Uzaktan Çalışma ve VPN Güvenliği

Tehditler ve Korunma

👤 Güvenlik Uzmanı★ 2/3⏱ 12 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Verizon 2023 Veri İhlali Raporu'na göre ihlallerin büyük çoğunluğunda insan faktörü rol oynuyor; uzaktan çalışan bir personelin halka açık kafe Wi-Fi'sinde şifresiz bağlanması, saldırgan için kurumsal ağa açılmış bir kapıdır. Peki evden bağlanırken sizi koruyan tek satır savunma ne?

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste uzaktan çalışmanın güvenlik risklerini, VPN'in nasıl koruduğunu, ev ağınızı sertleştirmeyi ve halka açık Wi-Fi tuzaklarını öğreniyoruz. Soldaki interaktif sahnede (secEncryptionFlow3D) verinin VPN tüneli içinde nasıl şifrelenip karşı uca ulaştığını; tünel kapalıyken aynı verinin nasıl açıkta aktığını adım adım dene ve şifreli/şifresiz akışı karşılaştır.

Anlatım

UZAKTAN ÇALIŞMA NEDEN RİSKLİ? Ofis dışında çalışırken kurumun kontrol ettiği güvenli ağdan (güvenlik duvarı, IDS/IPS, denetimli Wi-Fi) çıkar, denetlenmeyen ev/kafe/otel ağlarına bağlanırsınız. Bu, kurumsal verinin güvenli çevre dışına taşınması demektir. ISO 27001:2022 Annex A bu konuyu A.6.7 'Remote working' kontrolüyle doğrudan ele alır. VPN NEDİR, NASIL KORUR? VPN (Virtual Private Network), cihazınız ile kurumsal ağ arasında şifreli bir 'tünel' kurar. Tünel içindeki trafik şifrelendiği için, aradaki bir saldırgan (ör. aynı Wi-Fi'deki biri) paketleri yakalasa bile içeriği okuyamaz. VPN üç şeyi sağlar: gizlilik (şifreleme), bütünlük (veri değişmemiştir) ve kaynak doğrulama (karşı uç gerçekten kurumdur). NOT: VPN sizi her şeyden korumaz — kötü amaçlı yazılım, kimlik avı (phishing) ve zayıf parolalara karşı VPN bir savunma DEĞİLDİR. İŞ YERİ ÖRNEĞİ Bir muhasebe uzmanı evden bordro sistemine bağlanıyor. Kurumsal VPN açıkken trafik şifreli tünelden akar; ISP veya aynı ağdaki biri içeriği göremez. VPN kapatılıp sistem doğrudan açılırsa, oturum çerezleri ve giriş bilgileri ele geçirilebilir. HALKA AÇIK Wi-Fi TUZAKLARI • Sahte erişim noktası (Evil Twin): Saldırgan 'Kafe_Ucretsiz_WiFi' gibi meşru görünen bir ağ yayar; bağlanırsanız tüm trafiğiniz onun üzerinden akar. • Ortadaki adam (MITM): Saldırgan araya girip trafiği dinler/değiştirir. • Şifresiz (açık) ağlar: Parola istemeyen ağlarda hava üzerinden yayılan veri kolayca dinlenebilir. YAPILMASI GEREKENLER (DO) • Halka açık/güvenmediğiniz ağlarda kurumsal işe HER ZAMAN VPN ile bağlanın. • Cihaz disk şifrelemesini açın (BitLocker / FileVault) — cihaz çalınırsa veri okunamaz. • İşletim sistemi ve güvenlik yamalarını güncel tutun (A.8.8 Zafiyet yönetimi). • Otomatik ekran kilidini ve güçlü ekran-açma parolasını/biyometriyi etkinleştirin. • MFA (çok faktörlü kimlik doğrulama) kullanın. • Şüpheli ağ/uyarıyı BT/güvenlik ekibine bildirin (A.5.24 olay yönetimi). YAPILMAMASI GEREKENLER (DON'T) • Şifresiz/bilinmeyen Wi-Fi'de VPN'siz kurumsal sisteme girmeyin. • 'Bu siteye güven / sertifika uyarısını yoksay' demeyin — MITM işareti olabilir. • Kurumsal cihazda kişisel/korsan yazılım kurmayın; iş ve kişisel cihazı karıştırmayın. • Hassas belgeyi onaysız kişisel buluta/USB'ye kopyalamayın (DLP ihlali). • Cihazı kamuya açık yerde gözetimsiz/kilitsiz bırakmayın; omuz sörfüne (shoulder surfing) dikkat edin. EV AĞINI SERTLEŞTİRME • Router yönetici parolasını fabrika ayarından değiştirin. • WPA2/WPA3 şifrelemesi kullanın; WEP'i ASLA kullanmayın. • Router donanım yazılımını (firmware) güncel tutun. • Misafir ağı ile iş cihazınızı ayırın; IoT cihazlarını ayrı ağda tutun. KVKK / ISO 27001 BAĞLANTISI Uzaktan işlenen kişisel veriler için 'uygun teknik ve idari tedbir' (KVKK md. 12) zorunludur; şifreli iletişim (VPN), erişim denetimi ve cihaz güvenliği bu tedbirlerin parçasıdır. ISO 27001:2022 ilgili kontroller: A.6.7 Uzaktan çalışma, A.8.1 Uç nokta cihazları, A.8.20 Ağ güvenliği, A.8.24 Kriptografi kullanımı.

