VPN tünelleri ve kanal şifrelemesi
Kısa Özet
VPN (Sanal Özel Ağ), güvensiz bir ağın (genellikle İnternet) üstünde güvenli bir kanal oluşturmanıza izin veren bir teknolojiler topluluğudur. Anahtar hedefler: gizlilik (şifreleme), bütünlük (mesaj kimlik doğrulaması), özgünlük (düğümlerin/kullanıcıların karşılıklı kimlik doğrulaması) ve kullanılabilirlik (arızalara ve kilitlere karşı direnç). Kurumsal bir altyapıda VPN, siteden siteye, uzaktan erişime, bulut bağlantısına ve makineden makineye komut dosyalarını kapatır. Modern uygulama, "düz" L3 ağlarını en aza indirgemek ve segmentasyon, en az ayrıcalık ilkesi ve Zero Trust'a kademeli bir geçiş uygulamaktır.
Temel kavramlar
Tünelleme - paketlerin bir protokolden diğerine kapsüllenmesi (örneğin, UDP içindeki IP), özel bir adres planını ve politikalarını bir genel ağ üzerinden "taşımanıza" izin verir.
Şifreleme - trafik içeriği koruması (AES-GCM, ChaCha20-Poly1305).
Kimlik doğrulama - düğümlerin/kullanıcıların kimlik doğrulaması (X.509 sertifikaları, PSK, SSH anahtarları).
Bütünlük - sahteciliğe karşı koruma (HMAC, AEAD).
PFS (Perfect Forward Secrecy) - oturum anahtarları uzun vadeli olanlardan alınmaz; Uzun vadeli bir anahtardan ödün vermek, geçmiş oturumları açıklamaz.
Tipik senaryolar
1. Siteden Siteye (L3): ofis ↔ veri merkezi/bulut; Tipik olarak bir IPsec/IKEv2, statik veya dinamik yönlendirici.
2. Uzaktan Erişim (Kullanıcıdan Siteye): Dizüstü bilgisayarlardan/cep telefonlarından çalışanlar; OpenVPN/WireGuard/IKEv2, MFA, bölünmüş/tam tünel.
3. Hub-and-Spoke: Merkez hub'ın tüm şubeleri (on-prem veya Cloud Transit).
4. Mesh: tamamen bağlı şube/mikrodatent ağ (dinamik yönlendirme + IPsec).
5. Buluttan Buluta: Bulutlar arası bağlantılar (IPsec tünelleri, Cloud VPN/Transit Gateway, SD-WAN).
6. Servisten Servise: kümeler/ad alanları arasındaki makine bağlantıları (WireGuard, CNI/SD-WAN'da IPsec, servis düzeyinde mTLS).
VPN protokolleri ve güçlü oldukları yerler
IPsec (ESP/IKEv2) - Siteden Siteye Altın Standart
Katmanlar: IKEv2 (anahtar değişimi), ESP (trafik şifreleme/kimlik doğrulama).
Modlar: tünel (genellikle), ulaşım (nadiren, host-to-host).
Artıları: donanım yükleri, olgunluk, satıcılar arası uyumluluk, otoyollar ve bulut ağ geçitleri için idealdir.
Eksileri: yapılandırma karmaşıklığı, NAT'a duyarlılık (NAT-T/UDP-4500 tarafından çözüldü), politikaları koordine ederken daha fazla "ritüel".
Kullanım: şube ofisler, veri merkezleri, bulutlar, yüksek performans gereksinimleri.
OpenVPN (TLS 1. 2/1. 3)
Katmanlar: L4/L7, UDP/TCP üzerinden trafik; Genellikle UDP üzerinden DTLS benzeri şema.
Artıları: esnek, maskeleme becerileri ile iyi NAT ve DPI geçer (tcp/443), zengin ekosistem.
Eksileri: IPsec/WireGuard'dan daha yüksek yük; Düzgün kripto yapılandırmasına ihtiyaç var.
Kullanım: uzaktan erişim, karışık ortamlar, ağın "penetrasyonu" önemli olduğunda.
WireGuard (NoiseIK)
Katmanlar: UDP üzerinden L3; Minimalist kod tabanı, modern kripto ilkelleri (Curve25519, ChaCha20-Poly1305).
Artıları: yüksek performans (özellikle cep telefonlarında/ARM'de), yapılandırmaların basitliği, hızlı dolaşım.
Eksileri: yerleşik PKI yok; Anahtar/kimlik yönetimi etrafında süreçler gerektirir.
