Blog'a Dön
Yasal Uyum

5651 Uyumlu Ağ Mimarisi Tasarlarken Yapılan Hatalar

5651 Uyumlu Ağ Mimarisi Tasarlarken Yapılan Hatalar
5651 sayılı kanun uyumluluğu sağlamak amacıyla ağ altyapısı tasarlarken en sık yapılan teknik ve mimari hataları, bu hataların siber güvenlik risklerini ve doğru çözüm yöntemlerini inceliyoruz.
Yayın Tarihi
10 Temmuz 2026
Güncellenme
10 Temmuz 2026
Okuma Süresi
9 dk okuma
Yazar
LeonX Team

Siber güvenlik dünyasında yasal uyumluluk, sadece bir kontrol listesini doldurmaktan çok daha fazlasıdır. Türkiye'de faaliyet gösteren şirketler için bu uyumluluk adımlarının en başında, internet erişim kayıtlarının zaman damgasıyla imzalanarak saklanmasını zorunlu kılan 5651 sayılı kanun gelmektedir. Ancak birçok işletme, 5651 uyumluluğunu sadece "bir log yazılımı satın almak" veya "firewall üzerinde loglamayı açmak" olarak görme hatasına düşmektedir. Gerçekte ise yasal olarak geçerli ve siber saldırılara karşı dirençli bir loglama altyapısı, doğru tasarlanmış bir ağ mimarisi (network architecture) üzerine inşa edilmelidir.

Ağ mimarisindeki yapısal eksiklikler ve yanlış yapılandırmalar, toplanan logların eksik, hatalı veya yasal olarak geçersiz olmasına yol açar. Bir siber olay anında adli makamlara sunulan logların geçersiz kabul edilmesi, şirket yöneticilerini doğrudan hukuki sorumluluk altında bırakabilir. Bu yazımızda, 5651 uyumlu ağ mimarisi tasarlarken en sık yapılan 7 kritik hatayı ve bu hataların nasıl düzeltilmesi gerektiğini teknik detaylarıyla ele alacağız.

1. Ağ Segmentasyonunun (VLAN) Yapılmaması veya Eksik Yapılması

Ağ mimarisi tasarlanırken yapılan en büyük hatalardan biri, tüm şirket trafiğini tek bir düz ağ (flat network) üzerinde koşturmaktır. Şirket çalışanları, muhasebe sunucuları, misafir Wi-Fi kullanıcıları ve IoT cihazları aynı IP bloğunda ve aynı VLAN üzerinde yer aldığında siber güvenlik riskleri katlanarak artar.

  • 5651 Açısından Sorun: Segmentasyon olmayan bir ağda, misafir bir kullanıcının veya bir saldırganın yerel ağdaki diğer cihazlara erişmesi son derece kolaydır. Ayrıca, DHCP sunucusundan dağıtılan IP'lerin hangi kullanıcı grubuna ait olduğunu ayırt etmek ve bunlara özel loglama politikaları uygulamak imkansız hale gelir.
  • Doğru Yaklaşım: Kurumsal ağlar mutlaka mantıksal bölümlere (VLAN) ayrılmalıdır. Çalışanlar (VLAN 10), Sunucular (VLAN 20), Misafirler (VLAN 30) ve IP Telefonlar (VLAN 40) gibi ayrı ağ segmentleri oluşturulmalıdır. Bu segmentler arasındaki trafik, firewall cihazları üzerinden yönlendirilmeli ve her bir segment için ayrı loglama kuralları tanımlanmalıdır. Ağınızı güvenli ve segmentli bir yapıya kavuşturmak için VLAN Tasarım ve Yapılandırma Hizmeti çözümlerimizden destek alabilirsiniz.

2. NAT/PAT Port Loglarının (Port-Source NAT) İhmal Edilmesi

Birçok IT yöneticisi, firewall üzerinden sadece "hedef IP" ve "kaynak IP" bilgilerini loglamanın yeterli olduğunu düşünür. Ancak modern internet altyapısında, şirket içindeki yüzlerce cihaz, dış dünyaya tek bir ortak IP adresi (Public IP) üzerinden çıkış yapmaktadır. Bu işleme PAT (Port Address Translation) adı verilir.

