VPN Nedir? Dünyada Network Filtrelemesi 101
2016/11/06 Yorum bırakın
Bu yazımda VPN konusuna teknik anlamda çok detaylı şekilde girmeyeceğim (o yüzden her teknik detayı ideal doğru haliyle anlatmayacağım), ama umarım teknik olmayan kullanıcıların VPN‘in ne olduğu ve dünyada ne şekilde kullanıldığı hakkında fikir oluşmasına yardımcı olur.
Öncelikle VPN ne değildir?
VPN aslında sadece Twitter, Facebook vs. bloklamasını geçmek için geliştirilmiş bir sistem değildir.
Peki ne amaçla tasarlanmıştır?
Bu sistemin temel amacı güvenli olması gereken bir ağa giren kullanıcıların, herhangi güvensiz bir internet bağlantısı (mesela otel odası) üzerinden güvenli bir şekilde ulaşmalarını sağlamaktır. Yani diyelim ki iş yeriniz İstanbul’da, şirketinizdeki tüm sunuculara ofisinizden fiziksel kablolama ile erişiyorsunuz. Peki yurtdışına çıkarsanız, laptopunuz ile tıpkı ofisinizdeki gibi, şirketinizin yerel ağında (tabii internet bağlantı hızları limitiyle) olmak istemez misiniz? Böyle bir teknoloji var, ve adı da VPN!
VPN neden esas amacı dışında da kullanılmaya başlandı?
En başta bazı servislerin: sadece Amerikan Kredi kartı olacak, Amerika IP bloğu dışında bağlantı olmayacak diyenlerin (eskiden Netflix) gönlünü hoş etmek için kullananlar olsa da, dünyada (internet bağlantılarının filtrelendiği bazı ülkelerde) esas popülerliğini Facebook, Twitter vs. bloklanmasını geçmek için kazanmıştır.
VPN Nasıl çalışır?
Kullandığınız bilgisayara, kullanacağınız VPN servisine özel bir yazılım yüklersiniz. Bu yazılım bilgisayarınızdaki tüm network bağlantılarının arasına girer, ve mesajları bilgisayarınızda çalışan VPN yazılımının standartları ile şifreleyerek, bağlı olduğu sunucuya internet üzerinden aktarır. Yani aradaki mesajlar bu şifreleme sistemi kırılmadan dinlenemez, çözülemez, değiştirilemez. Böylece VPN’iniz üzerinden nereye ne bağlantısı yaptığınız, ne veri gönderip aldığınız aradaki internet servis sağlayıcıları tarafından bilinemez. Zaten VPN’in esas amacı da budur. Dünyanın herhangi bir yerindeki otel odasından, şirketinizin özel sunucularına, aradaki verilerin dinlenmesine imkan vermeden bağlanmak.
VPN Üzerinden Internet’e Nasıl Bağlanıyorum?
Diyelim ki şirketiniz Amerika’da. VPN yazılımınızı kurarak şirketinizdeki bilgisayarların bulunduğu ağa bağlandınız. Artık tüm internet bağlantınızı da aslında Amerika’daki ofisinizdeymiş gibi yapabilirsiniz. Yani aslında masanızda oturuyor olmanızla uzaktan VPN’le girmeniz arasındaki tek fark (neredeyse) network hızıdır. Yani bulunduğunuz ülkeye servis vermeyen, ya da bulunduğunuz ülkeden bağlantı yasağı olan bir servise, Amerika’daki ofisinizin erişim kuralları ile erişebilirsiniz. Örneğin Amerika’daki şirketiniz ofisinizden Facebook erişimini engellerse, Facebook’a yine erişemezsiniz.
VPN Servisi Veren Şirketler Kimdir?
Normalde böyle bir 3. parti bir servise ihtiyaç duyulmaması gerekir. Bu tür servisleri kullananlar çoğunlukla yasal bazı engelleri aşmak için bu yola başvuruyorlar. Ya Netflix ülkelerine servis vermiyordur, ya ülkelerinden Twitter bağlantısı engellenmiştir ya da yasal olmayan şekilde kopyalanmış film, yazılım vs. indiriyorlardır. VPN servisleri tüm bunlara araya girerek kılıf (bazen maşa) olabilirler. Diyelim ki bir VPN servisi bir çok uluslararası yasanın tanınmadığı bir ülkede olsun, bu durumda kendi servisi üzerinden yapılan yasadışı indirmeler ya da internet dolandırıcılıklarında, kullanıcılarına bir kimlik görünmezliği sağlayabilirler. (Bunun için görevlilerin VPN servisi kayıtlarına erişim izni vermemeleri ya da bu kayıtları yanlışlıkla(!) kaybetmeleri yeterli olur.)
Kendi VPN Servisinizi kurmak zor mudur?