📌 Senaryolar

📌 Senaryo 1: Havalimanında uçağı beklerken acil bir kurumsal rapora erişmeniz gerekiyor; yanınızda 'Airport_Free_WiFi' adlı şifresiz bir ağ var.
  Doğru davranış: Önce kurumsal VPN'i bağlayın; VPN'siz hiçbir kurumsal sisteme girmeyin. Daha güvenli seçenek varsa telefonunuzun kişisel erişim noktasını (hotspot) kullanın.
  Sonuç/Neden: VPN tüneli trafiği şifreler; aynı ağdaki bir saldırgan paketleri yakalasa bile içeriği (oturum çerezi, parola) okuyamaz. Açık Wi-Fi + VPN yokken oturum çalınabilir.

📌 Senaryo 2: Evden çalışırken VPN istemcisi 'sertifika doğrulanamadı / güvenilmeyen sunucu' uyarısı veriyor ama 'Yine de bağlan' seçeneği duruyor.
  Doğru davranış: Bağlanmayın. Bağlantıyı kesin ve durumu BT/güvenlik ekibine bildirin; talimat gelene kadar kurumsal sisteme girmeyin.
  Sonuç/Neden: Sertifika uyarısı, ortadaki adam (MITM) saldırısının veya sahte VPN sunucusunun işareti olabilir. Uyarıyı yok saymak, şifreli sandığınız trafiği saldırgana açar.

📌 Senaryo 3: Kafede dizüstü bilgisayarınızla çalışıyorsunuz; tuvalete gitmek için kısa süre masadan kalkmanız gerekiyor.
  Doğru davranış: Cihazı yanınıza alın veya en azından ekranı kilitleyin (Win+L / Ctrl+Cmd+Q) ve mümkünse gözetimsiz bırakmayın.
  Sonuç/Neden: Kilitsiz/gözetimsiz cihaz; fiziksel erişimle veri kopyalama, kötü amaçlı USB takma veya omuz sörfü riskine açıktır. Fiziksel güvenlik, siber güvenliğin ayrılmaz parçasıdır.

📌 Senaryo 4: Ev router'ınızı yeni kurdunuz; varsayılan 'admin/admin' yönetici girişi ve eski WEP şifreleme seçeneği duruyor.
  Doğru davranış: Yönetici parolasını güçlü ve benzersiz bir parolayla değiştirin, WPA2/WPA3 şifrelemesini seçin (WEP'i kullanmayın) ve router firmware'ini güncelleyin.
  Sonuç/Neden: Varsayılan parolalar herkesçe bilinir; WEP kırılabilir bir protokoldür. Bu adımlar ev ağınızı saldırganın kolay hedefi olmaktan çıkarır (ISO 27001 A.8.20 Ağ güvenliği).

📌 Senaryo 5: Aciliyet nedeniyle bir müşteri sözleşmesini (kişisel veri içeriyor) kişisel Gmail'inize gönderip evdeki kişisel bilgisayarınızdan açmayı düşünüyorsunuz.
  Doğru davranış: Bunu yapmayın. Kurumsal cihaz + VPN üzerinden onaylı kurumsal sistemden erişin; gerekiyorsa onaylı güvenli paylaşım kanalını kullanın.
  Sonuç/Neden: Hassas veriyi kişisel kanala taşımak DLP ihlali ve KVKK md. 12 'uygun tedbir' yükümlülüğünün ihlalidir; denetimsiz cihazda veri sızıntısı ve yasal yaptırım riski doğar.

Özet

• Ofis dışı ağlar denetimsizdir; kurumsal işe halka açık Wi-Fi'de HER ZAMAN VPN ile bağlanın. • VPN trafiği şifreli tünelde taşır (gizlilik + bütünlük + kaynak doğrulama) ama phishing/zararlı yazılım/zayıf paroladan korumaz. • Halka açık Wi-Fi'de Evil Twin ve MITM gerçek tehdittir; sertifika uyarısını ASLA yok saymayın. • Cihazı şifreleyin (BitLocker/FileVault), güncel tutun, ekran kilidi + MFA kullanın, gözetimsiz bırakmayın. • Ev ağında router parolasını değiştirin, WPA2/WPA3 kullanın (WEP yok), firmware'i güncelleyin. • İlgili kontroller: ISO 27001 A.6.7 / A.8.1 / A.8.20 / A.8.24 ve KVKK md. 12 (uygun teknik-idari tedbir).

✅ Mini-Test (5)

1.VPN aşağıdakilerden hangisini SAĞLAR?

2.Halka açık şifresiz bir Wi-Fi'de kurumsal sisteme erişmeniz gerekirse ne yapmalısınız?

3.VPN bağlıyken kimlik avı (phishing) e-postalarına ve zararlı yazılıma karşı da korunmuş olursunuz.

4.Ev kablosuz ağınız için aşağıdaki şifreleme seçeneklerinden hangisi KULLANILMAMALIDIR?

5.Meşru görünen sahte bir Wi-Fi erişim noktası kurarak kullanıcıları kendine bağlatan saldırı türü hangisidir?

🧩 Uygulama Soruları (5)

1.Otel Wi-Fi'sine bağlandınız ve VPN istemcisi 'sunucu sertifikası güvenilmiyor' uyarısı verdi. Ne yaparsınız?

2.Kafede çalışırken birkaç dakika masadan ayrılmanız gerekiyor. En doğru davranış?

3.Kişisel veri içeren bir sözleşmeye evden hızlıca erişmeniz gerekiyor. Hangisi doğru?

4.Yeni kurduğunuz ev router'ında fabrika ayarı 'admin/admin' yönetici girişini değiştirmeden bırakmak güvenlidir.

5.Uzaktan çalışan bir personel olarak cihaz güvenliği için aşağıdakilerden hangisini YAPMAMALISINIZ?

← Veri Sızıntısı ve Yedekleme Şifreleme Temelleri →

← Tüm modüllere dön · Güvenlik Sözlüğü