IPsec ve IKEv2 arasındaki fark nedir?

IPsec, IP paketlerini şifreleyen ve doğrulayan protokoldür. IKEv2, IPsec'in kullandığı anahtarlar üzerinde anlaşma sağlayan protokoldür. Neredeyse her zaman birlikte çalışırlar; insanlar 'IKEv2 VPN' derken, anahtar değişimi yapan IKEv2'yi ve gerçek paket şifrelemesini yapan IPsec'i kastediyorlar.

IPsec güvenli midir?

Modern IPsec yapılandırmaları (IKEv2, AES-GCM veya ChaCha20-Poly1305, Curve25519 veya daha büyük DH grupları ile ECDH anahtar değişimi, sertifika tabanlı kimlik doğrulama) güvenlidir. Küçük Diffie-Hellman gruplarını, IKEv1 agresif modunu veya önceden paylaşılan anahtarları kullanan eski yapılandırmalar, iyi finanse edilen rakiplerin gerçekleştirebileceği saldırılara karşı savunmasızdır. Asıl sorun karmaşıklıktır: IPsec'i bilmeden güvenli olmayan bir şekilde dağıtmak kolaydır.

L2TP/IPsec nedir? Kullanmalı mıyım?

L2TP/IPsec, şifreleme için eski L2TP tünel protokolünü IPsec'in içine sarar. Eski işletim sistemleri ve yönlendiricilerde yaygın olarak destekleniyordu. 2026'da bunu kullanmak için iyi bir neden yok; modern işletim sistemi istemcilerinin tümü doğrudan IKEv2/IPsec konuşur; bu da daha temiz, daha hızlı ve daha basittir. Seçeneğinizin olduğu her yerde L2TP/IPsec yerine IKEv2'yi kullanın.

IPsec NAT üzerinden çalışıyor mu?

Evet, ESP paketlerini UDP içinde kapsülleyen NAT-Traversal (NAT-T, RFC 3948) kullanılarak tünel modunda. Hemen hemen her modern IPsec uygulaması bunu otomatik olarak yapar. AH (Kimlik Doğrulama Başlığı), NAT üzerinden çalışmaz çünkü AH'nin kimlik doğrulaması, NAT'ın değiştirdiği IP başlığının kendisini kapsar.

IPsec WireGuard'dan daha mı hızlı?

AES-NI donanım hızlandırmalı üst düzey bir Linux sunucusunda IPsec, WireGuard'ın verimiyle eşleşebilir. Alt seviye donanımlarda, mobil cihazlarda veya bağlantı kurulum süresi açısından WireGuard genellikle daha hızlıdır. Günlük tüketici VPN kullanımı için WireGuard'ın daha küçük kod tabanı ve daha basit yapılandırması, onu daha iyi bir varsayılan haline getirir.

IPsec Açıklandı: Çoğu Kurumsal VPN'e Hala Güç Veren 30 Yıllık Protokol Paketi

IPsec, muhtemelen adını hiç duymadığınız ama her gün kullandığınız VPN protokolüdür. Hemen hemen her siteden siteye kurumsal VPN, her yerel iOS "VPN" ayarı, bir yönlendiricideki her L2TP/IPsec yapılandırması IPsec'i altında çalıştırır. Bu aynı zamanda Bruce Schneier'in 2003 yılında "güvenli olamayacak kadar karmaşık" dediği protokoldür. Bu açıklayıcı protokol bunun ne olduğunu, gerçekte nasıl çalıştığını, nerede parladığını ve 30 yıllık birikmiş karmaşıklığının ona nerede zarar verdiğini kapsar.

Makalenin tam metni aşağıda İngilizce olarak verilmektedir.

IPsec nedir?

IPsec, temelleri 1995'ten kalma bir dizi IETF standardı tarafından tanımlanan bir Katman 3 (ağ katmanı) güvenlik çerçevesidir. TLS (aktarım katmanında çalışan) veya SSH'den (uygulama katmanı) farklı olarak IPsec, aktarımın altında bulunur. Her TCP, UDP, ICMP paketi veya IP üzerinde çalışan herhangi bir protokolün kimliği doğrulanabilir ve uygulama için şeffaf bir şekilde şifrelenebilir.

