Siber güvenlik dünyasında yasal uyumluluk, sadece bir kontrol listesini doldurmaktan çok daha fazlasıdır. Türkiye'de faaliyet gösteren şirketler için bu uyumluluk adımlarının en başında, internet erişim kayıtlarının zaman damgasıyla imzalanarak saklanmasını zorunlu kılan 5651 sayılı kanun gelmektedir. Ancak birçok işletme, 5651 uyumluluğunu sadece "bir log yazılımı satın almak" veya "firewall üzerinde loglamayı açmak" olarak görme hatasına düşmektedir. Gerçekte ise yasal olarak geçerli ve siber saldırılara karşı dirençli bir loglama altyapısı, doğru tasarlanmış bir ağ mimarisi (network architecture) üzerine inşa edilmelidir.
Ağ mimarisindeki yapısal eksiklikler ve yanlış yapılandırmalar, toplanan logların eksik, hatalı veya yasal olarak geçersiz olmasına yol açar. Bir siber olay anında adli makamlara sunulan logların geçersiz kabul edilmesi, şirket yöneticilerini doğrudan hukuki sorumluluk altında bırakabilir. Bu yazımızda, 5651 uyumlu ağ mimarisi tasarlarken en sık yapılan 7 kritik hatayı ve bu hataların nasıl düzeltilmesi gerektiğini teknik detaylarıyla ele alacağız.
1. Ağ Segmentasyonunun (VLAN) Yapılmaması veya Eksik Yapılması
Ağ mimarisi tasarlanırken yapılan en büyük hatalardan biri, tüm şirket trafiğini tek bir düz ağ (flat network) üzerinde koşturmaktır. Şirket çalışanları, muhasebe sunucuları, misafir Wi-Fi kullanıcıları ve IoT cihazları aynı IP bloğunda ve aynı VLAN üzerinde yer aldığında siber güvenlik riskleri katlanarak artar.
- 5651 Açısından Sorun: Segmentasyon olmayan bir ağda, misafir bir kullanıcının veya bir saldırganın yerel ağdaki diğer cihazlara erişmesi son derece kolaydır. Ayrıca, DHCP sunucusundan dağıtılan IP'lerin hangi kullanıcı grubuna ait olduğunu ayırt etmek ve bunlara özel loglama politikaları uygulamak imkansız hale gelir.
- Doğru Yaklaşım: Kurumsal ağlar mutlaka mantıksal bölümlere (VLAN) ayrılmalıdır. Çalışanlar (VLAN 10), Sunucular (VLAN 20), Misafirler (VLAN 30) ve IP Telefonlar (VLAN 40) gibi ayrı ağ segmentleri oluşturulmalıdır. Bu segmentler arasındaki trafik, firewall cihazları üzerinden yönlendirilmeli ve her bir segment için ayrı loglama kuralları tanımlanmalıdır. Ağınızı güvenli ve segmentli bir yapıya kavuşturmak için VLAN Tasarım ve Yapılandırma Hizmeti çözümlerimizden destek alabilirsiniz.
2. NAT/PAT Port Loglarının (Port-Source NAT) İhmal Edilmesi
Birçok IT yöneticisi, firewall üzerinden sadece "hedef IP" ve "kaynak IP" bilgilerini loglamanın yeterli olduğunu düşünür. Ancak modern internet altyapısında, şirket içindeki yüzlerce cihaz, dış dünyaya tek bir ortak IP adresi (Public IP) üzerinden çıkış yapmaktadır. Bu işleme PAT (Port Address Translation) adı verilir.
- 5651 Açısından Sorun: Bir siber suç işlendiğinde, adli makamlar size sadece ortak IP adresinizi ve suçun işlendiği "kaynak port" (source port) bilgisini iletir. Eğer ağ mimarinizde hangi iç IP'nin, hangi dış IP ve kaynak portu kullanarak internete çıktığını gösteren NAT loglarını (özellikle port bazlı) tutmuyorsanız, suçun şirket içindeki hangi cihaz tarafından işlendiğini tespit edemezsiniz. Bu durum, 5651 sayılı kanun kapsamında doğrudan yasal sorumluluk doğurur.
- Doğru Yaklaşım: Firewall ve loglama sistemlerinizde IP-Port eşleşmesini gösteren NAT loglama kuralları eksiksiz yapılandırılmalıdır. Her internet çıkış isteğinin kaynak portu, hedef portu, kaynak IP'si ve hedef IP'si zaman damgasıyla kayıt altına alınmalıdır.
