VPN bağlantı kopmasından kaynaklı IP sızıntıları nasıl engellenir?

Günümüzün kaliteli VPN servisleri genellikle %99 kesintisiz hizmet sunsa da, ara sıra VPN bağlantı kopmaları muhakkak oluyor. Bugün hiçbir VPN servisi %100 uptime garantisi veremiyor. Bazı servislerde ise durum oldukça kötü.

ibVPN, şu anda kullandığım VPN servisi. Son 5 günde hergün en az 1 kez kopma yaşadım. Buna VPN drop/VPN düşmesi deniyor. Bilgisayarımızdaki VPN yazılımının VPN sunucusu ile iletişimin kopması durumu.

VPN bağlantımız koptuğunda ise, internete kendi IP numaramız ile bağlanmaya başlıyoruz. Buda bizi anonim durumdan bir anda çıkarıyor, büyük bir mahremiyet sorunu oluşuyor.

Bu nedenle firmalar client yazılımlarında, bağlantı kopmasından kaynaklı IP sızıntılarına karşı muhakkak bir önlem alır. ibVPN’de bu tür bir koruma mevcut ama, kesinlikle işe yaramıyor.

Sizinde VPN yazılımınızda bu tür bir güvenlik önlemi yoksa yada VPN servinize OpenVPN gibi protokoller ile bağlanıyorsanız, bu korumayı güvenliğiniz için kendiniz sağlamak zorundasınız.

Eğer bunu nasıl sağlayacağınızı bilmiyorsanız, İşte size herkesin kolayca uygulayabileceği adım adım bir rehber…

VPN Bağlantıları Neden Kopar?

000009-01-02VPN düşmeleri genellikle sunucudan kaynaklanıyor. Yazılımınızın bağlandığı sunucuda arıza meydana gelebiliyor. Planlı bakımlar nedeniyle sunucular kısa süreli devre dışı bırakılabiliyor. Bu durumda makinemizdeki yazılım, sunucuya bağlanamıyor ve VPN bağlantımız kopmuş oluyor.

Genellikle VPN firmaları oldukça iyi çalışıyor. Toplam downtime süreleri kaliteli firmalarda dikkate alınmayacak kadar az. Ayrıca planlı kesintileri kullanıcılara haber vererek önlem alınmasını sağlayabiliyorlar. Aynı elektrik/su kesintilerinde yaşadığımız gibi. Tabi bu haberleri her zaman takip etmek te pek mümkün değil.

VPN Drop Protection Nedir?

VPN bağlantımız koptuğunda, VPN yazılımı etkisiz hale gelir. Yani internet bağlantımız şifrelenmez ve IP numaramız değişmez. VPN kullanarak elde ettiğimiz avantajları yitirmiş oluruz.

Daha kötüsü, IP numaramız VPN kullanarak elde ettiğimiz IP numaramız ile eşleştirilebilir ve geriye dönük bir teknik takip de yapılabilir. Yani geriye dönük anonimliğimizi de kaybedebiliriz.

Eğer kamuya açık bir WiFi ağı kullanıyorsanız, VPN kopmasıyla birlikte verileriniz WiFi korsanları tarafından elde edilebilir.

Bu nedenle, VPN yazılımlarında bu duruma karşı güvenlik önlemleri kullanılır. Bu korumalara “VPN Drop Protection” adı verilir. Bazı şirketler ise “Kill Switch” gibi farklı adlar kullanmakta.

VPN Drop Protection Nasıl Çalışır?

Şirketler, çeşitli şekillerde çözüm üretiyorlar. Ben 3 farklı firmada 3 farklı uygulamasını gördüm.

Privacy Internet Access;
Internet Kill Switch adı altında bir çözüm üretmiş. Bu çözümde tüm internet erişiminiz bloke ediliyor. Sadece VPN üzerinden internete erişebiliyorsunuz. VPN bağlantınız koparsa, yada VPN bağlantınız aktif değilse, internete bağlanamıyorsunuz. Bu en radikal ve sert çözüm.

Cyberghost VPN;
VPN bağlantınızı açtınız. Tüm bağlantınız VPN üzerinden geçirilecek. Eğer VPN koparsa, Cyberghost tüm internet erişimini bloke edecek. Bu esnada tekrar sunucuya bağlanmaya çalışacak. Bunu yapamazsa, blokaj devam edecek. Elbette siz blokajı serbest bırakana dek.