Bu tek bir protokol değildir. Birlikte çalışan çeşitli protokollerden oluşan bir çerçevedir:

Kimlik Doğrulama Başlığı (AH) — bağlantısız bütünlük ve kimlik doğrulama, ancak gizlilik yoktur. Orijinal RFC 1826 (1995), şimdi RFC 4302.
Kapsüllenen Güvenlik Yükü (ESP) — kimlik doğrulama, bütünlük, ve gizliliği. RFC 1827 (1995), şimdi RFC 4303. Bugün neredeyse herkesin kullandığı şey budur.
Internet Anahtar Değişimi (IKE) — ESP'nin kullandığı anahtarlarla anlaşan anahtar yönetimi protokolü. IKEv1 (RFC 2409, 1998) büyük ölçüde kullanımdan kaldırılmıştır. IKEv2 (RFC 7296, 2014) modern versiyondur.
ISAKMP — IKE tarafından kullanılan, kimliği doğrulanmış anahtar yönetiminin temel çerçevesi.

Gerçekte nasıl çalışır

IPsec, IP üstbilgisi ile aktarım katmanı arasına bir başlık katmanı ve şifrelenmiş yük ekler yük. İki mod vardır:

Aktarım modu

Yalnızca her paketin yükünü şifreler ve doğrular. Orijinal IP başlığı, yalnızca bir güvenlik protokolü numarası anahtarıyla bozulmadan kalır. Ana bilgisayardan ana bilgisayara kullanılır; gerçek kaynak/hedef IP'lerini ara yönlendiricilerden gizlemez. AH kullanımdayken NAT uyumlu değildir çünkü AH, kimlik doğrulama karmasında IP başlığını kapsar ve NAT, uçuş sırasında başlıkları değiştirir.

Tünel modu

Orijinal IP paketinin tamamını, yeni bir dış başlık ile yeni bir IP paketi içinde kapsüller. Kurumsal siteden siteye VPN'lerin kullandığı şey budur. İki kurumsal ağın her birinin kendi ağ geçidi vardır ve aralarındaki trafik, iç adreslerin yol üzerindeki herkes tarafından görülemediği bir IPsec tüneli üzerinden akar. Tünel modu aynı zamanda NAT geçişini de yerel olarak yönetir (UDP kapsülleme, RFC 3948).

Security Associations

İki uç nokta veri alışverişi yapmadan önce, bir Security Association (SA) - hangi şifreleme algoritmasının (AES-GCM, ChaCha20-Poly1305, vb.) üzerinde anlaşmaya varırlar? hash işlevi (SHA-256, SHA-512, BLAKE2), hangi anahtar malzemesi, anahtarların ömrü ve diğer parametreler. SA'lar tek yönlüdür; çift yönlü bir bağlantı için iki tane gerekir.

Her SA, bir Güvenlik Parametre Dizini (SPI) artı hedef IP ile tanımlanır. SPI, alıcı uç noktaya gelen bir paketin şifresini çözmek için hangi anahtarın ve algoritmanın kullanılacağını söyler. Bu, gerçek dağıtımlarda en sık bozulan hareketli kısımdır — Satıcılar arasındaki SA kullanım ömrü uyumsuzlukları, kurumsal ağlarda her gün sessiz tünel yeniden anahtar fırtınalarına neden olur.

Bruce Schneier eleştirisi

2003 tarihli ünlü bir makalede, kriptograflar Niels Ferguson ve Bruce Schneier IPsec'i incelediler ve 'i "büyük bir hayal kırıklığı" olarak adlandırdılar. Temel argümanları: IPsec'in spesifikasyonu o kadar esnekti ki (çok sayıda isteğe bağlı modu, algoritma kombinasyonunu ve operasyonel değişkeni destekliyordu) neredeyse her gerçek dağıtım, kriptografinin kötü olması nedeniyle değil, konfigürasyonların yanlış hizalanması nedeniyle güvensizdi.

