Fexyn
Fexyn
All posts

Uzaktan çalışma güvenliği için VPN: ofis ağının ötesinde

Fexyn Team··8 min read

2020'de başlayan uzaktan çalışma patlaması birincil çalışma ortamı kurumsal ofis olmayan bir nesil işçi üretti. Kafeler, ev ofisleri, otel odaları, ortak çalışma alanları, konferans merkezleri, havalimanları. Bu ağların her birinin farklı güvenlik özellikleri var. "VPN kullan" tavsiyesi yaygınlaştı; VPN'in gerçekten ne yapması gerektiğine dair teknik detay yaygınlaşmadı.

Bu pratik versiyon. Uzaktan çalışma ağlarında ne ters gider, VPN nerede gerçekten yardımcı olur, nerede olmaz ve özellikle kurumsal VPN dağıtımlarının neyi ele alması gerektiği.

Uzaktan çalışma ağlarında ne ters gider

Üç risk sınıfı:

1. Ağ operatörü görünürlüğü. Bağlandığın ağı kim çalıştırıyorsa trafik örüntülerini görebilir. Kafe Wi-Fi: kafe sahibi. Otel Wi-Fi: otelin ağ operatörü ve ISS'si. Ortak çalışma: bina. Konferans Wi-Fi: etkinlik organizatörleri ve sağlayıcıları. Hiçbiri doğal olarak kötü niyetli değil ama hepsinin değişen seviyelerde izleme, saklama ve (ara sıra) trafik verisinin ticari kullanımı var.

2. Sahte erişim noktaları. Bir kafede airbase-ng veya benzeri çalıştıran bir laptop, meşru olanla aynı isimde bir Wi-Fi ağı yayınlayabilir. "Hilton Honors" veya "Boingo Free"a daha önce bağlanmış cihazlar sahteye otomatik bağlanır. Saldırgan artık şifrelenmemiş tüm trafiği görür ve TLS sabitlemenin olmadığı yerlerde HTTPS'i MITM yapabilir. Bu teorik değil; özellikle profesyonel hayatlarında makul gizlilik bilinçli olan ama tanıdık Wi-Fi adlarına otomatik bağlanan ziyaretçi katılımcıları hedef alan güvenlik konferanslarında belgelenmiş saldırılar.

3. Hedefli kurumsal casusluk. Üst düzey yöneticiler, aktif davadaki avukatlar, M&A uygulayıcıları ve ticaret firmalarındaki finans profesyonelleri gerçek hedeflerdir. Hedefleme fırsatçı (büyük havalimanı gibi belirli yüksek-değerli konumdaki bir ağa bağlanan herkesi yakala) veya belirli (bir kişiyi takip et ve bağlandıkları her Wi-Fi'a bağlan) olabilir. İkincisi pratikte nadir ama belgelendi; ilki daha yaygın.

VPN üçünü de ağ katmanında ele alır. Ağ operatörü, sahte AP ve aynı ağdaki herhangi bir fırsatçı saldırgan VPN sağlayıcısına şifrelenmiş trafiği görür. Hedef web sitelerini, içeriği veya yazılan kimlik bilgilerini görmezler.

Split tunneling: ne zaman, ne zaman değil

Split tunneling, bazı trafiği VPN üzerinden ve bazı trafiği dışından yönlendirmene izin veren özelliktir. Ne zaman kullanılacağı sorusu iki eksende ayrılır:

Performans vs güvenlik trade-off'u. Tüm trafiği VPN üzerinden yönlendirmek gecikme ve bant genişliği yükü ekler. Şifreleme gerektirmeyen trafik için (Spotify podcast yayını, bilinen istikrarlı bir bağlantıda Netflix, LAN'daki bir video oyunu), VPN dışına yönlendirme hızı korur. Şifreleme gerektiren trafik için (iş e-postası, döküman yönetimi, müvekkil verisi veya şirket IP'si içeren herhangi bir şey), VPN üzerinden yönlendirme önemli.

Coğrafi vs tüm-trafik bölme. Bazı kullanıcılar VPN'i yerel-ağ kaynakları (evdeki yazıcı, NAS, akıllı ev cihazları) hariç her şey için ister. Diğerleri VPN'i yalnızca belirli uygulamalar için ister (iş tarayıcı sekmesi için VPN açık, diğer her şey için kapalı).

Kurumsal kullanım için split tunneling bazen zorunlu, bazen yasak. Zorunlu: tüm kurumsal trafiği kendi VPN'leri üzerinden yönlendiren ama kurumsal VPN'in zaten denetleyemeyeceği SaaS uygulamalarını (Slack, Salesforce) muaf tutan şirketler. Yasak: her byte'ın kurumsal izlemeye görünür olmasını gerektiren şirketler.

