulabilirler.
Ancak kısıtlamalar gerektiğinden çok daha fazla olursa bu kez de yetkilendirilmiş kişilerin gerekli bilgilere ulaşmasında büyük zaman kaybına ve dolayısiyle bu kişilerin çalışma tempolarının düşmesine neden olabilir.
Her işte olduğu gibi kısıtlamaların dengeli olarak belirlenmesi kurum için çok büyük önem taşımaktadır.

Muhasebe
İş hayatında muhasebe (Accounting) kurumun finansal kayıtlarını yürütmek ve denetlemek amacı ile kurulmuş olan teori ve sistemlerdir. VPN dünyasında iş hayatında olduğu gibi muhasebenin fonksiyonu aynidir. VPN kullanıcılara ait kayıtları ve sistemle ilgili hareketleri , faturalama ve güvenlikle ilgili raporların üretilmesi amacı ile , tutulmaktadır.
Muhasebe , kullanıcıların ağ’ın hangi noktasından , ne sıklıkla ve ne kadar süre ile devreye girdiğini belirler. Muhasebe fonksiyonu genellikle kişilik belirleme ve yetkilendirme fonksiyonundan sonra devreye girer , ancak bu iki fonksiyonla her hangi bir bağı yoktur.

1.4  AAA nın Uygulanması

VPN için uzaktan erişim modunu seçmeden önce WAN (Wide Area Network) bağlantısının gerçekleşmesi gerekir. Kuruluş kendi VPN ‘inde Intranet, Extranet ve Dial-up bağlantılarının trekli veya çoklu herhangi bir kombinasyonunu kullanabilir.
Eğer Intranet kullanılmışsa , kişilik belirleme kontrolünden geçirilecek kullanıcılar , kendi ofis ortamlarında bulunuyormuş gibi uzaktan erişimli olarak kurumsal ağa ayni düzeyde öncelikli olarak ulaşabilirler. Intranet merkezden çeşitli uzaklıktaki ofislere olan bağlantılar ve çeşitli noktalardaki çalışanlardan oluşur. Eğer Extranet kullanılmış ise , ki bu uygulamada kurumun dışındakilere izin verilmektedir , AAA içinde adreslenmiş kurumsal bilgilere ulaşımda garantiler ve kısıtlamalar getirmek zorunlu hale gelmektedir.
Uzaktan erişim için yeni protokollar ortaya çıkmaktadır. VPN de en yaygın olarak kullanılan protokollar ;
CHAP/PAP :Challenge Handshake Authentication Protocol/ Password Authentication Protokol ,
RADIUS ; Remote Authentication Dial-In User Service ,
TACACS+ ; Terminal Access Controller Access Control System . Son iki metod hemen hemen ayni yapıya sahiptirler ve şirket ve ISP (Internet Servis Provider , Vestelnet gibi ) nin RAS’ında görev yaparlar Eğer arzu edilirse AAA sunucu RAS (Remote Access Server) ile ayni LAN içinde olabilir.     









                   
                                       


   













              Şekil-2 : Virtual Private Network Uzaktan Erişim yapısı

   Uygulama adım adım izlenirse :

   Adım-1 : Kullanıcı RAS ‘a bağlantı kurar
   Adım-2 : AAA , RAS ile ilişki kurar
   Adım-3 : AAA , RAS ‘a yanıt verir
   Adım-4 : Hedef kaynağa ulaşım onaylanır

1.5  PAP ve CHAP ‘ın Ortaya Çıkışı

HDLC (The Hıgh-Level Data Link Control ) protokolu temelde veri blokları oluşturmak üzere bitlerden meydana gelen bir çerçeve yapısındadır. Bu çerçevelenmiş verilerin önünde bir başlık bulunur. Bu başlıkta hata kontrol bitleri , adresler ve bir bayrak bulunur. Bu bayrak çerçevenin başlama noktasını gösterir. Çerçevenin sonunda ise çerçevenin bittiğini gösteren bir bitiş bayrağı da bulunur.
PPP (Point-to-Point Protocol ) , HDLC formatından çıkmıştır. PPP , bu konuda ilk olarak kullanılmaya başlanılan SLIP (the Serial Line Internet Protocol ) dan çok daha güçlüdür. Örneğin SLIP sadece IP (Internet Protocol) tarafından kullanılabilir. Sadece tek bir protokol tarafından kullanılması ve kişilik belirleme işlemlerindeki eksiklikleri nedeniyle SLIP kullanımı giderek azalmıştır.
PPP örneğin IP ve IPX (Internetwork Packet Exchenge) gibi pek çok protokolun tek bir veri bağlantı (Data Link ) üzerinden çalışmasına izin verecek şekilde tasarlanmıştır. Ayrıca dinamik adresleme ve kişilik belirleme işlemlerine de destek vermektedir. PPP genellikle Internet’e ulaşmada , ISP lere dial-up bağlanma olanağı sağlamaktadır.
PPP ayni zamanda ana sistemle-yönlendirici , yönlendirici ile yönlendirici , ana sistem- ana sistem bağlantılarında çalışır ve VPN ortamında ISP ‘lere dial-up ulaşmalarda bütün gereksinmeleri karşılayacak şekilde tasarlanmıştır.HDLC de olduğu gibi PPP de 2 nci katman (veri bağlantı) protokoludur. PPP , veri bağlantı katmanı üzerinden izin vermeden önce iki düzeyde karşılıklı iletişimi gerçekleştirir.
Birinci Safhada ; LCP (Link Control Protocol ) paketleri iletişimde bulunan iki uç arasında değiş tokuşa girer : Bu safhada sıkıştırma ve çerçeve genişliği gibi özellikler daha önceden belirlenmiştir.
İkinci Safhada ; Bu safha seçimliktir. Örneğin hat eşitliklerini belirlemede kullanılabilir veya ağ katman protokolları , PPP nin Ağ Control Protocol (NCP) özelliğini kullanarak bağlantı üzerinden , kullanılabilir.PPP bağlantı yapısı bu tartışmalar sonunda belirlendikten sonra seçimlik PAP /CHAP işlemleri uygulamaya girer. Bu girişten sonra bu iki protokol hakkında bilgi verebiliriz.

1.6  PAP ( Password Authentication Protocol)

PPP ile kişilik belirlemede kullanılan ilk protokol PAP olmuştur. PAP ‘yi kullanırken , bağlanmak istiyen PC den kullanıcı ID’si ve parolası hem uzak erişimli PC ve hem de yönlendirici veya sunucuya gönderilir. Uzak erişimli PC , bağlantı sağlanıncaya kadar yönlendirici veya sunucuya dial ederek bağlantıyı sağlar.PAP iki yönlü el sıkışma protokolodur. , ancak bugün için özellikle VPN de ağlar için yeteri kadar sağlıklı güven sağlayamamaktadır. PAP kullanıcı ID ve ve paraloyu şifrelemeden istemciden sunucuya gönderir. Sunucu tarafından sağlanan bilgi kullanılarak , temel kullanıcı bilgileri , ismi ve parolaları taşıyan veri tabanına ulaşır.SLIP teki kişilik belirlemesinde eksiklik PPP ve PAP kullanılarak giderilebilir. Bununla beraber çok önemli bir problem henüz çözüm beklemektedir ; Kullanıcı ID/Parola kombinasyonunu Playback yöntemi olarak bilinen metodla ele geçirebilir. Bunun için telefon hattına bir saplantı yapmak ve PAP ‘pı kullanarak ana sisteme bağlanıp tekrarlanan oturumlardan (session) gerekli bilgileri öğrenmek olasıdır. Böylece yetkilendirilmemiş kişiler ağ aygıtlarına bağlanarak bu yalla kolayca elde edebilirler.
Bu zayıflık nedeni ile , PAP yalnız başına bugfünün ağlarında güvenlik için yereli değildir ve bu nedenle PAP ile CHAP birlikte kullanılır. Başka bir deyişle CHAP kişilik belirlemede PAP üzerinden uygulama yapar. Zaten PAP , PPP nin bir parçasıdır , CHAP ise PAP ‘ın bir parçası durumundadır.

