SSL VPN (Secure Sockets Layer Virtual Private Network - Güvenli Yuva Katmanı Tabanlı Sanal Özel Ağ)

Eyl 07, 2013
Kurum ağlarına uzaktan erişmek bilgi paylaşımını kolaylaştırmanın yanı sıra, kaynakların kullanımı açısından maliyeti düşürerek verimin artmasını sağlamıştır. Uzaktan erişim ihtiyacı sorunsuz bağlantı ve güvenlik kaygılarını da beraberinde getirmiştir. VPN (Virtual Private Network - Sanal Özel Ağ) İnternet üzerinden şifreli ve güvenli iletişimin sağlanması için düşünülmüş bir teknolojidir. Kiralık hatlar (Leased-line) gibi daha sağlam ve güvenli bir çözüm yerine VPN kullanılmasındaki temel neden  maliyet, güvenlik ve kolay yapılandırma avantajlarının bir arada bulunmasıdır. Kullanılan amaca ve istenilen güvenlik seviyesine göre kullanılacak VPN türü de farklı olur. VPN ile veriler oluşturulan güvenli tünelin bir ucunda paketlenir ve şifrelenir. Verilerin güvenli bir şekilde istenilen adrese aktarılması kullanılan protokoller sayesinde olur. Kullanılan protokol, IPsec (Internet Protokol Security-İnternet Protokolü Güvenliği) ya da SSL (Secure Sockets Layer-Güvenli Yuva Katmanı) protokollerinden birisi olabilir.

IPSec VPN (Internet Protokolü Güvenliği Tabanlı Sanal Özel Ağ) içerdiği IPsec protokolü ile bağlantının güvenli olmasını sağlamaktadır. Bununla beraber uygulanmasındaki sıkıntılar ve yüksek maliyeti bu teknolojinin kullanılmasını zorlaştırmaktadır. Bu nedenle IPsec VPN yerini daha kolay yönetilebilir ve daha ekonomik olan SSL VPN (Secure Sockets Layer Virtual Private Network - Güvenli Yuva Katmanı Tabanlı Sanal Özel Ağ) teknolojisine bırakmaktadır.

SSL VPN, Güvenli Yuva Katmanı (Secure Sockets Layer) protokolü ile çalışan ve Web tarayıcıları ile HTTPS (Hiper Metin Transferi Protokolü – Güvenli) protokolü üzerinden erişilebilen bir VPN çeşitidir. HTTPS, SSL ile şifrelenmiş en çok bilinen Web iletişimi olarak bilinse de yine SSL ile şifrelenmiş POP3 ve FTP protokolleri çok geniş bir kullanım alanına sahiptir. SSL, Uygulama katmanı seviyesindeki her protokolün şifrelenmesi için kullanılabilir. 

SSL VPN teknolojisi kullanıcı tarafında bir yazılıma ya da donanıma gerek kalmadan işletim sistemlerinin sağladığı İnternet tarayıcılarının kullanılmasıyla bir ağa güvenli bir biçimde bağlanmaya imkan verir. Özellikle çok fazla gezgin kullanıcısı olan kurumlarda her kullanıcıdaki VPN yazılımının sağlıklı çalışmasını sağlamak kurum için büyük bir servis yükü anlamına gelmektedir. SSL VPN teknolojisi, kurumları bu yükten kurtarır. Kolay kurulabilir ve yönetilebilir olmasının yanı sıra bağlantının güvenliğini de sağlaması onu diğer VPN türlerinden daha tercih edilir hale getirmektedir.
   
SSL VPN ile aşağıdaki durumlar sağlanmış olur:

  • VPN ile bağlanmış olan tüm ağlar, sanki aynı ağdaymış gibi çalışır.
  • Hızlı ve sadece kurulum maliyeti olan bir ağ mimarisi oluşmuş olur. Kullanıcı ya da yazılım için lisans bedeli ödenmez.
  • Ek bir donanıma gerek kalmamış olur.
  • Kurumlar, şubeler ve bölgeler arasında SSL sertifikalı şifreli bir iletişim sağlanır.
  • Merkez ve diğer lokasyonlar arasında merkezden yönetilebilir bir ağ yapısı sağlanmış olur.
  • Ağlardaki yerel ağ alt yapısı veya IP adresleri değişmeden, SSL teknolojisi ile güvenliği sağlanan bir veri iletim ortamı oluşur.
  • Yönetici tarafından erişim izinleri farklı olarak atanabilir ve böylece bazı kaynaklara erişim kısıtlanabilir. Erişimin kısıtlanabilir olması bir güvenlik önlemidir. Örneğin bir şirket, iş ortağının sadece hafta içi mesai saatleri içerinde ağ kaynaklarına erişim izni vermek isteyebilir. Böylelikle sistem hep kontrol altında tutulur. 

