Merkeziyetsiz bir WireGuard VPN ağı kurmak

Geleneksel VPN modeli: Tek bir güven noktası

VPN koruması

Geleneksel bir VPN kurulumunda, tüm internet trafiğiniz VPN sağlayıcısı tarafından işletilen tek bir sunucu üzerinden yönlendirilir. Pratikte bu, şu anlama gelir:

• Şifreleme: Trafiğiniz, cihazınız ile VPN sunucusu arasında şifrelenir; böylece yerel dinleyiciler (İSS’ler veya halka açık Wi-Fi operatörleri gibi) ne yaptığınızı göremez.
• Kısmi anonimlik: IP adresiniz dış dünyadan gizlenir ve VPN sunucusunun IP adresi ile değiştirilir.

Geleneksel VPN’lerin Açıkları

VPN sunucusu, güçlü bir gözetim noktası haline gelebiliyor. Gerçek IP adresinizi ve trafiğinizin son hedefini görebilir. Bağlantı şifreli olsa bile, VPN sağlayıcısı hangi web sitelerini ne zaman ziyaret ettiğinizi takip edebilir. Yani temelde İSS’nize duyduğunuz güveni VPN sağlayıcınıza aktarmış oluyorsunuz.

Çoğu gerçek dünya kullanımında, örneğin web tarayıcısı kullanırken, VPN tüneli içindeki veriler uygulama katmanında HTTPS ile şifrelenir. Bu sayede VPN sağlayıcısı hangi sunucuya bağlandığınızı görebilir, ancak ziyaret ettiğiniz web sayfaları veya formlara girdiğiniz veriler gibi iletişim içeriğini göremez. Yine de sağlayıcı bağlantı meta verilerini görmeye devam eder; hedef IP’ler, alan adları, trafik miktarı ve zamanlama bilgileri hâlâ kullanıcı aktivitelerini izlemek için kullanılabilir.

Neden iki aşama? Çok aşamalı VPN

Merkeziyetsizlik sorununu azaltmak için, 2 aşamalı VPN’ler veya merkeziyetsiz VPN’ler (dVPN’ler) trafiği iki ayrı sunucu üzerinden yönlendirir: giriş node'u ve çıkış node'u. Amaç, tek bir sunucunun kimliğinizi aktivitelerinizle eşleştirememesidir.

• Giriş node'u (gateway) yani sizin IP adresinizi görür, ancak trafiğinizin nihai hedefini bilmez.
• Çıkış node'u trafiğinizin gideceği nihai hedefi görür, ancak sizin kim olduğunuzu bilmez.

Bu bölünmüş güven modeli, iki node bağımsız ve birbirleriyle işbirliği yapmayan kurumlar tarafından işletildiğinde gizliliğinizi önemli ölçüde artırır. Fakat bu büyük bir “eğer”dir. Eğer aynı şirket hem giriş hem çıkış sunucularını işletiyorsa, tüm aktivitelerinizi birbirine bağlayıp izleyebilir. Böylece tekrar merkezi bir güven sorunuyla karşılaşmış olursunuz.

WireGuard: 2 Aşamalı VPN’i Tasarlamanın Dört Yolu

Hızlı, modern ve kullanımı kolay WireGuard protokolünü kullanarak 2 aşamalı bir VPN’in nasıl kurulabileceğine bakalım. Her yöntem farklı gizlilik seviyeleri sunar.

1. Çıkış node'una tek WireGuard tüneli

Çalışma Prensibi

İstemci, WireGuard tünelini doğrudan çıkış node'u ile kurar. Giriş node'u sadece tünel şifreli paketleri iletir; şifreleme veya şifre çözme işlemi yapmaz. İstemciden giriş node'una olan bağlantı ise sistemin desteklediği herhangi bir protokol üzerinden yapılabilir; örneğin QUIC, TCP veya şifrelenmiş bir tünel gibi.

