Merhaba arkadaşlar, ben Cem Zengin.
Ağ mimarisi tasarlarken veya uzaktan çalışma (remote work) altyapısı kurarken en sık karşılaştığımız sorulardan biri şudur: “SSL VPN mi kullanmalıyız, yoksa IPsec VPN mi?” Her iki teknoloji de verileri internet üzerinden güvenli bir şekilde şifreleyerek taşımayı amaçlasa da, çalışma katmanları, istemci gereksinimleri, performans ve güvenlik politikaları açısından çok büyük farklılıklar gösterirler.
Bu yazıda, SSL VPN ve IPsec VPN teknolojilerini derinlemesine karşılaştıracak ve hangi kullanım senaryolarında hangisini tercih etmeniz gerektiğini ele alacağız.
1. Çalışma Katmanları ve Protokoller
İki protokolün teknik olarak ayrıştığı en temel nokta, OSI referans modelinde çalıştıkları katmanlardır:
- IPsec (Internet Protocol Security): Network Katmanında (Layer 3) çalışır. İki ağ veya cihaz arasında doğrudan IP seviyesinde güvenli bir tünel oluşturur. IPsec, tünelin kurulması için ISAKMP (UDP 500/4500) ve ESP/AH protokollerini kullanır.
- SSL / TLS (Secure Sockets Layer): Uygulama Katmanında (Layer 7) çalışır. Genellikle standart HTTPS (TCP 443) portunu kullanarak bağlantıyı sonlandırır. Uygulamaya özel veya tüm cihaz trafiğini yönlendirecek şekilde (tünel modu) yapılandırılabilir.
2. İstemci (Client) Gereksinimleri
Uzaktan bağlanan kullanıcıların yönetimi açısından istemci ihtiyacı önemli bir maliyet ve destek parametresidir:
- IPsec VPN: Genellikle cihazlarda özel bir VPN istemci yazılımı (VPN Client) kurulmasını veya işletim sisteminin yerel VPN ayarlarının manuel yapılandırılmasını gerektirir. Konfigürasyonu son kullanıcı için daha karmaşıktır.
- SSL VPN: İki farklı modda çalışabilir:
- Clientless (Portalsız) Mod: Kullanıcı sadece standart bir web tarayıcısı (Chrome, Edge vb.) kullanarak şirket web uygulamalarına, SSH terminallerine veya RDP masaüstlerine erişebilir. Bilgisayara hiçbir yazılım yüklenmesi gerekmez.
- Tunnel (İstemcili) Mod: Tüm bilgisayar trafiğini tünellemek için hafif bir istemci yazılımı (Örn: FortiClient, AnyConnect) kurulur. Tarayıcı bağımsız tam erişim sağlanır.
3. Güvenlik ve Yetkilendirme Esnekliği
Kullanıcıların şirket içindeki hangi sunuculara veya servislere erişebileceğini denetleme esnekliği güvenlik duvarı yönetimi için kritiktir:
- IPsec VPN: Kullanıcı bağlandığı anda şirket ağına doğrudan L3 seviyesinde bir kabloyla bağlanmış gibi olur. Firewall kurallarıyla kısıtlanmadığı sürece tüm IP bloguna erişim sağlayabilir (Geniş Ağ Erişimi).
- SSL VPN: Uygulama seviyesinde çalıştığı için çok daha granular (detaylı) kısıtlamalara izin verir. Bir kullanıcıya sadece şirket içindeki tek bir web portalına ve SSH sunucusuna erişim hakkı tanıyıp, diğer iç sunucuları tamamen gizleyebilirsiniz (Mikro Segmentasyon).
4. Port ve Firewall Geçiş Kolaylığı (NAT/Firewall Traversal)
Kullanıcıların otel, kafe veya dış müşteri ağlarından şirket ağına bağlanırken yaşadıkları engel durumları:
- IPsec VPN: Bazı otel veya kamu ortak ağlarındaki güvenlik duvarları güvenlik sebebiyle UDP 500, UDP 4500 portlarını veya ESP protokolünü engeller. Bu durumlarda IPsec VPN bağlantısı kurulamaz.
- SSL VPN: Standart HTTPS (TCP 443) portunu kullandığı için, internet erişimi olan hemen hemen her yerden engelsiz bir şekilde bağlanabilir. Çünkü hiçbir firewall HTTPS portunu bloke etmez.
5. Karşılaştırma Tablosu
| Özellik | IPsec VPN | SSL VPN |
|---|---|---|
| OSI Katmanı | Layer 3 (Network) | Layer 7 (Application) |
| Port / Protokol | UDP 500, UDP 4500, ESP (IP 50) | TCP 443 (HTTPS) |
| İstemci İhtiyacı | Genellikle zorunlu (Özel yazılım) | Tarayıcı yeterli (İsteğe bağlı istemci) |
| Bağlantı Türü | Genelde Site-to-Site (Ofisler arası) | Genelde Client-to-Site (Mobil kullanıcılar) |
| Erişim Yetkisi | Tüm lokal alt ağlar (L3) | Belirli uygulama veya IP/Portlar (L7) |
| Performans | Çok Yüksek (Donanım hızlandırmalı) | Orta / Yüksek |
| Güvenlik Duvarı Geçişi | Kısıtlı port engellerine takılabilir | Son derece esnek (Port engeline takılmaz) |
6. Hangi Senaryoda Hangisini Seçmeliyiz?
Şu Senaryolarda IPsec VPN Kullanın:
- Site-to-Site (Şubeler Arası) Bağlantı: Merkez ofis ile şube ofisi veya bulut servis sağlayıcınız (AWS, Azure) ile fiziksel veri merkezinizi birbirine kalıcı olarak bağlayacaksanız en yüksek performansı ve kararlılığı IPsec sunar.
- Yüksek Performans Gereksinimi: Donanım tabanlı şifreleme motorları (ASIC işlemciler) IPsec paketlerini çok daha hızlı işler, gecikmeyi (latency) minimize eder.
Şu Senaryolarda SSL VPN Kullanın:
- Uzak Çalışanlar (Remote Users): Şirket bilgisayarları veya şahsi bilgisayarlarından evden çalışan personelin şirket ağına kolayca bağlanması için en pratik yöntemdir.
- Üçüncü Parti / Tedarikçi Erişimi: Şirket dışındaki bir yazılım firmasının sadece belirli bir sunucuya RDP yapmasını istiyorsanız, SSL VPN portalı üzerinden tarayıcı tabanlı kısıtlı erişim tanımlamak en güvenli yoldur.
- Mobil Cihazlar: Akıllı telefonlar ve tabletler üzerinden şirket içi dosyalara veya maillere hızlı erişim için SSL VPN uygulamaları daha stabildir.
Ağ projelerinizdeki VPN tercihlerinizi veya yaşadığınız tünel sorunlarını yorumlarda benimle paylaşabilirsiniz. Güvenli ve kesintisiz günler dilerim!