Eren Kahraman

NAT bir ağda bulunan bilgisayarın, kendi ağı dışında başka bir ağa veya İnternete çıkarken farklı bir IP adresi kullanabilmesi için geliştirilmiş bir İnternet protokolüdür. Yani NAT bilgisayarın sahip olduğu IP adresini istenilen başka bir adrese dönüştürür.

Bilindiği gibi Ipv4′te her IP adresi kullanılabilir durumda değildir. Ipv4′te kullanılabilir durumda olan IP’lere bakıldığında yaklaşık olarak 3,2 milyar kadar IP bulunmaktadır.  Bu IP sürümünün yaratabileceği IP yetersizliği göz önüne alınarak NAT protokolü geliştirilmiştir. İnternette bazı adresler yerel ağlarda kullanılmak amacıyla özel adresler (private IP address) olarak ayrılmıştır. Bu özel adresler:

10.0.0.0/8 -> 10.0.0.0 – 10.255.255.255
172.16.0.0/12 -> 172.16.0.0. – 172.31.255.255
192.168.0.0/16 -> 192.168.0.0 – 192.168.255.255 arasındadır.

Dünya üzerinde birçok şirket ve kurum yerel ağlarında yukarıda verilen özel IP’leri kullanmakta, dış bağlantılarını ise NAT yapabilen uygun yönlendiriciler (router) kullanarak, IP adreslerini genel adreslere (public address) çevirerek sağlamaktadırlar.

Temel olarak bir NAT yönlendiricisi NAT tablosu adı verilen bir tablo yardımıyla IP çevirme işlemini gerçekleştirir. Kullanıcının bilgisayarında özel IP adresleri aralığından bir adres bulunur. Buradan yerel ağın içinde olmayan bir adrese gitmek için bir talep gelince, NAT yönlendiricisi daha önceden kullanıcının ayarladığı NAT tablosuna bakarak, özel IP adresini genel bir IP adresine çevirir ve bu şekilde dış ağlara ya da İnternete çıkılmış olur. Yönlendiricinin çeviri yaparak değiştirdiği bu IP, kullanıcının İnternetteki bilinen IP’sidir. Aynı şekilde dış ağlardan bu bilinen IP’ye doğru bir istek gelince, yönlendirici tablosuna bakarak bu IP’yi kullanıcın özel IP adresine yönlendirir ve paketi kullanıcının bilgisayarına gönderir.

İç Yerel Adres: NAT tarafından özel IP adresleri aralığı içerisinden kullanıcıya yerel ağda kullanması için atanmış şekildeki 192.168.2.1 gibi bir adrestir. 

İç Global Adres: NAT’ın dış ağlara bakan yüzünde bulunan ve dış ağlara bağlanırken kullanılan genel IP adresleri aralığından şekildeki 160.75.67.67 gibi bir adrestir.

Dış Global Adres: İnternette bulunan herhangi bir kullanıcının veya sunucunun sahip olduğu genel IP adresleri aralığından herhangi bir adrestir. 

NAT tablosunda yapılan eşleştirmeler ağ yöneticisinin veya kullanıcının tercihine göre 3 farklı şekilde ayarlanabilir:

Sabit NAT (Static NAT)

Yerel ağda kullanılmakta olan özel IP’yi dışarıda kullanılacak olan genel IP’ye birebir çevirmedir. Bu NAT türünde NAT tablosu doğrudan ağ yöneticisi tarafından doldurulur. Yani ağ yöneticisi kullanılacak olan özel IP’leri belirler ve bunları sahip olduğu genel IP adresleriyle kendisi eşleştirir. Bu şekilde belirlenmiş adresler dışında hiç bir IP adresi dış ağlara bağlanamaz. Örnek olarak aşağıda gösterilmiş adresler dış ağlara her zaman karşısında belirlenmiş olan genel IP adresleriyle bağlanırlar ve bu genel adreslere gelen istekler NAT yönlendiricisi tarafından doğruca eşleştirildiği özel IP adresine yönlendirilir.