1.7  CHAP (Challenge Handshake Authentication Protocol)

PAP , ID ve parolaları plaintex formatında gönderdiğinde CHAP bu sorunu tümüyle ortadan kaldırır. CHAP istemci uzaktan erişim yönlendiricisi veya PAS ile bağlanır , daha sonra bu ağ aygıtları ile PPP LCP paremetreleri için pazarlığını yapar ve bunu izliyerek PPP bağlantısı üzerinden kullanıcı ID yi plaintext formunda sağlar. RAS daha sonra CHAP istemci ile bir bağlantı gerçekleştirme girişiminde bulunur. Bu girişim , her bağlantı için biricik (Unique) bir bilgi zinciri yapısındadır. Bu zincir gönderilirken  RAS , kullanıcı ID için parolayı ekler ve her ikisini de Hash algoritme ile şifreler. Bu tek yönlü şifreleme genellikle MD5 (Message Digest 5 ) tarafından gerçekleştirilir. Bu zinciri alan istemci kendi hash değerini kullanarak bu zinciri ve parolayı değerlendirir. Daha sonra belirlediği Hash değerini RAS’a gönderir. Eğer giden ve gelen Hash değerleri uyum sağlarsa RAS logon işlemlerinin başlamasına izin verir.CHAP böylece her bağlantı için biricik ve şifrelenmiş bilgi kullanıldığından , yalnız kullanıldığında PAP üzerinde etkili olan ve güvenliği bozan Playback tekniğini başarısız kılar.
Durumu bir örnekle açıklayalım ; Şifrelenmiş bilgilerin kayıt işlemlerinin tamamlandığını var sayalım. Bir Playback uygulayıcısı devreye giriyor ve bir bağlantı kurulması girişiminde bulunuyor ve var sayalım ayni bilgi zincirini kullanıyor. Ancak CHAP ek olarak oturum süresince uzak erişimdeki ana sisteme yeni bir bilgi zinciri gönderir. Bu özellik ayni kullanıcının iki farklı telefon hattını , biri büyük bir olasılıkla yetkilendirilmiş kişi , diğeri kaçak sisteme girmek isteyen kişidir, kullandığı durumda aktif hale gelir. Bu durumda CHAP her iki taraftan biricik ve şifrelenmiş bilgi zincirinin yeniden gönderilmesini ister.
CHAP bu nedenle üç yönlü el sıkışma protokolu olarak ta kabul edilir. Birinci el sıkışma bilgi zincirinin gönderimi ile , ikinci el sıkışma cevabın alınması ile üçüncü el sıkışma ise kişilik belirleme ile gerçekleşir.CHAP sadece istemciye kişilik belirlemesi uygular , yani sunuculara uygulamaz.PAP ve CHAP , kullanıcı ID/Parola kombinasyonlarını , uzaktan erişimli istemci PC ve NAS (Network Access Server ) nın her ikisi üzerine yükler . Böylece yetkilendirilmemiş kişiler sisteme girmeye çalıştığında her iki yönlü kayıt devreye girecektir.

1.8  RADIUS ( Remote Access Dial-In User Servive ) Sunucu

RADIUS ; uzaktan erişimli kullanıcılar ile var olan bilgisayar ağı arasında kullanıcı ID ‘si ve parola bilgilerinin güvenli olarak değiş tokoş’unu sağlamakla görevlidir. RADIUS açık bir protokol standarttır ve uzaktan erişimli kullanıcılarının merkezi olarak uzaktan erişimini sağlar. RADIUS sunucu , RAS aygıtları ile birlikte çalışır. Bu birliktelikte RAS bir istemci ve RADIUS sunucu , bir AAA sunucudur.
RADIUS , Livinston Enterprises tarafından geliştirildi ve 3COM ,Assend ,CISCO gibi ağ teknolojisi sağlayan firmalar tarafından kullanıldı. Pek çok uzak erişim aygıtı RADIUS ile birlikte çalışacak şekilde tasarlanmıştır.RADIUS istemci/sunucu modeli , CHAP’a benzer yapıda girişim/yanıt protokolunun kullanımını destekler. RADIUS’un kullanılma gereksinimi derhal ortaya çıkan bir görünüm çizmemiştir. Bunun da nedeni ; RAS güvenli bir , kullanıcı ID 'si ve parola değiş tokuşunu sağlayan, özelliğe (CHAP gibi) sahip bulunmakta idi. RAS yalnız başına , çok az kullanıcı bilgisayar ağına ulaşmak ve ağ içinde güvenli noktalara bağlanma isteğinde bulunuyorsa , yeterli olabilir.
Buna karşılık pek çok kullanıcı uzakta erişim gereksinimi gösteriyorsa ve bunların pek çoğu da kişilik belirleme makanizmasının çalışmasını gerektiriyorsa , RADIUS bu gereksinimleri çok basit bir uygulama ve birlikte bir nokta ile  çözer. Bu birlikte nokta kişilik belirleme geçit kapısı olarak düşünülebilir ve kapı stratejik olarak uzaktan erişim kullanıcı ile bilgisayar ağı arasına yerleştirilir. Pek çok RAS aygıtı ağ içinde kurulmuştur ve coğrafyasal olarak çeşitli noktalara dağıtılmıştır. Bu durumda , bu kuruluşları izleyerek RADIUS seçimi yapılmaktadır.
RADIUS’un devreye giriş aşamasında ID ve parolaya sahip kullanıcıların yeniden veya ek olarak parola almalarına gerek yoktur. Zira RADIUS , direkt olarak bilgisayar ağına veya ağ!a uzak erişimli olarak bağlanma aşamasında parolanın kullanılmasına olanak sağlar. Bu durum özellikle parolaları düzeltmekten sorumlu ağ yöneticisi için büyük bir destektir.

1.9   RADIUS ‘un Çalışması

























Şekil-3 : RADIUS Nasıl Çalışır ?