Kişisel-VPN uzaktan çalışma kullanımı için doğru yanıt genelde:

  • Çalışmayla ilgili trafik için VPN açık (kurumsal e-posta, döküman yönetimi, dahili araçlar)
  • Gizlilik-hassas kişisel trafik için VPN açık (bankacılık, sağlık portalları, gazetecilik, hassas kişilerle iletişim)
  • Gizliliğin daha az kritik olduğu ve performansın önemli olduğu streaming, oyun ve günlük tarama için VPN kapalı

Fexyn, Windows'ta uygulama başına split tunneling'i destekler. Şu anda macOS veya Linux'ta desteklemiyoruz. Uzaktan çalışma kurulumu uygulama başına yönlendirme talep eden kullanıcılar için Mullvad ve ProtonVPN'in platformlar arasında daha olgun split-tunneling uygulamaları var bugün.

Her zaman açık VPN politikaları

Bazı kurumsal kurulumlar her zaman açık VPN gerektirir — VPN diğer trafik öncesi yukarıda ve hiç düşmez. Uygulama:

  • VPN istemcisi boot'ta, kullanıcı girişinden önce başlar
  • Kill switch (kernel seviyesi güvenlik duvarı kuralları) VPN olmadan trafik olmamasını uygular
  • Kullanıcı arayüzden VPN'i kapatamaz
  • VPN herhangi bir düşüşte otomatik yeniden bağlanır

Fexyn, kişisel-hesap kullanımı için her zaman açık destekler: kill switch yeniden başlatmalar arasında aktif kalmaya yapılandırılabilir, istemci başlangıçta başlatılabilir ve WFP kuralları kalıcıdır. Şu anda politika uygulamalı merkezi IT yönetimli her zaman açık (bir şirket IT departmanının tüm çalışan laptop'larına dağıttığı tür) yok. Bunun için NordLayer veya Perimeter81 doğru iş tier'ı ürünleri.

Tek başına uzaktan çalışanlar ve küçük takımlar için kişisel-hesap her zaman açık yapılandırması genelde yeterli. Bir kez yapılandır, açık bırak, unut.

Kişisel VPN'in kurumsal iş için kapsamadıkları

Kişisel VPN cihazınla VPN sağlayıcısının çıkışı arasındaki trafiği şifreler. Yapmadıkları:

Dahili kurumsal kaynaklara erişim sağlamak. Şirketinin dahili kaynakları (dosya sunucuları, dahili uygulamalar, dev ortamlar) gating yapan kurumsal VPN'i varsa, o kaynaklara ulaşmak için o kurumsal VPN'e ihtiyacın var. Kişisel VPN onu yerine geçmez. Bazı kurulumlar her ikisini birden çalıştırmayı gerektirir: dahili erişim için kurumsal VPN, kurumsal-tünelin-dışı gizlilik için kişisel VPN.

Kurumsal izleme politikalarına uymak. İş veren iş laptop'ında DLP (data loss prevention) izleme gerektiriyorsa, kişisel VPN bunu değiştirmez. DLP ajanı cihazda çalışır ve VPN tarafından şifrelenmeden önce trafiği görür.

Tehlikeye atılmış uç noktalara karşı koruma. Laptop'ında bir keylogger veya ekran kaydedici girdiğini herhangi bir şifrelemeden önce okur. VPN bu tehlikelerin downstream'inde.

Belirli satıcı ilişkileri gerektiren düzenleyici gereksinimlere uymak. HIPAA İş Ortaklığı Anlaşmaları, belgelenmiş satıcı uyumu gerektiren ABA 477R makul çabaları, ISO 27001 kontrol eşlemesi. Bunlar kişisel VPN sağlayıcılarının sağlayabileceği veya sağlamayabileceği satıcı ilişkileri gerektirir.

Bu ihtiyaçlar için katmanlı çözümler gerekir. Geniş güvenlik duruşunun bir parçası olarak kişisel VPN — tam yanıt olarak değil.

Kurumsal VPN vs kişisel VPN

Bunlar adında "VPN" olsa da farklı ürünler:

Kurumsal VPN (Cisco AnyConnect, GlobalProtect, Pulse Secure, OpenVPN tabanlı kurumsal kurulumlar). Dahili kurumsal ağlara erişim sağlar. Kurumsal IT ekibi yönetir. Bağlantı, üçüncü taraf VPN sağlayıcısına değil, şirketin kendi altyapısına. Loglama politikaları şirketin belirlediği şey (uyum için tipik olarak yüksek loglama). Yalnızca şirketin sağlayabildiği şeylere ulaşmak için kullanılır.

Kişisel VPN (Fexyn, NordVPN, ProtonVPN vb.). Üçüncü taraf ağ gözlemcilerinden gizlilik ve farklı bir IP'den genel internete erişim sağlar. Halka açık ağlar üzerinde gizlilik katmanı eklemek için kullanılır; kurumsal dahili kaynaklara ulaşmak için değil.

Uzaktan çalışanlar için soru sıklıkla ikisini aynı anda çalıştırıp çalıştırmamaktır (iş kaynakları için kurumsal VPN, kurumsal VPN'in çalıştığı halka açık ağlardan gizlilik için kişisel VPN). Çoğu kurumsal VPN istemcisi buna izin verir; bazıları vermez. Bazı şirketlerin politikaları var; bazılarının yok.