3. Zaman Senkronizasyonunun (NTP) Kurulmaması
Farklı ağ cihazlarından (firewall, switch, DHCP sunucusu, Active Directory vb.) toplanan logların anlamlı bir şekilde ilişkilendirilebilmesi için tüm cihazların saatlerinin birebir aynı olması gerekir.
- 5651 Açısından Sorun: Ağ mimarisindeki cihazların saatleri arasında birkaç saniyelik bile fark olması, log bütünlüğünü bozar. Örneğin, DHCP sunucusunda bir IP'nin dağıtıldığı saat ile firewall üzerinde o IP'nin internete çıktığı saat uyuşmuyorsa, loglar mahkemede delil niteliğini kaybeder. Ayrıca, zaman damgasıyla imzalanan logların doğruluğu şüpheye düşer.
- Doğru Yaklaşım: Ağ mimarisindeki tüm aktif cihazlar (omurga switchler, firewall'lar, log sunucuları, domain controller'lar), ortak ve güvenilir bir yerel veya global NTP (Network Time Protocol) sunucusuna yönlendirilmelidir. Tüm sistemlerin nanosaniye hassasiyetinde senkronize çalışması garanti altına alınmalıdır.
4. DHCP Lease Time (Kiralama Süresi) ve MAC Eşleştirmesi Hataları
DHCP sunucusu, ağa bağlanan cihazlara dinamik olarak IP adresi dağıtır. Bu dağıtımın süresi (Lease Time) ağ mimarisinin performansını ve loglama doğruluğunu doğrudan etkiler.
- 5651 Açısından Sorun: DHCP kiralama süresinin çok kısa tutulması ve loglanmaması, bir IP adresinin gün içinde onlarca kez el değiştirmesine neden olur. Eğer loglama sisteminiz DHCP IP dağıtım loglarını (DHCP ACK/REQUEST) anlık olarak yakalayıp kaydetmiyorsa, belirli bir saatte siber suça karışan IP'nin o an hangi fiziksel cihaza (MAC adresine) ait olduğunu bulamazsınız.
- Doğru Yaklaşım: DHCP kiralama süreleri ağın yapısına göre optimize edilmelidir (örneğin kurumsal ağlar için 8 gün, misafir ağları için 2-4 saat). En önemlisi, DHCP sunucusunun ürettiği IP-MAC eşleşme logları, merkezi log sunucusuna anlık olarak aktarılmalı ve asla kaybolmayacak şekilde saklanmalıdır.
5. Misafir Ağlarında (Guest Wi-Fi) Kimlik Doğrulama Eksikliği
Şirketlerin misafirlerine sunduğu Wi-Fi ağlarında şifresiz veya sadece ortak bir WPA2 şifresiyle internet erişimi sağlaması, ağ mimarisindeki en kritik güvenlik ve uyumluluk açıklarından biridir.
- 5651 Açısından Sorun: Ortak şifreli bir ağda, internete bağlanan kişilerin gerçek kimlikleri (T.C. Kimlik No, SMS OTP, Pasaport No vb.) doğrulanmaz. Bu ağ üzerinden yasa dışı bir aktivite gerçekleştirildiğinde, loglarda sadece yabancı bir cihazın MAC adresi görünür. MAC adresleri kolayca değiştirilebildiği için gerçek fail tespit edilemez ve yasal sorumluluk doğrudan şirkete kalır.
- Doğru Yaklaşım: Misafir ağlarında mutlaka bir Captive Portal (Karşılama Sayfası) mimarisi konumlandırılmalıdır. Kullanıcılar internete erişmeden önce SMS doğrulama kodu, T.C. Kimlik doğrulaması veya entegre otel yönetim sistemleri (PMS) üzerinden doğrulanmalıdır. Bu kimlik bilgileri, firewall'un ürettiği NAT loglarıyla otomatik olarak ilişkilendirilmelidir.
6. Log Toplama Protokolü Olarak Sadece UDP Kullanılması
Ağ cihazları, ürettikleri logları merkezi log sunucusuna genellikle Syslog protokolü üzerinden gönderir. Syslog protokolü hem UDP (User Datagram Protocol) hem de TCP (Transmission Control Protocol) üzerinden çalışabilir.