1.10  TACACS+

TACACS+ , BBN(Bolt,Beranec & Newmen , şimdi GTE Internetworking’in bir parçası) ve DOD (US Department of Defence) tarafından geliştirilmiş bir dial-up AAA metodudur. TACACS merkezi veri tabanı veya Ağ İşletim Sistemi ( Network Operating System-NOS) ni (Netware gibi) kullanarak kullanıcı bağlantı listelerinin bakımını sağlama fikrinden ortaya çıkmıştır. TACACS üçüncü parti kişilik belirleme sunucu sistemidir ve kullanıcı ID ve parolasını kullanarak ağ’a girdiğinde güvenlik sisteminin desteği ile kişilik belirlemesi yapar. Güvenlik sistemi bu kullanıcı bilgilerini kişilik belirleme için TACACS sunucuya gönderir. Bu durum ayni RAS aygıtlarının RADIUS sunucuya bağlanışı gibidir.
TACACS  kullanarak , ağ içindeki çeşitli ağ bağlantı sunucuları , tek bir merkezi veri tabanı kullanarak ve böylece kişisel NAS aygıtlarındaki bilgilerin bakımını sağlayarak ve ikilemelerini (dublication) elimine ederek kullanıcıların tanımlanmasını sağlarlar.CISCO firması TACACS , bunun geliştirilmiş şekli olan XTACACS ve yeni sunumu olan TACACS+ sın en güçlü destekçisi olmuştur. CİSCO 1989 dan beri TACACS ve 1990 dan beri de XTACACS ‘sı desteklemektedir. Ancak CİSCO artık TACACS ve XTACACS için bakım desteği sağlamamaktadır ve firma bütün gücünü yeni sürüm TACACS+ ve RADIUS üzerine yoğunlaştırmış bulunmaktadır.TACACS , CISCO System’in kurum bağımlı bir protokoludur. TACACS’ın üçüncü sürümü olan TACACS+ , fonksiyonel olarak RADIUS’a çok benzemektedir. İlk iki sürümünde TACACS kullanıcı ID/parolalar kombinasyonunu plaintext yapıda gönderirken , TACACS+ bütün bilgileri şifrelemektedir. TACACS+ bugün için yaygın olarak CISCO müşterilerince ve Kerberos başta olmak üzere bazı üniversiteler tarafından kullanılmakta ve desteklenmektedir.

1.11 Firma Desteği

RADIUS’un açık bir sistem olması nedeniyle , RADIUS’u uygulayan RAS’lar RADIUS-AAA sunucu ile birlikte kullanılabilir.RAS aygıtlarını veya Internet aracılığı ile VPN’ni kullanan uzaktan erişim kullanıcılarının artışı sonucu yönetim sorumluluğu da giderek yükselmiştir. Buna bağlı olarak yönetim zorluğunu azaltmak üzere tüm ağ için merkezi bir AAA yı devreye sokan RADIUS kullanımı da artmıştır.TACACS ve TACACS+ , geniş olarak CISCO ürünleri ve ortamları ile bağlantılı çalışmaktadır. Ancak ilginç olanı CISCO , RADIUS ‘u da desteklemektedir. Bir başka ilginç nokta TACACS ‘ın desteklemediği bazı VPN işlemlerini RADIUS’un desteklemesidir.  Pek çok firma RADIUS ve TACAC ürünlerini birlikte desteklemektedir.

1.12  RADIUS ile TACACS+ Karşılaştırması

RADIUS ve TACACS , VPN de uzaktan erişim için benzer tarzda AAA sunucu kapasitesi sağlar. Hangi durumda RADIUS veya TACACS kullanılır ? Hemen belirtmeliyim ki , yaptığım incelemelerde kesin bir öneri örneği belirleyemedim. Ancak karar-destek aşamasında bazı kriterlerin dikkate alınabileceğini söyleyebilirim. Örneğin ağınızda CİSCO ekipmanları kullanıyorsanız TACACS+ seçmenizde hiç bir sakınca yoktur. Eğer ağ elemanlarınız farklı kurumlardan sağlamış iseniz RADIUS’su dikkate almanızda yarar vardır. Baştan da belirttiğim gibi TACACS + , CISCO bağımlı bir protokol iken RADIUS açık bir protokoldur ve bu nedenle pek çok firma tarafından desteklenmektedir.
TACACS+ , UDP (User Datagram Protocol) ve dolayisiyle bağlantısız bağlantı (Connectionless Connection) yoluyla IP ilişkisi sağlamaktadır. Buna karşılık RADIUS TCP (Transmition Control Protocol) ve dolayisiyle bağlantı uyumlu (Connection Oriented ) bir uygulama ile IP ilişkisi sağlamaktadır. Bu nedenle RADIUS bağlantısı daha güvenli kabul edilmektedir. Ancak TACACS+ işlemci ve sunucu arasındaki tüm iletişimleri şifrelerken RADIUS yalnızca parolayı şifreler  Bu tanımlamaların ışığında TACACS+  bazı kullanıcılar için uygun görülebilir , ancak Internet uygulamaları söz konusu ise RADIUS çok daha uygundur

1.13  Uzaktan Erişimde Güvenlik İçin Ek Destekler

Gerçi RADIUS ve TACACS+ , RAS ile AAA sunucu arasında Internet üzerinde güvenli iletişim olanağı sağlarlar , ancak RAS ile istemci arasında bu konumu sağlayamazlar.Bu nedenledir ki , Biometrik Aygıtlar , Jeton (Token) Sistemler ve Akıllı Kartlar AAA sunucular ile VPN için kombine edilerek daha üst düzeyde uzaktan erişim güvenliği elde edilir.

1.13.1  Biometrikler

Biometrikler özel teknoloji aracılığı ile parmak izi , ses , el yazısı gibi kişiye bağımlı özellikleri kullanarak uzaktan erişim yapmak isteyenleri otamatik olarak belirlerler. Kullanıcıların , veri tabanındaki bilgileri ile giriş anında kendilerinden elde edilen bilgilerin karşılaştırılması ile , yetkili olup olmadıkları belirlenir. Son yöntem ise DNA ( Deoxyribonucleic Acid ) testidir. Biyometrikler , uzaktan erişimde kişilerin belirlenmesinde en güvenilir yöntemdir.
Kişilik belirlemesinde kullanılan yöntemlerin hemen hepsinin eksik yönleri bulunabilir , buna istisna biometriklerdir. Biometriklerin uygulanmalarının güç (örneğin DNA örnekleri nasıl elde edilecektir) rahatsızlık verici ve çok kişisel olduğu  görüşü öne sürülmektedir. Buna karşılık ; insanların parolalarını kolay unutmaları , Jeton aygıtlarını kayıp etmeleri veya diğer cihazlarını çaldırmaları gibi olayların biometrikler için söz konusu olmaması onların en önemli üstünlükleridir.Micro işlemci fiyatlarının çok ucuzlaması nedeniyle bazı biometriklerin kullanımı çok artmıştır. Parmak izi çok uzun süredir ID belirlemede kabul edilen en belli başlı metotlardan biridir. Zira iki kişinin parmak izi birbirlerine benzememektedir. Bugün bazı bilgisayarların keyboard ‘ları parmak izi tanıma teknolojisini içinde taşımaktadır.
İşte en son biometrikslerim kullanılma örnekleri;
ING Direct Canada şirketinin çevrim içi (on-line) banka uygulamacısıdır. Son zamanlarda kredi kartlarında yaşanan sorunları ortadan kaldırmak üzere şirket plot olarak bankada kredi kartı yerine parmak izi kontrolünü devreye sokmuş bulunmaktadır. Böylece , ATM’lerde kişilk belirlemelerde sayısal bilgiler yerine parmak izi okuması gerçekleşmektedir.DrugEmporium, Ohio da doktorlar için Web üzerinden reçete verilmesini olanaklı kılacak biometriksuygulamalarını test etmektedirler. Ohio kanunları doktorların on-line belirlenmesinde paroladan başka uygulamaları da zorunlu kılmaktadır. Biometrix Systems tarafından geliştirilen uygulamada parmak izi, ses tanımlama, göz retinası belirlemesi gibi biometriks’leri kullanarak doktorların belirlenmesi olanklı kılınmaktadır. Plot çalışma olarak yürütülen bu uygulama başarıya ulaşırsa Ohio dışında da bu uygulamanın kullanılması planlanmaktadır.Keyware Tecknolggies, akıllı kartlar üzerinde parmak izi, ses tanımlaması, yüz geometrisi gibi biometriksleri depolamaktadır. Kullanıcı okuyucuya akıllı kartını yerleştirdiğinde, akıllı kartlar üzerindeki bilgiler, ana sistemdeki bilgilerle karşılaştırılmakta ve Web kullanma izni daha sonra verilmektedir.
Biometrikslerde standarizasyon henüz gerçekleşmemiş bulunmaktadır. Bunun sonucu olarakta pek çok firme, değişik teknolojide biometriks’leri ürünleri içine yerleştirmektedir. Bu durum büyük uyumsuzluklara neden olmaktadır.İnsanlar kendi biometriks bilgilerinin kullanılması içingiderek kaçınılmaz hale gelmektedir. pek istekli görülmemektedir.