192.168.10.2 -> 160.75.10.5
192.168.10.3 -> 160.75.10.6

Dinamik NAT (Dynamic NAT)

Bu NAT türünde ise sahip olunan genel IP adresi bloğu dinamik olarak özel IP adresleriyle eşleştirilir. Ağ yöneticisi bir IP adres havuzu belirler ve NAT yönlendiricisi otomatik olarak IP adreslerini eşleyerek dış ağlara bağlantıyı sağlar. Sabit NAT’tan farkı yönlendiricinin kendisinin eşleştirmeyi yapmasıdır.  Hangi IP ilk önce eşleşirse ilk önce İnternete o çıkar, eğer yeterli sayıda genel IP adresi varsa özel IP’lerin hepsi eşleştirilerek İnternete bağlanabilirler. Bağlantı kesildikten sonra ise NAT tablosundaki kayıtlar bir dahaki bağlantı kurulana kadar silinir.

Aşırı Yükleme NAT (Overloading NAT)

Bu NAT türüne aynı zamanda PAT (Port Address Translation – Port Adres Çevirimi) da denir. PAT’ta genel IP adresi olarak bir tane IP bulunur. Dinamik NAT’ta olduğu gibi yönlendirici NAT tablosunu kendisi oluşturur. Yerel ağda bulunan bir kullanıcıdan dışarıdaki ağlara bağlanmak için bir istek geldiğinde, yönlendirici bu kullanıcının özel IP adresini ve ona verdiği port numarasını NAT tablosuna kaydeder. Sahip olunan genel IP adresini yerel ağda bulunan kullanıcının özel IP adresi ve ona verdiği port numarası ile eşleştirerek İnternete erişmesini sağlar. Farklı bir özel IP’den aynı anda istek geldiği takdirde o IP’ye farklı bir port numarası verilir. PAT kullanılarak bütün yerel ağ daha az sayıda genel IP adresi kullanarak İnternete bağlanmış olur. NAT tablosuna kaydedilen bu IP adresleri ve port numaraları bağlantının sonuna kadar kayıtlı kalır, bağlantı kesilince silinir. Ağ yöneticisi isterse IP adreslerini kendi belirlediği port numaralarına kalıcı olarak atayabilir.

Avantajları

• Az sayıda genel IP kullanılarak çok sayıda kullanıcı internete bağlanabildiği için IPv4′te bulunan IP yetersizliği sorunu azaltılmış olur. Birçok kullanıcı ve şirket İntranet adı verilen özel IP adreslerinden oluşmuş yerel ağlarını kullanarak, mümkün olduğunca az sayıda genel IP adresi üzerinden dış ağlara bağlanmaktadır. 
• Yerel ağdaki kullanıcıların dış ağlara yönlendirici tarafından çevrilmiş IP’lerle bağlanması sonucunda etkili bir güvenlik sistemi sağlanmış olur. Özel IP kullanarak yerel ağda bulunan IP adresleri ve ağın topolojisi dış ağlara karşı gizlenmiş olur.
• NAT genel ağa olan bağlantıların esneklik derecesini artırır. Çoklu IP havuzları, yedek IP havuzları ve yük dengeleme havuzları güvenilir bir ağ bağlantısı sağlamak için uygulanabilirler.
• NAT yapılmamış ve özel IP adresleri kullanılmamış bir ağda, genel IP adreslerini değiştirmek için, mevcut ağ içerisindeki kullanıcılara yeniden bir adresleme yapmak gerekir. Bütün kullanıcıların IP adreslerini değiştirmek maliyet açısından da karlı bir durum değildir. NAT yapıldığında ağ yöneticisi yerel ağdaki kullanıcılar arasında kolaylıkla değişiklik yapılabilir, yeni kullanıcılar ekleyebilir ya da var olanları çıkarılabilir. NAT tablosu ayarları değiştirilerek, esnek bir şekilde hareket edilebilir.

