İnternet Erişim Engelleri Nasıl Aşılır?

Internet sitelerine erişimin sıkça engellenebildiği bir ülkede yaşıyoruz. Çeşitli yöntemlerle erişim engellemesi yapılabiliyor. Bu yazıda engelleme yöntemlerini inceleyecek, yapılabilecekleri ele alacağız.

DNS ENGELİ

Konuya bilgisayarımızdaki web tarayıcıyı açtıktan sonra bir web sitesinin adını yazıp enter’a bastığımızda neler olduğundan bahsederek başlayalım.

Öncelikle web tarayıcımızın bağlanmak istediğimiz web sitesinin adına karşılık gelen numarayı bir şekilde öğrenmesi gerekiyor. Çünkü bilgisayarlar bağlantıları isim üzerinden değil, numaralar üzerinden yapıyorlar.

Bunun için web sitelerinin adına karşılık gelen numaraları alabileceğimiz DNS (Domain Name Server) sistemi geliştirilmiş. www.microsoft.com yerine 2.21.41.70 şeklinde olan IP numaralarını hatırlamak aşırı zor olacağı için DNS sistemi geliştirilmiş durumda. Bilgisayarımız önce bir DNS sunucuya bağlanmak istediğimiz web sitesinin adını gönderiyor, DNS sunucusu da o web sitesinin numarasını cevap olarak bize geri gönderiyor. Bu numaraya IP adresi deniliyor.

Sonrasında web tarayıcımız DNS sunucusundan aldığı IP adresinin tanımlı olduğu web sunucusuna bağlantı kurabiliyor.

DNS sorgulaması ve bağlantı kurma aşamalarını Synology adlı firma basit bir şekilde şematik olarak açıklamış. Bilgisayarımızda www.synology.com yazdığımız zaman ilk olarak lokal DNS sunucusuna IP adresi soruluyor, lokal DNS sunucusu bunu bilmiyorsa diğer DNS sunucularına soruyor, sonunda IP adresi bulunup alındıktan sonra bilgisayarımız www.synlology.com sitesine bu numara üzerinden iletişim kuruyor.

Image result for dns name resolve web site

Bir web sitesinin IP adresi DNS sunucu üzerinden alınamazsa veya doğru alınamazsa bağlantı kurulamıyor, ulaşmak istediğimiz web sitesi açılamıyor.

Hükümetlerin ülke içindeki DNS sunucuları üzerinden bu kayıtların kaldırılmasını istemesi mümkün. Bloklama yöntemlerinden en basiti, engellenmek istenen web sitelerinin DNS sunucularındaki kaldırmak. Böylece, web tarayıcımızın sorduğu web sitesi adı için bir IP adresi alınamıyor, web tarayıcımız da bağlantı sağlayamıyor.

Ya da bloklanmak istenen bir site için, örneğin www.wikipedia.com yazıp enterladığımızda, DNS sunucuları bize wikipedia’nın IP adresini vereceği yerde, “Bu site engellenmiştir” yazan bir web sunucusunun IP adresini verebiliyor. (Evet, DNS sunucuları üzerindeki kayıtlarda farklı IP adresi tanımlanırsa, web tarayıcımız o farklı siteye yönlenmiş olur.)

Not: Dünyada çok fazla sayıda DNS sunucusu var. Peki bizim internet tarayıcımız / bilgisayarımız / telefonumuz hangi DNS sunucuyu kullanıyor? Normalde kendi dizüzstü bilgisayarımızdan, tabletimizden yada cep telefonumuzdan evdeki ya da bir kafedeki kablosuz modeme bağlandığımız sırada, kablosuz modem üzerinde kurulum yapıldığı zaman tanımlanmış olan DNS sunucu bilgileri kendi cihazımıza otomatik olarak aktarılıyor. Bu aşamadan sonra cihazımızdan yapılan tüm DNS sorgulamaları bu DNS sunucusu üzerinden geçiyor. Bu DNS sunucusu genelde o bölgede hizmet sağlayan Internet Servis Sağlayıcısına ait oluyor.

Örneğin evdeki bilgisayarınızdan açmak istediğiniz her web sitesinin adresi, Türk Telekom DNS sunucularına soruluyor. Türk Telekom DNS sunucuları cevap verdiğinde, bağlantıyı kurabiliyorsunuz. Yasaklı olan siteler için cevap alamadığınızda ise bağlantıyı kuramıyorsunuz.

