Saklama, yönlendirme ve yeniden saklama işlemlerinin tümüne tünel oluşturma adı verilir. Tünel oluşturma, özgün paketi yeni bir paket içine gizler veya saklar. Bu yeni paketin, ağlar arasında dolaşmasını sağlayan yeni adresleme ve yönlendirme bilgileri olabilir. Tünel oluşturma gizlilikle birleştirildiği zaman, özgün paket verisi mesela özgün kaynak ve hedef gibi... ağdaki trafiği dinleyenlere gösterilmez.
Ağ herhangi bir iç ağ olabilir: özel bir intranet veya Internet. Saklı alınan paketler hedeflerine ulaştığında, saklama üstbilgisi kaldırılır ve paketi son hedefe yönlendirmek için özgün paket üstbilgisi kullanılır. Tünelin kendisi, içinden saklı paketlerin geçtiği mantıksal veri yoludur. Tünel genellikle özgün kaynak ve hedef çiftine saydamdır ve ağ yolunda başka bir noktadan noktaya bağlantı olarak görünür.
Çiftler, tünelin başlangıç ve bitiş noktaları arasındaki yönlendiricilerden, anahtarlardan, proxy sunucularından veya diğer güvenlik ağ geçitlerinden haberdar değillerdir. Tünel oluşturma gizlilikle birleştirildiğinde, Sanal özel ağ sağlamak için kullanılabilir.

Windows 2000`de, IPSec kullanan iki tünel türü sağlanır.

L2TP`nin her türlü ağ trafiği ve aktarım modundaki IPSec için saklama ve tünel yönetimi sağladığı katman 2 Tünel iletişim Kuralı L2TP/IPSec) L2TP tünel paketlerinin güvenliğini sağlar.
IPSec`in kendisinin yalnızca IP akışı için sakladığı tünel modundaki IPSec
Bu tünelleri kullanmadan önce işlevsel özelliklerinin tam olarak kavranması gerekir.

Saklı paketler tünel içinde ağda gezinir.Bendeki anlatımda, ağ Internet`tir:) Ağ geçidi, Internet dünyası ile özel ağ (yönlendirici,
koruma duvarı, proxy sunucusu veya diğer güvenlik ağ geçitleri) arasında bir sınır geçidi olabilir. Ayrıca ağın az güvenilir olduğu
kısımlarındaki veri akışını korumak için özel ağ içerisinde iki ağ geçidi kullanılabilir.

L2TP ve IPsec

IPSec ve L2TP, bir IP ağında IP, IPX ve diğer iletişim kuralı paketleri için tünel oluşturma ve güvenlik sağlamak içn birleştirilir.
IPSec L2TP olmadan da tünel oluşturabilir, ancak bu yöntem, ağ geçitlerinden birinin L2TP veya PPTP desteklememesi durumunda birlikte çalışabilirliği sağlamak için önerilir.
L2TP, mümkün olduğunda sıkıştırma uygulayarak özgün paketleri önce bir PPP çerçevesi içine sonra da bağlantı noktası 1701`e atanmış olan UDP türünde bir paketin içine saklar. UDP paket biçimi bir IP paketi olduğundan, L2TP, tüneldeki güvenliğini sağlamak için L2TP tünelinin kullanıcı yapılandırmasındaki güvenlik ayarlarını dikkate alarak otomatik olarak IPSec kullanır. IPSec Internet Anahtar Değişimi (IKE) iletişim kuralı varsayılan olarak sertifika temelli kimlik doğrulama kullanarak L2TP için güvenlik belirler. Bu kimlik doğrulama, kaynak ve hedef bilgisayarların birbirlerine güvendiklerini doğrulamak için kullanıcı sertifikalarını değil, bilgisayar sertifikalarını kullanır IPSec aktarım güvenliği başarıyla kurulduysa, L2TP sıkıştırma ve kullanıcı kimliği doğrulama seçenekleri de dahil olmak üzere tüneli belirler ve kullanıcı kimliğine bağlı olarak erişim kontrolünü gerçekleştirir. Bunun için, L2TP/IPSec, hem istemci uzak erişim VPNi, hem de ağ geçidinden ağ geçidine tünelleri için en kolay, en esnek, birlikte çalışabilirliği en yüksek ve daha güvenli tünel seçeneğidir.

L2TP/IPSec uzaktan erişim istemcileri yapılandırması, Ağ ve Çevirmeli Bağlantılar kullanılarak gerçekleştirilir.Uzaktan erişim sunucusu ve ağ geçidinden ağ geçidine tünelleri yapılandırması, Yönlendirme ve Uzak Erişim konsolu kullanarak gerçekleştirilir.