Dezavantajları

• IP adresi ve port numaraları değiştirildiği için FTP ve bazı oyun protokolleri çalışmaz. Bazı İnternet protokolleri ve uygulamaları, çalışabilmesi için kaynak ve hedef IP adreslerine ihtiyaç duyar. Örneğin sayısal imza gibi bazı uygulamalar NAT tarafından kaynak IP adresi değiştirildiği için, NAT kullanılan yerel ağlarda çalışmazlar. Bazen bu sorun sabit (static) NAT kullanılarak ortadan kaldırılabilir.   
• Belirli bir genel IP ile birçok kullanıcının İnternete bağlanmasından dolayı o IP’nin takip edilmesi mümkün değildir. NAT tarafından IP adreslerinin değiştirilmesi sonucunda IP paketlerinin izlenmesi ve kaynak IP adresinin bulunması zorlaşır.
• Fazladan bir yönlendirici daha kullanıldığı için paketlerde gecikme artabilir. Çünkü fazladan eklenen bir yönlendirici IP paket başlıklarının çevrilmesi ve etiketlenmesi sırasında oluşabilecek gecikmeleri artırır.
• NAT kullanmak IPsec gibi tünel protokollerinin kullanımını karmaşıklaştırır.
• Bir ağı NAT kullanımına uygun hale getirmek için topolojide değişiklik yapmak gerekir. 

VLAN (Virtual Local Area Network – Sanal Yerel Ağ Alanları) IEEE tarafından geliştirilmiş, yerel ağ içerisindeki kullanıcıların ve cihazların mantıksal ağlar oluşturularak gruplanmasını sağlayan bir protokoldür ve 2. katmanda çalışır. VLAN sayesinde alt ağlar kurularak ağ trafiği azaltılır ve ağın bant genişliği artırılır. Temel olarak VLAN kullanımı broadcast (yayınlama) trafiğini azaltır ve ağ güvenlik seviyesini artırır. VLAN içerisinde anahtarlayıcı veya yönlendiricinin VLAN’ları tanıyabilmesi için VLAN etiketleme (VLAN Tagging) adı verilen bir yöntem kullanılır. Bu yönteme göre VLAN paketi (frame) içerisinde belli bir bölge etiketleme işi için ayrılır. Paketi alan anahtarlayıcı, paketin VLAN kimliğine bakarak pakete ne yapılması gerektiğine karar verir. Hangi paketin hangi VLAN’a ait olduğunu tanımlamak için değişik izleme yöntemleri kullanılır. Bunlardan en çok kullanılan ve bilinenleri ISL ve 802.1Q’dur.

ISL (Inter Switch Link – Anahtarlayıcı Arası Bağlantı)

Açılımı Inter Switch Link’tir (Anahtarlayıcı Arası Bağlantı) ve sarma (encapsulation) standartıdır. Cisco tarafından özel olarak geliştirilmiş anahtarlayıcıdan (switch) yönlendiriciye (router) ya da anahtarlayıcıdan anahtarlayıcıya VLAN üzerinden ağ trafiği akışını sağlayan bir protokoldür. Bu protokol Cisco tarafından geliştirildiği için sadece Cisco cihazlar arasında çalışmaktadır.

ISL, OSI modelinde veri bağlantı Data-Link katmanında çalışır ve temel olarak trafik sırasında gereksiz bağlantıları azalttığı söylenebilir. Özel olarak ISL sadece FastEthernet ve Gigabit FastEthernet bağlantılarından çalışabilen bir protokoldur.

Bu protokol 30 byte’lık bir sarma (encapsulation) yapar ve bunun 26 byte’ını başlık (header) olarak geri kalan 4 byte’ını ise altbilgi (trailer- FCS) olarak ayırır. Başlığa ayrılan 26 byte’ın 15 byte’lık bir bölümü VLAN tanıtıcı olarak ayarlanmıştır. Her çerçeve kaynak ve hedef VLAN numarasıyla etiketlendirilir ve ayrıca, alıcı ve verici anahtarlayıcıların fiziksel adresleri de başlık kısmının içinde yer alır. ISL protokülünde orijinal çerçevede herhangi bir değişiklik yapılmaz, bu nedenle oldukça güvenlidir ve veri üzerinde herhangi bir değişikliğe sebep olmaz.

 

 
Şekilde de görüldüğü gibi genel çerçeveye 30 byte’lık fazladan bir ekleme yapılmıştır.  Çerçeve yapısına yapılan bu yeni eklemeler sonucunda çerçeve 1548 byte’lik bir hale gelir. Bu bir sarma standartı için  yüksek bir rakamdır. Bununla birlikte ISL 100 VLAN’ı destekleyebilir ve yüksek byte sayısına rağmen ana hatlar arası iletişimde herhangi bir gecikmeye neden olmaz.

