VPN Guvenlik Rehberi: Uzaktan Erisimde En Iyi Uygulamalar

Uzaktan calisma modeli artik gecici bir donem degil, kalici bir is yapisi haline geldi. Bu donusum, kurumsal aglara dis dunyadan erisimi saglayan VPN altyapilarini her zamankinden daha kritik bir konuma tasidi. Ancak bir VPN baglantisinin var olmasi tek basina guvenlik anlamina gelmiyor. Dogru yapilandirilmamis, izlenmeyen ve ek guvenlik katmanlariyla desteklenmeyen bir VPN altyapisi, saldirganlara acik bir kapi birakabilir.

Bu rehberde VPN teknolojilerini, guvenlik risklerini ve kurumsal ortamda uygulanmasi gereken en iyi pratikleri ele aliyoruz.

1. VPN Nedir ve Neden Onemlidir?

VPN (Virtual Private Network), kullanicilarin internet uzerinden kurumsal aga sifrelenmis bir tunel araciligiyla baglanmasini saglayan teknolojidir. Kullanicinin cihazi ile kurumsal ag arasindaki tum veri trafigi bu tunel icerisinde sifrelenir, dolayisiyla ucuncu taraflarin verileri okumasinin veya degistirmesinin onu alinir.

Ozellikle uzaktan calisan ekipler, farkli sehirlerdeki subeler ve saha personeli icin VPN vazgecilmez bir aractir. Finansal veriler, musteri bilgileri, ic yazismalar ve is surecleri gibi hassas iceriklerin acik internet uzerinden degil, sifrelenmis bir kanal uzerinden tasinmasi kurumsal guvenligin temel gereksinimlerinden biridir.

2. SSL VPN ve IPSec VPN Farklari

Kurumsal ortamlarda en yaygin kullanilan iki VPN teknolojisi SSL VPN ve IPSec VPN'dir. Her ikisi de veri sifreleme saglar; ancak calisma prensipleri, kullanim alanlari ve yapilandirma gereksinimleri farklilik gosterir.

FortiGate cihazlarda her iki VPN tipi de desteklenir. Bireysel kullanicilar icin genellikle SSL VPN tercih edilirken, subeler arasi sabit baglantilarda IPSec VPN daha yaygin kullanilir. Her iki yapida da ek guvenlik katmanlari uygulanmalidir.

3. VPN Guvenlik Riskleri

VPN baglantisi verileri sifreler, ancak baglantiyi kuran kullanicinin kimliginin dogrulanmasi ayri bir guvenlik katmanidir. VPN altyapilarina yonelik en yaygin tehditler sunlardir:

Credential Theft (Kimlik Bilgisi Hirsizligi)

Saldirganlar, phishing e-postalari, sahte giris sayfalari veya sosyal muhendislik teknikleriyle kullanicilarin VPN kimlik bilgilerini ele gecirir. Bu bilgilerle kurumsal aga sanki yetkili bir kullaniciymisg gibi erisim saglarlar. Tek faktorlu kimlik dogrulama kullanan sistemlerde bu saldiri tipi son derece etkilidir.

Brute Force Saldirilari

Otomatik araclarla binlerce hatta milyonlarca parola kombinasyonunun sistematik olarak denenmesidir. Ozellikle zayif parola politikalari uygulanan ortamlarda basari orani yuksektir. VPN giris noktasi internete acik oldugu icin bu saldirilara surekli maruz kalir.

Bunlarin yaninda VPN yazilimindaki guvenlik aciklari, guncellenmeyen firmware surumleri ve yanlis yapilandirilmis erisim kurallari da ciddi riskler olusturur. Split tunneling politikalarinin dogru ayarlanmamasi, kullanicinin hem kurumsal aga hem de acik internete ayni anda erisimini sagladigi icin veri sizintisi riski dogurabilir.