1.13.2  Akıllı Kartlar

PC kartları ufak aygıtlardır ve özel olarak tasarlanmış bilgisayar slot’ları içine kolaylıkla yerleştirilebilir. Bunlar pek çok yeni kullanım olanakları ile birlikte bellek ve işlem gücü artışını da sağlarlar. Örneğin Ethernet LAN uyarlama kartı , güvenlik jetonları , modem kartları , ses kartları , Joystick arayüz kartları ve bellek kartları bunlara örnek olarak gösterilebilir. PC kartlarının hemen tümü , PC içine konurken akıllı kartlar PC dışına yerleştirilir. Akıllı kartlar bilgileri içlerinde taşırlar , yani bilgiler dıştan eklenmiş bir manyetik band üzerinde saklanmamaktadır.
Bugün piyasada satılan ve otobüslerde kullanılan kartlar akıllı kartlar için tipik bir örnektir. Bu kartlar içlerinde taşıdıkları bir iç işlemci de bilgileri saklarlar ve bu işlemci aracılığı ile üzerlerine yüklenen rakamın düşmesini sağlarlar.Akıllı kartlar çok güçlü işlemci gücüne sahip olduklarından VPN için gerekli veri şifrelemesi ve diğer güvenlik fonksiyonları için her türlü desteği sağlarlar.

1.13.2 Jeton Sistemler

Jeton sistemler veya kartlar tipik bir kredi kartı büyüklüğündedir. Bunlar bir LCD ye sahiptir ve 6 ile 8 hane bir numarayı görüntülerler. Bu numara genellikle bir jeton kodunu gösterir. Jeton sistemleri kullanıcıya geçiş kodunu (passcode) sorar . Bu kullanıcının PIN ve jetonun biricik (Unique) değerinin kombinasyonudur.Jeton  sisteminin kullanılışı , kullanıcının kişilik belirleme aşamasında girişim-yanıt işleminin yerine getirilmesini sağlar. Jeton sisteminin kullandığı bu fonksiyon  Synchronizasyon sağlar. Jeton sisteminin OPT kullanması nedeniyle yetkilendirilmemiş kişilerin parolayı tekrar kullanmasını engellemek için bu işlem gereklidir.





2.VPN’de PPTP ( Point-to-Point- Tunneling Protocol)

Bu noktaya kadar VPN ‘nin genel bir tanıtımını yaptık. Tek bir cümle ile ifade edersek  VPN ;  Şifreleme , Kişilik Belirleme ve Yetkilendirme uygul amaları ile güvenliği sağlamak üzere geliştirilmiş bir ağ modelidir. Ancak yukarda belirttiklerimiz ile tam bir güvenliğin sağlanmaya yeterli olmamaktadır. Bu nedenle yetkilendirilmemiş (kötü amaçlı ) kişilerden yukarda adını verdiğimiz uygulamaları (örneğin şifrelemeyi) korumak için VPN ayrıca Tünelleme Protokolu (Tunneling Protocol-TP) nu kullanır. Bazı durumlarda ise VPN ler TP yi çok geniş bir şekilde kullanır , zira onlar Internet-temelli VPN kullanıcılarına tam anlamı ile güvenli bir ortam sağlamayı garanti vermektedirler.VPN de tüneller kaynaktaki en uç noktadan verilecek en uç noktaya kadar verileri taşırlar. Bu son nokta genellikle LAN da veya kullanıcı ana sistem aygıtlarında özel geçitkapıları veya sunuculardır.

















                       



































   Şekil-4 : Üç Tip Tünelleme Senaryosu


 2.1Geçitkapısın-dan-Geçitkapısına VPN Tüneli

Bu senaryo güvenilir olmayan Internet üzerinden iki güvenli LAN’nı birbirine bağlamayı amaçlamaktadır. Genellikle tüneller LAN’lar üzerine etkili değildirler , zira onlar özel ağlardır. Ancak risk genellikle Internet kullanımı ile his edilmeye başlanır. Bununla beraber risk sadece Internet kullanımı ile değil , tüm şartlarda güvenilir olmayan firma elemanları da senaryo-1 ri uygunsuz hale getirir. Bu senaryo ancak Internet bağlantılarının desteklediği kurumsal VPN Intranetlerinin şirketler arasında kiralık hatların devreye alınması ile , güvenlik kazanır.

 2.2Internet Ana Sistem-den-Geçitkapısına VPN Tünel Bağlantısı

Bu senaryoda güvenilir kullanıcı ile (kişilik belirlemesinden geçirilmiş) LAN-Temelli kurumsal tünel geçitkapısı arasında bağlantı söz konusudur. Bu iki senaryo arasındaki önemli fark, bir  istemci tarafında  LAN’ın bulunmasıdır.. Bu durum , genellikle istemcinin hareketli (mobile) olması yada SOHO (Small Office , Home Office ) kullanıcılarının dial-in yaparak ya da ISP kullanarak kurumsal ağa bağlanmaları söz konusu olduğunda ortaya çıkar. Bu senaryoda tüneller Internete direkt olarak bağlanan istemci aygıtlarına kadar genişletilebilir.

2.3   Ana Sistem – den - Ana Sisteme (veya uçtan-uca) Tünel

Bu VPN tünellerinin en gelişmiş şeklidir , ancak bazı PC’ler (ana sistemler) henüz direkt tünelleme yeteneğine sahip değildirler.İkinci ve üçüncü senaryoda kullanıcılar güvenilir olmak zorundadırlar. VPN dikkate alındığında bu güvenilirlik çok kritik bir noktadır. Eğer güvenilir olmayan bir kişiye ağ’a girmek için izin verilirse veya güvenilir olmayan bir kişi bir yolunu bularak ağ’a girerse , bu kişiler kolaylıkla ağın her noktasına ulaşabilirler.
Ancak hemen belirtelim ki , VPN tünelleri gerçekten çok güvenilir bir yapıdadırlar. Kullanıcı güvenliği pek çok nedenden kaynaklanmaktadır ;

Kurumsal LAN’da bulunan kullanıcı güvenilirdir , bunun da nedeni LAN nın özel olmasıdır.
Uzakta erişimli kullanıcı güvenilirliğini kişilik belirleme ile kazanır
Belirli güvenlik seviyesi sık sık sertifiye edilir.

