Google DNS’lerinin Yasaklanması ve Alınması Gereken Önlemler

Merhaba

Bir önce yazıda twitter adresine erişimlerin DNS temelli engellenmesi https://www.mehmetince.net/twitterin-yasaklanmasi-ve-dikkat-edilmesi-gerekenler/ bu yazıda kaleme alınmıştı. Bu yazının kalanında ISP olarak ifade edilecek olan İnternet Servis Sağlayıcıları (TTNET, Superonline, GSM Firmaları) bugün Google DNS’lerine erişimi engellediler. Sonuç olarak internet kullanıcıları farklı DNS adreslerini kullanmak durumunda kaldı.

Bu sürece Bilgi Güvenliği uzmanı gözü ile baktığımızda, aşağıdaki iki adet madde için açıklamalar yapmak durumundayız.

  1. İnternette bu süreç ile ilgili, doğru olmayan bilgiler bulunmakta. Karmaşayı ve bilgi kirliliğini engellemek üzere yazının ilerleyen bölümlerinde SSL, VPN, IP temelli erişim engeli ve fişlenme konularına değinilecektir.
  2. Yakın zamanda twitter adresine IP temelli erişim engeli gelebilir. Bu nedenle hangi VPN servisi kullanılmalıdır sorusu gündeme gelmekte. Kişisel olarak kullandığım ve önerebileceğim servisler hakkında bilgiler paylaşılacaktır.

Twitter adresine erişim engeli geldiğinde, bu engeli insanların DNS ile aşabileceğini bilinmekteydi. DNS değişikliğinin çok kolay olması ve halkın birbiri ile dayanışması sayesinde bu engel kolayca aşılacaktı. Ki öyle de oldu. Bugün ise açıkcası Google DNS’lerine erişim engeli getirilmesine cesaret edileceğine ihtimal vermiyordum ki oda gerçekleşti. Şu anda ise, twitter’a erişim engeli kararını alan merciler geri adım atmadıkları takdirde erişim engelinin IP bazlı yapılacağına neredeyse eminiz.

İnternet Kullanıcıların Fişlenmesi ?

İnternet düzenlemesi kabul edildiğinde en çok ilgi çeken madde, sadece URL bazlı engelleme yapılacağıydı. Bu işlemin gerçekleştirilmesi şu anlama gelmektedir.

Örnek olarak; aşağıdaki web sitesine ve bu web sitesinin hizmet olarak verdiği tüm linklere erişim imkanı olacaktır.

http://www.lkd.org.tr/

Lakin bu web sitesinin hizmet verdiği linkler bir tanesine erişim engeli getirilebilir.

http://www.lkd.org.tr/engellenmek-istenen-link

Bu tür filtrelemenin yapılması için, tüm internet kullanıcılarının web sitelerine gönderdikleri erişim talepleri ISP’ler tarafından analiz edilmeli, filtrelenmeli ve kayıt altına alınmalıdır. Bu işlemse sadece şifresiz hizmet veren web siteleri için gerçekleştirilebilir.

Şifreli Web Sitesi Hizmetleri ( SSL )

Web sitesi ve bu web sitesine erişen kullanıcı arasında şifreleme gerçekleştirilebilir. Bu yapı özellikle kritik bilgilerin web sunucularından, bilgiyi talep eden kullanıcılara iletilmesi esnasında herhangi bir firma/saldırgan veya internet sağlayıcısının bu verileri görmesine engel olmak için kullanılmaktadır. Erişim sağlanılan web sitelerinin şifreli hizmet vermeleri durumunda, internet tarayıcıları bir anahtar simgesi ile bunu size bildirmektedirler.

Aşağıdaki ekran görüntüsü twitter adresinin şifreli trafik hizmeti verdiğini göstermektedir.

Screenshot from 2014-03-22 11:44:13

 

Bir önceki başlıkta anlatılan sadece ilgili web sitesi url’inin engellenmesi HTTPS -şifreli trafik- hizmet veren web siteleri için mümkün değildir. Bunu daha iyi anlayabilmek için “İnternet tarayıcısında www.twitter.com yazında arka tarafa neler oluyor ? ” sorusuna adım adım cevap verilen aşağıdaki yönergeyi dikkatlice okuyunuz.

