İnternete Erişimin Engellenmesi Nedir ve Nasıl Yapılır?

Ben Av. Alp Öztekin, internet ve bilişim hukuku üzerine yazılarımla artık Webtekno’da olacağım. Burada okuyucuya sunacağım yazılara yönelik gayem, okuyucuyu ağır bir hukuksal bilgi bombardımanına tutmak değil. Tersine, verilmesi gerekli teorik hukuksal bilgileri en az seviyede tutup, ‘’internet ve hukuk‘’ başlığına husus teknik, sosyolojik ve felsefi tarafı daha ağır basan yazılar paylaşmak niyetindeyim.

İlk olarak, internete erişimin engellenmesi konusunu okuyucuya sunma kararı aldım. Mevzuyu açıklamak için evvela internetin kökenine ve işleyişine dair bilgileri, bilahare de bu yapı üzerinde erişim sağlayıcıların faaliyetleri ve erişimin engellenmesine dair uygulamaları açıkladım.

‘İnternete erişim mahzuru nedir ve nasıl yapılır?’ konusu şu başlıklar altında açıklandı:

• İnternet ve İnternete Erişim Kavramları
• Erişim Sağlayıcılar ve Omurga Üzerindeki Hakimiyetleri
• Erişimin Engellenmesi Kavramı
  • Yasal Olarak yahut Hacking ile Erişimin Engellenmesi
• Yasal Olarak Erişimin Engellenmesinde Hangi Prosedürler Kullanılıyor?
  • Genel Yöntemler
  • Sunucu IP Adresleri ile İlişkili Prosedürler
• Ağın Denetimini de Sağlayabilen URL Tabanlı Engelleme Yöntemleri

A) İnternet ve İnternete Erişim Kavramları

Erişimin engellenmesinin ne tabir ettiği ve bunun nasıl başarılabildiğinin okuyucu tarafından kavranabilmesi için birinci etapta internetin ne halde işlediğini ve internet kullanıcılarının ağa nasıl eriştiklerini açıklamak istiyorum.

İnternetin temelleri, bundan altmış yıl kadar evvel ABD Savunma Bakanlığı’nın(DOD) ARPA ünitesinin ARPANET projesi olarak başlamıştı. ARPANET’te birbirine uzak aygıtlar ortasında data paylaşımı yapan bir ağ yapısı geliştirildi. Mahallî ağların ARPANET üzerinden birleşimini, alternatif ağ yapıları takip etti ve vakitle bunlar da ülke içerisinde birbirine bağlı hale geldi.

Çok sayıda LAN’ın birleştirdiği WAN’ların da birbirlerine bağlı olduğu bu yapı daha sonra ABD hudutlarını aştı, karasal ve deniz altı kablolar ile değişik ülkelerdeki pek çok ağ birbirine bağlandı. LAN’lar üzerindeki data tabanlarına erişilebilmesi için FTP platformlarına ek olarak tarayıcı yazılımları geliştirildi, Gopher ve WWW-http doğdu. (Daha sonra Gopher öldü…) İşte bizler, bilişim aygıtlarının birbirlerine bağlı olarak irtibat kurabildikleri bu global yapıya İnternet diyoruz.

İç içe geçmiş pek çok LAN ve WAN’ın birleşimini söz eden bu internet ağına erişmek, kullanıcının dünyadaki ağları birbirine bağlayan kablolar, baz istasyonları, uydular ile oluşturulmuş internet omurgasını kullanarak, kendi lokal ağından global WAN’lara, nihayetinde de diğer bir ağdaki sunucuya bağlanması ve irtibat kurması demektir. Böylece İstanbul’da bulunan bir internet kullanıcısı, kendi lokal ağı üzerinden; Türkiye’deki omurgaya, bu omurga üzerinden IXP noktalarını da geçerek, omurganın başka ucundaki rastgele bir noktaya, örneğin ABD’deki bir sunucuya erişebilmektedir.

B) Erişim Sağlayıcılar ve Omurga Üzerindeki Hakimiyetleri

Yukarıda izah edildiği üzere internet omurgası, aygıtları birbirlerine bağlayan global bir ağ yapısıdır ve bu ağın doğum noktası ABD’dir. Bu internet omurgasını çeşitli şirketler inşa etmiş ve işletmektedirler. İşte bu şirketlere erişim sağlayıcı denilmektedir. Global erişim sağlayıcı İSS’ler genel olarak denizler ve karalardan geçen kablolar ile dünyayı birbirine bağlar. Dünyadaki internet trafiği bu çok sahipli ağ yapısı üzerinden geçtiği için bu İSS’ler ortasında işbirliği ve dünyanın çeşitli noktalarında da belli internet değişim noktaları(IXP) vardır. Bir de kendi mahallî omurgasına sahip ülkesel erişim sağlayıcılar mevcut olup, ülke içi trafik bu şirketlerin omurgasında akarken, ülke dışına çıkan trafik ekseriyetle global İSS’ler üzerinden akar.

