IPSec

IPsec İletişiminde Tünel Modu ve Taşıma Modu Nedir?

IPsec mekanizması tünel modunda veya taşıma modunda çalıştırılabilir. Taşıma modu IP adresiyle ilgilenmezken, tünel modu lokal IP adreslerini de gizler. Bu mod seçenekleri verinin mahremiyet derecesi, ihtiyaçlar veya donanım kaynağına göre tercih edilir.

1- Taşıma Modu Nedir Ne İşe Yarar?

Taşıma modu (transport mode) kullanılıyor ise IP datagramının sadece kullanıcı verisi (payload) IPsec protokolü tarafından işleme alınır. Yeni bir IP başlığı eklenmez. Basitlik ön planda olduğu için daha düşük kaynak tüketimi yapılır.

IPSec taşıma modu

2- Tünel Modu Nedir Ne İşe Yarar?

IPsec iletişiminde tünel modu (tunnel mode) kullanılıyor ise IP datagramı yeni bir IP başlığı ile tamamen kapsüllenir. Genellikle ili gateway (ağ geçidi) arasında kullanılır. Güvenlik ve uyumluluk amaçlanır.

IPSEC tunel modu

Amaç-1 [Güvenlik]: Yerel ağdaki kullanıcıların IP adreslerini gizlenir. Çünkü en dışta yeni bir IP adresi vardır, geri kalan kısımlar şifrelidir. İletişim bu yeni IP adresi üzerinden yapılır. Böylece lokalde hangi IP veri gönderiyor, hangi IP veri alıyor? gizlenmiş olur. Veri birinci ağ geçidinden ikinci ağ geçidini hedefliyor gibi görünür. Yani veri iletişimi sadece 2 ağ geçidi arasında gerçekleşiyor gibi görünür.

Aşağıda ki yapıda iki lokal ağ birbirlerine ağ geçitleri (gateway’ler) aracılığıyla internet üzerinden bağlanmış. İki lokal ağda da bilgisayarlar, laptoplar ve sunucular mevcut. Sol taraftan herhangi bir bilgisayar, sağ taraftaki bir bilgisayara IPsec tünel mod ile veri gönderdiğinde; verinin kaynağı sol taraftaki ağ geçidi, verinin hedefi sağ taraftaki ağ geçidi olarak görünür. Yani iletişim paketlerinde sadece tünelin source (kaynak) ve destination (hedef) IP adresleri görünür.

IPSec tünel modu

Amaç-2 [Uyumluluk]: Tünel modu, uyumlu olmayan iletişim sistemlerinde yük taşımaya olanak sağlar.  Örneğin EIGRP veya RIP gibi yönlendirme protokollerinde paketlerin TTL (Time to Live) değeri 2’dir. Yani yaşam süreleri 2 hop kadardır. Başka bir deyişle bir EIGRP paketi 2 router atladıktan sonra ölür. Fakat biz bu protokolü WAN (Wide Area Network – Geniş Alan Ağı) ağlarında kullanmak isteyebiliriz. Bu durumda EIGRP paketlerinin kamuya açık binlerce router üzerinden aktarılması gerekir. Bu da paketlerin gideceği yere gidemeden ölmesi anlamına gelir. Çünkü EIGRP paketleri sadece 2 hop kadar ilerleyebilir. Bu durumda gönderici ve alıcı gateway arasında bir tünel kurulursa iletişim sadece iki hop varmış gibi gerçekleşir. İletişim yeni dış IP adresleri ile gerçekleşeceğinden EIGRP paketleri ölmez ve protokol çalışmış olur. Böylece EIRGP protokolünün WAN ağlarının çok hoplu yapısına uyum sağlamış olur.

IPSEC Tünel Modunun amacı

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir