İnternete Erişimin Engellenmesi Nedir ve Nasıl Yapılır?

Ben Av. Alp Öztekin, internet ve bilişim hukuku üzerine yazılarımla artık Webtekno’da olacağım. Burada okuyucuya sunacağım yazılara yönelik amacım, okuyucuyu yoğun bir hukuki bilgi bombardımanına tutmak değil. Aksine, verilmesi gerekli teorik hukuki bilgileri minimum düzeyde tutup, ‘’internet ve hukuk‘’ başlığına konu teknik, sosyolojik ve felsefi yönü daha ağır basan yazılar paylaşmak niyetindeyim.

İlk olarak, internete erişimin engellenmesi konusunu okuyucuya sunma kararı aldım. Konuyu açıklamak için evvela internetin kökenine ve işleyişine dair bilgileri, bilahare de bu yapı üzerinde erişim sağlayıcıların faaliyetleri ve erişimin engellenmesine dair uygulamaları açıkladım.

‘İnternete erişim engeli nedir ve nasıl yapılır?’ konusu şu başlıklar altında açıklandı:

• İnternet ve İnternete Erişim Kavramları
• Erişim Sağlayıcılar ve Omurga Üzerindeki Hakimiyetleri
• Erişimin Engellenmesi Kavramı
  • Yasal Olarak veya Hacking ile Erişimin Engellenmesi
• Yasal Olarak Erişimin Engellenmesinde Hangi Yöntemler Kullanılıyor?
  • Genel Yöntemler
  • Sunucu IP Adresleri ile Bağlantılı Yöntemler
• Ağın Kontrolünü de Sağlayabilen URL Tabanlı Engelleme Yöntemleri

A) İnternet ve İnternete Erişim Kavramları

Erişimin engellenmesinin ne ifade ettiği ve bunun nasıl başarılabildiğinin okuyucu tarafından kavranabilmesi için ilk etapta internetin ne şekilde işlediğini ve internet kullanıcılarının ağa nasıl eriştiklerini açıklamak istiyorum.

İnternetin temelleri, bundan altmış yıl kadar önce ABD Savunma Bakanlığı’nın(DOD) ARPA biriminin ARPANET projesi olarak başlamıştı. ARPANET’te birbirine uzak cihazlar arasında veri paylaşımı yapan bir ağ yapısı geliştirildi. Yerel ağların ARPANET üzerinden birleşimini, alternatif ağ yapıları takip etti ve zamanla bunlar da ülke içerisinde birbirine bağlı hale geldi.

Çok sayıda LAN’ın birleştirdiği WAN’ların da birbirlerine bağlı olduğu bu yapı daha sonra ABD sınırlarını aştı, karasal ve deniz altı kablolar ile değişik ülkelerdeki pek çok ağ birbirine bağlandı. LAN’lar üzerindeki veri tabanlarına erişilebilmesi için FTP platformlarına ek olarak tarayıcı yazılımları geliştirildi, Gopher ve WWW-http doğdu. (Daha sonra Gopher öldü…) İşte bizler, bilişim cihazlarının birbirlerine bağlı olarak iletişim kurabildikleri bu küresel yapıya İnternet diyoruz.

İç içe geçmiş pek çok LAN ve WAN’ın birleşimini ifade eden bu internet ağına erişmek, kullanıcının dünyadaki ağları birbirine bağlayan kablolar, baz istasyonları, uydular ile oluşturulmuş internet omurgasını kullanarak, kendi yerel ağından küresel WAN’lara, nihayetinde de başka bir ağdaki sunucuya bağlanması ve iletişim kurması demektir. Böylece İstanbul’da bulunan bir internet kullanıcısı, kendi yerel ağı üzerinden; Türkiye’deki omurgaya, bu omurga üzerinden IXP noktalarını da geçerek, omurganın diğer ucundaki herhangi bir noktaya, örneğin ABD’deki bir sunucuya erişebilmektedir.

B) Erişim Sağlayıcılar ve Omurga Üzerindeki Hakimiyetleri

Yukarıda izah edildiği üzere internet omurgası, cihazları birbirlerine bağlayan küresel bir ağ yapısıdır ve bu ağın doğum noktası ABD’dir. Bu internet omurgasını çeşitli şirketler inşa etmiş ve işletmektedirler. İşte bu şirketlere erişim sağlayıcı denilmektedir. Küresel erişim sağlayıcı İSS’ler genel olarak denizler ve karalardan geçen kablolar ile dünyayı birbirine bağlar. Dünyadaki internet trafiği bu çok sahipli ağ yapısı üzerinden geçtiği için bu İSS’ler arasında işbirliği ve dünyanın çeşitli noktalarında da belirli internet değişim noktaları(IXP) vardır. Bir de kendi yerel omurgasına sahip ülkesel erişim sağlayıcılar mevcut olup, ülke içi trafik bu şirketlerin omurgasında akarken, ülke dışına çıkan trafik genellikle küresel İSS’ler üzerinden akar.