Gizlilik Açısından Değerlendirme

İstemci ile çıkış node'u arasındaki WireGuard tüneli içinde trafiğin şifrelenmiş olması nedeniyle, giriş node'u trafiğin içeriğine veya hedef IP adresine erişemez. Ayrıca istemci ile çıkış node'u arasında doğrudan bir bağlantı olmadığı için, çıkış node'u da istemcinin IP adresini öğrenmez.

Buna karşın, istemci ile çıkış node'u arasında kurulan WireGuard tüneli bir genel anahtar değişimini gerektirir. Bu durumda çıkış node'u istemcinin genel anahtarını bilir. WireGuard anahtarları varsayılan olarak uzun ömürlü olduğu için, çıkış node'u teorik olarak istemcinin aktivitelerini IP adresi değişse bile birden fazla oturum boyunca izleyip ilişkilendirebilir. Anahtar değişimi bu riski azaltabilir, ancak WireGuard bunu otomatik olarak yapmaz. Sonuç olarak, çıkış node'u istemcinin kimliğini trafiğin nihai hedefiyle ilişkilendirebilir. Bu yapı uzun vadeli kullanıcı profillemesine olanak tanıyabilir.

2. Giriş node'una tek WireGuard tüneli

Çalışma Prensibi

İstemci, WireGuard tünelini giriş node'u ile kurar. Giriş node'u trafiği çözer ve normal yollar üzerinden çıkış node'una iletir. Giriş ve çıkış node'ları arasındaki bağlantı herhangi bir taşıma protokolü ile yapılabilir, ancak bu bağlantı istemciyle kurulan WireGuard tünelinin bir parçası değildir.

Gizlilik Açısından Değerlendirme

WireGuard tüneli giriş node'unda sonlandığı için, giriş node'u istemcinin IP adresini ve hedeflediği siteyi görebilir. Çıkış node'u ise yalnızca giriş node'undan gelen trafiği görür ve bunu doğrudan orijinal istemciyle ilişkilendiremez. Ancak giriş node'u, istemcinin kimliği ve hedefi hakkında bilgi sahibi olduğundan, kullanıcı ile gittiği yer arasında ilişki kurabilir. Eğer amacınız istemci kimliği ile hedef arasındaki bağlantıyı gizlemekse, bu model bunu sağlayamaz; çünkü giriş node'u konuşmanın her iki tarafını da görebilir. Bu açıdan, gizlilik bakımından geleneksel bir VPN’den farkı yoktur.

3. Zincirlenmiş WireGuard Tünelleri (Giriş node'unda yeniden şifreleme)

Çalışma Prensibi

İstemci, giriş node'u ile bir WireGuard tüneli kurar. Giriş node'u, istemcinin trafiğini çözer ve ardından bunu yeni bir WireGuard tüneli içinde çıkış node'una yeniden şifreler. Çıkış node'u bu ikinci tüneli çözer ve trafiği nihai hedefe iletir.

Bu tasarım iki ayrı WireGuard tünelini içerir:

1. İstemciden giriş node'una bir tünel
2. Giriş node'undan çıkış node'una bir tünel

İstemci sadece ilk tünele dahil olur. İkinci tünel ise tamamen giriş ve çıkış node'ları tarafından kontrol edilir.

Gizlilik Açısından Değerlendirme

İstemcinin WireGuard tüneli giriş node'unda sonlandığı için, giriş node'u kullanıcının kimliği ve çevrim içi etkinliği hakkında tam görünürlüğe sahiptir. Kullanıcının gerçek IP adresini ve trafiğin çözümlenmiş içeriğini; hedef IP adresi ile şifrelenmemiş tüm veriler dahil olacak şekilde görebilir. Bu nedenle giriş node'u, trafiği iletmeden önce inceleyebilir, kaydedebilir ya da değiştirebilir.