  • 5651 Açısından Sorun: Bir siber suç işlendiğinde, adli makamlar size sadece ortak IP adresinizi ve suçun işlendiği "kaynak port" (source port) bilgisini iletir. Eğer ağ mimarinizde hangi iç IP'nin, hangi dış IP ve kaynak portu kullanarak internete çıktığını gösteren NAT loglarını (özellikle port bazlı) tutmuyorsanız, suçun şirket içindeki hangi cihaz tarafından işlendiğini tespit edemezsiniz. Bu durum, 5651 sayılı kanun kapsamında doğrudan yasal sorumluluk doğurur.
  • Doğru Yaklaşım: Firewall ve loglama sistemlerinizde IP-Port eşleşmesini gösteren NAT loglama kuralları eksiksiz yapılandırılmalıdır. Her internet çıkış isteğinin kaynak portu, hedef portu, kaynak IP'si ve hedef IP'si zaman damgasıyla kayıt altına alınmalıdır.

3. Zaman Senkronizasyonunun (NTP) Kurulmaması

Farklı ağ cihazlarından (firewall, switch, DHCP sunucusu, Active Directory vb.) toplanan logların anlamlı bir şekilde ilişkilendirilebilmesi için tüm cihazların saatlerinin birebir aynı olması gerekir.

  • 5651 Açısından Sorun: Ağ mimarisindeki cihazların saatleri arasında birkaç saniyelik bile fark olması, log bütünlüğünü bozar. Örneğin, DHCP sunucusunda bir IP'nin dağıtıldığı saat ile firewall üzerinde o IP'nin internete çıktığı saat uyuşmuyorsa, loglar mahkemede delil niteliğini kaybeder. Ayrıca, zaman damgasıyla imzalanan logların doğruluğu şüpheye düşer.
  • Doğru Yaklaşım: Ağ mimarisindeki tüm aktif cihazlar (omurga switchler, firewall'lar, log sunucuları, domain controller'lar), ortak ve güvenilir bir yerel veya global NTP (Network Time Protocol) sunucusuna yönlendirilmelidir. Tüm sistemlerin nanosaniye hassasiyetinde senkronize çalışması garanti altına alınmalıdır.

4. DHCP Lease Time (Kiralama Süresi) ve MAC Eşleştirmesi Hataları

DHCP sunucusu, ağa bağlanan cihazlara dinamik olarak IP adresi dağıtır. Bu dağıtımın süresi (Lease Time) ağ mimarisinin performansını ve loglama doğruluğunu doğrudan etkiler.

  • 5651 Açısından Sorun: DHCP kiralama süresinin çok kısa tutulması ve loglanmaması, bir IP adresinin gün içinde onlarca kez el değiştirmesine neden olur. Eğer loglama sisteminiz DHCP IP dağıtım loglarını (DHCP ACK/REQUEST) anlık olarak yakalayıp kaydetmiyorsa, belirli bir saatte siber suça karışan IP'nin o an hangi fiziksel cihaza (MAC adresine) ait olduğunu bulamazsınız.
  • Doğru Yaklaşım: DHCP kiralama süreleri ağın yapısına göre optimize edilmelidir (örneğin kurumsal ağlar için 8 gün, misafir ağları için 2-4 saat). En önemlisi, DHCP sunucusunun ürettiği IP-MAC eşleşme logları, merkezi log sunucusuna anlık olarak aktarılmalı ve asla kaybolmayacak şekilde saklanmalıdır.

5. Misafir Ağlarında (Guest Wi-Fi) Kimlik Doğrulama Eksikliği

Şirketlerin misafirlerine sunduğu Wi-Fi ağlarında şifresiz veya sadece ortak bir WPA2 şifresiyle internet erişimi sağlaması, ağ mimarisindeki en kritik güvenlik ve uyumluluk açıklarından biridir.

  • 5651 Açısından Sorun: Ortak şifreli bir ağda, internete bağlanan kişilerin gerçek kimlikleri (T.C. Kimlik No, SMS OTP, Pasaport No vb.) doğrulanmaz. Bu ağ üzerinden yasa dışı bir aktivite gerçekleştirildiğinde, loglarda sadece yabancı bir cihazın MAC adresi görünür. MAC adresleri kolayca değiştirilebildiği için gerçek fail tespit edilemez ve yasal sorumluluk doğrudan şirkete kalır.
  • Doğru Yaklaşım: Misafir ağlarında mutlaka bir Captive Portal (Karşılama Sayfası) mimarisi konumlandırılmalıdır. Kullanıcılar internete erişmeden önce SMS doğrulama kodu, T.C. Kimlik doğrulaması veya entegre otel yönetim sistemleri (PMS) üzerinden doğrulanmalıdır. Bu kimlik bilgileri, firewall'un ürettiği NAT loglarıyla otomatik olarak ilişkilendirilmelidir.