Veriler tünel geçitkapısı, kullanıcı ana sistemi, tünelin en ucundaki aygıttan aktarılmadan önce şifrelenir veya kapsül içine alınır.  Daha sonra bu paketi alan aygıt bunları şifreden çözer veya kapsül içinden çıkarır. Tünellemede bilgilerin kapsül içine alınma işlemi , çerçeve içindeki paket ve onun içindeki iletilerin (mesaj) kapsül içine alınmasına benzer. Tünelin kapsülleme işlemleri yalnızca tünelin en son noktası tarafından bilinmektedirEğer saldırgan (Hacker) bir tünelde kapsül içine alınmış bir çerçevenin içine girebilirse göreceği şeyler , çerçeve tipini bilmediği sürece , ona hiç bir şey ifade etmeyecektir. Zaten çerçeve tipi de sadece VPN tarafından bilinmektedir.
   VPN ‘nin kapsülleme ve şifreleme işlemlerini gerçekleştirmesi temel fonksiyonları arasındadır. Ancak temel fonksiyonlar bunlarla sınırlı değildir. VPN ayrıca VPN trafiği içinde özel bir koruma gerçekleştirir. Örneğin yetenekli bir saldırgan ağ içine girip bir kişiyi kullanarak Internet üzerindeki iletilerin içine girerek onları kendi amacına uygun olarak değiştirebilir. Çoğu kez bizzat istemci ve sunucular bu değişmelerin farkına varmaz. VPN tünel ise paketleri belirler ve onlara sıra ile numaralar verir ve bunlarda yapılacak değiştirme işlemlerini belirlemek için var olan tüm ölçüm tekniklerini kullanır. Birbirini izleyerek gelen paket numara yapısına etki etmeden tünel içine girip paketi yakalamak , değiştirmek ve yerine yeni bir paket yerleştirmek sanıldığı kadar kolay bir olay değildir. Ancak bu durum gerçekleşirse paket belirleme işlemi tam olarak yerine getirilemez.
IP de adres yanıltma uygulaması giderek artan bir düzeye varmış bulunmaktadır. Ancak  adres yanıltma işleminin ilk uygulamalarında  saldırganın adresi taşıyan bir IP paketi üretilmesi olanaklı idi . Bu durumda  paket üretildiği güvenilir ana sistem (veya LAN) veya VPN ‘nin en son noktasında ortaya çıkar. Olayın farkında olmayan istemci ve sunucu paketi kendi ağından gelen bir paket olarak kabul eder ve bunun sonucu her hangi bir kişi olayın farkına varıncaya kadar sistem üzerinde saldırganın arzuladığı bozulmalar gerçekleşir. Ancak bunun gerçekleşebilmesi için , saldırganın kurumsal ağın LAN veya ana sistem sunucu ve kullanıcının IP adresini bilmesi gerekmektedir.























Şekil-5 : Tünellemede Kapsülleme İşlemi İçin Bir Örnek



VPN tünel geçitkapıları veya VPN yönlendiriciler (bazı aygıtlar hem tünel geçitkapısı ve sunucusu ve hem de IP yönlendiricisi durumundadır) bu IP adres yanıltma problemini atlatabilir. VPN tünelleri bu sorunun üstesinden gelebilmek için IP adresi için iki yer ayırır. Örneğin , tüneli kullanan VPN istemcisi  197.43.86.12 IP adresini kullanarak 197.55.124.46 daki VPN sunucuya bir paket göndermektedir. Bu durumda VPN tünel kapsüllemesi iki paket kullanır. İkinci pakette , ki bu gerçekten Internet içinde dolaşmaktadır , IP adres yeri 200.87.19.0 kullanılabilir. Bu durumda gerçek kurumsal IP adres alanı , saldırgan tünelin kapsülleme ve şifreleme yöntemini bilmediği sürece güvenlik altında kalacaktır.
Bazı ISP ‘ler bu IP adres saklama yöntemini kullanıcıların kendi ağlarının omurgasının ayrıntısını öğrenmesini engellemek için kullanmaktadır. Bu uygulama ayrıca küçük ISP de kullanıcıların ülke çapında çok büyük bir ağ’a bağlandığını zan etmesini de sağlamaktadır.Tüneller ayni zamanda özel kiralık hatlar üzerinde de kurulabilir. Pek çok ISP (veya NSP) özel hatlara ek olarak Internet bağlantısı olanağını da sağlamaktadır. Esasta ISP sadece Internet bağlantısı sağlamaktadır , ancak NSP Internet bağlantısına ek olarak , atanmış band genişliği sağlamak üzere kendi özel ağında yüksek hızdaki bağlantı üzerinden , özel hat servisleri sağlamaktadır. VPN , özel işler veya resmi kurumlar için kendi ağları üzerinden veri transferi yapmak üzere , bir taşıyıcı (örneğin TT ) kullanarak , yaratabilir. VPN çok genel olarak Internete bağlanmak üzere ISP veya NSP ler tarafından kullanılan VPN tünelleri yaratılışı ISP veya NSP tarafından dış kaynaklardan istenebilir. Ancak bu durumda tüneller ana sistemlere kadar uzatılmadığı sürece , kurumdan ISP ye ulaşım zayıf bir bağlantı olarak düşünülebilir.

2.4  Tüneller Ne Yapar ?

Tüneller VPN için genel müşterek özellikler sağlar . Tünelleme protokolu , tünelin en ucundaki kullanıcı için , oturum yönetimi olarak bilinen işlemleri gerçekleştirmek üzere , tünelleri kurar ve yönetir. Tünelleme protokolu IP kadar diğer protokolların kapsülleşmesi işini de sağlar ve tünel aygıtları için yetkilendirme yöntemlerini gerçekleştir. Protokol genel olarak verileri şifreler ve tünel içine gönderir. Tünelleme protokolunu kullanmakta olan diğer protokollardan farklılıklarını aşağıdaki gibi özetleyebiliriz.


Tünellerin kurulması ve yönetiminin sağlaması ,
Çoklu protokol desteği sağlaması ,
Tünelin en son noktası için yetkilendirme sağlaması ,
Şifreleme sağlaması , olarak özetleyebiliriz.

Bazı VPN’ler tünelleri sadece kendi çoklu protokollarını desteklemek ve Internet üzerinden IP dışında protokolları iletmek üzere kullanılır.VPN tünelleri tarafından hedeflenen güvenlik seviyesinin gerçekleşmesi için , tüneller çok dikkatli olarak kurulmalıdır. Tüneller iki grup altında toplanabilir. Bazıları sabit olarak kurulurken , bazıları gereksinme duyulduğunda oluşturulabilir. IP adres alanı kesinlikle , Class-C IP adres alanı için , 256 tünelden daha az tünelin kurulmasına ve bakımına izin vermektedir.

Eğer bu rakamın üstünde tünel kurulması gerçekleştirilirse , bu durum diğer tüneller için daha az IP adresinin kalmasına neden olur. Bu durum özellikle ana sistem-den-geçitkapısına ve ana sistem-den-ana sisteme çok fazla bağlantı kurulduğunda , çok geniş Intranetlerde yaşanan duruma benzetilebilir.Tünel kurulduğunda , tünel aygıtları bilgi ( kullanıcıya ait parola , sifreleme metotları ve anahtarlar ve tünelleme protokolları ve ayrıca paketlere ait birbirini izleyen numaralar , paket belirleyiciler , kaynak ve varılacak ağ adresleri vb.. ) alışverişini başlatır. 





2.5  Tünelleme Protokolları

Tünelleme protokolları IP kullanılır , zira Internet tünel verilerini iletmektedir. Internet içinde dolaşmak için VPN sahipleri tarafından kullanılan diğer ağ protokollarını taşıyan paketler , kapsüllenerek tünel içinde taşınırlar. İlk orijinal tünel protokolu GRE (Generic Routing Encapsulation) idi ve yönlendiriciler arasında çalışabilmek üzere tasarlanmıştı. Bazı VPN’ler yönlendiricileri , tünelleme geçit kapısı ve güvenlik duvarları yönlendiricileri gibi kullanır.





























