Ağ segmentasyonu, tek bir düz (flat) ağı birbirinden mantıksal olarak ayrılmış küçük bölgelere bölme uygulamasıdır; VLAN (Virtual LAN) ise bu bölmeyi aynı fiziksel anahtar (switch) üzerinde yazılımsal olarak yapmanızı sağlayan standarttır. Bu ayrımın güvenlik açısından önemi nettir: bir cihaz veya kullanıcı ele geçirildiğinde, saldırganın tüm kurum ağına serbestçe yayılmasını (yatay hareket / lateral movement) engellersiniz. Modern kurumsal güvenlikte temel ilke artık “her şeyi tek ağda topla” değil, “güven sınırlarını daralt” yaklaşımıdır.
Bu yazıda VLAN ve segmentasyonun ne işe yaradığını, misafir Wi-Fi ile IoT cihazlarını neden izole etmeniz gerektiğini ve küçük-orta ölçekli bir işletmede pratik bir segment planını nasıl kuracağınızı anlatıyoruz.
Ağ segmentasyonu tam olarak ne yapar?
Düz bir ağda muhasebe bilgisayarı, kamera kaydedici (NVR), kasiyer terminali, yazıcı ve misafirin telefonu hepsi aynı IP bloğundadır ve birbirini doğrudan görebilir. Bu durumda zararlı yazılım bulaşan tek bir cihaz, ağdaki diğer tüm cihazları tarayıp saldırabilir.
Segmentasyon bu ağı işlevsel bölgelere ayırır. Her bölge ayrı bir alt ağ (subnet) ve genellikle ayrı bir VLAN olur. Bölgeler arası trafik artık otomatik değildir; bir güvenlik duvarı veya katman-3 anahtar üzerinde tanımlı kurallardan geçmek zorundadır. Böylece “kim, neye, hangi porttan erişebilir” sorusunun cevabını siz belirlersiniz.
Kazanımlar somut olarak şunlardır:
- Saldırı yüzeyini daraltma: Ele geçirilen bir cihaz yalnızca kendi segmentini görür.
- Hasar sınırlandırma: Bir fidye yazılımı (ransomware) salgını tüm ağ yerine tek bölgede kalır.
- Performans ve düzen: Broadcast trafiği bölgeyle sınırlanır, sorun tespiti kolaylaşır.
- Uyumluluk: Kişisel veri işleyen sistemleri ayırmak, KVKK kapsamındaki “veri güvenliğine ilişkin teknik tedbirler” beklentisini destekler.
VLAN ile fiziksel ayrım arasındaki fark nedir?
Eskiden farklı ağlar için farklı kablolar ve ayrı anahtarlar gerekirdi. VLAN bu ihtiyacı ortadan kaldırır: aynı yönetilebilir (managed) anahtar üzerinde, IEEE 802.1Q etiketleme standardıyla portları farklı sanal ağlara atayabilirsiniz. Tek bir uplink kablosu üzerinden birden fazla VLAN’ı “trunk” olarak taşıyabilirsiniz.
Pratikte şu ayrım önemlidir:
- Access port: Tek bir VLAN’a bağlı uç cihaz portu (örneğin bir bilgisayar).
- Trunk port: Birden çok VLAN’ı etiketli olarak taşıyan port (anahtarlar arası veya güvenlik duvarına giden bağlantı).
VLAN’lar trafiği ayırır ancak tek başına “izin/engelle” kararı vermez. Asıl erişim kontrolü, VLAN’lar arası yönlendirmeyi yapan cihazdaki (genellikle güvenlik duvarı) kurallarla sağlanır. Yaygın bir hata, VLAN’ları kurup aralarında sınırsız yönlendirmeye izin vermektir; bu, segmentasyonun güvenlik faydasını büyük ölçüde yok eder.
Misafir ağını neden ayrı tutmalıyım?
Misafir Wi-Fi, kurumun en kontrolsüz cihaz girişidir: ziyaretçilerin telefonları, dizüstü bilgisayarları, durumunu bilmediğiniz cihazlar. Bu cihazlar asla iç ağınızı, sunucularınızı, yazıcılarınızı veya kameralarınızı görmemelidir.
Doğru misafir ağı şu özelliklere sahip olmalıdır:
- Kendi VLAN’ında, iç ağdan tamamen ayrı.