Günümüzde ISL, 802.1Q protokülüyle yarışmaktadır ancak sadece Cisco 1900 serisi cihazlar tarafından desteklendiği için kullanım alanı çok yaygın değildir.

802.1Q

IEEE tarafından geliştirilmiş bir VLAN sarma (encapsulation) standartıdır. Ethernet paketlerinin içerisine yerleştirdiği bitler sayesinde vlan kimliğinin ne olduğunu belirler. 802.1Q standartı VLAN kullanımında ortaya çıkan büyük ağları daha küçük ve yönetilebilir parçalara bölme ihtiyacını karşılamak için geliştirilmiştir. Cisco’nun ISL standartının alternatifi durumundadır. Açık bir standart oluşu ve farklı markalı cihazlarla uyumlu çalışabilmesi 802.1Q’yu oldukça popüler bir hale getirmiş ve Cisco’nun geliştirdiği ISL standartına üstünlük kurmasına neden olmuştur. Bununla birlikte 802.1Q’yu bu derece başarılı kılan tek etken açık bir standart olması ve her marka cihazla uyumlu çalışması değildir.

Aşağıda 802.1Q protokolünü kullanarak sarma (enkapsüle) edilmemiş 4 byte’lik kısmın VLAN yönlendirmesine dahil edildiği örnek bir şekil bulunmaktadır.

 
802.1Q protokolu 30 byte’lik bir etiketleme yapan ISL’ye göre 26 byte daha küçüktür. Net olarak fark yarattığı bilinmese de boyuttaki bu küçülmenin 802.1Qyu ISL’ye göre daha hızlı hale getirdiği söylenebilir.

Sonuç olarak, Cisco cihazların bulunduğu bir ağ topolojisinde ISL kullanılması Cisco’nun desteklediği bir durum olmasına rağmen, bir çok ağ uzmanı uyumluluk, güvenlik ve hız gibi nedenlerle 802.1Q’yu tercih etmektedir.

Bununla birlikte 802.1Q’nun eksikleri ve geliştirilmesi gereken bazı özellikleri de mevcuttur.

HDSL (High bit rate Digital Subscriber Line – Yüksek bit hızında sayısal abone hattı) bakırdan simetrik kablo çiftleri kullanarak yüksek frekansta bant genişliğine izin veren ilk DSL teknolojisidir. Bu teknoloji mevcut T1 hatlarını kullanıcılardan gelen istekler doğrultusunda veri taşıma hızı ve bant genişliği açısından geliştirme amaçlı olarak, 90’lı yılların başında ABD’de Resonant Haberleşme Şirketi’nde geliştirilmiştir. Yeni kurulmakta olan yerlerde fiber (lif) kablo teknolojisi kullanarak kullanıcıların istekleri sağlanmaktadır ancak bakır kablo olan yerlerde ekonomik olması için simetrik kablo çiftleri kullanılarak, geniş bant servislerinin gelişimi hızlandırılmış ve yaygınlaştırılmıştır.

Çalışma Prensibi ve Kodlama Tekniği

HDSL var olan bakır kabloları kullanarak T1/E1 işaretini yineleyici kullanmaksızın 0,5 mm’lik kablolar ile 4,6 km ye kadar, T1 standartında 1.544 Mbit/s, E1 standartında ise 2.304 Mbit/s veri iletim hızında iletebilmektedir. Bu sistem temelde karşılıklı olarak çalışan HTU-C (merkez ünite) ve HTU-R (uzak ünite) adında iki adet iletim ünitesinden oluşur. Merkez ünite santrale yerleştirilirken, uzak ünite abone tarafında bulunur.

Temel olarak HTU-C 2.340 Mbps frekansındaki E1 işaretini santralden alarak, Loop 1 (Döngü 1) ve Loop 2 (Döngü 2) adı verilen iki adet bakır kablo üzerinden (simetrik bakır kablo çiftleri) her biri 1.168 Mbps frekansında olmak üzere HTU-R’ye gönderir. HTU-R aldığı bu işaretleri yeniden E1 işaretine dönüştürerek abonenin kullanımına uygun şekle getirir.

