VPN, farklı ağlarda bulunan cihazların internet üzerinden birbirleriyle iletişim kurmasını sağlar. VPN’in asıl amacı, bu iletişimin güvenli bir şekilde gerçekleşmesidir. VPN’e bağlanan bir cihazın internet bağlantısı, internet servis sağlayıcısı yerine VPN özel sunucusu üzerinden yönlendirilir. Böylece veriler internete cihaz üzerinden değil, VPN sunucusu üzerinden aktarılır. İnternet bağlantısı VPN sunucusu üzerinden sağlandığı için, iletişim sırasında internet servis sağlayıcısı tarafından sağlanan IP adresi ve kullanıcı kimliği maskelenir.
VPN sunucusu, kullanıcı verilerini iletmek için özel bir tünel oluşturur ve verileri şifreli bir şekilde bu tünel üzerinden gönderir. Böylece iletilen veriler, internet servis sağlayıcısı ve saldırganlara karşı korunur. Şifreleme işlemi, sadece cihaz ve VPN sunucusu tarafından bilinen bir şifreleme anahtarı kullanılarak gerçekleşir.
Veri iletişimi sırasında, şifreli veriler istenmeyen kişilerin eline geçerse, bu kişiler verileri deşifreleyemezler ve iletilen veriler üzerinde değişiklik yapamazlar. Verilerin etkili bir şekilde şifrelenmesi ve şifre kırma işleminin zorlaşması, VPN sağlayıcısı tarafından kullanılan şifreleme düzeyine bağlı olarak değişiklik gösterir. VPN tüneline güçlü bir şifreleme yöntemi eşlik etmediği sürece, tünel tek başına özel olarak kabul edilemez. VPN tünelinin şifreleme düzeyi kullanılan tünel protokolüne bağlıdır. En çok kullanılan VPN tünel protokolleri; PPTP, L2TP / IPSec, SSTP ve OpenVPN’dir. Bu protokoller aşağıda açıklanmıştır:
VPN Güvenliği
PPTP: PPTP (Point to Point Tunneling Protocol) VPN’ler tarafından kullanılan en eski protokollerden biridir. Microsoft tarafından geliştirilen ve Windows 95 ile yayınlanan PPTP, verileri paketler halinde şifreler ve bu verileri oluşturduğu bir tünel aracılığıyla gönderir. PPTP, sunucuya bağlanmak için yalnızca bir kullanıcı adı, parola ve sunucu adresi gerektiren, yapılandırılması en kolay protokollerden biridir. Düşük şifreleme düzeyi nedeniyle en hızlı VPN protokollerinden biridir. Yüksek bağlantı hızına sahip olsa da düşük şifreleme düzeyi nedeniyle, PPTP verilerin korunması için kullanılabilecek en az güvenli protokollerden biridir.
L2TP / IPSec: L2TP (Layer 2 Tunneling Protocol), PPTP’den daha güvenli bir tünel oluşturmak için IPSec (Internet Protocol Security) ile birlikte kullanılır. L2TP / IPSec, uygulanabilecek en gelişmiş şifreleme standartlarından biri olan AES-256 bit şifreleme sağlar. Ancak bu durum, L2TP / IPSec’i PPTP’den daha yavaş kılar. L2TP / IPSec, sağladığı yüksek güvenlik seviyesi göz önüne alındığında yine de çok popüler bir protokoldür.
SSTP: SSTP (Secure Socket Tunneling Protocol), güvenlik için SSL protokolünden yararlanır. SSL, SSTP’den geçen internet verilerini çok güvenli hale getirir. Windows tabanlı bir tünel protokolü olan SSTP başka bir işletim sisteminde mevcut değildir ve protokole yerleştirilmiş potansiyel arka kapılar için bağımsız olarak denetlenmemiştir.
OpenVPN: OpenVPN, AES 256 bit şifreleme kullanan yeni bir açık kaynak tünel protokolüdür. Sabit güvenlik duvarlarına takılı kalmadan bu güvenlik duvarlarını atlatabilir ve sahip olduğu bu özellik nedeniyle hızlıdır. OpenVPN’i ayarlamak için 3. taraf yazılımlara ihtiyaç duyulur ve protokol; Windows, Mac, Android ve iOS’ta yapılandırılabilir.
Bir VPN sağlayıcısı kullandığı protokole göre seçilebilir. PPTP hızlı olmasına rağmen güvenlik açısından zayıf olduğu için uzak durulması gereken bir protokoldür. L2TP / IPSec 256 bit şifreleme sağlar ancak daha yavaştır. SSTP ise güvenli olmasına rağmen sadece Windows ile uyumludur ve arka kapılara karşı güvenlik kontrolleri kapatılmıştır. Ancak OpenVPN; açık kaynak kodu, güçlü şifrelemesi ve güvenlik duvarlarına takılmama özellikleri sayesinde, verilerin internet üzerinden güvenli bir şekilde iletilmesi için kullanılabilecek en iyi tünel protokolüdür.