Bu yöntemde koruma VPN bağlantısını kurduğunuzda başlıyor, kapattığınızda bitiyor. PIA gibi interneti sürekli bloke etmiyor. Sadece siz internet erişiminizi VPN yazılımına emanet ettiğinizde aktif. Çoğu zaman ideal bir yol.

ibVPN;
VPN koparsa, yazılım seçtiğiniz programları kapatıyor. Çok basit ve berbat bir yöntem. Düşünün, tarayıcınız bir anda kapandı ve 30 dakikadır yazdığınız mail gitti… Neden? VPN bağlantınız koptuğu için!

Bu çözüm epey zaman önce VPNetMon, VPNCheck gibi yazılımlar tarafından kullanılırdı. Bu yazılımlar VPN kopmasını birkaç milisaniye de olsa her zaman gecikmeli tespit ederler ve gerçek IP numaranızın sızması her zaman mümkündür. Öte yandan, sistem bazında değil program bazında çalışmaları başka bir güvenlik açığı. Yaşanabilecek veri kayıplarını da eklersek, herhalde uzak durmak için yeterince neden birikmiş olur.

VPN Bağlantı Kopmasından Kaynaklı IP Sızıntıları Nasıl Engellenir?

IP sızıntılarını engellemek için bu yazıda 3 yöntem paylaşacağım. Bunlar herkesin kolaylıkla uygulayabileceği basit adımlardan oluşacak. Eğer VPN yazılımınız sizi korumuyorsa yada VPN bağlantınızı OpenVPN, PPTP, L2TP/IPSEC, SSTP gibi protokoller ile kuruyorsanız bu şekilde güvenliği sağlayabilirsiniz.

Ben anlatımı yaparken OpenVPN kullanıyorum. Hali hazırda VPN yazılımı “Drop Protection” gibi temel bir özellikten yoksunsa, zaten o yazılımı kullanmak yerine OpenVPN kullanmak tercih edilebilir. Fakat VPN yazılımı da kullansanız, diğer protokolleri de kullansanız yöntemlerde bir değişiklik olmayacak.

İlk iki yöntemi Windows 7,8,8.1 sürümlerinde bulunan firewall ile anlatıyorum. Bu nedenle bilgisayarınıza yeni bir yazılım yüklemek zorunda kalmayacaksınız. Hep küçük görülmesine rağmen Windows güvenlik duvarı bu iş için biçilmiş kaftandır.

Eğer başka bir güvenlik duvarı kullanıyorsanız, kullandığımız mantık ile bu yöntemleri kendi yazılımınızda uygulamaya çalışabilirsiniz. Fakat söylemem gerekir ki bu çoğu zaman mümkün değil. Her güvenlik duvarı farklı bir kullanım şekline sahip ve herbiri bu tarz bir uygulama için uygun değil.

Eğer Windows XP kullanıyorsanız yada başka bir firewall tercih ediyorsanız, o zaman 3. yöntemi kullanabilirsiniz.

Şimdi sırasıyla bu kolay yöntemleri uygulayalım;

Yöntem 1

İnternet tarayıcılarımız ve indirme yönetecilerimiz. Aslına bakarsanız, interneti en çok kullanan yazılımlarımız bunlar. Bu yazılımları internete sadece VPN aktifken bağlanacak, VPN pasifken bağlanamayacak şekilde güvenlik duvarı kuralları ile yapılandırabiliriz. Bu durumda VPN bağlantısı koptuğu anda, internet erişimleri durur ve bir IP sızıntısı yaşanmaz. Tekrar VPN bağlantısı kurulduğunda ise internet erişimleri devam eder.

Yöntemimiz bu düşünceden yola çıkıyor. Bilgisayarımızda bulunan güvenlik duvarına sadece VPN ile internete bağlanmasını istediğimiz her bir yazılım için basit kurallar ekleyeceğiz.

000009-02-01

01/12

Görev çubuğundaki Network simgesinin üzerinde sağ tıklayalım ve "Ağ ve Paylaşım Merkezi'ni Aç" seçeneğini seçelim.

"Ağ ve Paylaşım Merkezi" açılacak. Bu ekranda, hali hazırda mevcut olan internet bağlantımız görülüyor.