İş-tier'-VPN'-kişisel-özelliklerle (NordLayer veya Perimeter81'in sattığı şey), aynı sağlayıcı her ikisini sağlar: IT departmanının merkezi erişim yönetimi artı modern VPN protokolleri ve tüketici tarzı özellikler. IT departmanı desteği olmayan tek başına ve küçük takım uzaktan çalışanlar için kişisel-VPN-üstüne-kurumsal-VPN daha yaygın örüntü.

Fexyn nereye uyar

Uzaktan çalışma güvenliği için Fexyn şunları kapsar:

  • Tipik ev ve kafe ağlarında düşük yüklü şifreleme için WireGuard (Bolt)
  • Aktif VPN filtrelemesi olan bir yere seyahat ettiğin ve erişimi sürdürmen gereken nadir durum için VLESS Reality (Stealth)
  • VPN düşüşleri sırasında trafik maruziyetini engellemek için Windows'ta kernel seviyesi WFP kill switch
  • Gizlilik duruşu için no-logs operasyon
  • Performans-hassas split politikalar için Windows'ta uygulama başına split tunneling
  • İsteyen bireysel kullanıcılar için her zaman açık yapılandırma

Kapsamadıklarımız:

  • Merkezi IT yönetimli dağıtım (bunun için NordLayer veya Perimeter81 kullan)
  • Kurumsal-VPN ikamesi (dahili kurumsal kaynaklar için şirketinin VPN'ine ihtiyacın var)
  • DLP, EDR veya uç nokta güvenliği (ayrı ürün kategorileri)
  • Şu anda sunduklarımızın ötesinde BAA'lar veya diğer uyum satıcı ilişkileri

Sıkça sorulanlar

İş laptop'ımla kişisel VPN'imi kullanmalı mıyım?

İş verenin politikasına bağlı. Bazı iş verenler yasaklar (DLP ve kurumsal izleme trafiğini görmesi gerekir). Bazıları izin verir. Bazıları kurumsal-olmayan-ağ bağlantıları için zorunlu kılar. İş verenin kabul edilebilir kullanım politikasını oku veya IT'ye sor.

VPN iş verenimin iş laptop'ımı izlemesine karşı korur mu?

Genelde hayır. Kurumsal izleme ajanları (Endpoint DLP, MDM araçları, belirli antivirüs paketleri) cihazda çalışır ve herhangi bir VPN şifrelemesinden önce trafiği görür. Bazı ajanlar özellikle kişisel VPN kullanımını tespit eder ve müdahale edebilir; bazıları etmez.

Şirketim uzaktan çalışanlar için Fexyn kullanmalı mı?

Özel IT olmadan tek başına veya küçük takımlar için Fexyn makul bir seçim. Merkezi yetkilendirme, politika uygulaması ve uyum raporlaması isteyen IT ekipli daha büyük şirketler için iş-tier'ı VPN'ler (NordLayer, Perimeter81, bazı kullanım senaryoları için ZeroTier) daha iyi uyumlar. Fexyn şu anda IT yönetim özelliklerini sunmuyor.

VPN'i değiştiren Zero Trust ne durumda?

Zero Trust Network Access (ZTNA) farklı bir model: güvenilir ağa VPN yerine ZTNA her isteği güçlü kimlik-ve-bağlam kontrolleriyle ayrı ayrı değerlendirir. Bazı şirketler kurumsal erişim için VPN'den ZTNA'ya geçiyor. Halka açık ağ gözlemcilerinden gizlilik için VPN ve ZTNA aktarımda şifreleme sağlar. ZTNA, kafe gizliliği gibi kişisel-VPN kullanım senaryoları için ikame değil; bazı kurumsal-VPN kullanım senaryoları için ikame.

Otel Wi-Fi'ında bankacılık yapmak güvenli mi?

VPN ile genelde evet. VPN olmadan ağ operatörü ve aynı ağdaki herhangi bir fırsatçı saldırgan trafik örüntülerini görür; HTTPS sabitlenmiş bankacılık uygulamaları en kötü saldırıları azaltır ama hepsini değil. VPN ile ağ yalnızca VPN sağlayıcına şifrelenmiş trafiği görür; bankanın TLS bağlantısı iç katman, VPN şifrelemesi dışarıda. Derinlemesine savunma.

Fexyn'i 7 gün ücretsiz dene. Kernel seviyesi kill switch, no-logs, tipik ağlar için WireGuard, kısıtlanmış olanlar için Vision flow ile VLESS Reality. VPN nasıl seçilir rehberi daha geniş satın alma kararını kapsar; Kill switch açıklaması WFP tabanlı uygulamayı kapsar.

Son güncelleme: 2026-05-09.

Uzaktan çalışma güvenliği için VPN: ofis ağının ötesinde | Fexyn VPN