SSL VPN teknolojisi ile yapılabilecek genel uygulamalar içinde;  e-posta, dosya paylaşımı, dosyalara uzaktan erişim ve uzaktan sistem yönetimi bulunur. Bu teknoloji ile dünyanın her yerinden istenilen dosyalara ve uygulamalara oldukça güvenli bir şekilde erişilebilir.

Çalışma Mekanizması

SSL VPN, içerdiği Güvenli Yuva Katmanı Protokolü ile gönderilen bilgilerin şifrelenmesini sağlayarak, bilgilerin sadece doğru kişiler tarafından ulaşılabilir olmasını sağlar. Her iki tarafta da çalışan protokoller sayesinde çeşitli doğrulamalar yapılarak; hem işlemin hem de bilginin; gizliliği, bütünlüğü ve değişmezliği sağlanmış olur.

Kurulan bağlantıda güvenlik en önemli konuların başında gelmektedir. Asimetrik Şifreleme (Asymmetric Cryptography), çok fazla işlemci gücü tüketmesi ve uygulamada büyük oranlarda veri şifrelenmesi konusunda pratik olmaması nedeniyle bütün bir SSL oturumunun şifrelenmesinde kullanılamaz. Bunun yerine SSL asimetrik şifrelemeyi bir mekanizma olarak, güvenli olmayan bir ağ ortamı üzerinden açık anahtarın (public key) sunucu ve  uzaktan bağlanan kullanıcı arasında paylaşılması sırasında kullanır. Açık Anahtar Şifrelenmesi (Public Key Cryptography), Asimetrik Şifreleme Algoritması kullanılarak gerçekleştirilir. Paylaşılan bu açık anahtar, Simetrik Şifreleme (Symmetric Cryptography) yapılırken kullanılır. Yani kurulan SSL oturumu süresince veri yollanırken, verinin simetrik olarak şifrelenmesi ve deşifre edilmesi bu açık anahtar sayesinde olur. İstenilen güvenlik seviyesine göre 40-Bit veya 128-Bit uzunluğunda anahtar kulllanılabilir. Örneğin 128-Bit şifrelemede 2128 değişik anahtar vardır ve bu şifrenin çözülebilmesi çok büyük bir maliyet ve zaman gerektirir.

Aşağıdaki resim farklı yerlerdeki kullanıcıların kurum ağına SSL VPN ile erişimini göstermektedir:

                       

Resimde görüldüğü gibi veri paylaşımının sadece gönderen ve bu veriyi alması istenen taraf arasında gerçekleşmesi için Güvenli Tünel Oluşturma (Secure Tunneling) denilen işlem gerçekleştirilir. SSL veri paylaşımı yapan bilgisayarlar arasında güvenli tünel oluşturulabilmesine imkan verir. Bilgisayarlar arasında oluşturulan bu güvenli tüneli, iki tarafın güvenli bir şekilde veri paylaşabilmesi için oluşturulmuş güvenli bir kanal olarak ifade etmek mümkündür. Böylece iletişim kurmak istenilen taraf dışında, ağda bulunan hiç bir cihazın paylaşılan verilere ulaşamaz. Tünelleme (Tunneling), sadece SSL VPN' de kullanılan bir teknoloji değildir, bir çok uygulamada kullanılmaktadır. IPsec VPN bu teknolojinin kullanıldığı uygulamalardan birisidir.

SSL VPN, güvenli tünelleri iki işlevi yerine getirerek gerçekleştirmektedir:

  • Bunlardan ilki erişime izin vermeden önce Kimlik Doğrulaması (Authentication) gerçekleştirmesidir. Böylece sadece izin verilmiş taraflarca tüneller oluşturulabilir. 
  • Diğeri ise tüm iletilen verinin şifrelenmesi için SSL kullanarak gerçek bir tünel oluşturmasıdır.

Genel olarak VPN Tünelleme, Ağ Katmanı (Network Layer) ya da daha aşağıdaki bir katmanda gerçekleştirilmektedir. SSL VPN' ler ise farklı çalışır. SSL kullanarak 4. Katman (Taşıma Katmanı-Transport Layer) ve 5.Katman (Oturum Katmanı-Session Layer) seviyesinde çalışan bağlantıyı oluştururlar. Ayrıca bilgiyi 6. (Sunum Katmanı-Presentation Layer) ve 7. Katman (Uygulama Katmanı-Application Layer)  seviyesinde "enkapsüle ederek" OSI (Open System Interconnection) Modelinin en üst katmanları seviyesinde iletişim sağlar. Günümüzde bazı SSL VPN' ler ayrıca 3. Katman (Ağ Katmanı-Network Layer) seviyesindeki bilgiyi SSL üzerinden tünelleyebilme özelliğine sahiptir. Bu özellik onu mevcut VPN teknolojilerinden en kullanışlısı haline getirmiştir.