000009-02-02

02/12

VPN bağlantımızı kuralım. Bağlantı kurulduğunda, Ağ ve Paylaşım Merkezi'nde yeni bir etkin ağ belirecek. Bu etkin ağ, yeni oluşturduğumuz VPN ağı.

Bu ekranda, Ağ isimlerinin altında, Ağ türü yazıyor; Özel Ağ/Ortak Ağ. Bu iki Ağ türü fotoğraftaki gibi birbirindan farklı türde olmalı. Eğer aynı ise, birtanesinin türünü değiştirmemiz gerekecek. Bunun nasıl yapıldığını bilmiyorsanız, burada anlatılan 4 yöntemden birini kullanabilirsiniz.

000009-02-03

03/12

Windows+r tuşlarına basarak çalıştır ekranını açalım. Burada "wf.msc" yazıp tamam butonuna basalım. Windows güvenlik duvarının gelişmiş arayüzü açılacak.

000009-02-04

04/12

"Gelen Kuralları" menüsünü seçelim. Sağdaki "Eylemler" bölümünden "Yeni Kural..." üzerine tıklayalım.

000009-02-05

05/12

Yeni kural sihirbazı açılacak. "Program" seçeneğini seçip "İleri" butonuna tıklayalım.

000009-02-06

06/12

"Bu programın yolu" seçeneğini seçelim. "Gözat" butonuna tıklayarak, VPN kopması halinde internet erişimini kesmek istediğimiz programı seçelim.

Ben örneği, Internet Explorer için yapacağım. "İleri" butonuna tıklayalım.

000009-02-07

07/12

"Bağlantıyı engelle" diyelim ve ilerleyelim.

000009-02-08

08/12

Sihirbaz bize bu kuralın hangi ağ alanı için uygulanacağını soracak.

Bizim VPN bağlantımız "Ortak" ağ alanı olduğundan, diğer seçenekleri işaretliyoruz ve "Ortak" seçeneğini işaretsiz bırakıyoruz. Ardından "İlerle" butonuna basıyoruz.

000009-02-09

09/12

Sihirbaz kurala bir isim vermemizi istiyor. Bir isim yazalım ve "Son" butonuna tıklayalım.

000009-02-10

10/12

Yeni oluşturduğumuz kural "Gelen Kuralları" bölümünde görünecektir.

000009-02-11

11/12

"Giden Kuralları" bölümüne geçelim ve aynı yazılım için aynı kuralı bu bölümde de yaratalım. Tüm işlemler aynı olduğundan bu bölümü tekrar anlatmıyorum.

Kuralı oluşturduktan sonra, Windows güvenlik duvarını kapatabiliriz. Yapacaklarımız sadece bu kadar!

000009-02-12

12/12

Kuralımızın geçerli olup olmadığını test edebiliriz. VPN bağlantısını keselim ve Internet Explorer ile internete erişmeye çalışalım. Hata alacağız.

Fakat VPN çalışmıyorken, bir kural oluşturmadığımız bir başka tarayıcı ile internete erişebiliyoruz.

Dilerseniz, tamamen aynı şekilde yeni kurallar ekleyerek, istediğimiz tüm yazılımları sadece VPN bağlantısı altında çalışacak şekilde yapılandırabiliriz.

Yöntem 2

Yöntem 1 ile belirli programların sadece VPN üzerinden erişimine izin vermiştik. Bu yöntemde ise tüm sistemin sadece VPN üzerinden erişime çıkabilmesine izin vereceğiz.

Bu yöntemle bir nevi Privacy Internet Access tarafından kullanılan “Internet Kill Switch” korumasını simüle etmiş olacağız. Bu durumda, bilgisayarımız VPN bağlantısı kurulmadan asla internete bağlanamayacak. Tabi biz güvenlik duvarı kurallarını değiştirmedikçe…

000009-03-01

01/14

Görev çubuğundaki Network simgesinin üzerinde sağ tıklayalım ve "Ağ ve Paylaşım Merkezi'ni Aç" seçeneğini seçelim.

"Ağ ve Paylaşım Merkezi" açılacak. Bu ekranda, hali hazırda mevcut olan internet bağlantımız görülüyor.

000009-03-02

02/14

VPN bağlantımızı kuralım. Bağlantı kurulduğunda, Ağ ve Paylaşım Merkezi'nde yeni bir etkin ağ belirecek. Bu etkin ağ, yeni oluşturduğumuz VPN ağı.

