Kamuya açık alanlarda ücretli veya ücretsiz Wi-Fi şeklinde internet hizmeti veren belediye, restoran, öğrenci yurdu, rezidans veya cafe gibi yerler 5651 yasasına uygun olarak bu hizmeti vermek zorundadırlar. Kısaca 5651 yasası, internet erişiminin kontrol altına alınmasını amaçlıyor.
5651 yasasına dayanan “internet toplu kullanım sağlayıcıları hakkında yönetmelik” kapsamında dört temel unsur dikkat çekiyor.
- SMS authentication veya benzeri bir yöntem ile kullanıcıların tanımlanması,
- Erişim kayıtlarının (log kayıtları) 5651 yasasına uygun şekilde arşivlenmesi ve 2 yıl boyunca saklanması,
- Konusu suç olan içeriklerie erişimin içerik filtreleme gibi bir sistem ile engellenmesi,
- İlave tedbir olarak güvenli internet hizmetinin kullanılması.
Şimdi size örnek bir topoloji üzerinden bu yükümlülükleri detaylandıracağım.
Yerel Ağ Üzerinde 5651 Yasasına Uygun Şekilde Bir Hotspot Projesi Örneği
Bu örnek topolojide bir restoran sahibi müşterilerine ücretsiz şekilde internet hizmeti vermek istiyor. Fakat gelen müşterilerin internet üzerinden suç işleme olasılığını düşünüp kendisini 5651 yasası ile korumak istiyor. Çünkü sonuçta modem arkasında ne kadar kişi olursa olsun internet tarafında tek bir IP adresinden çıkılmış olarak görünüyor. Kurgumuzu adım adım anlatalım;
Hotspot Cihazı: Modem, NAC veya router cihazının hotspot, web portal veya captive portal gibi isimler ile anılan ama özünde kullanıcıların karşısına bir doğrulama ekranı getiren, kullanıcı doğrulamasını başarılı bir şekilde tamamladıktan sonra internete geçişe izin veren hotspot özelliğini desteklemesi gerekmektedir. Bu desteklenmiyor ise bunun için ayrıca bir hotspot cihazı temin edilmesi gerekmektedir. Örneğimizde restoran sahibi internete çıkış için hotspot teknolojisini destekleyen bir modem kullanıyor.
Kullanıcı Doğruma Özellikleri (SMS / T.C. Authentication İşlemi): SMS authentication uygulanacak ise hotspot cihazının bu özelliği destekliyor olması gerekir. Bu desteklenmiyor ise bunun için ayrıca bir hotspot cihazı temin edilmesi gerekmektedir. Şayet destekliyor ise herhangi bir SMS firmasından belli sayıda kısa mesaj içeren SMS paketlerinden biri satın alınmalıdır. Ardından SMS firmasının vereceği API, hotspot cihazı içerine girilmelidir. Örneğimizde restoran sahibi SMS authentication özelliğini destekleyen bir modem kullanıyor ve SMS firmasından aldığı API’yi bu cihaza giriyor.
Eğer T.C. authentication kullanılmak isteniyor ise hotspot cihazı bu özelliği destekliyor olmalıdır. Bu desteklenmiyor ise bunun için ayrıca bir hotspot cihazı temin edilmesi gerekmektedir. Örneğimizde restoran sahibi T.C. kimlik numarası ile authentication yapabilen bir modem kullanıyor. Yani restoran sahibin kullanmış olduğu modem, https://tckimlik.nvi.gov.tr/service/kpspublic.asmx?WSDL servisini kullanarak XML yöntemiyle Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’ne ait sunuculardan T.C. doğrulaması yapabiliyor.
Kablosuz İnternet Yayını: Restoran sahibi, modemin LAN portlarından birine ethernet kablosu vasıtasıyla wireless yayın yapmak için access point takıyor. Ayrıca kullandığı modem de kablosuz yayın yapma özelliğine sahip olduğu için iki noktadan Wi-Fi yayın yapmış oluyor.
Erişim Kayıtları (Log Kayıtları): Log kayıtlarından kasıt aşağıda da detaylandırıldığı gibi kim nereye, hangi cihaz ve IP adresi ile hang port ile ne zaman gitmiş bilgisidir.
- Source IP Adresi ve Port Numarası: Kendi iç ağlarında dağıtılan IP adres bilgileri ve port numarası,
- Source MAC Address: Müşterilere ait olan ağ cihazlarının tekil numarası,
- Logon time / Logoff time: Müşterilerin interneti kullanmaya başlama ve bitiş zamanı,
- Destination IP Adresi ve Port Numarası: Müşterilerin gitmek istediği internet adresleri ve portu.