6. Log Toplama Protokolü Olarak Sadece UDP Kullanılması

Ağ cihazları, ürettikleri logları merkezi log sunucusuna genellikle Syslog protokolü üzerinden gönderir. Syslog protokolü hem UDP (User Datagram Protocol) hem de TCP (Transmission Control Protocol) üzerinden çalışabilir.

  • 5651 Açısından Sorun: UDP, "gönder ve unut" mantığıyla çalışan, paket teslim garantisi olmayan bir protokoldür. Ağ trafiğinin çok yoğun olduğu anlarda veya ağda anlık bir kesinti yaşandığında, UDP üzerinden gönderilen log paketleri kaybolabilir. Logların eksik olması, 5651 sayılı kanunun "bütünlük ve eksiksizlik" ilkesine aykırıdır ve yasal geçerliliği ortadan kaldırır.
  • Doğru Yaklaşım: Kritik logların (özellikle firewall NAT ve DHCP logları) aktarımında, paket teslim garantisi sunan TCP veya şifreli ve güvenli aktarım sağlayan TLS (Secure Syslog) protokolleri tercih edilmelidir. Log toplama mimarisi, paket kaybını önleyecek şekilde yedekli (redundant) tasarlanmalıdır.

7. Logların Sadece Yerel Disklerde (Firewall Üzerinde) Saklanması

Birçok küçük ve orta ölçekli işletme, ayrıca bir log sunucusu kurmak yerine logları doğrudan firewall cihazının kendi üzerindeki diskte saklamayı tercih eder.

  • 5651 Açısından Sorun: Firewall cihazlarının yerel disk kapasiteleri sınırlıdır. Log hacmi arttıkça, cihaz eski logların üzerine yazmaya başlar. Bu durum, logların kanunun zorunlu kıldığı en az 2 yıl boyunca saklanmasını imkansız hale getirir. Ayrıca, firewall cihazının arızalanması veya siber saldırıya uğraması durumunda tüm yasal loglar kalıcı olarak silinebilir.
  • Doğru Yaklaşım: Loglar, firewall üzerinde tutulmamalı; ağ mimarisinde ayrı bir konumda yer alan merkezi bir log sunucusuna veya SIEM (Security Information and Event Management) sistemine aktarılmalıdır. Log sunucusundaki veriler günlük olarak zaman damgasıyla imzalanmalı ve harici yedekleme ünitelerinde saklanmalıdır.
Hata TürüSiber Güvenlik Riski5651 Yasal RiskiDoğru Çözüm Yöntemi
Düz Ağ (Flat Network)Saldırganın ağda yatayda ilerlemesi (Lateral Movement)Kullanıcı gruplarının ayırt edilememesiVLAN segmentasyonu ve firewall kuralları
Eksik NAT/PAT Loguİç ağdaki tehdit kaynağının bulunamamasıKaynak port eşleşmediği için failin tespit edilememesiIP-Port bazlı kaynak NAT loglaması
NTP Senkronizasyon YokluğuOlay analizi ve adli bilişim süreçlerinin tıkanmasıLogların zaman uyumsuzluğu nedeniyle mahkemede reddedilmesiTüm cihazların ortak NTP sunucusuna bağlanması
Kimlik Doğrulamasız Wi-FiDışarıdan sızma ve veri hırsızlığıİnterneti kullanan kişinin kimliğinin kanıtlanamamasıCaptive Portal (SMS, T.C. Kimlik) entegrasyonu

Doğru 5651 Ağ Mimarisi Nasıl Olmalıdır?

Yasal olarak tam uyumlu ve siber saldırılara karşı dayanıklı bir ağ mimarisi kurmak için şu bileşenlerin bir arada çalışması gerekir:

  1. Güçlü Bir Firewall: Ağın merkezinde yer alan, VLAN'lar arası trafiği denetleyen ve detaylı NAT/PAT logları üretebilen yeni nesil bir firewall (NGFW). Bu konuda Ağ Güvenliği, Firewall ve IPS/IDS Çözümleri hizmetlerimiz kapsamında profesyonel yapılandırma desteği alabilirsiniz.
  2. Merkezi Log ve SIEM Sistemi: Tüm ağdan gelen logları toplayan, ilişkilendiren ve zaman damgasıyla imzalayan bir platform. Detaylı bilgi için SIEM ve Güvenlik Olay Yönetimi Entegrasyonu çözümlerimizi inceleyebilirsiniz.
  3. Yedekli Depolama Altyapısı: İmzalanan logların en az 2 yıl boyunca güvenle saklanacağı, RAID yapısına sahip ve felaket kurtarma senaryoları düşünülmüş depolama sistemleri.
  4. Profesyonel IT Danışmanlığı: Ağ mimarinizin hem yasal mevzuatlara (5651, KVKK) hem de uluslararası standartlara (ISO 27001) uygun olarak tasarlanması için İş ve Yönetim Danışmanlığı hizmetlerimizden yararlanabilirsiniz.