Bu ekranda, Ağ isimlerinin altında, Ağ türü yazıyor; Özel Ağ/Ortak Ağ. Bu iki Ağ türü fotoğraftaki gibi birbirindan farklı türde olmalı. Eğer aynı ise, birtanesinin türünü değiştirmemiz gerekecek. Bunun nasıl yapıldığını bilmiyorsanız, burada anlatılan 4 yöntemden birini kullanabilirsiniz.

000009-03-03

03/14

Windows+r tuşlarına basarak çalıştır ekranını açalım. Burada "wf.msc" yazıp tamam butonuna basalım. Windows güvenlik duvarının gelişmiş arayüzü açılacak.

Bu ekranda, "Windows Güvenlik Duvarı Özellikleri" linkine tıklayalım.

000009-03-04

04/14

Açılan ekrandan, "Etki Alanı Profili" sekmesindeki "Giden bağlantılar" seçeneğini "Engelle" olarak değiştirelim.

000009-03-05

05/14

Ardından "Özel Profil" sekmesine tıklayalım ve "Giden bağlantılar" seçeneğini "Engelle" olarak değiştirelim. "Tamam" tuşuna basalım.

Böylece ortak ağ alanı dışındaki tüm internet erişimini güvenlik duvarı ile engelledik. Bir istisna kuralı oluşturmadığımız sürece programlar bu ağlardan internete bağlanamayacak.

Burada VPN yazılımımız için bir istisna oluşturmamız gerekiyor. Öyle ki, internete bağlanıp bize yeni bir ağ kurabilsin. Şimdi bu istisnayı tanımlayalım...

000009-03-06

06/14

Güvenlik duvarımızda, "Gelen Kuralları" bölümüne geçip "Yeni Kural..." linkine tıklayalım.

000009-03-07

07/14

"Yeni Gelen Kuralı Sihirbazı" açılacak. Kural Türü olarak "Program" seçelim ve ilerleyelim.

000009-03-08

08/14

Sihirbaz kuralın geçerli olacağı programları soruyor. Biz bu ekranda, VPN yazılımımızı seçmeliyiz.

Ben OpenVPN kullandığım için, Gözat butonuna tıklayıp, openvpn.exe dosyasını seçtim. Sizin seçeceğiniz dosya kullandığınız VPN yazılımına göre değişecektir. Eğer doğru dosya için kural oluşturmazsanız internete bağlanamazsınız.

000009-03-09

09/14

"Bağlantıya izin ver" seçeneğini seçip ilerliyoruz.

000009-03-10

10/14

Bu yazılıma tüm ağ alanlarında internete bağlanma izni veriyoruz.

000009-03-11

11/14

...ve kurala bir isim verip "Son" butonuna tıklayarak kuralı tamamlıyoruz.

000009-03-12

12/14

Şimdi aynı program için aynı kuralı bir de "Giden Kuralları" bölümünde oluşturalım. Uygulanacak adımlar birebir aynı olduğundan, uzatmamak için bu bölümü tek tek anlatmıyorum.

Kural oluşturma tamamlandıktan sonra güvenlik duvarını kapatalım. Hepsi bu kadar!

000009-03-13

13/14

İsterseniz kuralımızın işe yarayıp yaramadığını test edelim. VPN bağlantısını keselim ve internete girmeye çalışalım. Bunu hiçbir tarayıcı ile başaramayacağız. VPN bağlantısını kopardığımızda tüm internet bağlantımız kesilecek.

000009-03-14

14/14

VPN bağlantısını tekrar kurduğumuzda ise, internete tekrar erişebileceğiz.

Yöntem 3

Bu yöntem çok basit ve küçük bir hileden faydalanacağız. Öncelikle sistemimizin internete bağlanmak için kullandığı route tablosundan varsayılan internet geçidini bulacağız.

VPN ile internete bağlandığımızda, ikinci bir geçit oluşur. Biz VPN bağlantımız ardından ilk geçidi sileceğiz. Böylece eğer VPN bağlantımız koparsa, sistem internete bağlanamayacak çünkü internete bağlanabileceği bir geçit olmayacak.

Geçidi tekrar sisteme tanımladıktan sonra ise kendi IP numaramız ile yine rahatça internete girebileceğiz.

Yapması anlatmasından oldukça kolay. Adım adım takip edelim;

000009-04-01

01/09

Görev çubuğundaki Network simgesinin üzerinde sağ tıklayalım ve "Ağ ve Paylaşım Merkezi'ni Aç" seçeneğini seçelim.