- Yalnızca internete çıkış izni; iç kaynaklara erişim engelli (LAN isolation).
- İstemci izolasyonu (client isolation) ile misafirlerin birbirini görmesi de kapatılmalı.
- Ayrı SSID ve ayrı parola; mümkünse bant genişliği sınırı.
Bu yapı hem güvenlik hem de itibar sağlar: misafire internet verirken iş verilerinizi riske atmazsınız.
IoT cihazlarını izole etmek neden kritik?
Kameralar, NVR’lar, akıllı termostatlar, kartlı geçiş panelleri, POS cihazları, akıllı TV’ler ve benzeri IoT cihazları genellikle güvenlik açısından zayıf halkadır. Birçoğu nadiren güncellenir, varsayılan parolalarla gelir ve uzun yıllar yamasız çalışır. Bu cihazlar saldırganların ağa giriş kapısı olabilir.
IoT cihazlarını ayrı bir VLAN’a almak şu nedenlerle önemlidir:
- Zayıf bir kamera ele geçirilse bile saldırgan muhasebe sunucusuna sıçrayamaz.
- IoT cihazlarının yalnızca ihtiyaç duydukları hedeflere (örneğin sadece NVR’a veya yalnızca üretici bulut adresine) erişmesine izin verirsiniz.
- IoT’tan iç ağa doğru başlatılan bağlantıları varsayılan olarak engellersiniz; iç ağdan IoT’a yönetim erişimini ise kontrollü açarsınız.
Burada en sağlıklı yaklaşım “varsayılan engelle, gerekeni aç” (default deny) ilkesidir.
Yatay hareket (lateral movement) nasıl engellenir?
Yatay hareket, saldırganın ele geçirdiği ilk cihazdan başlayarak ağ içinde değerli hedeflere doğru adım adım ilerlemesidir. Saldırıların büyük bölümünde ilk giriş noktası kritik veriyi tutmaz; saldırgan asıl hedefe yatay hareketle ulaşır. Segmentasyon, bu hareketi kırmanın en etkili teknik tedbirlerinden biridir.
Yatay hareketi sınırlamak için:
- Bölgeler arası varsayılan engel: VLAN’lar arası tüm trafiği kapalı başlatıp yalnızca gerekli portları açın.
- Mikro-segmentasyon: Aynı segment içindeki cihazların birbiriyle gereksiz konuşmasını da kısıtlayın (örneğin sunucu segmentinde yalnızca tanımlı servisler).
- Yönetim ağını ayırma: Switch, güvenlik duvarı, sunucu yönetim arayüzlerini ayrı bir yönetim VLAN’ında ve sıkı erişimli tutun.
- Loglama ve görünürlük: Bölgeler arası reddedilen trafiği kaydedin; anormal denemeler erken uyarı verir.
- Güçlü kimlik doğrulama: Yönetim erişimlerinde çok faktörlü doğrulama ve kuvvetli parola politikası.
Sıfır güven (Zero Trust) yaklaşımı tam olarak bu mantığa dayanır: ağ içinde olmak otomatik güven anlamına gelmez; her erişim doğrulanır ve sınırlandırılır.
Tipik bir KOBİ için örnek VLAN planı
Aşağıdaki tablo, küçük-orta ölçekli bir işletme için başlangıç niteliğinde bir segment planıdır. Sizin yapınıza göre VLAN numaraları ve kurallar uyarlanmalıdır.
| VLAN | Bölge | İçerik | İnternet | İç ağa erişim |
|---|---|---|---|---|
| 10 | Yönetim | Switch, FW, sunucu yönetimi | Kısıtlı | Yalnızca yöneticiler |
| 20 | Sunucu | ERP, dosya, veritabanı | Kısıtlı | Tanımlı portlar |
| 30 | Personel | Çalışan PC’leri | Açık | Sunucuya tanımlı portlar |
| 40 | VoIP | IP telefonlar | Kısıtlı | Yalnızca telefon sistemi |
| 50 | IoT | Kamera, NVR, POS | Çok kısıtlı | Varsayılan engel |
| 90 | Misafir | Ziyaretçi cihazları | Yalnızca internet | Tam engel |
Uygulama kontrol listesi
- Yönetilebilir (managed) anahtar ve VLAN destekli güvenlik duvarı mevcut mu?
