Günümüzde işletmelerin birden fazla lokasyonda faaliyet göstermesi, farklı ofisler veya uzaktan çalışanlar arasında güvenli veri iletişimini zorunlu hale getirmiştir. Özellikle hassas kurumsal verilerin internet gibi güvensiz ağlar üzerinden aktarılması, ciddi güvenlik riskleri oluşturmaktadır. Bu noktada IPSec VPN teknolojisi, iki farklı lokasyon arasında şifreli ve güvenli bir tünel oluşturarak verilerin güvenle taşınmasını sağlar. IPSec VPN nedir sorusunun yanıtı, günümüz ağ güvenliğinin temel yapı taşlarından birini oluşturmaktadır. Fortigate güvenlik duvarları, IPSec VPN yapılandırması için güçlü ve kullanıcı dostu arayüzler sunmaktadır. Bu yazıda, IPSec VPN’in ne olduğu, hangi protokollerden oluştuğu ve bir Fortigate cihazında adım adım nasıl yapılandırılacağınızı anlatıyoruz.

IPSec VPN Nedir?

1995 yılında Internet Engineering Task Force (IETF) tarafından geliştirilen IPSec (Internet Protocol Security), ağ üzerinden gerçekleştirilen veri iletişimini güvenli hale getirmek amacıyla oluşturulan kapsamlı bir protokol paketidir. OSI modelinin ağ katmanında çalışan bu teknoloji, cihazlar arasında iletilen verilerin gizliliğini, bütünlüğünü ve doğruluğunu koruma görevi üstlenir. Özellikle internet gibi herkese açık ağlarda veri aktarımı sırasında oluşabilecek güvenlik risklerini en aza indirmek için kullanılır.

IPSec teknolojisi, günümüzde en yaygın olarak VPN altyapılarında tercih edilmektedir. Sistem, IP paketlerini gelişmiş şifreleme yöntemleriyle koruma altına alırken aynı zamanda veri paketlerinin güvenilir bir kaynaktan geldiğini doğrulayan kimlik doğrulama mekanizmaları da sunar. Site to site VPN yapılandırmalarında en sık kullanılan yöntemlerden biri IPSec’tir. Böylece hem veri sızıntılarının hem de yetkisiz erişim girişimlerinin önüne geçilir.

Birden fazla güvenlik protokolünü bünyesinde barındıran IPSec, şifreleme, veri bütünlüğü kontrolü, kimlik doğrulama ve güvenli anahtar yönetimi gibi kritik işlemleri destekleyen kriptografik algoritmalarla çalışır. Bu yapı sayesinde kurumsal ağlar, uzak bağlantılar ve hassas veri transferleri için güçlü bir güvenlik katmanı oluşturur.

💡IPSec aşağıdaki amaçlar için tercih edilebilir:

• Uygulama katmanında iletilen verilerin şifrelenmesini sağlayarak hassas bilgilerin güvenli şekilde taşınmasına yardımcı olur.
• Genel internet bağlantısı üzerinden yönlendirme verisi aktaran yönlendiriciler için ek güvenlik katmanı oluşturur.
• Şifreleme kullanılmasa bile kimlik doğrulama desteği sunarak verilerin güvenilir bir kaynaktan geldiğinin doğrulanmasını sağlar.
• VPN bağlantılarında olduğu gibi iki farklı lokasyon arasında şifreli tüneller oluşturarak ağ trafiğinin güvenli şekilde iletilmesine imkan tanır.
• Şirket merkezleri, şubeler, veri merkezleri ve uzak ofisler arasında güvenli bağlantı kurulmasını destekler.
• IPSec VPN çözümleri, birden fazla ağ yapısını birbirine bağlamak amacıyla kurumsal altyapılarda yaygın olarak tercih edilir.
• SD-WAN teknolojileriyle birlikte kullanıldığında bağlantı yedekliliği, trafik optimizasyonu ve kesintisiz erişim avantajı sağlayarak daha güçlü bir ağ altyapısı oluşturur.

Tüm bu özellikler sayesinde IPSec, modern ağ altyapılarında veri güvenliğini sağlamak için en yaygın kullanılan teknolojiler arasında yer almaktadır.

IPSec Protokolleri Nelerdir?

IPSec altyapısında veri güvenliği, kimlik doğrulama ve anahtar yönetimi işlemlerini gerçekleştirmek için farklı protokoller birlikte çalışır. Bu protokoller, güvenli iletişim sürecinin her aşamasında önemli görevler üstlenir. IPSec protokolleri sayesinde uçtan uca güvenli bir iletişim sağlanır.

✅ ESP Protokolü (Encapsulating Security Payload – Kapsülleme Güvenlik Yükü): IP paketleri içerisinde yer alan verilerin şifrelenmesini sağlayan protokoldür. Veri gizliliğini koruyarak ağ trafiğinin üçüncü kişiler tarafından okunmasını engeller. ESP protokolü, ayrıca veri bütünlüğü ve kimlik doğrulama desteği de sunabilir.