VPN sağlayıcılarının güvenlik açısından sunduğu diğer özellikler ise aşağıda açıklanmıştır:
No-Log VPN
No-Log VPN’ler, ağ üzerinden iletilen hiçbir bilgi için kayıt tutmazlar. Bu durum, VPN sağlayıcıları da dahil olmak üzere herkese karşı, aktif olarak yapılan bütün işlemlerin gizli tutulmasını sağlar. Dolayısıyla bir VPN sağlayıcısı seçildiğinde; log tutulmaması, eğer log tutuluyorsa bu logların düzenli olarak temizlenmesi ve sağlayıcının kullanıcı bilgilerini ifşa etmemesi gibi durumlar göz önünde bulundurulmalıdır.
Kill Switch
VPN bağlantısının kopması durumunda, internet erişimi normal bağlantı üzerinden devam edecektir. Kill Switch, VPN bağlantısının kopması durumunda seçilen programların otomatik olarak kapanmasını sağlar. Böylece hassas programlardan veri sızması engellenmiş olur.
Multifactor Authentication (Çok Faktörlü Kimlik Doğrulama)
Bu yöntem, kullanıcıların birden fazla adımda kimlik doğrulamalarını sağlar. Bu duruma, kullanıcı adı ve parola doğrulandıktan sonra, SMS ile bir kod gönderilmesi ve bu kodun sisteme girilmesi örnek olarak verilebilir. Böylece, saldırganların VPN’e yönelik saldırı gerçekleştirmesi zorlaşır.
Aşağıda en bilinen 5 VPN servisinin bazı özellikleri açıklanmıştır. Bu listedeki tüm servisler güvenlik özellikleri ve şifreleme protokolleri bakımından üst düzey hizmet sağlar.
ExpressVPN: OpenVPN için RSA-4096 handshake ve SHA-512 HMAC ile birlikte AES-256 şifreleme yöntemini uygular. Veri kanalı şifrelemesi için ECDH (Elliptic Curve Diffie–Hellman)’dan yararlanır. Ek olarak güvenlik duvarı tabanlı bir öldürme anahtarı ile birlikte DNS ve WebRTC sızıntısının önüne geçer.
NordVPN: Yüksek düzeyde gizlilik talep eden kişiler için zero log (sıfır kayıt) politikasını uygular. Tünel protokolü olarak OpenVPN kullanılır. NordVPN, OpenVPN için RSA-2048 handshake ve SHA-256 HMAC ile birlikte AES-256 şifreleme yöntemini uygular. Veri iletişiminin gizliliği DHE-4096 anahtar değişim algoritması ile sağlanır. Ancak NordVPN iOS için OpenVPN uygulamaz. Bunun yerine AES-256-GCM şifrelemesi ve HMAC SHA2-384 veri kimlik doğrulaması ile uygulanan IKEv2’yi kullanır.
PIA: PIA (Private Internet Access), tünel protokolü olarak OpenVPN kullanır. Yetkilendirme için HMAC SHA256 ile birlikte AES-256 bit şifreleme kullanır. Veri kanalı için RSA-4096 handshake ve kontrol kanalı için HMAC SHA384 ile birlikte AES-256 bit şifreleme kullanır. Ayrıca PIA, DNS sızıntısı için öldürme anahtarı sağlar ve port yönlendirme işlemini destekler.
CyberGhost: CyberGhost, kullanımı kolay bir yazılım ve çok güçlü şifreleme hizmeti sunan bir servis sağlayıcısıdır. Tünel protokolü olarak OpenVPN kullanan CyberGhost, veri kanalı için SHA256 HMAC ile birlikte AES-256-CBC şifrelemesi kullanır ve kontrol kanalı için RSA-4096 anahtar şifreleme ve SHA384 HMAC ile birlikte AES-256 bit şifreleme kullanır. Mükemmel gizlilik ise ECDH-4096 anahtar değişim algoritması ile sağlanır.
AirVPN: AirVPN kullanıcıların Tor servisi aracılığıyla VPN sunucularına bağlanmalarına izin verir ve güvenlik konusunda mükemmel bir üne sahiptir. VPN güvenliği ve hızlılık açısından ilk sırada yer alır. Ancak teknoloji ağırlıklı odağı ve oldukça sıkı destek şekli ile pek çok kullanıcıyı yabancılaştırır. AirVPN tünel protokolü olarak OpenVPN kullanır. RSA-4096 handshake, HMAC SHA1 veri kanalı kimlik doğrulaması, HMAC SHA384 kontrol kimlik doğrulaması ve DHE-4096 anahtar değişim algoritması ile birlikte AES-256 bit şifreleme kullanır. Öldürme anahtarı ile DNS sızıntılarını engeller. WebRTC sızıntılarını ise hem öldürme anahtarıyla sağlar hem de sunucu düzeyinde engeller.