Türkiye’de internet için kara bulutlar etrafta; bir yandan engellenen site ve URL’ler, diğer yandan fiber yatırım yapılmasının engellenmesi ve şimdi de VPN konusundaki yavaşlatmalar… Evet bu saç ayağının bir bacağı, VPN yavaşlatma… Türkiye’deki sabit şebekeler üzerinden yaptığımız testlerde OpenVPN bağlantılarında UDP port 1194’te % 75’e kadar yavaşlatma tespit ettik. TCP 443 HTTPS portu ise % 50’ye kadar yavaşlatılıyor.
Gerçi bu dünyada başka amaçlarla da yapılıyor; örneğin, “SSL ve şu IP’lere gelen trafiği, oturum başına 1 MB ile ve aylık toplamda 100 MB ile sınırla” şeklindeki tanımlamalar, dünyada rekabet ya da adil kullanım türü uygulamalarda da var.
Ama yaptığımız testler Türkiye’deki durumda, bunların dışında yani interneti engelleme, vazgeçirme şeklinde bir uygulamaya işaret ediyor gibi. Çünkü yukarıda da bahsettiğimiz gibi, 443 SSL portuna gelenler, “kullanıcı deneyimi ile terbiye edilmiş” hale geliyor ve VPN’leri terketmeye başlıyor.
Yaptığımız çeşitli testlere göre, tam tünel özelliği olan VPN’ler yavaşlatmadan etkilenmiyor. Kullanıcıların internette VPN ile maksimum hız alması için UDP portunu değiştirmesi ve lokal port olarak rastgele bir numara seçmesi gerekiyor. Buna ek olarak, VPN’i Stunnel gibi bir SSL katmanına veya SSH katmanına sarmak gerekiyor. Tam tünel VPN hizmetleri bu ayarları hazır olarak sunuyor ve kullanıcının alternatif portlarla bağlanmasına izin veriyor.
Sansürü aşmak
Artık çoğumuzun öğrendiği üzere, VPN hizmetleri internet bağlantısını şifreleyerek, başkaları tarafından gözetlemeyi ve daha da önemlisi sansürü önlüyor. Ancak, OpenVPN’de kullanılan SSL şifreleme yöntemi, HTTPS güvenli internet sayfalarında kullanılan standart SSL şifrelemeden biraz farklı. Bu yüzden telekom hizmeti veren şirketler kullanıcının OpenVPN kullandığını anlayabiliyor.
Yaptığımız testlerde port ayarlarını ve kullandığımız VPN hizmetini tek tek değiştirerek, standart VPN bağlantısı ile tam tünel VPN seçeneklerini test ettik. Tam tünel VPN’ler UDP 1194 portu üzerinden VPN yavaşlatmasını kısmen aşmamızı sağladı ama bu yeterli değildi. Ancak lokal portu ve UDP portunu değiştirdikten sonra yavaşlatmayı tümüyle aşarak, çıplak internet bağlantısından bile daha yüksek hızlara eriştik.
Bunun sebebi Türkiye’de URL tabanlı engelleme yapmak için interneti gözetleme ve sansürleme sistemlerinin kurulmuş olması. Bu sistemler interneti zaten yavaşlatıyor. Üstüne bir de VPN yavaşlatma eklenince, internetin yoğun kullanıldığı akşam saatlerinde OpenVPN bağlantısı 520 Kbps’ye kadar düşüyor! Tahmin edebileceğiniz gibi bu da Youtube videolarını izleminizi engelliyor.
Aşağıda, sıradan VPN, OpenVPN ve Tam Tünel VPN testlerden birer örnek göreceksiniz.
Sıradan VPN
OPEN VPN Testi
Tam Tünel VPN Testi
VPN yavaşlatma yukarıda da not ettiğimiz gibi ABD’deki telekom operatörleri tarafından da kullanılıyor. Bu yavaşlatma özellikle Hulu ve Netflix gibi İnternet TV (IPTV) hizmetlere yurt dışından ABD’nin IP adresleriyle bağlanmak için VPN kullananları engellemek üzere yapılıyor. Amaç, bir filmin TV’de gösterime girmediği ülkelerde VPN kullanan kişilerin sanki Amerika’da oturuyormuş gibi film izlemesini engellemek.
Neden engelleme değil de yavaşlatma?
Güzel soru; biliyorsunuz tam engelleme ile birlikte hem yurtiçinden, hem de yurtdışından sesler yükseliyor. Ama zaten yıllardan beri kendilerine verilen internet hızlarını sorgulamayan, ses çıkarmayan, her zorluğa katlanan internet kullanıcıları, bu tür bir durumda çok ses çıkarmayacaktır diye düşünülüyor sanırız.