Kullanım: uzaktan erişim, kümeler arası bağlantı, modern yığında S2S, DevOps.
SSH tünelleri (L7)
Типы: Yerel/Uzak/Dinamik (ÇORAP).
Artıları: Nokta erişimi/yönetici paneli için "cep" aracı.
Eksileri: Kurumsal bir VPN olarak ölçeklenebilir değil, anahtar yönetimi ve denetim daha zordur.
Kullanım: hizmetlere nokta erişimi, kapalı bir ağa "periskop", atlama-host.
GRE/L2TP/... (şifrelemesiz kapsülleme)
Amaç: L2/L3 bir tünel oluşturur ancak şifrelemez. Tipik olarak IPsec ile birleştirilir (IPsec üzerinden L2TP/IPsec üzerinden GRE).
Kullanım: Kanalın L2 niteliğinin gerekli olduğu nadir durumlar (eski protokoller/L3 üzerinden yalıtılmış VLAN'lar).
Kriptografi ve Ayarlar
Şifreler: AES-GCM-128/256 (donanım hızlandırma, AES-NI), ChaCha20-Poly1305 (mobil/AES-NI olmadan).
CEC/gruplar: ECDH (Curve25519, secp256r1), gruplar DH ≥ 2048; PFS'yi etkinleştir.
İmzalar/PKI: Tercih ECDSA/Ed25519; Serbest bırakma/döndürmeyi otomatikleştirin, OCSP/CRL kullanın.
Anahtar ömürleri: kısa IKE SA/Child SA, düzenli rekey (örn. 8-24 saat, trafikte/zamanda).
MFA: kullanıcı VPN'leri için - TOTP/WebAuthn/Push.
Performans ve güvenilirlik
MTU/MSS: Doğru PMTU konfigürasyonu (genellikle UDP tünelleri için 1380-1420) kenar düğümlerinde MSS kelepçesi.
DPD/MOBIKE/Keepalive: "Düşmüş" eşlerin operasyonel tespiti, kesintisiz dolaşım (IKEv2 MOBIKE, WireGuard PersistentKeepalive).
Yönlendirme: ECMP/Multipath, dinamikler için tüneller üzerinden BGP.
Aktarım: donanım kripto hızlandırıcıları, SmartNIC/DPU, Linux çekirdeği (xfrm, WireGuard çekirdeği).
Çığır açan kilitler: bağlantı noktalarının/taşımaların değiştirilmesi, el sıkışmanın gizlenmesi (yasal olarak izin verildiğinde).
QoS: Trafik sınıflandırması ve önceliği, gerçek zamanlı akışlar için jitter kontrolü.
Topolojiler ve tasarım
Full-tunnel vs Split-tunnel:- Tam: VPN üzerinden tüm trafik (kontrol/güvenlik daha yüksek, yük daha yüksek).
- Split: Yalnızca ihtiyacınız olan alt ağlar (tasarruf, daha az gecikme, "bypass" kanallarının korunması için artan gereksinimler).
- Segmentasyon: ortamlar için bireysel tüneller/VRF/politikalar (Prod/Stage), veri alanları (PII/finansal), sağlayıcılar.
- Bulutlar: Bulut VPN/Transit Ağ Geçitleri (AWS/GCP/Azure), IPsec S2S, merkezi bir transit hub üzerinden yönlendirme.
- SD-WAN/SASE: Otomatik kanal seçimi, dahili telemetri ve güvenlik politikaları ile kaplamalar.
Kanal ve Çevre Güvenliği
Firewall/ACL: port/subnet'e göre açık allow-lists, varsayılan olarak reddet.
DNS güvenliği: tünelden zorla kurumsal DNS, sızıntılara karşı koruma (IPv6, WebRTC).
İstemci politikaları: kill-switch (tünel düştüğünde trafik bloğu), uyumluluk gerektirdiğinde split-DNS yasağı.
Günlükler ve Denetimler: SA tarafından reddedilen el sıkışmaları, kimlik doğrulama, yeniden doğrulama günlüklerini merkezileştirin.
Sırlar: HSM/satıcı KMS, rotasyon, PSK minimizasyonu (tercihen sertifikalar veya WG anahtarları).
Aygıtlar: uyumluluk denetimi (işletim sistemi, yamalar, disk şifrelemesi, EDR), NAC/MDM.
Gözlemlenebilirlik, SLO/SLA ve uyarı
Temel metrikler:- Tünel kullanılabilirliği (% çalışma süresi).