Şekil-6 : Internetteki riskler ve VPN de bunların karşılıkları.

VPN tünelleme protokollarının pek çoğu GRE den çok daha güçlü yeteneklere sahiptir. Bu protokollar içinde PPTP ( Point-to-Point Tunneling Protocol) ve Cisco System tarafından geliştirilen L2F ( Layer 2 Forwading Protocol)  ve Microsoft ile Cisco’nun birlikte çalışması ile oluşan ve PPTP ile L2F protokollarının karışımı olan L2TP (Layer 2 Tunneling Protocol) sayılabilir.Bunlara ek olarak ATMP (Ascent Tunnel Management Protocol) uzaktan erişim kullanan kurumsal VPN’lere ulaşma olanağı sağlar. Ancak Ascent (şindi Lusent Technologies’nin bir parçası) firma bağımlı bir protokoldur.ATMP UDP User Datagram Protocol ve GRE’yi kullanarak IP ve IPX (Internet Packet Exchange) paketlerini tüneller. Compatible Systemler şirketi tarafından geliştirilen ve yönlendiriciler üzerinde kullanılan STEP (Secure Tunnel Establishment Protocol) halen geliştirme aşamasındadır ve üzerindeki çalışmalar devam etmektedir.
IP,IPX , NetBEUI (Network Basic Input/Output Extended User Interface) ve AppleTalk tarafından yaratılan paketler PPTP ve L2TP desteği ile tünellenirler PPTP, L2TP ve L2F Katman 2 de işlem yürütürler ve IP nin üstündeki (4 ncü katman  ve üstü) katmanlardan bağımsızdırlar.Secure IP (IPSec) VPN de tünelleme için kullanılan bir başka protokoldur. IPSec , IP kullanımına gereksinme duyar , zira ağ katmanında (3 ncü katman)  görev yapmaktadır. IPSec sadece IP paketlerini tüneller ve VPN ortamında güvenlik duvarları ile yakın ilişkidedir.
GRE ( Generic Routing Encapsulation) Tünellerin en son noktalarına yerleştirilmiş yönlendiriciler arasında görev yapmaktadır. İlk kez 1994 Ekiminde RFC 1701 isteğine uygun olarak yaratılmıştır Ancak bugünün güvenli VPN tünellerinin oluşturulması için gerekli bazı özelliklerden yoksundur. Ancak hemen belirtelim ki bugünün yeni tünelleme protokollarının hemen hepsi GRE yi temel alarak yaratılmışlardır.GRE bir ağ protokol katmanından diğerine kapsüleme işinde görev yapan genel amaçlı bir yöntemdir. GRE kapsül içine alınmış paketleri adreslemez ve paketlerin ağ içinde nasıl hareket ettikleri ile ilgilenmez.

Bu nedenledir ki , içteki paket Bilgi Paketi (Payload Packet) ve dışa yönlendirilmiş paket te Dağıtım Paketi olarak isimlendirilir. Dağıtım paket protokolunun IP olması gerekmemektedir. GRE-RFC 1702 ; IPv4 dağıtım protokolu olarak kullanılır , ancak GRE diğer dağıtım protokolları tarafından da kullanılabilir. Şekil-7 de başlığın özet bir şekli verilmiş bulunmaktadır.
























   Şekil-7 : GRE nin Başlık Yapısı

Şekil-7 de görüldüğü gibi başlıkta zorunlu ve seçimlik bölümler bulunmaktadır. Zorunlu bölümde bulunan bayrak hangi seçimlik bölümlerin bulunduğunu gösterir.
Kullanılan protokol bölümünde bilgi (payload) protokolu yer almaktadır. Seçimlik olanlar ise ;

Offset : Paketin nelerden oluştuğunu belirtir,
Checksum : Bilginin iletilmesini denetlemek için kullanılır (hatalı bilgi iletimini engellemek),
Anahtar : Şifreleme ve kişilik belirlemede kullanılan yöntemleri belirler,
Sıra Numarası : Paketlere verilmiş sıra numaralarını izleyerek arada kayıpların olup olmadığını belirlemede görev yapar,
Yönlendirme Bilgisi : Yönlendirme yapısını göstermek için kullanılır.

Üç temel tünelleme protokolu bulunmaktadır.

2.5.1  PPTP – Point-to-Point-Tunneling Protocol

PPTP yönlendiriciler arasında çok yoğun olarak kullanılan PPP nin geliştirilmiş bir şekli olan veri bağlantı protokoludur. PPTP yapımcıları olan 3Com , Ascent , ECI Telamatics , Microsoft , US Robotics ‘in oluşturduğu PPTP Forum tarafından geliştirilmiştir.   PPTP , IPX , NetBEUI , AppleTalk ve IP gibi protokolların çalışmalarına izin veren GRE protokolunu kullanarak paketleri kapsulleştirir ve Internet aracılığı ile gönderir.
   PPP ile PPTP çok yakın bağlantı içinde olduğundan , PPTP , PPP de kurulmuş ayni kişilik belirleme yöntemini kullanır. Başka bir değişle PPTP de PPP gibi CHAT (Challenge Handshake Authentication Protocol ) ve PAP (Pasword Authentication Protocol) protokollarını kullanır.PPP bir iletişim bağlantısı kurduktan sonra , kişilik belirleme işlemi seçimlik bir safha olarak gelir. Ancak bu safha ISP/VPN yapısı tarafından  zorunlu istek olarak hemen uygulamaya sokulmalıdır , aksi halde bütünlüğün sağlanması kesinlikle mümkün olmayacaktır.
Microsoft kendi işletim sistemi içinde PPTP için geniş bir destek sağlamaktadır. Windows 95/98 , Windows NT , PPTP yüklenmiş durumdadır ve bu nedenle PPTP nin istemci yazılımında ek bir değişikliğe gerek yoktur. Bu durum Microsoft kullanıcıları için büyük bir üstünlüktür. Zira  Widows 95/98 ve Windows NT dışındaki işletim sistemi kullanıcıları , üçüncü parti VPN yazılımları için ek bir ödeme yapmak zorundadır. Ayrıca aşağıda Web adresi verilen  Network Telesystems Mac ve Windows 3.1 sistemler için PPTP istemci desteği sağlamaktadır.

                     http://www.nts.com (http://www.nts.com)