4. MFA ile VPN Guvenligini Artirmak

Cok Faktorlu Kimlik Dogrulama (MFA), VPN baglantilarindaki en kritik guvenlik aciklarindan biri olan tek faktorlu kimlik dogrulamayi ortadan kaldirir. Kullanici adi ve parolaya ek olarak ikinci bir dogrulama adimi eklenir.

VPN ortaminda MFA uygulamasi su sekilde calisir:

1. Kullanici VPN istemcisine kullanici adi ve parolasini girer.
2. Sistem, RADIUS protokolu uzerinden MFA sunucusuna dogrulama istegi gonderir.
3. MFA sunucusu kullanicinin tanimli telefonuna SMS OTP veya e-posta adresine dogrulama kodu gonderir.
4. Kullanici bu tek kullanimlik kodu VPN istemcisine girer.
5. Her iki faktor de dogrulandiktan sonra VPN tuneli kurulur ve erisim saglanir.

MFA kullanimi ozellikle yonetici hesaplari, finansal verilere erisimi olan personel ve BT ekibi icin zorunlu tutulmalidir. Ancak en iyi uygulama, tum VPN kullanicilarini kapsayacak sekilde MFA'yi etkinlestirmektir.

5. FortiGate VPN + Subgate MFA Entegrasyonu

FortiGate cihazlar, RADIUS protokolunu destekledigi icin dis bir MFA sunucusuyla kolayca entegre edilebilir. Subgate Network bu entegrasyonu sorunsuz bir sekilde saglar.

Entegrasyon Sureci

1. RADIUS sunucu tanimlamasi: FortiGate uzerinde Subgate Network RADIUS sunucusu tanimlanir. IP adresi, port numarasi ve paylasilan anahtar (shared secret) girilir.
2. Kullanici grubu eslemesi: VPN erisim politikalarinda kullanilan kullanici gruplari, RADIUS sunucusu uzerinden dogrulama yapacak sekilde yapilandirilir.
3. MFA yontemi secimi: Subgate yonetim panelinden kullanicilar icin SMS OTP, e-posta OTP veya her ikisi birden tanimlanir.
4. Test ve devreye alma: Yapilandirma tamamlandiktan sonra test kullanicilariyla dogrulama akisi kontrol edilir ve uretim ortamina alinir.

Bu entegrasyon hem SSL VPN hem de IPSec VPN yapilarinda gecerlidir. Mevcut VPN yapilandirmanizda buyuk degisiklikler yapmaniza gerek kalmaz; yalnizca kimlik dogrulama sunucusu olarak Subgate RADIUS eklenir.

6. RDP Uzerinden Uzak Erisim ve Ek Guvenlik

Bircok kurum, uzaktan erisim icin VPN'in yani sira RDP (Uzak Masaustu Protokolu) kullanir. RDP, kullanicilarin ofisteki bilgisayarlarina veya sunuculara dogrudan baglanmasini saglar. Ancak RDP portlari internete acik birakildiginda ciddi guvenlik riskleri olusur.

Saldirganlar acik RDP portlarini otomatik tarama araclariyla tespit eder ve brute force saldirilariyla erisim saglamaya calisir. Basarili bir RDP ele gecirme, saldirganin kurumsal ag icinde hareket etmesine, verileri sifrelesmesine veya hassas bilgileri disari aktarmasina olanak tanir.

RDP Guvenlik Onlemleri

• VPN uzerinden erisim zorunlulugu: RDP'nin dogrudan internete acilmasi yerine, VPN tuneli uzerinden erisim saglanmalidir.
• MFA uygulamasi: RDP oturumu acilmadan once ikinci bir dogrulama adimi eklenmeli, boylece parola calinsaniyor olsa bile yetkisiz erisim engellenir.
• Port degisikligi ve erisim kisitlamasi: Varsayilan RDP portu degistirilmeli ve yalnizca belirli IP adreslerinden erisimine izin verilmelidir.
• Hesap kilitleme politikasi: Belirli sayida basarisiz giris denemesinden sonra hesabin gecici olarak kilitlenmesi saglanmalidir.