Burada IP veya IPX üstbilgisi olarak gösterilen özgün paket üstbilgisi, özgün ve son kaynağı ve hedef adresleri (özel ağda
kullanılan adresler) taşır,yeni IP üst bilgisi olarak gösterilen dış IP üstbilgisi ise tünel bitiş noktalarının kaynak ve hedef adreslerini
(ortak ağda kullanılan adresler) içerir. L2TP üstbilgisi, tünel denetim bilgisini taşır. PPP üstbilgisi özgün paketin iletişim kuralını
tanımlar (örneğin, IP veya IPX).

IPSec Tüneli

IPSec tünel modunun kullanılmasının temel nedeni, L2TP/IPSec veya PPTP tünel teknolojisini desteklemeyen diğer yönlendiriciler ağ geçitleri veya uç sistemlerle birlikte çalışabilirliğidir. IPSec tünel modu gelişmi bir özellik olarak yalnızca ağ geçidinden ağ geçidine tünel
oluşturma senaryolarında ve belirli sunucudan sunucuya veya sunucudan ağ geçidine yapılandırmalarında desteklenir. IPSec tünel modunu kullanmadan önce bu senaryo ve yapılandırmaları anlamak gerekir. IPSec tünel modu istemci uzaktan erişim senaryoları için desteklenmez. İstemci uzaktan erişim VPN için L2TP/IPSec veya PPTP kullanılmalıdır.
IPSec paketlerinin iki biçimi, tünel modunda da kullanılabilir:

ESP Tünel modu özgün IP üstbilgisi genellikle son kaynak ve hedef adreslerini dış IP üstbilgisi ise genellikle güvenlik ağ geçitlerinin
kaynak ve hedef adresilerini içerir. ESP tünel biçimi tünel içindeki akış için her zaman güçlü bütünlük ve kimlik doğrulama sağlar.ESP
tüneli genellikle DES ve 3DES şifrelemesi kullanan tünel oluşturulmuş paketler için gizlilik sağlamak amacıyla kullanılır.Şifrelemenin düzeyi tünel kuralının Süzgeç Eyleminde belirtilir bu nedenle, tünel akışının içeriği gizlilik gerektirmiyorsa Şifreleme kullanmamak üzere de yapılandırılabilir.

Önceki örnekte son kaynak ve hedef arasındaki özgün paket yeni IP ve ESP üstbilgileri tarafından saklanmıştır.İmzalanan alan, paketin
bütünlükle korunduğu yeri gösterir.Şifrelenen özgün paketin şifrelenebileceğini gösterir.

Yeni IP üst bilgisindeki bilgiler paketi, kaynaktan genellikle güvenli bir ağ geçidi olan tünel hedef son noktasına yönlendirmekte
kullanılır.Yeni IP ESP üst bilgisi bütünlük karması tarafından korunmaz. Bu, paket üst bilgisinin, kaynak veya hedef IP adresini
değiştirmek veya diğer paketlerin üstünde öncelik vermek gibi ek hizmetleri sağlamak için, gerektiğinde ağ bileşenleri tarafından
değiştirilmesine izin veren IETF RCF tasarımıdır.AH tünel modu, tünelin içeriği için şifreleme gizliliği sağlamaz, yalnızca güçlü bütünlük ve kimlik doğrulama sağlar.

AH Tünel Modu

Tüm paket, yeni tünel üstbilgisi de dahil olmak üzere bütünlük için imzalanır. Bu nedenle, paket tünelin kaynağı tarafından önderildikten
sonra, kaynak veya hedef adreste hiçbir değişiklik yapılamaz. IETF RCF tasarımı, yeni IP üstbilgisindeki birkaç alanın, belirli paketlere
öncelik sağlamak ve gereksiz veya eski paketleri silmek için ağ bileşenleri tarafından değiştirilmesine izin verir. ESP ve AH, tüm
paket için bütünlük ve özgün IP paketi için gizlilik içeren tünel oluşturma sağlamak üzere birleştirilebilir.

IPSec tünelleri, 'sadece IP' akışı için güvenlik sağlar. Tünel, iki IP adresi veya iki IP alt ağ arasındaki akışı korumak için yapılandırılmıştır.Tünel, iki ağ geçidi yerine iki ana makine arasında kullanılıyorsa, dış IP adresi iç IP adresinin aynısıdır. Windows
2000`de, IPSec, iletişim kuralı temelli, bağlantı noktası temelli veya uygulama temelli tünelleri desteklemez. Yapılandırma, tünele giren
akışı tanımlamak için bir süzgeç, tüneli korumak için bir süzgeç eylemi ve tünel uç noktaları tarafından kullanılacak bir kimlik doğrulama
yöntemi içeren güvenlik kuralını belirlemek suretiyle IPSec ilke Konsolu kullanılarak gerçekleştirilir. Üç tür kimlik doğrulama
desteklenir: sertifikalar, önceden paylaştırılmış anahtar.ve Kerberos.

Hieroglif
hieroglif at olympos.org
__________________________