Windows 95 , PPTP ye kendi dial-up ağ işlem  (Dial-Up Networking-DUN) içinde çalışma olanağı sağlar. Windows NT PPTP ile kendi RAS servis yazılımı içinde birlikte çalışır. İlk uygulamalarda istemciden LAN na tünelleme sadece Windows 95 ve Windows NT de sağlanmıştır. RRAS (Routing ve RAS ) devreye girişi ile Microsoft LAN-dan-LAN na tünelleme olanağı getirmiştir.
Hareketli istemci ana sistem ile LAN-Temelli sunucu arasında tünel oluştuğunda PPTP tünel kuruluşu için iki bağlantının da sağlanması gerekmektedir ; birincisi , PPTP istemci ile RAS arasında , ikincisi RAS ile PPTP sunucu arasındadır. Bu iki bağlantı ile PPTP içinde GRE tüneli kurulmuş olmaktadır.PPTP istemci ile PPTP sunucu arasındaki bağlantı GRE tünelidir.Bu tünel oluştuktan sonra , PPP çerçeveleri taşıyan IP paketleri içindeki veriler PPTP istemci ile PPTP sunucu arasında iletilir. Bu yöntem GRE nin Paket İçinde Paket yapısından çok daha etkendir. Ayrıca GRE başlığı , dağıtım paketi ile bilgi protokol çerçevesi arasında kullanılır. PPTP kapsülü oluşmasında , eğer istemci uzaktan erişim dial-in istemci değilse dış çerçeve protokolu PPP , Frame Relay veya diğer PPTP yi kullanan bir diğer LAN çerçeve olabilir.
PPTP istemci , RAS ve PPTP sunucularının her biri farklı yazılım gereksinimi gösterirler.
Örneğin ISP nin RAS’ında (bu bağlantıda Internet kullanılmaktadır) PPTP desteği sağlanmamaktadır. Buna karşılık PPTP yazılımı taşıyan Windows NT kullanmakta ise istemci güvenli bağlantı yapmak üzere PPTP tünellerini kullanma olanağına sahip bulunmaktadır. Bunun tersi bir durumda ise güvenli bağlantı için istemcinin gerekli yazılımı temin etmesi şarttır.
RAS-PPTP sunucu aracılığı ile sağlanan PPTP desteğini kullanma yerine hareketli istemci üzerine PPTP yazılımının kullanılması halinde VPN ‘nin çok geniş coğrafik alan üzerinde çoklu ISP bölgelerini desteklemesi olanaklıdır. Geniş bir desteklemesinin nedeni her bir ISP nin PPTP gereksinim duymamasıdır. Bu düzenleme kurumların geniş olarak Windows işletim sistemi kullanması durumunda sorun yaratmayacaktır. Küçük organizasyonlarda  eğer bir yerel ISP iş için VPN uzaktan erişim bağlantısının tümünü sağlıyorsa her iki seçenek te geçerli olacaktır.
PPTP sunucu özel kurumsal LAN ‘lara bağlanır ve GRE – Şifrelenmiş tünelin sonlandırmasını oluşturur. PPTP sunucusu yazılımında genellikle paket süzme özelliği de vardır. Bu da VPN ‘ne ek bir güvenlik duvarı özelliği ekler.Microsoft PPTP uygulamasında RFC-40-bit şifreleme algoritması da eklenmiş bulunmaktadır. Bu uygulama özellikle Brute-Force , Play-Back saldırısına karşı korumalarda etken rol oynar.Microsoft PPTP , kendi PPTP sunucusunda 255 bağlantıya kadar olanak sağlamaktadır. PPTP yazılımına istemci yazılımı da eklendiğinde , örneğin 200 den daha az uzak erişim istemcisinin bulunduğu bir VPN uygulamasında Windows 95/98 be NT kullanıcıları için bir parasal yönden avantajlı durum söz konusu olabilir. Ayrıca , PPTP sunucu ve yönlendirici normal PPP veya çok güvenli PPTP yi desteklemek üzere kurulmuş ise , bunlar geniş miktarda uzaktan erişim kullanıcılarını destekler.


2.5.3 Layer 2 Tunneling Protocol

VPN tünelleri PPTP veya L2F kullanarak kurulabilir . Ancak şunu akıldan uzak tutmamak gerekir ki , Windows işletim sistemleri , Internet omurgasının hemen % 80 nini oluşturan  Cisco yönlendiriciler ve diğer Cisco ekipmanları ile birlikte yer almış bulunmaktadır. Sonunda Microsoft ve Cisco birlikte VPN’de Internet üzerinde tünelleme protokolunu desteklemek üzere ve her iki şirket ürünleri ile uyumlu olacak bir protokol geliştirdiler. İşte L2TP bu ortak çalışmanın bir ürünüdür.
Bu iki şirket Cisco’dan L2F donanım çözümü ile Microsoft’un PPTP yazılım ürünlerinin en yararlı kısımlarını seçerek bir araya getirdiler. Daha sonra da birlikte IETF ye baş vurup bu ürünün standartlık onayını istediler. Pek çok kuruluş daha şimdiden L2TF yi standart (De-Facto Standart) olarak benimsedi ve kullanmaya başladı. Bu durumda L2TF nin standart olarak kabulünün gerçekleşmesi kaçınılmazdır. Firmaların L2TF yi hemen benimsemelerinin bir nedeni de bu ürünün L2F ve PPTP nin üstün özelliklerini birleştirmesi yanında firma bağımlı olmamasıdır.

2.6  L2TF’nin Blokları Oluşturması

Açıklamalara geçmeden önce çok kısa olarak L2TF deki geçecek terminolojiyi tanıtalım ;
LAC (L2TF Access Concentrator) = Bu L2TF de bir yönlendirici veya
                                                               RAS olabilir.
LNS ( L2TF Network Server)          = PPTP de PPTP sunucu(veya yön-
                                                                lendirici) nun benzeridir.
NAS’ın bir tipi olan LAC , istemci sistem ile Internet arasında , PPP bağlantısının bir en uç noktasında bulunur. Veri akışı L2TP tanımlamalarında belirtilen trafik tipini kullanarak ve bir veya pek çok LNS den geçerek tünelin sonunda en son LNS ye ulaşır. PPP tarafından taşınan herhangi bir protokol LNS ye tünellenir. LAC gönderilecek bağlantı duyurularını oluşturur ve gelen duyuruları alır. Ayrıca LAC , L2TP nin LNS ile birden fazla oturum oluşturmasına olanak sağlar. L2TF bu oturumların her birine bir duyuru ID si atar. Bu ID L2TP paket başlığına yerleşir ve böylece oturumların birbirine karışması engellenir. LAC ile LNS arasında QoS (Quality of Service ) desteği ile de bir tünelde bir oturum veya bir tünelde çoklu oturum kurulması olanaklıdır.
QoS , ATM in farklı öncelikli ve farklı trafik tipinde iletimine izin veren bir özelliğidir. Başka bir deyişle QoS kullanıcılar arasında farklı öncelikleri ve trafik tiplerini belirlemede önemli rol oynar. Ayrıca L2TP çoklu oturumların karışmaması için oturumlara farklı ID vermesine ek olarak , bir de tünellere ID atar.L2TP ile PPTP tünelleri arasındaki fark çok azdır. En belirgin olan fark L2TP nin tünel oluşturması aşamasında GRE protokolunu kullanmamasıdır. LNS , L2TP yi kullanarak PPP trafiğini oluşturur ve L2TP protokolunun sunucu trafiğini düzenler. L2TP , LNS nin trafik yığılmalarını engellemesini yönetmesine olanak sağlayarak  LAC ile LNS arasında akış kontrolunü denetlenmesini olanaklı kılar.L2TP , LAC nın sağladığı tünellerin üzerinden tek bir ortam tipi (FR , X25 vb.. ) , tek bir LAN veya WAN ara yüzü kullanır. L2TP ayni zamanda LAC desteğinde her hangi PPP tipi ara yüzünden yararlanarak çağırıları gerçekleştirir.
Şimdi L2TP ile ilgili uygulamaları bir sıra halinde özetleyelim ;
1- Bir NAS (RAS da olabilir) ISDN (Integrated Services Digital Network) veya PSTN (Public Switched Telephone Network) bağlantılarını kullanarak nokta-dan-noktaya bağlantıları gerçekleştirir. Bir NAS ayni zamanda , LAC ,LNS veya ikisi gibi hizmet verebilir.
2- Bir L2TP tüneli ayni zamanda bir Bağlantı Kontrolü olarak ta adlandırılır. Zira oturumlara ek olarak , kontrol özellikleri , tünellerin korunması ve bakımı işlevlerini de yerine getirir.
3- Oturum , LNS bir çağırı gerçekleştirdiğinde ve dial-up kullanıcı ve kendisi arasında son-dan-sona PPP bağlantısı gerçekleştirme girişiminde bulunduğunda , gerçekleşir. Daha sonra da oturum paketleri LAC/LNS tünelleri üzerinden dolaşmaya başlar.
4- Bir tünel yaratıldıktan sonra , L2TP , LNS ye yeni dial-up oturum için bir çağrı gönderir. Ancak LNS bağlantıyı kabul edip etmemekte serbesttir.
5- Bağlantı bilgileri içinde PAP or CHAP dan sağlanan kişilik belirleme bilgileri de bulunmaktadır. Daha sonra LNS bu iki kişilik belirleme yöntemlerinden birini veya RADIUS veya TACACS+ gibi  kişilik belirleme yöntemlerinden birini seçer.
 