20+ yıl sonra, bu eleştirinin hala dişleri var. Modern IPsec (IKEv2, AES-GCM, sertifika tabanlı kimlik doğrulama, makul varsayılanlar) gerçekten güvenlidir. Ancak her IPsec mühendisinin, Cisco ile mükemmel çalışan ancak Fortinet ile çalışmayan, IPv4 üzerinde çalışan ancak IPv6 olmayan veya bir taraf 8. saatte yeniden anahtarlama yapıp her paketi 30 saniye boyunca sessizce bırakana kadar çalışan tünellerdeki hata ayıklamayla ilgili savaş hikayeleri vardır.

NSA arka kapı iddiaları

Snowden'ın 2013'teki açıklamaları, "eklemek" için bir NSA programını ortaya çıkardı ticari şifreleme sistemlerindeki güvenlik açıkları" - ve IPsec özel olarak adlandırılmıştır. Logjam araştırma ekibi (2015) makul bir mekanizma önerdi: O zamanlar adreslenebilir IPsec VPN'lerin ~%90'ı anahtar değişimi için ikinci Oakley Diffie-Hellman grubunu kullanıyordu. Bu grubun büyüklüğü, yeterince iyi finanse edilen bir saldırganın (örneğin bir devlet istihbarat teşkilatı) ayrı günlükleri bir kez önceden hesaplayabileceği ve ardından herhangi bir oturumun anahtar değişimini ucuz bir şekilde kırabileceği anlamına geliyordu.

Azaltma basittir: daha büyük Diffie-Hellman grupları (grup 14 veya daha yüksek) veya daha iyisi, Curve25519'lu eliptik eğri Diffie-Hellman'ı kullanın. Modern IPsec dağıtımları bunu yapar; eski olanlar genellikle bunu yapmaz. 2016 yılında sızdırılan Equation Group (NSA'ya bağlı olduğu iddia edilen) araç seti, Cisco PIX ve ASA güvenlik duvarlarındaki eski IPsec uygulamalarını hedef alan belirli açıkları içeriyordu.

IPsec'in günümüzde kullanıldığı yerler

Siteden siteye kurumsal VPN'ler — baskın kullanım durumu. IPsec tünel moduyla bağlanan iki kurumsal site, ders kitabı dağıtımıdır.
iOS / macOS yerel VPN — iOS ve macOS'taki yerleşik "VPN" istemcisi, IKEv2/IPsec'i yerel olarak konuşur. MDM tarafından yönetilen her zaman açık VPN profilleri IPsec kullanır.
Windows yerel VPN — Windows, IKEv2/IPsec'i birinci sınıf bir seçenek olarak sunar.
L2TP/IPsec — şifreleme için IPsec üzerinden taşınan L2TP tünel protokolü. Eski, yavaş ama geniş çapta destekleniyor. Çoğunlukla IKEv2.
IPv6'da zorunlu olarak kaldırıldı (başlangıçta) — IPsec desteği ilk IPv6 spesifikasyonlarında zorunluydu, daha sonra RFC 6434'te isteğe bağlı hale getirildi.

IPsec vs WireGuard vs OpenVPN

vs WireGuard: IPsec daha eski, daha karmaşık, daha yapılandırılabilir ve daha yavaştır. WireGuard daha yeni, daha kararlı, daha küçük ve daha hızlıdır. WireGuard'ın IND-CCA güvenlik kanıtı mevcuttur; Yapılandırma yüzeyi resmileştirilemeyecek kadar büyük olduğundan IPsec için bir bütün olarak eşdeğer hiçbir şey mevcut değildir.
vs OpenVPN: IPsec çekirdekte çalışır (daha hızlı); OpenVPN kullanıcı alanında çalışır (daha esnek). OpenVPN-TCP/443, HTTPS olarak gizlenebilir; IPsec kendisini gerçekten gizleyemez.
vs L2TP/IPsec: L2TP, güvenlik açısından hiçbir şey eklemez; bu sadece yaşlı müşterilerin konuşmayı bildiği tünel katmanıdır. Çıplak IKEv2/IPsec kesinlikle daha iyidir.

Modern bir Linux sunucusundaki ham speed için, AES-NI donanım hızlandırmalı IPsec, WireGuard ile rekabet edebilir. Mobil pil ve kullanım kolaylığı açısından işletim sistemi çekirdeğinde çalışan IKEv2/IPsec mükemmeldir. İstemciden sunucuya tüketici VPN kullanımında WireGuard bunu geride bıraktı.