Bu arada ek bilgi; Açmak istediğimiz her web sitesini Türk Telekom DNS sunucularına sorduğumuzda, kimin nereye ne zaman, nereden bağlantı kurmak istediği otomatik olarak kayıt altına alınmış oluyor. “Neden girdiğim her siteyi kayıt altına alsınlar ki” diye düşünebilirsiniz. Haklısınız. Ama bu zorunlu. Hükümet kimin nereye ne zaman bağlantı kurduğu bilgisini takip etmek istiyor ve bu 5651 sayılı yasa ile zorunlu tutulmuş. Çoğu internet kullanıcısının DNS sunucuların varlığından, DNS sunucuda saklanan işlem kayıtlarından haberi bile yok. Fakat 5651 sayılı yasa gereği İnternet servis sağlayıcılar en az 2 yıl süreyle herkesin işlem kayıtlarını(nereye bağlandıklarını) saklamaları gerekiyor.

Hem her ziyaret ettiğiniz her sitenin kayıdının isminizle birlikte tutulmasını istemeyebilir, hem de DNS istediğiniz siteye olan engeli aşmak isteyebilirsiniz.

Bu durumda eğer bir DNS sunucu engellemesi yapılmışsa akla gelen çözüm, Türk Telekom DNS sunucuları yerine farklı DNS sunucusu kullanmak olacaktır.

Farklı DNS sunucusu kullanmak için bilgisayarımızda bağlantı yaptığımız bilgisayar ağı adaptörü (network adapter) ayarlarında, DNS sunucuyu otomatik al kısmını değiştirerek bunun nasıl olacağını kendimizin belirlemesi gerekiyor.

Buradan TCP/IP ayarlarına, özelliklerine girdiğimizde, DNS ayarlarını görebileceğiz.

Burada Obtain DNS server address automatically kısmını değiştirerek, Birincil ve İkincil(yedek) DNS sunucularını kendimiz belirleyebiliriz. Ör:

İlk kutuya Asya-Pasifik bölgesine ait APNIC organizasyonunun, ikinci kutuya da Google’ın tüm dünya kullanımına açık ve engellemeleri olmayan DNS sunucusunun IP numaralarını yazdık. Bu iki DNS sunucusunda da bir engelleme bulunmuyor, DNS kayıdı yapılmış domain adları için sistem cevap veriyor. Bunlar gibi daha bir çok DNS sunucusu adresi mevcut.

Artık www.wikipedia.org yazdığımızda bilgisayarımız bunun IP adresini öncelikle Google DNS sunucusuna soracak, Google Wikipedia’yı bloklamadığı için IP adresini alabileceğiz.

Engelleme sadece DNS sunucuları üzerinden yapılmışsa, başka bir engelleme yöntemi uygulanmıyorsa bağlantı sağlanacaktır.

Not: Türk Telekom bir ara DNS zehirleme yöntemini de uyguladı. Şöyle; DNS Sunucu olarak tanımladığımız Google’a ait olan 8.8.8.8 IP adresine ulaşmak istediğimizde Türk Telekom kimseye çaktırmadan araya girip bu IP adresini kendi DNS sunucularına yönlendirdi. Diğer bir deyişle, biz 8.8.8.8 adresi yazdığımızdan dolayı Google DNS’ini kullanıyoruz diye düşünürken aslında Türk Telekom DNS sunucusu üzerinden cevap almaya(engelli siteler için alamamaya) başlamıştık. Türk Telekom’un bu operasyonu ne kadar etikti bilemiyorum. Bir Internet hizmeti veren bir bilgisayara ulaşmak istediğinizde, başkası size çaktırmadan araya giriyor ulaşmak istediğiniz bilgisayar yerine kendisi cevap veriyor, trafiğinizi dinliyor, kaydediyor vs…

Bu durumda yapılabilecekler ya VPN kullanmak ya da başka DNS sunuculara ait IP adreslerini kullanmak oluyor. En net çözüm VPN kullanımı, bunu da birazdan anlatıyor olacağız.

DNS Konusuna Devam

DNS konusunun uzadığının farkındayım ama bunu kapatmadan önce son olarak değinmek istediğim birşey daha var: DNS over HTTPS.

Normalde, fi tarihinde(1987) tasarımsal olarak öyle yapıldığı için, DNS sorgulamalarımız DNS sunucularına plain text (serbest metin) olarak iletiliyor. Yani, bilgisayarımızda DNS Sunucumuzu Google’ın sunucusu yapsak bile, “bana şu sitenin IP numarasını ver” şeklindeki bir DNS sorgulamamız; ADSL modemimizden Türk Telekom sistemlerine çıktıktan ve bunların üzerinden geçerken, sonra da kimbilir nerelerden yol bulup taa Google’ın sunucularına kadar giderken üzerinden geçtiği her sistem tarafından içeriği okunabilecek şekilde iletiliyor.