HDSL, 2B1Q (2 Binary symbols to 1 Quaternary symbol – 2 ikili sembol 1 dördüncül sembol) kodlama tekniğini kullanır. 2B1Q kodu temelde bir 4 düzeyinde PAM (faz genlik modülasyonu) işaretidir. 2B1Q genellikle Kuzey Amerika’da DSL sistemleri için standart satır kod olarak kullanılır. Buna alternatif olarak CAP (Carrierless Amplitude Phase Modulation – Taşıyıcısız Genlik Evre Kiplemesi) adında ayrı bir kodlama tekniği daha mevcuttur.

HDSL’in Uygulamaları ve Faydaları

Diğer DSL teknolojileri gibi HDSL de telefon hattını kullanarak veri transferi için tasarlanmıştır. Fakat ADSL’in aksine HDSL simetriktir yani yukarı akım hızı aşağı akım hızına eşittir. Buna bağlı olarak HDSL görüntülü konuşma, Web barındırma ve diğer yüksek hız gerektiren servislerde daha uygundur. Genellikle bu hizmetleri kullanabilmek için yüksek maliyetli E1/T1 altyapısı gereklidir ancak HDSL kullanılarak bu maliyet azaltılabilir. Ayrıca normal telefon hattında bir kaç tane yenileyici kullanarak ulaşılan mesafeye HDSL’de direk ulaşılabilir.

Her ne kadar ağ teknolojilerinde HDSL ortaya çıktığından beri büyük gelişmeler olsa da, HDSL hala düşük maliyet, yüksek performans ve düşük bakım gibi özellikleri sayesinde tüketicilerden ilgi görmektedir. Bununla birlikte HDSL’in özellikleri kullanılarak HDSL2 ve SDSL olmak üzere iki yeni teknoloji geliştirilmiştir. HDSL2 tek bir bakır kablo çifti üzerinden HDSL ile aynı veri hızını sunar ve daha düşük kaliteli bakır kullanılarak daha uzun mesafelerde hizmet verir. SDSL ise gene tek bir bakır kablo çifti üzerinden 192 Kbit/s den 2,3 Mbit/s e kadar veri hızı aralığında çalışır.

TFTP (Trivial File Transfer Protokol – Basit Dosya Aktarımı Protokolü) FTP nin temel hali olan basit yapılı bir dosya aktarım protokolüdür. FTP, TCP 21. Portu kullanırken; TFTP, UDP 69. Portu kullanır. Basit yapısı ve belleğe az yük bindirmesi sebebiyle tercih edilmektedir. Bununla birlikte Encyription (şifreleme) ve Authentication (yetkilendirme) mekanizmalarının olmayışı TFTP’nin güvenilirliğini azaltmaktadır.

TFTP Server (Sunucu) : 

Router (Yönlendirici) hafızasından startup-config (Başlangıç yapılandırması) ve running-config (Çalışan yapılandırma) yedeklerini almak için TFTP protokolünü kullanarak çalışan sunucudur. Gelen TFTP isteklerini karşılamak için UDP 69. portu dinler. Veri depolama aygıtı olmayan cihazları başlatmak için kullanışlı bir yoldur.    

Cihazın yedeğini almak ;

Yedeğin alınabilmesi için konak bilgisayarın, TFTP sunucuya, ağ üzerinden bağlanıyor olması gerekir. 

1. #copy runnig-config tftp : Çalışan yapılandırma TFTP sunucuya kopyalanır.
2. Yapılandırmanın saklanacağı konak bilgisayarın IP adresini girilir.
3. Yapılandırma dosyasına atanacak isim girilir.
4. Her seçimi onaylanarak işlem tamamlanır.

Yedeği cihaza yüklemek;

Yedeğin cihaza aktarılması için, cihazın en az bir kere yapılandırılmış olması gerekmektedir.

1. #copy tftp runing-config : TFTP deki yapılandırma, çalışan yapılandırma olarak kopyalanır.
2. TFTP sunucusunun IP adresi girilir.
3. Yapılandırma dosyasının adı girilir
4. Yapılandırma dosyasının adı ve TFTP sunucusunun IP adresi doğrulanır.