- Gecikme, titreme, anahtar yollarda paket kaybı.
- Bant genişliği (p95/p99), kripto düğümlerinin CPU/IRQ'su.
- Rekey/DPD olaylarının oranı, kimlik doğrulama hataları.
- Parçalanma/PMTU hataları.
- "VPN hub kullanılabilirliği ≥ 99. Ayda %95"
- "DC-A ve DC-B arasındaki p95 gecikmesi ≤ 35 ms".
- «< 0. Saatte başarısız IKE SA'ların %1'i.
- Tünel aşağı> X sn; DPD dalgalanması; el sıkışma hatalarının büyümesi; p95> eşik bozulması; CRL/OCSP hataları.
Operasyonlar ve Yaşam Döngüsü
PKI/sertifikalar: Otomatik sürüm/güncelleme, kısa TTL, tehlikeye atılırsa derhal iptal edin.
Anahtar döndürme: eşlerin aşamalı olarak değiştirilmesiyle düzenli.
Değişiklikler: Geri alma (eski/yeni SA paralel), bakım pencereleri ile planları değiştirin.
Break-glass: yedek hesaplar/anahtarlar, jump-host aracılığıyla belgelenmiş manuel erişim.
Olaylar: Uzlaşma şüphesi durumunda - sertifikaların iptali, PSK rotasyonu, force-rekey, port/adres değişikliği, günlüklerin denetimi.
Uyum ve Yasal
GDPR/PII: Geçişte şifreleme zorunludur, erişimi en aza indirir, segmentasyon.
PCI DSS: güçlü şifreler, MFA, erişim günlükleri, kart sahibi segmentasyonu.
Yerel trafik/kripto kısıtlamaları: yargı gereksinimlerine uygundur (kripto ihracatı, DPI, engelleme).
Günlükler: Politikaya göre depolama (saklama, bütünlük, erişim).
Zero Trust, SDP/ZTNA vs klasik VPN
Klasik VPN: Ağ erişimini dağıtır (genellikle geniş).
ZTNA/SDP: bağlamsal doğrulamadan sonra belirli bir uygulamaya/hizmete erişim sağlar (kimlik, cihaz durumu, risk).
Hibrit model: VPN'i highways/S2S ve kullanıcılar için bırakın - ZTNA istenen uygulamalara kiremit; Yavaş yavaş "düz" setleri kaldırın.
Bir protokol nasıl seçilir (kısa matris)
Dallar/bulutlar arasında: IPsec/IKEv2.
Kullanıcılara uzaktan erişim: WireGuard (hafif ve hızlı bir istemciye ihtiyacınız varsa) veya OpenVPN/IKEv2 (olgun bir PKI/politikaya ihtiyacınız varsa).
Proxy/DPI yoluyla yüksek penetrasyon: OpenVPN-TCP/443 (faturaların farkında olarak) veya şaşırtma (izin verilen yerlerde).
Mobil/dolaşım: WireGuard veya MOBIKE IKEv2.
L2 üzerinden L3: IPsec ile GRE/L2TP (şifreleme gereklidir).
Uygulama kontrol listesi
1. Erişim alanlarını (Prod/Stage/Back-office) ve minimum ayrıcalıklar ilkesini tanımlayın.
2. Protokol/topoloji (hub-and-spoke vs mesh), plan adresleme ve yönlendirme seçin.
3. Kripto profilini onaylayın (AES-GCM/ChaCha20, ECDH, PFS, kısa TTL).
4. PKI, MFA, son tarih ve yayın politikasını ayarlayın.
5. MTU/MSS, DPD/MOBIKE, keepalive yapılandırın.
6. Günlüğü, panoları, SLO metriklerini ve uyarıları etkinleştirin.
7. Yük/feiler testi yapın (göbeğin düşmesi, rekey-patlamalar, bağlantı değişikliği).
8. Belge kırma camı ve rotasyon prosedürü.
9. Kullanıcıların eğitimi onboarding yapmak (müşteriler, politikalar).
10. Erişim ve denetim raporlarını düzenli olarak gözden geçirin.
Yaygın hatalar ve bunlardan nasıl kaçınılacağı
IPsec olmadan L2TP/GRE: şifreleme yok - her zaman IPsec ekleyin.
Yanlış MTU: parçalanma/damlalar - MSS-kelepçesini yapılandırın, PMTU'yu kontrol edin.