- 5651 Açısından Sorun: UDP, "gönder ve unut" mantığıyla çalışan, paket teslim garantisi olmayan bir protokoldür. Ağ trafiğinin çok yoğun olduğu anlarda veya ağda anlık bir kesinti yaşandığında, UDP üzerinden gönderilen log paketleri kaybolabilir. Logların eksik olması, 5651 sayılı kanunun "bütünlük ve eksiksizlik" ilkesine aykırıdır ve yasal geçerliliği ortadan kaldırır.
- Doğru Yaklaşım: Kritik logların (özellikle firewall NAT ve DHCP logları) aktarımında, paket teslim garantisi sunan TCP veya şifreli ve güvenli aktarım sağlayan TLS (Secure Syslog) protokolleri tercih edilmelidir. Log toplama mimarisi, paket kaybını önleyecek şekilde yedekli (redundant) tasarlanmalıdır.
7. Logların Sadece Yerel Disklerde (Firewall Üzerinde) Saklanması
Birçok küçük ve orta ölçekli işletme, ayrıca bir log sunucusu kurmak yerine logları doğrudan firewall cihazının kendi üzerindeki diskte saklamayı tercih eder.
- 5651 Açısından Sorun: Firewall cihazlarının yerel disk kapasiteleri sınırlıdır. Log hacmi arttıkça, cihaz eski logların üzerine yazmaya başlar. Bu durum, logların kanunun zorunlu kıldığı en az 2 yıl boyunca saklanmasını imkansız hale getirir. Ayrıca, firewall cihazının arızalanması veya siber saldırıya uğraması durumunda tüm yasal loglar kalıcı olarak silinebilir.
- Doğru Yaklaşım: Loglar, firewall üzerinde tutulmamalı; ağ mimarisinde ayrı bir konumda yer alan merkezi bir log sunucusuna veya SIEM (Security Information and Event Management) sistemine aktarılmalıdır. Log sunucusundaki veriler günlük olarak zaman damgasıyla imzalanmalı ve harici yedekleme ünitelerinde saklanmalıdır.
| Hata Türü | Siber Güvenlik Riski | 5651 Yasal Riski | Doğru Çözüm Yöntemi |
|---|---|---|---|
| Düz Ağ (Flat Network) | Saldırganın ağda yatayda ilerlemesi (Lateral Movement) | Kullanıcı gruplarının ayırt edilememesi | VLAN segmentasyonu ve firewall kuralları |
| Eksik NAT/PAT Logu | İç ağdaki tehdit kaynağının bulunamaması | Kaynak port eşleşmediği için failin tespit edilememesi | IP-Port bazlı kaynak NAT loglaması |
| NTP Senkronizasyon Yokluğu | Olay analizi ve adli bilişim süreçlerinin tıkanması | Logların zaman uyumsuzluğu nedeniyle mahkemede reddedilmesi | Tüm cihazların ortak NTP sunucusuna bağlanması |
| Kimlik Doğrulamasız Wi-Fi | Dışarıdan sızma ve veri hırsızlığı | İnterneti kullanan kişinin kimliğinin kanıtlanamaması | Captive Portal (SMS, T.C. Kimlik) entegrasyonu |
Doğru 5651 Ağ Mimarisi Nasıl Olmalıdır?
Yasal olarak tam uyumlu ve siber saldırılara karşı dayanıklı bir ağ mimarisi kurmak için şu bileşenlerin bir arada çalışması gerekir:
- Güçlü Bir Firewall: Ağın merkezinde yer alan, VLAN'lar arası trafiği denetleyen ve detaylı NAT/PAT logları üretebilen yeni nesil bir firewall (NGFW). Bu konuda Ağ Güvenliği, Firewall ve IPS/IDS Çözümleri hizmetlerimiz kapsamında profesyonel yapılandırma desteği alabilirsiniz.
- Merkezi Log ve SIEM Sistemi: Tüm ağdan gelen logları toplayan, ilişkilendiren ve zaman damgasıyla imzalayan bir platform. Detaylı bilgi için SIEM ve Güvenlik Olay Yönetimi Entegrasyonu çözümlerimizi inceleyebilirsiniz.
- Yedekli Depolama Altyapısı: İmzalanan logların en az 2 yıl boyunca güvenle saklanacağı, RAID yapısına sahip ve felaket kurtarma senaryoları düşünülmüş depolama sistemleri.
- Profesyonel IT Danışmanlığı: Ağ mimarinizin hem yasal mevzuatlara (5651, KVKK) hem de uluslararası standartlara (ISO 27001) uygun olarak tasarlanması için İş ve Yönetim Danışmanlığı hizmetlerimizden yararlanabilirsiniz.