• Cihaza aktarılan yapılandırmanın korunması için copy run start komutu kullanılır.
• #copy runnig-config tftp : Çalışan ayarları tftp sunucusuna gönderir.
• #copy tftp running-config : TFTP sunucusundaki ayarları çalışan sunucuya gönderir.
• Startup-config file : Cihaz açıldığında yüklenen ayarları belirtir.
• Running-config file : Cihaz çalıştığı ağdaki ayarları belirtir.
• #sh run : “show running-config” ın kısaltması olarak kullanılır. Cihazda yüklü olan ayarları ekrana yazar.
• #copy running-config startup-config : Çalışan yapılandırmayı, başlangıç yapılandırmasına aktarır.

IPSec, şifreleme ve güvenlik hizmetlerini kullanarak IP protokollerinin güvenlik ihtiyaçlarını karşılamak için IETF (Internet Engineering Task Force – İnternet Mühendisliği Görev Gücü) tarafından geliştirilmiş bir güvenlik protokolüdür. Bu protokol sayesinde veriler ağ üzerinde güvenli bir şekilde gitmesi gereken hedeflere ulaşır. IPSec ağ katmanında çalışarak IP paketlerinin IPSec aygıtları arasında korunmasını ve kimlik denetiminin gerçekleşmesini sağlar. IPSec ağ katmanında çalıştığı için uygulamadan bağımsız olarak her veriyi şifreler ve şifre sonrası oluşturduğu başlık ile verinin İnternette rahatlıkla yolculuk edebilmesini sağlar. Bu yüzden günümüzde VPN (Virtual Private Network – Sanal Özel Ağ) teknolojisinin altyapısını oluşturmaktadır. Genellikle IPsec ile VPN kavramları birbirleriyle karıştırılır. VPN iki uç nokta arasında bir sanal ağ kurmak için kullanılır. IPSec, oluşturulan VPN bağlantılarına güvenliği arttırıcı fonksiyonlar sağlar. VPN oluşturmak için katman 2 ve katman 3 de farklı yollar mevcuttur. IPSec bu yollardan sadece bir tanesidir. Günümüzde İnternet’in gelişmesiyle birlikte IPSec VPN bağlantılar kolaylıkla yapılabildiğinden bu iki kavram iç içe geçmiş durumdadır.

IPSec protokolleri ağ katmanında çalıştığı için diğer güvenlik protokollerine göre daha esnektir. SSL (Secure Socket Layer – Güvenli Soket Katmanı), TLS (Transport Layer Security – Geçiş Katmanı Güvenliği), SSH (Secure Shell – Güvenli Kabuk) 4. ve daha üst katmanlarda çalışmaktadır. IPSec, içinde TCP ve UDP’nin de bulunduğu katman 4 ve yukarı katman protokolleri koruyabilir. IPSec’in diğer güvenlik protokollerinden bir üstünlüğü ise IPSec’in uygulama katmanından yani kullanıcıların yazılımlarından bağımsız çalışabilmesidir. Fakat diğer protokolleri (SSL gibi) kullanabilmek için kullanıcının yazılımının o protokolü desteklemesi gerekmektedir.

IPSec çerçevesi 5 temel yapı bloğunu içerir.

• 1. blok IPSec protokolüdür. ESP ve AH seçeneklerini içerir.
• 2. blokta gerekli olan güvenlik ve gizlilik (confidentiality) derecesine göre kullanılacak olan şifreleme algoritmaları bulunur. (DES, 3DES, AES, SEAL)
• 3. blok MD5 veya SHA kullanarak gerçekleştirilecek bütünlüğü (integrity) içerir.  
• 4. blok içeriğin ne kadar paylaşılacağını gösteren PSK ve RSA gibi kimlik doğrulama denetimlerini bulundurur.
• Son blok Diffie-Hellman algoritmalarını içerir. Gerekli özel ihtiyaçlara göre 4 farklı DH algoritmasından herhangi biri seçilebilir.

IPSec ağ geçitleri arasında, istemciler arasında ve ağ geçitleriyle istemciler arasında güvenli veri aktarımını sağlayabilir. IPSec çerçevesi kullanılarak 4 temel güvenlik gereksinimi gerçekleştirilebilir.