✅ AH Protokolü (Authentication Header – Kimlik Doğrulama Başlığı): IP paketlerinin doğrulanmasını sağlayan güvenlik protokolüdür. Veri paketlerinin değiştirilmediğini ve güvenilir bir kaynaktan geldiğini kontrol eder. AH protokolü veri şifreleme işlemi gerçekleştirmez, daha çok kimlik doğrulama ve veri bütünlüğü üzerine odaklanır.

✅ DH Protokolü (Diffie-Hellman): Açık anahtarlı kriptografi mantığıyla çalışan bir anahtar değişim protokolüdür. İki tarafın, güvenli olmayan ağ bağlantıları üzerinden ortak bir gizli anahtar oluşturmasına imkan tanır. IPSec içerisinde özellikle IKE süreçlerinde oturum anahtarlarının oluşturulması amacıyla kullanılır. Daha büyük anahtar boyutları, daha yüksek güvenlik seviyesi sunduğu için 1024 bit ve üzeri DH grupları daha güvenli kabul edilmektedir. Diffie-Hellman protokolü, güvenli anahtar değişiminin temelini oluşturur.

✅ IKE Protokolü (Internet Key Exchange – İnternet Anahtar Değişimi): IPSec bağlantılarında kimlik doğrulama, güvenlik ilişkilerinin oluşturulması ve şifreleme anahtarlarının yönetilmesini sağlayan yardımcı protokoldür. IKE protokolü, IPSec eşleri arasında güvenli bağlantının kurulmasını organize eder ve kullanılacak şifreleme algoritmalarının belirlenmesine yardımcı olur.

Bu protokoller birlikte çalışarak IPSec teknolojisinin güvenli, doğrulanmış ve şifrelenmiş veri iletişimi sunmasını sağlamaktadır.

FortiGate Cihazında IPSec Nasıl Yapılandırılır?

FortiGate cihazlarında IPSec VPN yapılandırması, iki farklı lokasyon arasında güvenli bağlantı kurulmasını sağlar. Yapılandırma sırasında her iki tarafta da aynı güvenlik parametrelerinin kullanılması büyük önem taşır. Fortigate IPSec yapılandırma adımları doğru takip edildiğinde sorunsuz bir VPN tüneli oluşturulabilir.

1. FortiGate arayüzünde VPN menüsü altında yer alan “IPsec Tunnels” sekmesine girin. Ardından “Create New” butonuna tıklanarak yeni VPN tüneli oluşturma ekranı açın.

2. Oluşturulacak IPSec VPN için bir isim belirleyin. Örneğin ilk lokasyon için “Lokasyon1” adı kullanabilirsiniz. Daha sonra “Template Type” bölümünden “Custom” seçeneği işaretleyin ve “Next” butonuna basarak bir sonraki aşamaya geçin.

3. Açılan ekranda karşı taraftaki lokasyonun Public IP adresi girilir. Sonrasında VPN tünelinin kullanacağı WAN portu seçin. Buradan NAT Traversal özelliği aktif hale getirin. Dead Peer Detection ayarında “On Idle” veya “On Demand” seçeneklerinden biri tercih edin.

4. Authentication Method bölümünde “Pre-shared Key” seçeneği işaretleyin. Her iki lokasyonda da kullanılacak ortak ve güçlü bir parola oluşturun. Pre-shared Key, güvenlik açısından en az 12 karakterli karmaşık bir anahtar tercih edilmesi önerilir.

5. IKE Version olarak “IKEv1” modunu seçin. Mode bölümünde ise bağlantı bilgilerinin korunmasını sağlayan “Main (ID Protection)” modu tercih edin.

6. Phase 1 Proposal bölümünden kullanılacak şifreleme ve doğrulama algoritmaları belirleyin. İlk lokasyonda seçilen algoritmaların aynıları karşı lokasyonda da tanımlayın. Sorunsuz bağlantı için her iki cihazın da desteklediği algoritmaların tercih edilmesi tavsiye edilir.

7. Anahtar değişim yöntemi olarak Diffie-Hellman Group seçeneklerinden 14 ve 5’i işaretleyin. Aynı DH gruplarının karşı tarafta da birebir aynı şekilde yapılandırılması gerekir.

8. Key Lifetime değeri çok düşük veya aşırı yüksek tutulmamalıdır. Bu örnekte anahtar yenileme süresi 86400 saniye olarak yapılandırılmıştır. Phase 1 ve Phase 2 ayarlarının tutarlılığı, bağlantının kararlılığı için kritik öneme sahiptir.

Bu işlemlerin tamamlanmasının ardından IPSec VPN bağlantısının Phase 1 yapılandırması tamamlanmış olur.

Phase 2 ayarlarını yapılandırmak için aşağıdaki adımları takip edebiliriz.

9. Phase 2 bölümü, birbirleriyle haberleşecek ağların tanımlandığı kısımdır. Örnekte Lokasyon1 için local network adresi 172.22.10.0/24, remote network adresi ise 10.34.1.0/24 olarak belirleyin.

10. Phase 2 Proposal bölümünde kullanılacak şifreleme algoritmaları seçin. Bu ayarların karşı lokasyonda da birebir aynı olması gerekir.