"Ağ ve Paylaşım Merkezi" açılacak. Bu ekranda, hali hazırda mevcut olan internet bağlantımız görülüyor.

000009-04-02

02/09

VPN bağlantımızı kuralım. Bağlantı kurulduğunda, Ağ ve Paylaşım Merkezi'nde yeni bir etkin ağ belirecek. Bu etkin ağ, yeni oluşturduğumuz VPN ağı.

000009-04-03

03/09

NetRouteView yazılımını çalıştıralım. Yazılım ekranında, "Destination: 0.0.0.0/Mask: 0.0.0.0" şeklinde iki kayıt göreceğiz. Bunlar varsayılan ağ geçitlerimiz. Gördüğünüz üzere birisi gerçek network kartımıza ait, diğeri OpenVPN tarafından yüklenen sanal TAP-Windows adaptörüne.

Gerçek ağ adaptörümüzün "Gateway" adresini kullanarak fotoğraftaki gibi iki adet metin belgesi oluşturalım. Bunları protect-on.bat, protect-off.bat şeklinde farklı kaydedelim.

Buradaki metinlerden ilki, ağ geçidini silecek koddur. İkincisi ise ağ geçidini tekrar oluşturacak koddur.

000009-04-04

04/09

VPN bağlantımız açıkken "protect_on.bat" üzerinde sağ tıklayalım ve yönetici olarak çalıştıralım.

000009-04-05

05/09

Bu komut, bizim gerçek ağ geçidimizi bozacak ve internet erişimini koparacak. Fakat VPN ağımız çalışmaya devam edecek. Bu esnada yaptığımız bütün internet erişimi VPN ağı üzerinden olacak.

Olurda VPN ağı koparsa, gerçek ağ geçidimiz de bozuk olduğundan, internet erişimi komple bloke olacak. Böylece VPN bağlantı kopmalarında IP sızıntısı yaşamayacağız.

000009-04-06

06/09

Durumu bir test edelim. VPN bağlantımızı keselim ve internete erişmeye çalışalım. Başaramıyoruz.

Bu noktada birşeyi belirtmem gerekiyor. Sistem bu durumdayken, yani VPN bağlantısı koptuğunda, VPN'de tekrar otomatik olarak ağa bağlanamaz. VPN bağlantısı koptuğunda TAP adaptörü için ağ geçidi de kullanılmaz hale gelir ve sistem komple internetten düşer.

VPN dahil, tekrar internete bağlanmanın yolu, önce sistemin varsayılan ağ geçidini düzeltmektir.

000009-04-07

07/09

Sistemin varsayılan ağ geçidini düzeltmek için, "protect_off.bat" dosyasını yönetici olarak çalıştırıyoruz.

000009-04-08

08/09

Sistem eski haline dönecek ve hem VPN ile hem de normal şekilde internete bağlanabilir hale geleceğiz.

Bu sistemin düzgün işleyebilmesi için, VPN bağlantısını kurduktan sonra "protect_on.bat", kopardıktan sonra "protect_off.bat" dosyasını yönetici olarak çalıştırmalıyız.

Eğer OpenVPN kullanıyorsanız, Size bunu elle yapmak yerine otomatik olarak yapabilecek bir çözüm önerebilirim.

000009-04-09

09/09

OpenVPN konfigürasyon klasörünü açalım. Burada, her bir konfigürasyon dosyası için iki bat dosyası oluşturalım. Bu dosyalar, konfigürasyon dosyasının ismi ile ayn isimde olmalı. Fakat birinin sonuna "_pre" birinin sonuna "_up" ekliyeceğiz.

OpenVPN, xxx VPN bağlantısı kurmadan önce xxx_pre.bat dosyasını çalıştıracak ve bağlantımız düzeltilecek. Bağlantı kurulduktan sonra, xxx_up.bat dosyası çalıştırılacak ve varsayılan bağlantı bozulacak.

Böylece bizim daha önce manuel yaptığımız işlem, otomatik olarak sağlanmış olacak.

5 Comments

  1. Cem ÜNAL June 1, 2015
    • admin June 1, 2015
  2. Cem ÜNAL June 2, 2015
    • admin June 2, 2015
  3. ali May 5, 2016

Leave a Reply