İçerik filtrelemesi yapabilen sistemler DNS sorgulamalarınızı okuyabiliyor, kayıt altına alabiliyor ve erişim engeli uygulanan bir site ise Google’a gitmesi gereken sorgulamanızın yolunu kesebiliyor (BLOCK veya REJECT)

“Hangi internet sitesini sorguladığınız Google’a veya seçtiğiniz DNS sunucusuna gidene kadar internet trafiğinizin üzerinden geçtiği sistemler tarafından bilinmesin, kayıt altına almasın veya engelleyemesin” diye düşünüyorsanız, çözüm DNS Over HTTPS. Yani DNS sorgulamalarınızın şifreli şekilde yapılması.

İşletim sistemlerinde yukarı kısımda anlatılan şekilde yapılan DNS ayarlarında henüz DNS over HTTPS özelliği bulunmasa da, kullandığımız İnternet tarayıcılarını DNS over HTTPS kullanacak şekilde ayarlayabilir durumdayız. Örneğin Firefox web tarayıcısı bu özelliği eklemiş durumda: Ayarlar, Genel, Bağlantı Seçenekleri dedikten sonra, DNS over HTTPS özelliğini aktive edebiliyoruz.

Not: DNS over HTTPS kavramı yeni bir özellik. Örneğin Google bunu Haziran 2019’da aktive etmiş. Bundan dolayı her DNS sunucu DNS over HTTPS desteklemiyor. Yukarıda IP adreslerini belirttiğimiz DNS sunucularında bu destek var.

Gerçekten çalışıp çalışmadığını görmek için Cloudflare sistemleri üzerinden kontrol edebiliriz. https://www.cloudflare.com/ssl/encrypted-sni/ adresini girip “Check My Browser” diyip enterladığınızda “Secure DNS” kısmı yeşil görünüyorsa artık DNS sorgulamalarınız şifreli olarak iletiliyor demektir:

Bu aşamadan sonra Firefox ile DNS sorgulamaları hem kem gözlerden uzak, hem bloklanamaz durumda.

Bu kontrol alternatif olarak https://1.1.1.1/help adresi üzerinden de yapılabilir.

Google Chrome web tarayıcısı için de, Opera web tarayıcısı için de bu özellik henüz çok ön planda değil. Bu özelliğin olduğu yere ulaşmak için web sayfası adını yazdığımız alana: chrome://flags/#dns-over-https yazıp enterladıktan sonra “Secure DNS lookups” için Enabled diye seçiyoruz.

Olup olmadığını yine https://www.cloudflare.com/ssl/encrypted-sni/ adresinden kontrol edebiliriz. Secure DNS kullanımı aktif olmuşsa bu alanı yeşil renkte görmemiz gerekiyor.

Engelleme olsun olmasın, Web tarayıcınızı ve DNS ayarlarınızı bu şekilde ayarlamanızı tavsiye ederim.

Edit: 25 Şubat 2020 tarihinde Firefox DNS over HTTPS özelliğini default(varsayılan) ayar olarak kullanmaya başladığını duyurdu.

IP ADRESİ ENGELİ

DNS sunucusu ayarlarını değiştirmenin yetmediği durumlar da oluyor. Karşı tarafın IP adresini DNS sunucudan alabilmemize rağmen, bu IP adresine erişim engeli getirilmiş olabilir. Yani cep telefonunuzdan bir numarayı aramanızın cep telefonu operatörü tarafından yasaklanması gibi bir engelleme yapılabiliyor. Bu durumda izlenebilecek yöntem, ulaşmak istediğiniz web sitesine direk erişim sağlamak yerine, indirek erişim sağlamak.

Gerçek hayattan örnek verebiliriz, mantık şuna benziyor. Örneğin Mehmet ile konuşmanız yasak. Bu durumda Ali diye bir arkadaşınızdan yardım alıyorsunuz. Mehmet’e söyleyeceğinizi Ali’ye diyorsunuz, o da Mehmet’e iletiyor. Mehmet cevabını Ali’ye söylüyor, Ali de size iletiyor. Ali sayesinde artık Mehmet ile konuşabiliyorsunuz. Ali’ye güveniyorsanız bu yöntemde bir sorun yok. Gerçek hayatta bu yöntem zaman alabilir ama bilgisayar dünyasında arada extradan bir iletişim noktası daha olması hissedilecek bir yavaşlık değil.