Kolay değildir ama, tabii ki mümkündür. Bir çok açık kaynak kodlu VPN yazılımı bulmak mümkündür. Örneğin: Amerika’daki bir arkadaşınız bu tür bir yazılımı kendi evindeki bilgisayarına kurarsa, siz onun evinden bağlanıyormuş gibi internete bağlanabilirsiniz. Ancak bu servisi kendi ülkenizdeki evinize kurarsanız, evinizdeki bağlantınızın erişim limitleriyle aynı şekilde sınırlandırılırsınız. Yani VPN sihir değildir!
VPN Servisleri bloklanabilir mi?
Tabii ki evet! Bunun birkaç yolu olsa gerek. Bir kere en sık kullanılan VPN servislerinin IP bloklarına erişim engellenirse, artık o VPN’i kullanamazsınız. Başka bir yolu da kullanılan portları ve/veya iletişim protokollerini engellemek olabilir.
Peki VPN Servisleri bloklanmışsa yine de sansürsüz internet erişimi yapılabilir mi?
Aslında sansürleme yöntemlerinde teknik limit neredeyse yok gibidir. Ancak her teknoloji “anti”sini de yanında geliştirmektedir. İnsanlar DNS‘lerini değiştirmeyi (8.8.8.8) öğrenmişse, o zaman artık IP filtrelersiniz. Eğer VPN kullanımı yeterince yaygınlaşmışsa VPN servislerini de engellersiniz. Diğer başka teknik yollara başvururlarsa onu da emin olun engelleyebilirsiniz. Her ne metod geliştirirseniz geliştirin, mutlaka önü kesilebilir. Bu tür bir filtreleme için kullanılabilecek en uç yöntemlerden birini anlatayım (Bu aslında basitçe bir firewall kuralı listesi, en üstteki kural en önce uygulanır eğer erişim sağlanamazsa bir alttakine bakılır. Not: Bu kural listesi arttıkça firewall’un çalışma hızı düşebilir.):
- Öncelikle en başta tüm network erişimini engellersiniz.
- Sadece yurt içindeki IP bloğuna http (şifresiz) ile erişim izni verirsiniz.
- Yurt içindeki sadece şifreli iletişime ihtiyaç duyan onaylı kurumlara (mesela bankalara) https (şifreli) erişim izni verirsiniz.
- Yurt içinde özel protokol gerektiren onaylı kurumlara http / https dışında erişim izni verirsiniz.
- Yurt dışında sadece onaylı sitelere http (şifresiz) erişim verirsiniz, ancak aradaki tüm paketleri kaydeder, dinler ve gerektiğinde filtrelersiniz.
- Yurt dışında SSL sertifikalarını devletinizle paylaşmış sitelere (tabii bir çoğu bunu kabul etmeyecektir, kabul edenler de durumu yalanlayabilirler) aradaki trafiği dinleyerek https (şifreli) erişim sağlarsınız. Yani gmail’e https ile erişmek mümkün olsa da, aslında bu erişimi yerel internet servis sağlayıcınızın araya şifreyi çözerek girmesiyle erişirsiniz.
Günümüzde yukarıda anlattığıma benzer kurallar Çin’in Harika Internet Seddi (https://en.wikipedia.org/wiki/Great_Firewall_of_China) projesinde uygulanmaktadır. Ayrıca 2013 yılı itibariyle, Çin’de 2 milyon civarında internet polisi bulunduğu iddia edilmektedir (kaynak: http://www.bbc.com/news/world-asia-china-24396957). Dolayısıyla yukarıda listelediğim yöntemlerin bir çoğu farazi değil, gerçek bir biçimde uzun zamandır uygulanan yöntemlerdir.
Kendi Internet servisimi alabilir miyim, mesela uydudan?
Kendi çanak anteninizi koyarak uyduya direk sinyal gönderip almak teknik olarak mümkündür. Ancak ülkenizdeki yasalar itibariyle böyle bir radyo iletişimi kullanmanız da kanunlara tabii olabilir. Yani resmi görevliler uyduya sinyal gönderdiğinizi tespit edilebilir ve bu konuda kanunen engellenebilirsiniz. Tabii ayrıca teknik olarak da istenirse bu tip uyduların frekansı belirli bölgelerden bozulabilir.
Bunun dışında uzun dalga telsiz sinyali ile çok düşük hızla veri transferi yapmak mümkün olabilir, ancak bu da bir çok ülkede kanuni izne tabiidir. Ayrıca sinyalleri gönderen cihazların yeri de tespit edilebilir.
Benim bildiğim kadarıyla, geriye kendi fiber optik ağ kablonuzu çekmek kalıyor. Ya sınırlardan ya da uluslararası sulardan, ama her ikisi de bana oldukça zor görünüyor.
Sonuç
Özetle vardığım sonuç şudur:
Bir ülke isterse tüm iletişimi (buna sadece internet olarak bakmayın), gerek teknik gerekse hukuki yollardan engelleyebilir, ne kadar hacker vs. olsanız da bu duvarları aşamayabilirsiniz.