Gizlilik (Confidentiality)

IPSec şifreleme metotlarını kullanarak gizliliği temin eder. Güvenliğin derecesi şifreleme algoritmasında kullanılan anahtarın uzunluğuna bağlıdır. Anahtar ne kadar kısa olursa, şifreyi kırmak o kadar kolay olur ve güvenlik açığı oluşur. Örnek olarak 64 bitlik bir anahtarın bilgisayar tarafından kırılması yaklaşık olarak 1 sene sürebilir.

• Des – 56 bit uzunluğunda simetrik kriptolama tekniği kullanan bir sistemdir. Aynı anahtarla şifrelenen veri gene aynı anahtarla açılabiliyorsa simetrik bir şifreleme algoritması kullanılıyor demektir.
• 3Des – Des’in farklı bir çeşididir. 3 tane birbirinden bağımsız 56 bitlik şifreleme kullanarak Des’e göre daha kuvvetli bir güvenlik sunar.
• Aes – 3Des ve Des’e göre daha güvenli bir sistemdir. 128 bit, 192 bit ve 256 bit olmak üzere üç farklı anahtar uzunluğuna sahip olabilir.
• Seal – 1993 yılında Philip Rogaway ve Don Coppersmith tarafından geliştirilmiş, 160 bit anahtar uzunluğunu kullanan bir sistemdir.

Bütünlük (Integrity)

IPSec  veri bütünlüğü algoritmalarını kullanarak iletilecek bir verinin hedefe değişmeden sorunsuz bir şekilde ulaşmasını sağlar. HMAC (Hashed Message Authentication Codes – Şifrelenmiş Mesaj Doğrulama Kodu) sahip olduğu “hash” değeri yardımıyla verinin bütünlüğü koruyan bir algoritmadır. Amacı verinin kriptolanmasını sağlamak değil, verinin yolda değiştirilmesini önleyerek verinin doğruluğundan alıcı tarafın emin olmasını sağlamaktır. Gönderici tarafında veri şifrelenir ve Hash algoritmasından geçirilerek bir Hash değeri üretilir. Alıcı tarafında ise Hash algoritmasında tersten  geçirilerek üretilen Hash değerinin gönderici tarafında elde edilen değerle aynı olup olmadığına bakılır. Değer aynıysa verinin bütünlüğü sağlanmıştır, farklıysa veri değişmiştir ve kullanılmaz.
İki çeşit HMAC algoritması vardır:

• HMAC – MD5 – 128 bitlik şifrelenmiş veriyi kullanır. Algoritmadan çıkmış hali gene 128 bitlik bir Hash değeridir.
• HMAC – SHA1 – 160 bit uzunluğunda anahtarlama tekniği kullanır. Bu algoritma güvenlik açısından HMAC – MD5’den daha güçlüdür.

Kimlik Denetimi (Authentication)

Genel olarak bir belgenin kimlik denetiminin sağlanması imzalama yöntemiyle olur. Elektronik cihazlarda ise sayısal imza adı verilen gönderen cihazın özel şifresini taşıyan paketler yardımıyla kimlik denetimi sağlanır. IPSec kimlik denetimini sağlamak için PSK ve RSA olmak üzere iki farklı algoritma kullanır.

PSK – Ön-paylaşımlı gizli anahtarlama metodu anlamına gelmektedir. Cihazlarda kimlik denetimini sağlamak için belirlenmiş olan bir sayısal değer elle gereken cihazlara girilir. Her cihaz karşısındaki cihazın değerini öğrendikten sonra ağ güvenli hale gelmiş olur ve veri aktarımı başlar. Girilen sayısal değer cihazın imzası olarak kabul edilmiş olur ve kimlik denetimi sağlanır.

RSA – Asimetrik bir şifreleme algoritmasıdır. Simetrik şifrelerdeki gibi tek anahtar kullanılmasının yerine biri gizli diğeri açık olmak üzere iki anahtar kullanır. Özellikle çok kullanıcısı olan sistemlerde oldukça geçerlidir. Sistemin güvenilirliği ve hızını etkileyen en önemli faktör kullanılan anahtarın uzunluğudur.
Kimlik denetimini sağlamak için diğer bir yöntem de IKE (Internet Key Exchange – İnternet Şifre Değişimi) adı verilen protokuldür. IKE kimlik denetimini, kullanıcı adı ve şifre, tek seferlik şifre, sayısal sertifikalar gibi çeşitli yöntemlerle gerçekleştirir.