  1. Firefox/Chrome vb internet tarayıcının adres satırına www.twitter.com yazıldı.
  2. www.twitter.com web sitesinin hangi ip adreslerinde hizmet verdiğinin öğrenilmesi için DNS sorgusu oluşturuldu. -twitter için yapılan engelleme bu noktada yaşandı. ISP’lerin DNS sunucularına sorulduğunda twitter.com için gerçek ip adreslerinin yerine klasikleşmiş erişim engeli sayfasının bulunduğu ip adresi çıkmaktadır-
  3. İnternet tarayıcısı twitter.com sunucularına bağlantı gerçekleştirildiğinde, twitter sunucuları şifreli oturum başlatmak istediğini belirtir.
  4. Bu talebi internet tarayıcısı algılar ve şifreli trafik başlatılır.
  5. Kullanıcılar tarafından erişilen tüm web sitesi url’leri artık şifreli trafik içerisinde bulunmaktadır.

5. maddeye dikkat edildiğinde ise daha önce örnek verilen aşağıdaki web adresi linkine erişim ISP’ler tarafından tespit edilememektedir. Çünkü bu bilgi şifreli trafiğin içerisindedir.

https://www.lkd.org.tr/engellenmek-istenen-link

Bu nedenle trafik şifrelendiği durumda herhangi bir tespit ve kayıt altına alınma durumu mümkün değildir. Şifreli trafiğin ISP’ler tarafından çözülebilmesi için SSL sonlandırma işleminin gerçekleştirilmesi lazımdır. Bu işlem yapılmaya kalkarsa -tabiki wildcard bir sertiifikanın sızdırılmadığını varsaymaktayız- internet tarayıcıları bu durumu algılayarak aşağıdakine benzer hata sayfaları çıkartacaklardır. Bu hatayı aldığınız anlarda back to safety yada beni bu siteden kurtar butonuna basınız!

chrome-beta-ssl-3

 

 

Peki VPN ne sağlamakta ?

Virtual Private Network, bilgisayarınız veya telefonunuz ile dünyanın herhangi bir yerinde başka bir bilgisayar ağına dahil olmanızı sağlayarak, hem bu bilgisayar ağı ile olan trafiğinizin şifrelenmesini sağlar hemde internete çıkışlar bu bilgisayar ağından yapılacağı için gerçek ip adresinin değiştirilmesi olanağı sunar.

HTTPS hizmet vermeyen web siteleri için fişlenmelerin gerçekleşeceğini ifade etmiştik. VPN kullanıcları için böyle bir durum söz konusu değildir. Çünkü bilgisayarınız ile internet dünyası arasında ki tüm trafiğiniz şifreli olacaktır. Bu güne kadar VPN teknolojilerini kişisel güvenlik açısından topluma açık kablosuz ağlara bağlanıldığında, internet trafiğinin 3. şahıslar tarafından çalınmasını engellemek amacıyla kullanmaktaydık. Bir çok farklı amaçlı kullanılabilen VPN hizmet, bu günlerde ise internet özgürlüğü imkanı sunmaktadır. Bu konuda ki en önemli husus VPN  için ücretsiz servisleri kesinlikle kullanmayınız. İnternet trafiği, ücretsiz VPN servis sağlayıcılarında kayıt altına alınmaktadır.

Benim uzun zamandır kullandığım VPN servis sağlayıcısı firma https://www.privateinternetaccess.com/ son kullanıcılara göre kurulumu ve ayarlarının yapılandırılması biraz meşakkatli olabilir. Hem Android hemde Linux dağıtımları ile kullanılabilmektedir.

Son kullanıcıya yönelik en başarılı bulduğum firma ise http://www.goldenfrog.com/vyprvpn/vpn-apps . iOS, Android, Windows ve Mac için uygulamaları bulunmakta. Uygulamayı kurup bilgilerinizi girdiğinizde VPN servisini kullanıyor olabileceksiniz. Bu sayede son kullanıcılar için yararlı olacağını düşünmekteyim.

Teşekkürler.

Dipnot: Doğru bilginin insanlara ulaştırılması, yanlış bilgilerin, düşüncelerin veya yönlendirmelerin önüne geçmek adına oldukça önem arz etmektedir. Bu yazı, olayın teknik boyutunu oldukça basitleştirerek anlatmayı hedeflemiştir. 

Yazının devamı Twitter IP Temelli Engelleme ve Aşma Yöntemleri