VPN servislerinin kullanımları kısa bir süre öncesine kadar, sadece kurumsal firmaların başlıca kullandıkları servisler olarak anılıyordu. Ancak günümüzde, kullanıcılara vaat ettiği erişim kolaylıkları sayesinde hemen her kesimden internet kullanıcının, aktif olarak kullanmaya başladığı popüler bir servis haline geldi. Tabii ki kurumsal alanda hala apayrı bir yeri olan VPN, acaba bütün veri akışını sağlayacak kadar güvenli mi? Zira VPN servisleri ile birçok kurumsal firma, proje akışlarına ve veritabanı erişimlerine VPN servisleri ile erişim sağlıyor.
Bilindiği gibi VPN servislerini kullanmak için başlıca iki yöntem bulunuyor: Hazır servisleri firmalardan satın almak veya doğrudan firmaların kendi edineceği sunucular ile VPN servisi oluşturmak… Daha çok kullanılan hazır VPN servis sağlayıcıların hemen hemen hepsi, hiçbir şekilde log, yani bağlantı ile ilgili bir veri tutmadıklarını iddia ediyor. Ne yazık ki durumun böyle olmadığını, hazır VPN servislerinin en büyüğü olarak nitelendirilen HMA ile ilgili bir olay neticesinde kavramak mümkün oldu!
VPN servis sağlayıcılarının, çelişkili vaatleri!
Şirketlerin günümüzde bulut depolamaya yönelmeleri ve birçok işleri uzaktan erişimle yürütüyor olmaları, siyah şapkalı(bilgisini kötüye kullanan) hackerların dikkatlerini de özellikle bu yöne çekmeye başladı. Nitekim dünya devi Sony ve Apple gibi firmaların dahi, bu hackerların kurbanı olduklarına kimi zaman şahitlik ediyoruz. Bu olaylardan Sony tarafında gerçekleşen bir sanal saldırının arkasındaki hacker grubu ise, bilindiği gibi FBI tarafından yakalanmıştı. Üstelik nasıl bulundukları ve yakalandıkları sorusunun cevabı da VPN servislerinde saklı!
Özelleştirilmiş VPN servislerinin, hazır servislere göre önemi!
Söz konusu hacker grubundan birisi veya birileri, saldırı sırasında veya sonrasında(net açıklama gelmedi) HMA isimli VPN servisinin arkasına sığınmış ve neticesinde saklandıkları yer, doğrudan HMA tarafından açık edilmiş. Oysaki bu tip büyük firmalar hemen her ilgili soruya, kesinlikle log tutulmadığı cevabıyla karşılık vermeyi tercih ediyorlar. Ancak bu örnekten de anlaşılacağı üzere ne yazık ki hazır VPN servisleri, her daim kişisel güvenlik veya şirketin “gizli” prosedürleri gereği, log tutuyorlar, tutmaya mecbur bırakılıyorlar.
Her ne kadar bu durum çok spesifik bir örnek niteliğinde olsa da genelleme yapmak adına iyi bir vesile oluyor. Zira bilinçsizce hazır VPN servislerinin, sözüm ona güvenliği arkasına sığınmak, hiç beklenmeyen eylemlerle sonuçlanabilir.
Peki, kurumsal alanda VPN konusunda nasıl bir yol izlemeli?
Bu soruya en net verilebilecek cevap; özel veya gizli şirket verilerinin, kıdemli bir sorumlu tarafından profesyonel olarak, özelleştirilmiş bir VPN ağı oluşturulması olacaktır. Zira üçüncü bir “güvenli” VPN servisine şirketi emanet etmek yerine, tamamen şirketin veya bireyin kontrolü altında şekillenen ve yönetilen VPN servislerinin hazırlanması, nispeten daha güvenli bir iletişim ağı sağlayacaktır.
Her geçen gün internet tüm yaşam alanlarında yer ediyorken, paralel olarak da bir o kadar güvenlik sorunlarının yayılmasına vesile oluyor. Bu ikilemi göz ardı etmeksizin her daim, özelleştirilmiş sistemlerden yana olmakta fayda var.
Bu yazıyı okuyanlar, bunları da okudu;
IP Santralı Hackerlardan Korumak
Ağınızı Yönetebiliyor Musunuz?
Sistem Mühendislerinin Minik Kabusları