3.Tünelleme ve VPN

Tünelleme kısaca kapsüllemenin bir formu olarak tanımlanır. Tünellemede , kullanıcı verisi ağ paketi ile beraber diğer ağlar üzerinden iletişiminin gerçekleşmesi için bir iletişim paketi içinde , paketleme işlemidir. Transport Network Internet içinde gerekli değildir , o ancak AT&T , Bolt , BBN gibi büyük ticari ISP tarafından ayakta tutulmaktadır. Ayrıca PSINet ve WordNet gibi kuruluşlarda Yönetilen Internet servisleri sağlanmaktadır. Çok geniş VPN gereksinmelerini karşılamak üzere , bunların sağlanmasını bir ISP ye veya bir diğer Ağ Servis Sağlayıcıya ( NSP) devir etmek yerinde bir uygulama olacaktır.TCP/IP protokol ikilisi normal olarak VPN ürünleri içinde bulunur , zira bir çok ürün ağ iletimi için Interneti kullanacak şekilde tasarlanmıştır. Ancak VPN ürünleri sadece TDP/IP yi kullanma ile kısıtlı değildir , TCP/IP tünellerinde pek çok ürün IPX ,NetBEUI gibi diğer tünelleme protokolları da desteklenir.
TCP/IP nin arkasında iki tünel tipinin yaratılması olanaklıdır.
3.1   Zorunlu Olmayan Tüneller
Örneğin , bir kullanıcı uzaktan erişim ana sistemine Internet aracılığı ile ulaşmak isteğinde bulunursa zorunlu olmayan bu tüneller oluşacaktır. Ayni organizasyon içinde kullanıcılar iletişim ağı olarak Interneti kullanarak kendi Intranetleri üzerinden iletişimde bulunabilirler. Ancak bu durumda her uzaktan erişim ana sisteminde bu zorunlu olmayan tünellerin oluşabilmesi için özel bir yazılıma  gereksinim vardır.  Bu uygulama bir eksiklik olarak görülürse de Zorunlu Olmayan tünellerin güvenlik , mahremiyet ve bütünlüğü arttırıcı bir etkisinin bulunduğunu da unutmamak gerekir.
3.2   Zorunlu Tüneller
Kullanıcı bağlantı isteğinde bulunduğunda ISP aracılığı ile oluşan tünellerin kullanımında uzaktan erişim ana sistemlerde  özel bir yazılıma gereksinim yoktur. Zira bu tünellerde uzaktan erişim aygıtları ISP tarafından sağlanmaktadır. Ancak bu durumda kullanıcılara çeşitli bağlantı tipleri seçeneği şansı tanınmamaktadır.
Zorunlu tüneller bağlantı tipinin iki büyük üstünlüğü bulunmaktadır ;
1-   Kullanıcı sistemi üzerine özel bir yazılım yüklenmesine gerek yoktur. Böylece hem daha ucuz hem de daha kolay bir kullanım söz konusudur. Kullanıcının kullanma anında devamlı olarak özel yazılımla karşılıklı olarak etkileşimde bulunması kullanımı güçleştirmektedir.
2-   Kurum içinde olmayan bir kullanıcı özel yazılım kullanmadan , yani VPN tünelleri yaratmadan , Internete bağlanırsa güvenliği tümüyle Allaha kalacaktır. Bugün için TT , TTNet üzerinden Frame Relay destekli kişisel bağlantılara Internete ulaşma  olanağı vermektedir. Fiyat olarak ta oldukça uygun görülebilir. Ancak sorun sadece TTNet’e bağlanmakla birmemektedir. Bu tip kullanıcı ek özel bir yazılımla ISP nin kendisine sğladığı güvenli ortamı yaratmak zorundadır.
Zorunlu tüneller sınırsız Internet ulaşımı yapması için belirli adet kullanıcı için de kurulabilir ve kullanıcılara kurumsal VPN üzerinden Internete ulaşım olanağı sağlar. Zorunlu olmayan tüneller üzerinden seçilen zorunlu tüneller , kullanıcıların ulaşımını denetlemede daha etken olmaktadır..
Zorunlu tüneller iki tip sınıftan oluşmaktadır .; Durağan (Static) ve Hareketli ( Dynamic). Durağan tüneller de iki alt sınıfa bölünür ;
1- Otamatik Atanmış Tüneller. Bu tüneller , kulanıcıları tünel bağlantısını kullanabilmeleri için özel bir numarayı çevirmelerini zorunlu kılmaktadır.
2- Alan Temelli Tüneller. Bu tüneller kullanıcı isminin bir bölümünü denetler. Kullanıcı ismi belirlendikten sonra , tünelleme aygıtları kullanıcı trafiğini kullanıcı adı üzerinden tüneller. 


     
                                Şekil-8 : Bir Katman 2 Tünelleme Protokolu Tünel

Katman 3 tünelleri , tünel son noktaları arasında IP temelli sanal bağlantılar gerçekleştirir. Tünellenmiş paketlerin içine , veri tümleşmesi ve gizliliğini güven altına almayı sağlamak üzere paket düzeyinde şifreleme ve kişilik belirleme işlevlerini içeren protokollar içine yerleştirilir. Katman 3 tünellemede kullanılan bir protokoldur ve bu protokol IP üzerinden L2TP kullanabilmektedir.



Kurumlar katman 3 tünellemeyi kullandıklarında ağ Internet adreslerini kayd ettirmek zorunda değillerdir.
VPN  ekipman satıcı firmalarının hemen tümü katman-2 ve katman 3 desteğini birlikte vermektedir. Bazı satıcılar tünellere ve RAS ‘lara aygıtları ekleyerek işlemleri basitleştirmişlerdir. Uyumlu sistemler yönlendirici , güvenlik duvarı , RAD ve tünel geçit kapısını içine alan tam bir VPN aygıtı sağlamaktadır.



Şekil-9 : Katman 2 Tünelleme Protokolu Tünel Kapsüllemesi


3.3  LAN-dan-LAN’a Ağ Tünelleri

Tünelleme konusu ilk adımda VPN’e dial-up bağlantı konusuna odaklanmış bulunmaktadır. Zira VPN tünelleri çoğunluk bu amacı gerçekleştırmek ve yönlendirici-den-yönlendiriciye VPN trafiği için özel hat güvenliğini sağlamak üzere oluşturulmuştur. Ayrıca L2TP gibi tünelleme protokolları Internet üzerinden güvenli bir bölümden (site) diğerine güvenilir iletişimi gerçekleştirmeye de olanak sağlar
                 

Şekil-10 : LAN-dan-LAN’a VPN Tünelleme İçin Katman-2 Tünelleme  Protokolu

Kaynak : https://openaccess.maltepe.edu.tr/xmlui/bitstream/handle/20.500.12415/3636/221935.pdf