Güvenli Anahtar Değişimi (Secure Key Exchange)

IPSec cihazlar arası açık anahtar değişimini sağlamak için Diffie-Helman adı verilen algoritmaları kullanır. Cihazlar arasındaki şifreleme ve şifreyi çözme işlemlerini gerçekleştirmek için en kolay yöntem anahtar değişimini sağlamaktır. Diffie-Helman, kısaca DH algoritmaları sayesinde güvenli olmayan bir kanal üzerinden veri aktarırken bile cihazlar arasındaki anahtar değişimi sorunsuz bir şekilde gerçekleştirilebilir.
DH algoritmaları DH 1, DH 2, DH 5 ve DH 7 olmak üzere 4 farklı şekilde gruplanmıştır. Temelde bu algoritmalar arasındaki fark şifreleme yaparken kullanılan bit sayısıdır.

• DH 1 768 bit, DH 2 1024 bit, DH 5 1536 bitlik anahtar kullanır.
• CISCO 3000 serisi cihazları DH 1-2-5’i kullanırken, Des ve 3Des şifreleme metotları DH 1 ve 2’yi, AES metodu ise DH 2 ve 5’i kullanır.

IPSec Protokolleri

Daha önce şekilde de gösterildiği gibi IPSec protokolleri IPSec yapı bloğunda 1. sıradadır. AH ve ESP olmak üzere 2 çeşittir.

AH (Authentication Header – Kimlik Denetimi Başlığı)

AH protokolu genellikle gizlilik gerekli olmadığında ya da izin verilmediğinde kullanılır. İletim sırasında oluışabilecek değişiklikleri engellemek, gönderilen paketin bütünlüğünü korumak için IP paketine sıra numarası verilir. Eğer alıcı tarafına paketler sıra numarasına uymayacak şekilde ulaşırsa paketler kabul edilmez. Bununla birlikte AH gizlilik sağlamadığı için tek başına kullanılması durumunda güvenlik açığı oluşturabilir.

ESP (Encapsulating Security Payload – Kapsüllenen Güvenlik Yükü)

ESP protokolu gizilik ve kimlik denetimini beraber sağlayabilir. Bu protokol öncelikli olarak AH tarafından sıra numarası verilmiş IP paketlerini belirlenmiş algoritmalardan faydalanarak şifrelemek ve hedefe ulaştığında aynı algoritmaları kullanarak çözümlemektir. Böylece AH tarafından oluşabilecek güvenlik açığı engellenmiş olur.

AH ve ESP protokolleri IP paketlerine iki farklı şekilde uygulanabilir.

Transport Mode (Aktarma Modu)

Bu modda güvenlik sadece OSI katmanlarından Transport katmanı ve üzerinde sağlanan bir özelliktir. Transport modu IP paketinin AH veya ESP ile korunmasını sağlar. Paketin yük bölümü üzerinden koruma gerçekleşirken, gerçek IP adresinde değişiklik meydana gelmez. Aynı yerel ağ içerisinde bulunan cihazlar tarafından kullanılabilir.

Tunnel Mode (Tünel modu)

Bu modda güvenlik bütün IP paketi üzerinden gerçekleştirilir. Gerçek IP paketi şifrelenir ve başka bir IP paketi yardımıya kapsülleme yapılır. Genel olarak tünel modu veriler farklı bir ağdan geçiş yapacağı zaman kullanılır. Tünel modunda şifreleme işlemi veriler ağdan çıkış yaparken ağ geçidi (gateway) üzerinde yapılır. İç ağlarda IPSec kullanmaya gerek yoktur.

Sonuç olarak IPSec veriyi, kriptolayan (encryption), bütünlüğünü sağlayan (integrity) , kimlik doğrulaması (authentication) ve verinin network üzerinde güvenli iletimini (Secure transmission) sağlayan bir ağ standartıdır.