Yukarıda açıklanan erişim sağlayıcı İSS’ler, omurganın gerçek işleticileridir. Fakat bunlar, işlettikleri omurgayı üçüncü taraf erişim sağlayıcı şirketlere de kiralamakta ve bu sayede tıpkı omurga üzerinde tek bir sahiplik olmasına karşın, pek çok İSS hizmet verebilmektedir. Tüm bu İSS’lere internet kullanıcıları abone olarak, kendi mahallî ağları üzerinden internet ağına çıkış yapmaktadırlar.

C) Erişimin Engellenmesi Kavramı

En kolay manasıyla erişimin engellenmesi, internet omurgası üzerinden istemci ve sunucunun irtibat kuramaması manasına gelir. İnternet kullanıcısının kendi lokal ağından internete çıkışı büsbütün engellenebileceği üzere internetin makul noktalarındaki sunuculara ve hatta yalnızca sunucular içerisindeki belli datalara erişimi de engellenebilir. Örneğin bir internet kullanıcısının Youtube’a büsbütün erişimi engellenebileceği üzere Youtube’daki tek bir görüntüye ya da görüntü içerisindeki tek bir yoruma dahi erişimi engellenebilir.

C.1) Yasal Olarak yahut Hacking ile Erişimin Engellenmesi

(İşin tüzel tarafı burada detaylandırılmayacaktır.) Genel olarak belirtmek gerekirse, Türk hukukunda pek çok mevzuat içerisinde erişimin engellenmesine yönelik çeşitli düzenlemeler mevcuttur. Bunlar haricinde 5651 s. Kanun’da erişimin ne formda engellenebileceği belirtilmiş olup bunlaindirgenmiştir. İşte hukuksal altyapısı olan vr IP/DNS/URL tabanlı engellemeler ve gibisi usullere e yöntemine uygun tatbik edilmiş engeller ‘’yasal engellemeler‘’ olarak isimlendirilir. Aşağıda ayrıntılı olarak açıklanacak olan bu teknik yordamlar, kullanıcı yani internet abonesi temelli ve omurga üzerinden yapılan engellemelerdir.

Ancak bir internet içeriğine erişimi engellemek için kullanıcı tarafın yahut omurganın işin içine dahil edilmesi gerekmez. Şayet bir hacker isterse DDoS ataklarıyla da erişimi engelleyebilir. Tekrar geçersiz DNS yahut Proxy sunucular oluşturarak ve hatta düzmece bir router kurarak(bu tekniklere man in the middle deniliyor), istemcileri internetin değişik noktalarına da ulaştırabilir ya da erişimi aksatabilir. Tüm bu sonuçlar de elbet ki hacking yoluyla erişimi engellemektir. Açıktır ki bu usuller yasal değildir ve kabahat teşkil edecektir.

Öyleyse burada anlaşılması gereken temel nokta, yasal olarak erişimin engellenmesinin lakin omurgayı işleten İSS’ler üzerinden ve onların bilgisi dahilinde, kanunlara uygun prosedürlerle yapılabileceğidir.

D) Yasal Olarak Erişimin Engellenmesinde Hangi Sistemler Kullanılıyor?

D.1. Genel Olarak

Yüzlerce aygıtın bağlı olduğu büyük bir şirket ağı topolojisi düşünelim. Çok sayıda VLAN’ın iç içe girdiği, switch ve routerların bağlı olduğu devasa bir yapı… Ağ yöneticisi bu ağı denetim edebilmekte, data paketlerini tahlil yazılımları ya da ötesinde DPI kullanarak derinlemesine inceleyebilmekte ve bu sayede de gerekli teknolojiyi kullanırsa, taşınabilir uygulamalardaki yazışmalar dahil ağdaki her bir data paketinin içeriğindeki bağlantısı okuyabilmektedir.

Bir ülkedeki ağ yapısı da üstteki örnek ile benzeridir. Ortadaki tek fark, şayet ülkede birden fazla İSS hizmet veriyorsa, yönetici sayısı da birden fazla olacak ve bu yöneticilerin kullandığı teknolojik altyapı da farklılaşabilecektir.

D.2. Sunucu IP Adresleri ile Temaslı Metotlar (Tüm Sitenin Erişime Engellenmesi)

İnternet bağlantısında DOD standart modelindeki protokol kümeleri ve çoklukla de TCP/IP-UDP işletildiği için istemci ve sunucu IP’leri bağlantıdaki temel noktadır. (LAN’ı denetim eden şahıslar pekala sırf müsaade verilen iç IP ve MAC adreslerine sahip aygıtların sırf internetteki makul noktalara erişmesini sağlayabilirler ve bu da pratikte erişimin engellenmesi sayılabilir. Fakat bu mevzumuz değil.)