PSK "forever": modası geçmiş tuşlar - rotasyon, certificates/Ed25519 geçiş.
Bölünmüş tünelde geniş ağlar: trafik sızıntısı - net rotalar/politikalar, DNS yalnızca VPN üzerinden.
Yedeklilik olmadan tek "süper hub": SPOF - varlık-varlık, ECMP, çeşitli bölgeler.
El sıkışma izleme yok: "sessiz" düşüyor - DPD/alarmlar/deshboards.
Örnek Konfigürasyonlar
WireGuard (Linux) - 'wg0. 'conf
ini
[Interface]
Address = 10. 20. 0. 1/24
PrivateKey = <server_private_key>
ListenPort = 51820
Client 1
[Peer]
PublicKey = <client1_public_key>
AllowedIPs = 10. 20. 0. 10/32
PersistentKeepalive = 25ini
[Interface]
Address = 10. 20. 0. 10/32
PrivateKey = <client_private_key>
DNS = 10. 20. 0. 2
[Peer]
PublicKey = <server_public_key>
Endpoint = vpn. example. com:51820
AllowedIPs = 10. 20. 0. 0/24, 10. 10. 0. 0/16
PersistentKeepalive = 25StrongSwan (IPsec/IKEv2) - 'ipsec. 'conf
conf config setup uniqueids=never
conn s2s keyexchange=ikev2 ike=aes256gcm16-prfsha384-ecp256!
esp=aes256gcm16-ecp256!
left=%any leftid=@siteA leftsubnet=10. 1. 0. 0/16 right=vpn. remote. example rightsubnet=10. 2. 0. 0/16 dpdaction=restart dpddelay=30s rekey=yes auto=startconf
: RSA siteA. keyOpenVPN (UDP, TLS 1. 3) - 'sunucu. 'conf
conf port 1194 proto udp dev tun tls-version-min 1. 3 cipher AES-256-GCM data-ciphers AES-256-GCM:CHACHA20-POLY1305 auth SHA256 user nobody group nogroup topology subnet server 10. 30. 0. 0 255. 255. 255. 0 push "redirect-gateway def1"
push "dhcp-option DNS 10. 30. 0. 2"
keepalive 10 60 persist-key persist-tun verb 3iGaming/fintech platformları için uygulama
Segmentasyon: ödeme entegrasyonları, arka ofis, içerik sağlayıcılar, dolandırıcılıkla mücadele için ayrı tüneller; PII/ödeme alanlarını izole edin.
Sabit erişim politikaları: belirli bağlantı noktalarına/alt ağlara göre makineden makineye (PSP tarafından izin listesi, düzenleyiciler).
Gözlemlenebilirlik: P95 Time-to-Wallet VPN olayları nedeniyle bozulabilir - kritik PSP/bankalara bağlantıyı izleyin.
Uyumluluk: Erişim günlüklerini ve kimlik doğrulamalarını saklayın, MFA'yı uygulayın, düzenli kanal penetrasyon testleri yapın.
SSS
Tüm dallar arasında tam ağ yapmak mümkün mü?
Sadece otomasyon ve dinamik yönlendirme varsa; Aksi takdirde - karmaşıklıkta bir artış. Genellikle daha karlı hub-and-spoke + yerel istisnalar.
Bulutlar arasındaki "dahili" trafiği şifrelemem gerekiyor mu?
Evet. Genel arka uçlar ve bölgeler arası otoyollar IPsec/WireGuard ve sıkı ACL'ler gerektirir.
Hangisi daha hızlı - AES-GCM veya ChaCha20-Poly1305?
AES-NI ile x86 üzerinde - AES-GCM; ChaCha20-Poly1305 genellikle ARM/cep telefonlarında kazanır.
ZTNA'ya Ne Zaman Geçilir?
VPN üzerinden ağ erişimi "geniş" hale geldiğinde ve uygulamalar bağlam kimlik doğrulaması ve cihaz doğrulaması ile nokta olarak yayınlanabilir.
Toplam
Güvenilir bir VPN mimarisi sadece "protokol ve port" değildir. "Bu, PFS, düşünceli segmentasyon, sert SLO'larla gözlemlenebilirlik, PKI/rotasyon disiplini ve ağ erişiminin gereksiz olduğu ZTNA'ya yönetilen bir kripto profilidir. Yukarıdaki kontrol listesini ve seçim matrisini izleyerek, günümüzün dağıtılmış sistemleri için sağlam ve yönetilebilir bağlantı kuracaksınız.