Diğer yandan Anayasa Mahkemesi (AYM) Türkiye’de platform erişimini yasaklamanın, yani bir hizmete erişimi tümüyle engellemenin yasa dışı olduğuna karar verdi. Anayasa Mahkemesi bu konudaki bireysel başvuruları değerlendirerek Twitter ve Youtube engellemelerini bu şekilde yorumlayarak kaldırdı.
Kısacası VPN engelleme yapılırsa, Türk Vatandaşları bunu “AYM kararlarına aykırı olduğu” gerekçesiyle bireysel başvuru üzerinden AYM’ye taşıyabilirler (nitekim 2 akademisyen Twitter ve YouTube için başvurmuşlardı). AYM özellikle mahkeme kararlarının uygulanmadığı durumlarda, bireysel başvuru için iç hukuk yollarının tüketilmesini beklemeye gerek olmadığına hükmetti.
Tabi bir de işin kurumsal yönü var; VPN hizmetleri Türkiye’deki bankaların ortakları olan yabancı bankalar gibi uluslararası sermaye ve şirketler tarafından kullanılıyor. Bütün VPN hizmetlerinin IP adreslerinin engellenmesi, yabancı sermayenin Türkiye’den kaçmasına yol açabilir (kaldı ki vatandaşın kullandığı bazı VPN hizmetlerine ait web sitelerinin erişime engellendiğini görüyoruz. VPN sunucularının IP adreslerini engellemeseler bile sitelere erişimi engelleyerek vatandaşa mani olmaya çalışıyorlar).
Ama zaten kurumsal firmalar, en büyükler kendi özel VPN hizmetlerini kullanıyor, OpenVPN kullanmıyor. Bu nedenle sıradan kullanıcıların en çok rağbet ettiği açık kaynak OpenVPN hizmetini yavaşlatmak kurumsal kullanıcıları zora sokmuyor. Küçük ölçekli işletmeler ise tam tünel VPN ayarlarıyla bu engeli zaten aşıyorlar.
Olan vatandaşa (bireysel kullanıcılara) oluyor ki, sansürün amacı zaten haberin bilinçli insanlara değil, öncelikle bilmeyen geniş kitleye ulaşmasını engellemek diye düşünüyoruz.
Son olarak, tüm VPN hizmetlerini engellemek devlet daireleri ve bankaların da çalışamaz hale gelmesi anlamına gelir. VPN hizmetleri banka şubelerinin iletişiminde kullanılıyor. Güvenli internet erişimi internet bankacılığında kullanılıyor. Aynı şey devlet daireleri için de geçerli.
TCP portunun daha az yavaşlatılmasının bir sebebi de bu portun aynı zamanda standart HTTPS trafiği için kullanılması. Zaten meşgul olan bu portun bağlantısı yavaş, üstüne maksimum yavaşlatma uygulansa internet bankacılığı gibi hizmetler aşırı yavaşlayarak zora girerdi.
Tam tünel VPN nedir?
Tam tünel VPN (full tunnel VPN), VPN bağlantısının kendisini de şifreleyen bir VPN hizmetidir. Kullanıcılar VPN ile internet bağlantılarını şifreliyor. Tam tünel VPN ise hem kullanıcının DNS sorgularını, yani internet adresi sorgularını şifreliyor hem de VPN bağlantısını şifreleyerek, sansürcü sistemin kullanıcının VPN ile bağlandığını görmesini engelliyor.
Bunun için SSH veya SSL şifreleme katmanları kullanılıyor. Örneğin, Stunnel programı ile şifrelenen bir OpenVPN bağlantısı Çin’deki Büyük Güvenlik Seddi’ni bile yavaşlasa da aşıyor. Piyasada bu hizmetleri veren gelişmiş VPN firmaları var. Hem UDP ve TCP bağlantısı için çok sayıda farklı port kullanmanızı sağlıyorlar hem de VPN’i şifreleyerek sizi koruyorlar. Kullanıcılara bu tür VPN hizmetlerini tercih etmelerini veya yurt dışından sunucu kiralayarak kendi ayarlarını yapmalarını öneriyoruz.
Ayrıca, Türkiye’de DNS sunucuları sürekli olarak “araya giren adam” saldırısı düzenleyerek vatandaşın yurt dışındaki özgür DNS sucularını kullanmasını engelliyor. Buna DNS gaspı (DNS hijacking) diyoruz. Şansımıza tam tünel VPN kullanmadan bile bu engeli aşmanın bir yolu var:
DNScrypt proxy yazılımını bilgisayara kurarak DNS sorgularınızı da VPN gibi şifreleyebilir ve böylece telekom şirketine ait DNS sunucularının sizi gözetlemek için araya girmesini engelleyerek güvenli internet kullanabilirsiniz (Windows için sınırlı özelliklere sahip bir istemci seçeneği de mevcut). VPN’e alternatif olarak TOR web tarayıcısını kullanabilirsiniz. TOR’u tam tünel VPN üzerinden kullanarak kendinizi daha iyi koruyabilirsiniz.