Erişim sağlayıcıların IP adresi özelinde gerçekleştirdikleri erişime engelleme tekniklerinde temel nokta, istemciyi internete çıkartan router ve DNS sunuculardır. İnternet kullanıcısını mahallî ağı üzerinden abonesi olduğu İSS’nin omurgasına çıkartan router/modem, kullanıcının muhakkak IP ve portlara sahip sunuculara erişmemesi için ayarlanabilir. İşte erişim mahzurlarının en tipik tekniği budur. Bu sayede IP adresleri ve kullandığı portlar bilinen herhangi bir sitenin sunucularına erişim engellenebileceği gibi DNS sunuculara, VPN sunuculara ya da TOR sunuculara da erişim engellenebilir.

IP özelinde gerçekleşen engellemelerde ikinci usul, bağlantının karşı tarafındaki web sunucuların değil, probleme alan isimlerinin da dahil edilmesiyle, IP ile alan ismi eşleştirmesi yapan DNS sunucuların kullanılmasıdır. Bu sistemin başarılı olabilmesi için internet abonesinin aygıtının alternatif DNS sunuculara değil, erişim sağlayıcının denetimindeki DNS sunucuya istek gönderecek biçimde ayarlanmış olması gerekir.

Bu klasik teknikler sunucu IP ve portlarını maksat aldığı için site ya da uygulamanın tamamını erişime maniler. Hatta birebir sunucuda bulunan mail vb. sistemlerin kullanımında, şayet sunucu bölünerek bu hizmetler farklı IP/portlar üzerinden sunulmamış ise mail vb. servislere de erişim engellenebilir.

D.3. Ağın Denetimini de Sağlayabilen URL Tabanlı Engelleme Yöntemleri

Bir site büsbütün erişime engellendiğinde, şayet bu sitenin toplumsal değeri fazla ve kullanıcı sayısı da devasa bir boyutta ise ortaya ‘’internete erişim hakkı‘’ temelli bir sorun çıkar. Her ne kadar binlerce internet sitesi büsbütün erişime engellenmiş ve bu durum kimsenin umurunda değilse de Youtube ve Wikipedia üzere çok sayıda kullanıcıya sahip siteler erişime büsbütün engellendiğinde, sitelerin hukuksuzluk ile kontaklı olmayan alanlarına da tüm internet kullanıcılarının erişimi engellendiği için gerek hukuksal gerekse etik çeşitli sıkıntılar doğar/doğmuştur.

Bu problemlerin doğmamasını sağlayacak güç, özünde teknolojidir. Üstteki şirket ağı örneğinden hatırlanacağı üzere, ağ yöneticisinin elindeki teknoloji ne kadar gelişirse ağa dair hakimiyeti de o kadar artacaktır. Öyleyse unutulmaması gereken nokta şudur: yüksek düzey ağ teknolojileri evvela ağda önemli bir hakimiyet yaratır, daha sonra ise URL tabanlı engelleme imkanı üzere imkanlar doğurur. Bu önemli hakimiyet sayesinde de bilgi paketlerinin içeriği büsbütün izlenebilir ve okunabilir hale gelebilir.

URL tabanlı bir engellemeyi sağlamak için ağdaki trafiğe hakim olmak, ağdaki data trafiğine müdahale edebilmek gerekir. Bu noktada ulaşılan sonuç; çok çeşitli hibrit teknolojilerin varlığının yanında, bilhassa kullanılan iki formül olduğudur. Bunlar da İSS’lerin trafiği proxy üzerinden geçirmesi ve/veya paket tahlil sistemleri kurmasıdır. Bu teknolojiler sayesinde data paketlerinin birden fazla katmanı ulaşılabilir ve denetim edilebilir hale gelir. Bu sayede URL tabanlı erişim manileri gerçekleştirilerek internet sitesindeki tek bir video’ya ya da yazıya erişim engellenebilir. Teknoloji geliştikçe URL tabanlı engelleme yapabilme alanınız artar ve örneğin kriptolu irtibat sağlayan SSL üzere yapılarda ve hatta VPN üzerinden akan datalarda hakimiyet sağlayabilirsiniz. Paket tahlil sistemlerinde bu durum, DPI yani derin paket tahlil sistemlerine dair teknolojiler kullanılarak gerçekleştirilebilir.

(Türkiye’de her bir erişim sağlayıcının ne biçimde erişim mahzuru tatbik ettiğini bilemiyoruz. Esasen bu hususta bağlayıcı bir kural da bulunmamakta, 5651 s. Kanun’a nazaran belli emsal formüller kullanılarak erişim sağlayıcıların site yahut URL’leri erişime engellemeleri beklenmektedir ki gerçek olan da budur.)

Okuyucuya Tavsiye:

Okuyucular erişimin engellenmesine dair yapıyı daha da derinlemesine anlamak istiyorlarsa; Rusya’da bu yapının gelişimini, URL tabanlı engelleme süreçlerini ve önemli bir DPI teknolojisi olan SORM’un oluşumunu kavramak için Andrei Soldatov ve Irına Borogan’ın THE RED WEB isimli kitabının ilgili bölümlerini okuyabilirler.

Av. Alp Öztekin – Soru ve görüşler için mail: [email protected]