Yukarıda açıklanan erişim sağlayıcı İSS’ler, omurganın gerçek işleticileridir. Ancak bunlar, işlettikleri omurgayı üçüncü taraf erişim sağlayıcı şirketlere de kiralamakta ve bu sayede aynı omurga üzerinde tek bir sahiplik olmasına rağmen, pek çok İSS hizmet verebilmektedir. Tüm bu İSS’lere internet kullanıcıları abone olarak, kendi yerel ağları üzerinden internet ağına çıkış yapmaktadırlar.

C) Erişimin Engellenmesi Kavramı

En basit anlamıyla erişimin engellenmesi, internet omurgası üzerinden istemci ve sunucunun iletişim kuramaması anlamına gelir. İnternet kullanıcısının kendi yerel ağından internete çıkışı tamamen engellenebileceği gibi internetin belirli noktalarındaki sunuculara ve hatta sadece sunucular içerisindeki belirli verilere erişimi de engellenebilir. Örneğin bir internet kullanıcısının Youtube’a tamamen erişimi engellenebileceği gibi Youtube’daki tek bir videoya ya da video içerisindeki tek bir yoruma dahi erişimi engellenebilir.

C.1) Yasal Olarak veya Hacking ile Erişimin Engellenmesi

(İşin hukuki yönü burada detaylandırılmayacaktır.) Genel olarak belirtmek gerekirse, Türk hukukunda pek çok mevzuat içerisinde erişimin engellenmesine yönelik çeşitli düzenlemeler mevcuttur. Bunlar haricinde 5651 s. Kanun’da erişimin ne şekilde engellenebileceği belirtilmiş olup bunlaindirgenmiştir. İşte hukuki altyapısı olan vr IP/DNS/URL tabanlı engellemeler ve benzeri yöntemlere e usulüne uygun tatbik edilmiş engeller ‘’yasal engellemeler‘’ olarak adlandırılır. Aşağıda detaylı olarak açıklanacak olan bu teknik usuller, kullanıcı yani internet abonesi temelli ve omurga üzerinden yapılan engellemelerdir.

Ancak bir internet içeriğine erişimi engellemek için kullanıcı tarafın veya omurganın işin içine dahil edilmesi gerekmez. Eğer bir hacker isterse DDoS ataklarıyla da erişimi engelleyebilir. Yine sahte DNS veya Proxy sunucular oluşturarak ve hatta sahte bir router kurarak(bu yöntemlere man in the middle deniliyor), istemcileri internetin bambaşka noktalarına da ulaştırabilir ya da erişimi aksatabilir. Tüm bu neticeler de şüphesiz ki hacking yoluyla erişimi engellemektir. Açıktır ki bu yöntemler yasal değildir ve suç teşkil edecektir.

Öyleyse burada anlaşılması gereken temel nokta, yasal olarak erişimin engellenmesinin ancak omurgayı işleten İSS’ler üzerinden ve onların bilgisi dahilinde, kanunlara uygun yöntemlerle yapılabileceğidir.

D) Yasal Olarak Erişimin Engellenmesinde Hangi Yöntemler Kullanılıyor?

D.1. Genel Olarak

Yüzlerce cihazın bağlı olduğu büyük bir şirket ağı topolojisi düşünelim. Çok sayıda VLAN’ın iç içe girdiği, switch ve routerların bağlı olduğu devasa bir yapı… Ağ yöneticisi bu ağı kontrol edebilmekte, veri paketlerini analiz yazılımları ya da ötesinde DPI kullanarak derinlemesine inceleyebilmekte ve bu sayede de gerekli teknolojiyi kullanırsa, mobil uygulamalardaki yazışmalar dahil ağdaki her bir veri paketinin içeriğindeki iletişimi okuyabilmektedir.

Bir ülkedeki ağ yapısı da yukarıdaki örnek ile benzerdir. Aradaki tek fark, eğer ülkede birden fazla İSS hizmet veriyorsa, yönetici sayısı da birden fazla olacak ve bu yöneticilerin kullandığı teknolojik altyapı da farklılaşabilecektir.

D.2. Sunucu IP Adresleri ile Bağlantılı Yöntemler (Tüm Sitenin Erişime Engellenmesi)

İnternet iletişiminde DOD standart modelindeki protokol kümeleri ve genellikle de TCP/IP-UDP işletildiği için istemci ve sunucu IP’leri iletişimdeki temel noktadır. (LAN’ı kontrol eden kişiler pekala yalnızca izin verilen iç IP ve MAC adreslerine sahip cihazların yalnızca internetteki belirli noktalara erişmesini sağlayabilirler ve bu da pratikte erişimin engellenmesi sayılabilir. Ancak bu konumuz değil.)