VPN(Virtual Private Network) sunucuları bu işe yarıyor. Siz bir web sitesine ulaşamıyorsunuz çünkü Türkiye’den o web sitesine erişim IP numarası üzerinden engellenmiş diyelim. Bu durumda önce başka bir ülkede herhangi bir İnternet erişim engeli olmayan bir VPN sunucuya bağlanıyorsunuz, o VPN sunucudan da ulaşmak istediğiniz web sitesine ulaşıyorsunuz.

Şematik olarak şöyle:

VPN sunucu ile kendi bilgisayarınız arasındaki trafik şifreli olduğu için Türkiye’deki internet servis sağlayıcınızın sizin internet trafiğinizi izleme, nereye bağlandığınızı takip etme ya da içeriğini görme şansı yok. Örneğin yukarıdaki şemadaki web sunucusu Hollanda’da olabilir. Bu durumda Türkiyedeki internet servis sağlayıcınız, örneğin Türk Telekom, sadece Hollanda’daki bir bilgisayara bağlı olduğunuzu görebilir ve ne miktarda veri aktarmışsınız onu görebilir. Sadece bu kadar. Bunu da anlamlandıramaz.

VPN kullanabilmenin çeşitli yöntemleri var. Örneğin en basitinden Opera web tarayıcısının kendi içinde kurulu gelen, ücretsiz olan VPN desteğini kullanabiliriz. Opera tarayıcısını çekip kurduktan sonra tarayıcımızı açıyoruz ve sol üst köşedeki Menü butonuna tıklıyoruz. Açılan menü listesinden Settings (Ayarlar) menüsüne tıklıyoruz.

Açılan sayfada sol taraftaki menülerden Privacy & security (Gizlilik ve güvenlik) menüsüne tıklıyoruz.

Açılan sayfada VPN başlığı altında bulunan Enable VPN (VPN’i etkinleştir) kutucuğunu seçerek VPN özelliğini etkinleştiriyoruz. Bunu yaptıktan sonra adres çubuğunda  VPN kontrol menüsünün çıktığını göreceksiniz.

VPN kontrol menüsünden On yaptıktan sonra mavi renge dönüşmesi artık VPN’i kullanmakta olduğunuzu gösteriyor. Yine de belki erişim sorunu olabilir diye, VPN lokasyonu olarak Asya, Avrupa, Amerika gibi bölgeleri tercihe göre değiştirme imkanı sağlamışlar.

Opera web tarayıcısının VPN erişimi yavaşlığını biraz hissettirse de işini yapıyor.

VPN ENGELİ

Çin, internet trafiğinde VPN kullanıldığını anladığı an erişimi kesiyor. Türkiye henüz Çin seviyesinde bir bloklama yapmıyor. Belki de yapılmak isteniyor ama tam olarak uygulanamıyor. Bir yerde sorunsuz/kesintisiz/çok hızlı çalışan VPN erişiminin (aynı bilgisayarla) başka yerde çalışmadığını gördüm. Ayrıca yakın zamanda Türk Telekom, şirketin kullandığı bir hat üzerindeki VPN trafiğini engelledi. Kısa süre sonra bu engellemeyi kaldırdı fakat bu sırada şirketin şubeleri arası bağlantısı kesildi ve zor durumda kalındı.

Bu engelleme sırasında çözüm olarak, bu trafiği dışarıdan bakıldığında ne olduğu anlaşılamayan bir biçime dönüştürünce (OpenVPN XOR kullanımı) yapılan engellemenin bir işe yaramadığı görüldü. (Ya da Stunnel kullanımı bir başka çözüm olabilir, bu şekilde dışarıdan bakıldığında da VPN değil de sanki bir web sitesi trafiği varmış gibi görülüyor)

Kısacası VPN sunucu kullanımı engellenmek istendiğinde bunun için de çözümler bulunuyor.

TOR WEB TARAYICISI

Bir başka alternatif Tor web tarayıcısı kullanmak. torproject.org bloklu olduğu için normalde açılamayan, erişimi engellenmiş bir web sitesi. Mevcut durumda Google Chrome ile bu siteyi açamıyoruz.