Bilgi güvenliği, siber güvenlik ve yasal uyum süreçlerinizi güçlendirecek diğer rehberlerimizi de inceleyebilirsiniz:
- 5651 loglama yükümlülükleri ve temel kavramlar için: 5651 Loglama Nedir, Kimler İçin Zorunludur?
- SIEM ve syslog mimarisinin doğru kurulum adımları için: SIEM, Syslog ve 5651 Doğru Mimari Kurulumu
- Log bütünlüğünün kriptografik olarak korunması için: 5651 Uyumunda Log Bütünlüğü
- Log arşivleme ve saklama süreleri yönetimi için: 5651 Projelerinde Arşivleme ve Saklama Stratejileri
- Siber güvenlik olaylarının izlenmesi ve analizi için: ISO 27001 ve Siber Güvenlik Olayları
- Ağ güvenliği ve firewall politikalarının standartlara uyumu için: ISO 27001 Ağ Güvenliği, Firewall ve VPN
- IT altyapısında KVKK uyumluluğu sağlamak için: KVKK Uyumluluğu İçin IT Altyapısı
- Kişisel verilerin güvenliği ve ağ izolasyonu için: KVKK Kapsamında Ağ İzolasyonu
- VMware sanallaştırma ortamlarında log yönetimi için: ISO 27001 İçin VMware Loglama
- VMware vSphere ortamlarının güvenliğini artırmak için: ISO 27001 VMware vSphere Güvenliği
İşletmenizin ağ mimarisini 5651 sayılı kanunla tam uyumlu hale getirmek, VLAN segmentasyonunu doğru kurgulamak ve yasal sorumluluklarınızı güvence altına almak için Ankara'daki uzman mühendis kadromuzla dilediğiniz zaman iletişime geçebilirsiniz.
Sıkça Sorulan Sorular
5651 loglarında kaynak port (source port) bilgisi neden bu kadar önemlidir?
IP adreslerinin yetersizliği nedeniyle iç ağdaki birçok cihaz dış dünyaya tek bir ortak IP (Public IP) üzerinden bağlanır. Bir siber suç işlendiğinde, hedef sunucunun loglarında sadece bu ortak IP ve bağlantının kurulduğu kaynak port numarası görünür. Eğer ağ mimarinizde kaynak port logları tutulmuyorsa, o saatte o portu kullanan iç cihazı tespit edemezsiniz ve yasal olarak faili bulamamış sayılırsınız.
Sadece bir firewall satın almak 5651 uyumluluğu için yeterli midir?
Hayır, yeterli değildir. Firewall cihazı logları üretebilir ancak bunları yasal olarak zorunlu olan zaman damgasıyla imzalayamaz ve sınırlı disk kapasitesi nedeniyle 2 yıl boyunca saklayamaz. Firewall'un ürettiği logların, zaman damgası imzalama yeteneğine sahip merkezi bir log toplama yazılımına veya SIEM sistemine aktarılması şarttır.
VLAN segmentasyonu yapılmazsa 5651 logları geçersiz mi sayılır?
VLAN segmentasyonu yapılmaması logları doğrudan geçersiz kılmaz ancak siber güvenlik risklerini artırır ve siber olay analizini (forensics) son derece zorlaştırır. Segmentasyon olmayan bir ağda, bir kullanıcının IP'sini taklit etmek veya ağdaki diğer cihazların trafiğini dinlemek (sniffing) çok daha kolay olduğu için, logların güvenilirliği ve doğruluğu adli makamlar nezdinde tartışmalı hale gelebilir.
Sonuç
5651 sayılı kanun uyumluluğu, sadece yasal bir zorunluluk değil, kurumsal ağ güvenliğinin en temel yapı taşlarından biridir. Ağ mimarisi tasarlanırken yapılan segmentasyon hataları, NTP senkronizasyon eksiklikleri ve eksik NAT loglamaları, hem siber saldırılara davetiye çıkarır hem de yasal uyumluluk süreçlerinizi geçersiz kılar. Doğru kurgulanmış, VLAN segmentasyonuna sahip, Captive Portal entegrasyonu tamamlanmış ve merkezi bir SIEM sistemiyle desteklenmiş bir ağ altyapısı, şirketinizin dijital dünyadaki en güvenli kalkanı olacaktır.