Kullanılacak olan hotspot cihazı kullanıcıların erişim hareketlerini içeren Log kayıtlarını üretebilmelidir. Örneğimizde restoran sahibi, kapsamlı syslog kaydı üretebilen bir modem kullanıyor. Bu modemin bir başka LAN portuna log kaydı için bir bilgisayar takıyor. Burada hotspot web portal özelliğinin kablo ile modeme bağlı olan bilgisayarda da aktif olmaması isteniyor ise modeme port bazlı VLAN yapısı uygulanmalı ve bilgisayarın bağlı olduğu LAN portu farklı bir VLAN’a alınmalıdır. Ardından hotspot özelliği sadece istenilen VLAN’lara uygulanmalıdır. Son olarak örnek topolojimizde restoran sahibi, bilgisayar üzerine log kayıtlarına zaman damgası vurabilmek için ücretli veya ücretsiz bir log imzalayıcı yazılım yüklüyor. Yazılım, log üreten modem ile haberleşiyor ve bu log’ları bilgisayarın diskine kaydediyor.
İçerik Filtreleme Yazılımı (Web Content Filter): Bunun için internete çıkan modem veya router cihazının bu özelliği destekliyor olması gerekir. Örneğimizde restoran sahibi, yıllık lisans ücretini ödeyerek modemin Web Content Filter özelliğini aktif ediyor. Böylece istenmeyen zararlı sitelere erişimler bu içerik engelleme yazılımı sayesinde engellenebiliyor.
Güvenli İnternet Paketi: Restoran sahibi, ilave tedbir amacıyla TTnet, Vodafone veya SuperOnline gibi ISP (Internet Service Provider) firmalarından hangisini kullanıyor ise o firmadan güvenli hizmet paketinin aktif etmesini talep ediyor.
Kurulum işlemi yapıldıktan sonra kullanıcılar aşağıdaki şekilde internete çıkabiliyor.
- İnternete çıkmak isteyen kullanıcılar, restorana ait SSID’ye bağlanmak istiyor.
- Kullanıcıların karşısına kimlik doğrulama (authentication) ekranı geliyor. İsteyen SMS isteyen T.C. kimlik numarası ile kimlik doğrulamayı seçebiliyor.
- SMS doğrulama kısmında kullanıcı cep telefonu numarasında bir kod geliyor. Kod sisteme giriliyor ve authentication işlemi tamamlanıyor. Ardından kullanıcılar internete çıkış hakkını elde ediyor.
- T.C. kimlik numarası ile doğrulama kısmında müşteri, ad, soyad, doğum yılı ve T.C. kimlik numarasını sisteme giriyor. Sistem Nüfus ve Vatandaşlık Hizmetleri Genel Müdürlüğü’ne ait olan sunuculardan bilgileri doğruluyor ve böylece authentication işlemi tamamlanıyor. Ardından kullanıcılar internete çıkış hakkını elde ediyor.
- Kullanıcıların internet hareketlerini içeren Syslog verisini (erişim kayıtları) üretme özelliğine sahip olan modemden log kayıtları bilgisayar üzerinde kurulu olan yazılım sayesinde çekiliyor. Ardından yazılım log kayıtlarını zaman hashtag’i ile damgalayıp harddisk üzerinde arşivliyor. Böylece 5651 yasasına uygun log kayıtları tutulmuş oluyor.
Sonuç: 123xxxxxxxx T.C numaralı veya +xxxxxxxxxxx telefon numaralı kişi x.x.x.x IP adresi ve x port numarası ile xx:xx:xx:xx:xx:xx numaralı MAC adresine sahip cihazı kullanarak x.x.x.x IP adresine ve x port numarasına x tarih ve x saatinde gitmiştir” şeklinde bilgiler kayıt altına alınmış oluyor. Böylece internet üzerinden bir suç işlenmesi üzerine bu kayıtlar değerlendiriliyor.
Not 1: Bu tip projelendirmeler tamamen ihtiyaca uygun şekilde dizayn edilmelidir ve ona göre cihaz seçimi yapılmalıdır. Örneğin hotspot uygulamasını yapacağımız yer turistlerin de yoğun şekilde ziyaret ettiği bir yer ise SMS authentication kullanılması daha uygun olacaktır. DrayTek markasına ait modem/router modellerinin çoğu SMS doğrulama ile hotspot teknolojisini desteklemektedir. Teknoloji üretiminin çoğu yurt dışında olduğu için T.C. kimlik doğrulaması için özel bir Ar-Ge çalışmasının yapılmış olması ve buna göre hotspot cihazına yeni bir yazılım veya patch geliştirilmesi gerekmektedir. Örneğin herhangi bir markaya ait kablosuz modemde ya da çok sayıda access point kullanımı yapılıyorsa NAC (Network Access Controller) cihazı kullanılabilir ve bu cihazda T.C. kimlik doğrulama için hotspot yazılımı geliştirilebilir.
Not 2: Makalede bahsi geçen örnek topoloji, meselenin genel mantığını anlatmak için kaleme alınmıştır. İnternet erişiminin kontrol altına alınmasını detaylandıran yasa ve yönetmeliklerin tamamı dikkatli bir şekilde incelenmelidir ve hiçbir detay atlanmamalıdır. Böylece yasaya uygun bir şekilde hot spot çözümleri geliştirilmelidir.