Google Chrome ile şu an açılmayan tor sitesi, az önce Opera web tarayıcımızda aktif ettiğimiz VPN sayesinde açabilir durumda:

Tor web tarayıcısının download sayfasında yazdığı gibi, konu sadece erişim engeli değil. Yapılan bağlantıların, internet kullanımının yerel internet sağlayıcılar tarafından izlenme ve kayıt altına alınma durumunu da ortadan kaldırıyor.

Hangi işletim sistemini kullanıyorsak ona uygun olanını seçiyoruz. Download diyerek indirelim ve kuralım. Tor da bir nevi VPN mantığında çalışıyor ama biraz daha farklı. Tor web tarayıcısı, kendi bilgisayarını tor sunucusu olarak kullanıma açan insanların bilgisayarlarından internete çıkmanızı sağlıyor. Bir kaç farklı bilgisayardan geçtikten sonra en son bağlantı kurulacak web sitesine ulaşılıyor. Bilgisayarlar arası kurulan bağlantılar o an rastgele belirleniyor. Bağlantılar yine şifreli. Örneğin Tor web tarayıcısını açıp internete çıktığınızda, önce Finlandiyadaki birisinin bilgisayarı üzerine bağlantı kurup, oradan da Singapurdaki birinin bilgisayarı üzerinden geçip, sonra Wikipedia’ya bağlantı kurulmuş oluyor.

Şematik olarak bakarsak en soldaki sizin Türkiye’deki bilgisayarınız. Sonrakiler rastgele o sırada belirlenen ve dünyanın farklı bölgelerinde/ülkelerinde olan bilgisayarlar üzerinden geçiyor ve en sağdaki sunucuya, belki www.sozcu.com.tr ‘ye bağlanıyorsunuz. Her seferinde farklı ülkelerdeki farklı bilgisayarlardan geçerek şifreli yapılan bu trafiği takip etmek nerdeyse imkansız.

Ayrıca Tor web tarayıcısını kurulum yapmadan kullanma şansınız var. Tor web tarayıcısını bir usb bellekte yanınızda taşırsanız, size program kurması yasak olan bir bilgisayar verildiğinde (eğer usb belleği takıp kullanabiliyorsanız), o bölgedeki internet erişim engeli çok sıkı bile olsa, hem işlem yapabilme hem de internet aktivitenizi gizleme yeteneğine sahip oluyorsunuz.

VPS (Virtual Private Server) SUNUCU üzerinden VPN KULLANIMI

Başka bir alternatif olarak, ayda 5$ vererek kendinize bir VPS sunucu kiralayabilirsiniz. Bunun üzerine de kendi VPN sunucu programınızı kurarsınız. Bu biraz destek gerektirebilecek ya da üzerinde çalışmanızı gerektirecek bir seçenek. Fakat internette nasıl bir sunucu kiralanır, bunun üzerine nasıl VPN sunucu programı kurulur anlatılan bir çok yazı var. Aşama aşama takip edilerek , biraz zaman ayrılarak yapılabilir. Sonrasında bilgisayarınızdan, cep telefonunuzdan bu VPN sunucuya bağlanıp ve tüm internet trafiğini bu sunucuya yönlendirebilirsiniz.

Not: Kurulum gerektirmeyen, VPN servisi sağlayan yurt dışı kaynaklı şirketler de var. Fakat bu şirketlerin VPN hizmetlerine, IP adreslerine erişim sık sık engellenebiliyor ve bir çoğu engelli. Bundan dolayı Opera web tarayıcısı veya Tor web tarayıcısı ihtiyacı karşılamıyorsa, kendinize sanal sunucu kiralamak en güzel çözüm oluyor.

Ne gerek var bunlarla uğraşmaya bilemiyorum ama sürekli izleniyor ve kayıt altına alınıyor durumunda hissetmemek için bile bunlar yapılabilir. Çok yakın zamana kadar devrede olan, 2.5 yıl süren Wikipedia engeli gibi, iki gün sonra nerelerin bloklanacağı belli değil.

Kısacası internete çıkış olduktan sonra engelleri aşmak için alternatifler çok. Hükümetlerin engelleme çabaları ne kadar fazla olursa olsun, engelleri aşmanın yolları da o kadar çeşitli. Her ne kadar “oraya giremezsin bunu açamazsın” tarzında yasaklamalar olsa da, “bana IP numaranı söyle, sana kim olduğunu söyliyim” şeklinde yaptığınız her bağlantının izlenebildiği ve kayıt altına alınabildiği bir dönemde olsak bile, istenildiğinde bunları aşmanın yolları da bulunuyor.