Bilgi güvenliği, siber güvenlik ve yasal uyum süreçlerinizi güçlendirecek diğer rehberlerimizi de inceleyebilirsiniz:

İşletmenizin ağ mimarisini 5651 sayılı kanunla tam uyumlu hale getirmek, VLAN segmentasyonunu doğru kurgulamak ve yasal sorumluluklarınızı güvence altına almak için Ankara'daki uzman mühendis kadromuzla dilediğiniz zaman iletişime geçebilirsiniz.

Sıkça Sorulan Sorular

5651 loglarında kaynak port (source port) bilgisi neden bu kadar önemlidir?

IP adreslerinin yetersizliği nedeniyle iç ağdaki birçok cihaz dış dünyaya tek bir ortak IP (Public IP) üzerinden bağlanır. Bir siber suç işlendiğinde, hedef sunucunun loglarında sadece bu ortak IP ve bağlantının kurulduğu kaynak port numarası görünür. Eğer ağ mimarinizde kaynak port logları tutulmuyorsa, o saatte o portu kullanan iç cihazı tespit edemezsiniz ve yasal olarak faili bulamamış sayılırsınız.

Sadece bir firewall satın almak 5651 uyumluluğu için yeterli midir?

Hayır, yeterli değildir. Firewall cihazı logları üretebilir ancak bunları yasal olarak zorunlu olan zaman damgasıyla imzalayamaz ve sınırlı disk kapasitesi nedeniyle 2 yıl boyunca saklayamaz. Firewall'un ürettiği logların, zaman damgası imzalama yeteneğine sahip merkezi bir log toplama yazılımına veya SIEM sistemine aktarılması şarttır.

VLAN segmentasyonu yapılmazsa 5651 logları geçersiz mi sayılır?

VLAN segmentasyonu yapılmaması logları doğrudan geçersiz kılmaz ancak siber güvenlik risklerini artırır ve siber olay analizini (forensics) son derece zorlaştırır. Segmentasyon olmayan bir ağda, bir kullanıcının IP'sini taklit etmek veya ağdaki diğer cihazların trafiğini dinlemek (sniffing) çok daha kolay olduğu için, logların güvenilirliği ve doğruluğu adli makamlar nezdinde tartışmalı hale gelebilir.

Sonuç

5651 sayılı kanun uyumluluğu, sadece yasal bir zorunluluk değil, kurumsal ağ güvenliğinin en temel yapı taşlarından biridir. Ağ mimarisi tasarlanırken yapılan segmentasyon hataları, NTP senkronizasyon eksiklikleri ve eksik NAT loglamaları, hem siber saldırılara davetiye çıkarır hem de yasal uyumluluk süreçlerinizi geçersiz kılar. Doğru kurgulanmış, VLAN segmentasyonuna sahip, Captive Portal entegrasyonu tamamlanmış ve merkezi bir SIEM sistemiyle desteklenmiş bir ağ altyapısı, şirketinizin dijital dünyadaki en güvenli kalkanı olacaktır.

İç Link Rotası

Bu konu için ilgili hizmet sayfalarına geçin

Bu yazıyı daha hızlı ticari niyete bağlamak için ana hizmet, ilgili alt hizmet ve teklif akışını aşağıdan takip edebilirsiniz.

Paylaş

Facebook
Twitter
LinkedIn

İlgili Yazılar

Benzer konular hakkında daha fazlasını keşfedin

5651 Loglama Nedir, Kimler İçin Zorunludur? Detaylı Kılavuz
Yasal Uyum
2026-07-05
8 dk okuma

5651 Loglama Nedir, Kimler İçin Zorunludur? Detaylı Kılavuz

5651 sayılı kanun kapsamında internet erişim loglarının tutulması, zaman damgasıyla imzalanması yükümlülüklerini, kimlerin bu kapsama girdiğini ve teknik gereksinimleri inceliyoruz.

Devamını Oku

Bültene Abone Olun

En son içgörüler, trendler ve uzman tavsiyeleri doğrudan posta kutunuza gelsin. IT profesyonelleri topluluğumuza katilin.

Gizliliğinize saygı duyuyoruz. İstediğiniz zaman abonelikten çıkabilirsiniz.