Erişim sağlayıcıların IP adresi özelinde gerçekleştirdikleri erişime engelleme tekniklerinde temel nokta, istemciyi internete çıkartan router ve DNS sunuculardır. İnternet kullanıcısını yerel ağı üzerinden abonesi olduğu İSS’nin omurgasına çıkartan router/modem, kullanıcının belirli IP ve portlara sahip sunuculara erişmemesi için ayarlanabilir. İşte erişim engellerinin en tipik tekniği budur. Bu sayede IP adresleri ve kullandığı portlar bilinen herhangi bir sitenin sunucularına erişim engellenebileceği gibi DNS sunuculara, VPN sunuculara ya da TOR sunuculara da erişim engellenebilir.

IP özelinde gerçekleşen engellemelerde ikinci yöntem, iletişimin karşı tarafındaki web sunucuların değil, meseleye alan adlarının da dahil edilmesiyle, IP ile alan adı eşleştirmesi yapan DNS sunucuların kullanılmasıdır. Bu sistemin başarılı olabilmesi için internet abonesinin cihazının alternatif DNS sunuculara değil, erişim sağlayıcının kontrolündeki DNS sunucuya istek gönderecek şekilde ayarlanmış olması gerekir.

Bu geleneksel yöntemler sunucu IP ve portlarını hedef aldığı için site ya da uygulamanın tamamını erişime engeller. Hatta aynı sunucuda bulunan mail vb. sistemlerin kullanımında, eğer sunucu bölünerek bu hizmetler farklı IP/portlar üzerinden sunulmamış ise mail vb. servislere de erişim engellenebilir.

D.3. Ağın Kontrolünü de Sağlayabilen URL Tabanlı Engelleme Yöntemleri

Bir site tamamen erişime engellendiğinde, eğer bu sitenin toplumsal önemi fazla ve kullanıcı sayısı da devasa bir boyutta ise ortaya ‘’internete erişim hakkı‘’ temelli bir sorun çıkar. Her ne kadar binlerce internet sitesi tamamen erişime engellenmiş ve bu durum kimsenin umurunda değilse de Youtube ve Wikipedia gibi çok sayıda kullanıcıya sahip siteler erişime tamamen engellendiğinde, sitelerin hukuksuzluk ile bağlantılı olmayan alanlarına da tüm internet kullanıcılarının erişimi engellendiği için gerek hukuki gerekse etik çeşitli sorunlar doğar/doğmuştur.

Bu sorunların doğmamasını sağlayacak güç, özünde teknolojidir. Yukarıdaki şirket ağı örneğinden hatırlanacağı üzere, ağ yöneticisinin elindeki teknoloji ne kadar gelişirse ağa dair hakimiyeti de o denli artacaktır. Öyleyse unutulmaması gereken nokta şudur: yüksek seviye ağ teknolojileri evvela ağda ciddi bir hakimiyet yaratır, daha sonra ise URL tabanlı engelleme imkanı gibi olanaklar doğurur. Bu ciddi hakimiyet sayesinde de veri paketlerinin içeriği tamamen izlenebilir ve okunabilir hale gelebilir.

URL tabanlı bir engellemeyi sağlamak için ağdaki trafiğe hakim olmak, ağdaki veri trafiğine müdahale edebilmek gerekir. Bu noktada ulaşılan sonuç; çok çeşitli hibrit teknolojilerin varlığının yanında, özellikle kullanılan iki yöntem olduğudur. Bunlar da İSS’lerin trafiği proxy üzerinden geçirmesi ve/veya paket analiz sistemleri kurmasıdır. Bu teknolojiler sayesinde veri paketlerinin çoğu katmanı ulaşılabilir ve kontrol edilebilir hale gelir. Bu sayede URL tabanlı erişim engelleri gerçekleştirilerek internet sitesindeki tek bir video’ya ya da yazıya erişim engellenebilir. Teknoloji geliştikçe URL tabanlı engelleme yapabilme alanınız artar ve örneğin kriptolu iletişim sağlayan SSL gibi yapılarda ve hatta VPN üzerinden akan verilerde hakimiyet sağlayabilirsiniz. Paket analiz sistemlerinde bu durum, DPI yani derin paket analiz sistemlerine dair teknolojiler kullanılarak gerçekleştirilebilir.

(Türkiye’de her bir erişim sağlayıcının ne şekilde erişim engeli tatbik ettiğini bilemiyoruz. Zaten bu konuda bağlayıcı bir kural da bulunmamakta, 5651 s. Kanun’a göre belirli benzer yöntemler kullanılarak erişim sağlayıcıların site veya URL’leri erişime engellemeleri beklenmektedir ki doğru olan da budur.)

Okuyucuya Tavsiye:

Okuyucular erişimin engellenmesine dair yapıyı daha da derinlemesine anlamak istiyorlarsa; Rusya’da bu yapının gelişimini, URL tabanlı engelleme süreçlerini ve ciddi bir DPI teknolojisi olan SORM’un oluşumunu kavramak için Andrei Soldatov ve Irına Borogan’ın THE RED WEB isimli kitabının ilgili bölümlerini okuyabilirler.

Av. Alp Öztekin – Soru ve görüşler için mail: [email protected]

Kaynak: Webtekno