11. Diffie-Hellman Group ayarlarında 14 ve 5 seçeneklerini işaretleyin.

12. VPN tünelinin sürekli aktif kalabilmesi için Auto-Negotiate özelliğini etkinleştirin.

13. Key Lifetime değeri saniye bazında tanımlanır ve 43200 olarak ayarlayın.

14. Aynı yapılandırmalar Lokasyon2 tarafında da uygulanır. Ancak ikinci lokasyonda farklı olacak alanlar; remote gateway IP adresi ile local ve remote network bilgileridir.

IPSec tüneli her iki tarafta oluşturulduktan sonra, istemcilerin karşı ağlara erişebilmesi için yönlendirme işlemlerinin tanımlanması gerekir.

15. Network menüsü altında bulunan “Static Routes” bölümüne girin. Destination Subnet alanına karşı lokasyonun local network bilgisi yazılır. Interface kısmında ise oluşturulan IPSec tunnel interface bölümünü seçin. IPSec tünel kurulumu sonrasında static route tanımlamaları yapılmazsa karşılıklı erişim sağlanamaz.

16. Lokasyon2 tarafında da karşı ağ için static route tanımlaması gerçekleştirin.

FortiGate cihazları, policy tanımlanmadan trafik geçişine izin vermez. Bu nedenle VPN policy konfigürasyonu yapılmalıdır.

17. Policy & Objects menüsü altında bulunan Firewall Policy sekmesine girin ve “Create New” butonuna tıklayın.

18. Incoming Interface kısmında, IPSec yapılandırması sırasında kullanılan network interface’ini seçin.

19. Outgoing Interface bölümünde ise oluşturulan IPSec tunnel interface tercih edin.

20. Source, Destination ve Service alanlarında isteğe bağlı kısıtlamalar uygulanabilir. Tüm ağa erişim vermek yerine yalnızca belirli kullanıcılar, IP adresleri veya sunucular için erişim yetkisi tanımlanması daha güvenli bir yöntemdir. Ayrıca zararlı yazılım tehditlerine karşı Security Profiles kullanılarak ek güvenlik politikaları uygulanabilir.

21. Karşılıklı veri trafiğinin sağlanabilmesi için ters yönlü policy tanımı yapılmalıdır. Bunun için oluşturulan policy üzerine sağ tıklayın ve “Clone Reverse” seçeneğini kullanın.

22. Aynı işlemler Lokasyon2 tarafında da gerçekleştirin.

Yapılandırma tamamlandıktan sonra IPSec tünelinin aktif durumda olup olmadığı kontrol edin.

23. FortiGate’in 6.4.x sürümlerinde VPN bağlantıları dashboard ekranı üzerinden takip edebilirsiniz.

24. 6.2.x sürümlerinde ise Monitor menüsü altında yer alan “IPsec Monitor” ekranı üzerinden tünelin aktif durumu görüntülenebilir. IPSec monitor sayesinde bağlantı durumu anlık olarak izlenebilir.

25. Son aşamada Lokasyon1 tarafında source belirtilerek Lokasyon2 ağındaki bir IP adresine ping testi yapın. Başarılı şekilde yanıt alınması durumunda IPSec VPN bağlantısının sorunsuz çalıştığı doğrulanmış olur.

Tüm yapılandırma işlemleri tamamlandığında, farklı lokasyonlarda bulunan ağ subnetleri güvenli şekilde birbirleriyle iletişim kurabilir hale gelir.

IPSec VPN, kurumların farklı lokasyonları arasında güvenli ve şifreli bir iletişim kurmasını sağlayan kritik bir teknolojidir. ESP, AH, Diffie-Hellman ve IKE gibi protokollerin bir arada çalışmasıyla veri bütünlüğü, gizlilik ve kimlik doğrulama güvence altına alınır. IPSec VPN nedir sorusunun yanıtı, günümüz kurumsal ağ güvenliğinin vazgeçilmez bir parçasını oluşturmaktadır.

Fortigate cihazlarında IPSec tüneli kurulumu, doğru adımlar izlendiğinde oldukça sistematik bir süreçtir. Phase 1 ve Phase 2 ayarlarının her iki lokasyonda tutarlı şekilde yapılandırılması, static route ve policy tanımlamalarının eksiksiz tamamlanması başarılı bir VPN bağlantısı için temel gereksinimlerdir. IPSec şifreleme yöntemlerinin doğru seçilmesi, güvenlik seviyesini doğrudan etkilemektedir. Ayrıca, güvenlik seviyesini artırmak için özellikle Pre-shared Key karmaşıklığına, Diffie-Hellman grup seçimlerine ve Key Lifetime değerlerine dikkat edilmelidir.

Kurulum sonrasında IPsec Monitor ekranı üzerinden tünel durumu kontrol edilmeli ve karşılıklı ping testleri ile bağlantı doğrulanmalıdır. Bu sayede iki farklı lokasyondaki networkler sorunsuz ve güvenli bir şekilde birbirleriyle iletişim kurabilir.