Kuantum sonrası uzantılar

IETF'nin ipsecme çalışma grubu, IPsec için kuantum sonrası anahtar değişimini aktif olarak standartlaştırıyor. Mevcut taslak, klasik bir anahtar değişimini (Diffie-Hellman veya ECDH) kuantum sonrası bir adayla (Kyber, NTRU, diğerleri) karıştırıyor, böylece kuantum bilgisayarlar klasik yarıyı kırabilse bile simetrik oturum anahtarı gizli kalıyor. Birçok kurumsal satıcı erken uygulamaları sunmaya başladı.

Verdict

IPsec, bugün yeni bir protokol seçiyorsanız ve kısıtlanmıyorsanız seçmeniz gereken protokol değildir. WireGuard daha hızlı ve daha temizdir. OpenVPN-TCP/443, düşman ağlar için daha esnektir. Ancak IPsec, her iPhone'un VPN ayarlarında, her kurumsal güvenlik duvarında, her L2TP/IPsec eski yapılandırmasında, her bulut sağlayıcısındaki her siteden siteye bağlayıcıda kaçınılmaz olarak karşılaşacağınız protokoldür. Ağlarla çalışıyorsanız bunu anlamak isteğe bağlı değildir.

Bugün bir IPsec VPN çalıştırıyorsanız ve WireGuard'a geçmeyi düşünüyorsanız, protokol karşılaştırmamız bu dengelemeleri kapsar.

Sık sorulan sorular

IPsec ve IKEv2 arasındaki fark nedir?: IPsec, IP paketlerini şifreleyen ve doğrulayan protokoldür. IKEv2, IPsec'in kullandığı anahtarlar üzerinde anlaşma sağlayan protokoldür. Neredeyse her zaman birlikte çalışırlar; insanlar 'IKEv2 VPN' derken, anahtar değişimi yapan IKEv2'yi ve gerçek paket şifrelemesini yapan IPsec'i kastediyorlar.
IPsec güvenli midir?: Modern IPsec yapılandırmaları (IKEv2, AES-GCM veya ChaCha20-Poly1305, Curve25519 veya daha büyük DH grupları ile ECDH anahtar değişimi, sertifika tabanlı kimlik doğrulama) güvenlidir. Küçük Diffie-Hellman gruplarını, IKEv1 agresif modunu veya önceden paylaşılan anahtarları kullanan eski yapılandırmalar, iyi finanse edilen rakiplerin gerçekleştirebileceği saldırılara karşı savunmasızdır. Asıl sorun karmaşıklıktır: IPsec'i bilmeden güvenli olmayan bir şekilde dağıtmak kolaydır.
L2TP/IPsec nedir? Kullanmalı mıyım?: L2TP/IPsec, şifreleme için eski L2TP tünel protokolünü IPsec'in içine sarar. Eski işletim sistemleri ve yönlendiricilerde yaygın olarak destekleniyordu. 2026'da bunu kullanmak için iyi bir neden yok; modern işletim sistemi istemcilerinin tümü doğrudan IKEv2/IPsec konuşur; bu da daha temiz, daha hızlı ve daha basittir. Seçeneğinizin olduğu her yerde L2TP/IPsec yerine IKEv2'yi kullanın.
IPsec NAT üzerinden çalışıyor mu?: Evet, ESP paketlerini UDP içinde kapsülleyen NAT-Traversal (NAT-T, RFC 3948) kullanılarak tünel modunda. Hemen hemen her modern IPsec uygulaması bunu otomatik olarak yapar. AH (Kimlik Doğrulama Başlığı), NAT üzerinden çalışmaz çünkü AH'nin kimlik doğrulaması, NAT'ın değiştirdiği IP başlığının kendisini kapsar.
IPsec WireGuard'dan daha mı hızlı?: AES-NI donanım hızlandırmalı üst düzey bir Linux sunucusunda IPsec, WireGuard'ın verimiyle eşleşebilir. Alt seviye donanımlarda, mobil cihazlarda veya bağlantı kurulum süresi açısından WireGuard genellikle daha hızlıdır. Günlük tüketici VPN kullanımı için WireGuard'ın daha küçük kod tabanı ve daha basit yapılandırması, onu daha iyi bir varsayılan haline getirir.