7. VPN Loglama ve Izleme

VPN guvenliginin onemli bir bileseni de tum baglanti islemlerinin kayit altina alinmasi ve duzeli olarak izlenmesidir. Etkin bir VPN loglama sistemi su verileri icermelidir:

• Baglanti kuran kullanicinin kimligi ve kullanici grubu
• Baglanti baslangic ve bitis zamanlari
• Kaynak IP adresi ve baglantinin yapildigi cografi konum
• Basarili ve basarisiz kimlik dogrulama denemeleri
• Transfer edilen veri miktari ve erisiilen ic kaynaklar
• MFA dogrulama sonuclari (basarili, basarisiz, zaman asimi)

Bu loglar, guvenlik olaylarinin arastirilmasinda, anormal davranislarin tespit edilmesinde ve yasal uyumluluk gereksinimlerinin karsilanmasinda kritik rol oynar. 5651 sayili Kanun geregi internet erisim loglari ve KVKK cercevesinde kisisel veri iseme kayitlari belirli surelerle saklanmak zorundadir.

8. En Iyi Uygulamalar (Best Practices)

VPN altyapinizin guvenligini en ust seviyede tutmak icin asagidaki uygulamalari hayata gecirin:

• Tum VPN kullanicilarinda MFA zorunlu kilin: Yalnizca yonetici hesaplari degil, VPN uzerinden baglanan her kullanici icin ikinci dogrulama faktoru aktif edilmelidir.
• Guclu parola politikasi uygalayin: Minimum karakter uzunlugu, buyuk-kucuk harf, rakam ve ozel karakter zorunlulugu tanimlanmalidir.
• VPN firmware ve yazilimlarini guncel tutun: Bilinen guvenlik aciklarina karsi koruma saglamak icin FortiGate firmware surumleri ve VPN istemci yazilimlari duzeli olarak guncellenmelidir.
• En az yetki ilkesini uygalayin: Kullanicilar yalnizca gorevleri icin gerekli kaynaklara erisebilmelidir. Tum ag erisimi vermek yerine, bolumlendirilmis erisim politikalari tanimlanmalidir.
• Split tunneling politikasini dikkatli yapilandirin: Hangi trafgin VPN tunelinden gececegi, hangi trafgin dogrudan internete yonlendirilecegi acikca tanimlanmalidir.
• Oturum surelerini sinirlandin: VPN oturumlarinin belirli bir sure sonunda otomatik olarak sonlandirilmasi ve yeniden kimlik dogrulama istenmesi saglanmalidir.
• Duzeli guvenlik denetimi yapin: VPN yapilandirmasi, erisim politikalari ve log kayitlari periyodik olarak gozden gecirilmelidir.
• Kullanicilari egtin: VPN kimlik bilgilerinin paylasimamasi, supheli e-postalara karsi dikkatli olunmasi ve OTP kodlarinin gizli tutulmasi konularinda duzeli egitimler verilmelidir.

9. Subgate Network ile VPN MFA Kurulumu

Subgate Network, VPN altyapilariniz icin kapsamli bir MFA ve loglama cozumu sunar. RADIUS protokolu uzerinden calisan MFA modulu, FortiGate, pfSense, MikroTik ve diger RADIUS destekli cihazlarla uyumludur.

Merkezi yonetim paneli uzerinden kullanici tanimlama, MFA yontemi secimi (SMS OTP ve e-posta OTP), grup bazinda politika atama ve log takibi islemlerini tek noktadan yurutebilirsiniz. SMS OTP icin HTTP GET destekleyen tum saglayicilar, e-posta OTP icin ise kurumsal SMTP sunucunuz dogrudan kullanilabilir.

Tum VPN dogrulama islemleri — basarili girisler, basarisiz denemeler, OTP gonderimleri ve zaman asimi kayitlari — otomatik olarak loglanir ve raporlanir. Bu loglar 5651 sayili Kanun ve KVKK uyumlulugu icin gerekli kayit saklama gereksinimlerini karsilar.