VPN servislerinin kullanımları kısa bir süre öncesine kadar, sadece
kurumsal firmaların başlıca kullandıkları servisler olarak anılıyordu.
Ancak günümüzde, kullanıcılara vaat ettiği erişim kolaylıkları sayesinde
hemen her kesimden internet kullanıcının, aktif olarak kullanmaya
başladığı popüler bir servis haline geldi.
Tabii
ki kurumsal alanda hala
apayrı bir yeri olan VPN, acaba bütün veri akışını sağlayacak kadar
güvenli mi? Zira VPN servisleri ile birçok kurumsal firma, proje
akışlarına ve veritabanı erişimlerine VPN servisleri ile erişim
sağlıyor.
Bilindiği gibi VPN servislerini kullanmak için başlıca iki yöntem
bulunuyor: Hazır servisleri firmalardan satın almak veya doğrudan
firmaların kendi edineceği sunucular ile VPN servisi oluşturmak…
Daha
çok kullanılan hazır VPN servis sağlayıcıların hemen hemen hepsi, hiçbir
şekilde log, yani bağlantı ile ilgili bir veri tutmadıklarını iddia
ediyor. Ne yazık ki durumun böyle olmadığını, hazır VPN servislerinin en
büyüğü olarak nitelendirilen HMA ile ilgili bir olay neticesinde
kavramak mümkün oldu! 
VPN servis sağlayıcılarının, çelişkili vaatleri!
Şirketlerin günümüzde bulut depolamaya
yönelmeleri ve birçok işleri uzaktan erişimle yürütüyor olmaları, siyah
şapkalı (bilgisini kötüye kullanan) hackerların dikkatlerini de
özellikle bu yöne çekmeye başladı. Nitekim dünya devi Sony ve Apple gibi
firmaların dahi, bu hackerların kurbanı olduklarına kimi zaman şahitlik
ediyoruz.
Bu olaylardan Sony tarafında gerçekleşen bir sanal saldırının
arkasındaki hacker grubu ise, bilindiği gibi FBI tarafından
yakalanmıştı. Üstelik nasıl bulundukları ve yakalandıkları sorusunun
cevabı da VPN servislerinde saklı! 
Özelleştirilmiş VPN servislerinin, hazır servislere göre önemi!
Söz
konusu hacker grubundan birisi veya birileri, saldırı sırasında veya
sonrasında (net açıklama gelmedi) HMA isimli VPN servisinin arkasına
sığınmış ve neticesinde saklandıkları yer, doğrudan HMA tarafından açık
edilmiş.
Oysaki bu tip büyük firmalar hemen her ilgili soruya, kesinlikle log tutulmadığı
cevabıyla karşılık vermeyi tercih ediyorlar. Ancak bu örnekten de
anlaşılacağı üzere ne yazık ki hazır VPN servisleri, her daim kişisel
güvenlik veya şirketin “gizli” prosedürleri gereği, log tutuyorlar,
tutmaya mecbur bırakılıyorlar.
Her ne kadar bu durum çok spesifik bir örnek niteliğinde olsa da
genelleme yapmak adına iyi bir vesile oluyor. Zira bilinçsizce hazır VPN
servislerinin, sözüm ona güvenliği arkasına sığınmak, hiç beklenmeyen
eylemlerle sonuçlanabilir.
Peki, kurumsal alanda VPN konusunda nasıl bir yol izlemeli?
Bu soruya en net verilebilecek cevap; özel veya gizli şirket
verilerinin, kıdemli bir sorumlu tarafından profesyonel olarak,
özelleştirilmiş bir VPN ağı oluşturulması olacaktır. Zira üçüncü bir
“güvenli” VPN servisine şirketi emanet etmek yerine, tamamen şirketin
veya bireyin kontrolü altında şekillenen ve yönetilen VPN servislerinin
hazırlanması, nispeten daha güvenli bir iletişim ağı sağlayacaktır.
Her geçen gün internet tüm yaşam alanlarında yer ediyorken, paralel olarak da bir o kadar güvenlik
sorunlarının yayılmasına vesile oluyor. Bu ikilemi göz ardı etmeksizin
her daim, özelleştirilmiş sistemlerden yana olmakta fayda var.
Haber Kaynağım :
Konuk yazar: Tolga Cem Küçükyılmaz, Editor-In-Chief - SDN
http://www.karel.com.tr/