- Her bölge için ayrı subnet ve VLAN tanımlandı mı?
- VLAN’lar arası trafik varsayılan engel olarak ayarlandı mı?
- Misafir ve IoT için iç ağa erişim tamamen kapatıldı mı?
- Yönetim arayüzleri ayrı VLAN’da ve MFA ile mi korunuyor?
- Reddedilen trafik loglanıp izleniyor mu?
- Yedekleme sistemleri ayrı ve korumalı bir bölgede mi?
Daha büyük ölçekli kurumlarda; gelişmiş güvenlik duvarı (NGFW), uygulama bazlı kontrol ve merkezi log yönetimi gibi katmanlar eklenmelidir. ISO 27001, KVKK veya sektörel uyumluluk eşikleri söz konusuysa, gereksinimleri güncel resmi kaynaklardan teyit ederek planınızı buna göre şekillendirmenizi öneririz.
Bu yapıyı kurumunuzda nasıl hayata geçirirsiniz?
VLAN ve segmentasyon, doğru donanım ve doğru güvenlik duvarı kuralları ile birlikte anlam kazanır. Giza Teknoloji olarak Gaziantep/Şehitkamil merkezli ekibimizle ağ tasarımı, Fortinet ve güvenlik duvarı yapılandırması ile sunucu güvenliği, donanım kurulumu ve bakım ve proje yönetimi ile iş zekası hizmetleri sunuyoruz. Aynı altyapı üzerinde ERP ve e-Dönüşüm sistemlerinizin güvenli çalışmasını da planlıyoruz: Netsis 3 ERP ve e-Dönüşüm çözümleri.
Kurumunuza özel bir segment planı çıkarmamızı ister misiniz? İletişim sayfamızdan bize ulaşabilir, telefonla 0532 599 51 12 numarasını arayabilir veya hızlıca WhatsApp üzerinden yazabilirsiniz. Daha fazla bilgi için: hakkımızda.
Sıkça Sorulan Sorular
VLAN ile alt ağ (subnet) aynı şey mi?
Hayır. VLAN, katman-2 düzeyinde trafiği mantıksal olarak ayıran bir etiketleme yöntemidir; alt ağ ise katman-3 düzeyinde bir IP adres bloğudur. Pratikte her VLAN’a genellikle bir subnet eşleştirilir, ancak ikisi farklı kavramlardır ve birlikte çalışırlar.
Küçük bir işletmenin gerçekten segmentasyona ihtiyacı var mı?
Evet. Kamera, POS ve misafir Wi-Fi’si olan küçük bir ofis bile risk altındadır. En azından misafir ve IoT cihazlarını iç ağdan ayırmak, fidye yazılımı ve veri sızıntısı riskini ciddi biçimde azaltır. Segmentasyon büyük bütçe gerektirmez; çoğu zaman mevcut yönetilebilir anahtar ve güvenlik duvarı ile uygulanabilir.
Sadece VLAN tanımlamak güvenlik için yeterli mi?
Tek başına yeterli değildir. VLAN trafiği ayırır, ancak asıl koruma VLAN’lar arasındaki yönlendirmeyi kontrol eden güvenlik duvarı kurallarıyla sağlanır. “Varsayılan engelle, gerekeni aç” ilkesi uygulanmazsa, ayrılmış VLAN’lar birbirini serbestçe görebilir ve güvenlik faydası kaybolur.
IoT cihazlarını izole etmek internet erişimlerini engeller mi?
Hayır. IoT cihazları kendi VLAN’ından yalnızca ihtiyaç duydukları hedeflere (örneğin üretici bulutuna veya yerel NVR’a) erişecek şekilde yapılandırılır. Bu sayede cihazlar normal çalışmaya devam ederken iç ağınıza doğru yetkisiz erişimleri engellenmiş olur.
Segmentasyon KVKK uyumluluğuna katkı sağlar mı?
Kişisel veri işleyen sistemleri ayrı ve erişimi kısıtlı bir bölgede tutmak, KVKK kapsamındaki veri güvenliğine ilişkin teknik tedbirleri destekler. Ancak uyumluluk yalnızca ağ tasarımıyla sağlanmaz; güncel mevzuat gereksinimlerini resmi kaynaklardan teyit ederek bütünsel bir yaklaşım benimsemenizi öneririz.