Ağ & Güvenlik Temelleri21 Mayıs 20268 dakika okuma

VPN Nedir? IPSec VPN ile SSL VPN Arasındaki Farklar

VPN (Virtual Private Network), uzak kullanıcıların ve şube ofislerin şifreli tünel üzerinden kurumsal ağa güvenli erişimini sağlar. IPSec VPN, SSL VPN ve FortiClient ile yapılandırmayı detaylandırıyoruz.

VPNIPSec VPNSSL VPNFortiClientUzak ErişimSite-to-Site

VPN Nedir?

VPN (Virtual Private Network — Sanal Özel Ağ), güvensiz bir ağ (internet) üzerinden iki nokta arasında şifreli ve kimlik doğrulamalı bir tünel oluşturarak özel ağ davranışını simüle eden teknolojidir.

VPN sayesinde uzak çalışanlar evden veya seyahatte iken, şubeler de internet üzerinden kurumsal kaynaklara sanki aynı fiziksel ağdaymış gibi güvenle erişebilir.

VPN Türleri

  • Site-to-Site VPN: İki farklı lokasyondaki ağı (merkez–şube) kalıcı olarak birbirine bağlar. Her iki uçta da firewall bulunur; tünel otomatik olarak kurulur ve sürekli açık kalır.
  • Remote Access VPN: Uzak kullanıcının bireysel olarak kurumsal ağa bağlanmasını sağlar. Kullanıcı bilgisayarına VPN istemcisi kurulur.
  • MPLS / SD-WAN: ISP altyapısı üzerinden özel WAN bağlantısı; teknik olarak VPN değil ancak benzer amaçla kullanılır.

IPSec VPN Nedir?

IPSec (Internet Protocol Security), ağ katmanında (Layer 3) çalışan ve IP paketlerini kimlik doğrulama ile şifrelemeyle koruyan bir protokol paketidir.

IPSec'in İki Modu:

  • Tunnel Mode: Orijinal IP paketi tamamen şifrelenerek yeni bir IP başlığıyla sarılır. Site-to-Site VPN için kullanılır.
  • Transport Mode: Yalnızca veri yükü (payload) şifrelenir; IP başlığı korunur. Uçtan uca L2TP gibi protokollerle kombinlenir.

IPSec Faz 1 ve Faz 2 (IKEv1 / IKEv2):

  • Faz 1 (IKE SA): İki taraf kimlik doğrular (pre-shared key veya sertifika) ve güvenli bir kanal kurar. IKEv2 daha hızlı ve güvenlidir; tercih edilmelidir.
  • Faz 2 (IPSec SA): Gerçek veri trafiğini şifreleyecek parametreler anlaşılır (şifreleme algoritması AES-256, hash SHA-256, DH Group 20+).

Kullanım Alanı: Site-to-Site tünel, yüksek bant genişliği gerektiren şube bağlantıları, kritik altyapılar arası güvenli iletişim.

SSL VPN Nedir?

SSL VPN (veya TLS VPN), web tarayıcısı tabanlı veya hafif istemci kullanan ve uygulama katmanında (Layer 7) çalışan VPN türüdür. IPSec'e kıyasla NAT ve firewall geçişinde daha az sorun yaşar; kurulumu daha kolaydır.

İki Modu:

  • Web Mode (Clientless): Yalnızca tarayıcı üzerinden; web uygulamaları, RDP ve SSH portallarına erişim. Uygulama kurulmaz. BYOD senaryoları ve sınırlı erişim için idealdir.
  • Tunnel Mode: FortiClient veya benzeri istemci kurularak tüm ağ trafiği VPN tüneline yönlendirilir. Remote Access VPN'in tam işlevselliğini sağlar.

Kullanım Alanı: Uzak çalışan erişimi, BYOD, geçici erişim ihtiyaçları, NAT arkasındaki kullanıcılar.

IPSec VPN vs SSL VPN — Karşılaştırma

  • Katman: IPSec → Layer 3 (Ağ); SSL VPN → Layer 7 (Uygulama)
  • Kurulum Karmaşıklığı: IPSec daha karmaşık, SSL daha kolay
  • NAT Geçişi: IPSec NAT-T gerektirebilir; SSL VPN sorunsuz geçer
  • Performans: IPSec genellikle daha yüksek throughput; SSL VPN işlem yükü biraz fazla
  • İstemci Gereksinimi: IPSec için genellikle istemci şart; SSL Web Mode'da tarayıcı yeterli
  • Güvenlik: İkisi de güvenlidir; doğru yapılandırılırsa eşdeğer koruma
  • En İyi Senaryo: IPSec → Site-to-Site; SSL VPN → Remote Access

FortiGate'de VPN Yapılandırması

IPSec Site-to-Site:

  • VPN → IPSec Wizard ile rehberli kurulum veya manuel Phase1/Phase2 yapılandırması
  • Her iki uç için aynı pre-shared key veya sertifika
  • Statik rota veya BGP ile karşı taraf subneti yönlendirilir
  • Firewall politikasında VPN arayüzü kaynak/hedef olarak tanımlanır

SSL VPN Remote Access:

  • VPN → SSL-VPN Settings: Dinleme portu (443), sertifika, IP havuzu
  • SSL-VPN Portal: Web mode veya tunnel mode seçimi, ayrılan IP aralığı
  • Kullanıcı grubu ve kimlik doğrulama (yerel, LDAP, RADIUS, MFA)
  • Split Tunneling: Yalnızca kurumsal trafiği VPN'e, interneti doğrudan ISP'ye yönlendirir

VPN Güvenlik Önerileri

  • Zayıf şifreleme algoritmaları (3DES, MD5, DH Group 1/2/5) kullanmayın; AES-256 + SHA-256 + DH Group 20+ tercih edin.
  • SSL VPN'de MFA (çok faktörlü kimlik doğrulama) zorunlu olmalıdır; parola tek başına yeterli değildir.
  • IPSec pre-shared key 30+ karakterden oluşmalı ve periyodik değiştirilmelidir.
  • SSL VPN erişimini IP adresi veya ülke bazında kısıtlayın.
  • FortiGate'de SSL VPN portunu varsayılan 443'ten farklı bir porta taşıyın (güvenlik taraması azalır).

Sonuç

VPN, modern kurumsal ağların vazgeçilmez güvenlik katmanıdır. Doğru VPN türü ve yapılandırma seçimi, performans ve güvenlik dengesini belirler. Lider Network, FortiGate IPSec ve SSL VPN tasarımı, yapılandırması ve sorun giderme konularında hizmetinizdedir.

İlgili Makaleler

Ağ & Güvenlik Temelleri

LAN, WAN, VLAN Nedir? Ağ Temelleri Kapsamlı Rehberi

Oku Ağ & Güvenlik Temelleri

MAC Adresi Nedir? Fiziksel Adres ve Ağ Kimliği Rehberi

Oku Ağ & Güvenlik Temelleri

SIP ALG Nedir ve Neden Kapatılmalıdır?

Oku
Tüm MakalelerÜcretsiz Altyapı Analizi