Çıkış node'u ise trafiği giriş node'dan, kendisine ait ayrı bir WireGuard tüneli üzerinden alır. Bu node, asıl istemcinin IP adresini bilmez; ancak hedef IP adresini ve düz metin hâlindeki içeriği görebilir. Bu yapı, iki node kullanıldığı için tek atlamalı VPN’lere kıyasla kısmi bir gizlilik iyileştirmesi sağlar. Buna rağmen giriş node'u, hem kullanıcının kimliğini hem de erişilen hedefi görmeye devam eder. Yani trafiğin kaynağından tamamen habersiz olan yalnızca çıkış node'udur. Ayrıca, uygulama katmanı şifrelemesi (örneğin HTTPS) kullanılmadığı sürece, iletişimin içeriği her iki düğüm için de görünür durumdadır.

4. İç içe WireGuard tünelleri (NymVPN’in tünel-içinde-tünel yaklaşımı)

Çalışma Prensibi

Bu modelde istemci, biri diğerinin içinde olacak şekilde iki WireGuard tüneli kurar. İç tünel doğrudan çıkış node'una uzanır ve gerçek trafiği taşır. Dış tünel ise giriş node'una bağlanır ve bu iç tüneli tamamen sarar.

Trafik önce çıkış node'u için, ardından giriş node'u için şifrelenir. Giriş node'u yalnızca dış WireGuard tünelini açar; içteki WireGuard tüneli hâlâ bütünüyle şifreli hâlde kalır ve bu şekilde çıkış node'una iletilir. Çıkış node'u iç katmanı çözer ve trafiği son hedefe yönlendirir.

Gizlilik Açısından Değerlendirme

Bu yöntem, NymVPN’in Hızlı modunda kullanılan ve kullanıcılarla erişilen hedefler arasındaki bağın kurulmasını engellemeyi amaçlayan iç içe WireGuard tünellerine dayanır. Şimdi nasıl çalıştığına bakalım.

Giriş node'u yalnızca dış WireGuard tünelini açabildiği için, trafiğin içeriğini ya da hedef IP adresini göremez. Giriş düğümü, dış tüneli doğrudan istemciyle kurduğu için kullanıcının IP adresini görür. Ancak bunun dışında herhangi bir bilgiye erişemez; gördüğü tek şey, çıkış düğümüne gönderilmek üzere oluşturulmuş, içeriği tamamen şifreli bir WireGuard tünelidir. Bu nedenle trafiği incelemesi, üzerinde değişiklik yapması ya da hedefe dair herhangi bir bilgi edinmesi mümkün değildir.

Çıkış node'u, iç WireGuard tünelini çözer ve trafiğin gideceği son IP adresini ile çözümlenmiş veriyi görür. Ancak kendisine ulaşan tüm paketler yalnızca giriş node'undan geldiği için, trafiğin asıl kaynağı olan istemcinin IP adresini ya da kimliğini bilemez.

Bu kesin rol paylaşımı sayesinde, hiçbir node tek başına trafiğin hem kaynağını hem de hedefini bir araya getiremez. Giriş node'u kullanıcının kim olduğunu bilir, fakat hangi adrese bağlandığını bilmez. Çıkış node'u ise hedefi görür, ancak trafiğin kimden geldiği konusunda hiçbir bilgiye sahip değildir. Node'lar birbirinden bağımsız olarak işletildiği ve aralarında kayıt ya da meta veri paylaşımı olmadığı sürece, bu yapı kullanıcının kimliği ile internet üzerindeki faaliyetleri arasında güçlü bir kopukluk sağlar. Node'lardan biri ele geçirilse bile, tek başına kullanıcıyı tamamen ifşa etmesi mümkün değildir.

Bu yapıda da, doğrudan çıkış node'una tek bir WireGuard tüneli kurulan senaryoda olduğu gibi, istemcinin çıkış node'uyla açık anahtarını paylaşması gerekir. Bu nedenle, anahtarlar düzenli olarak yenilenmezse, çıkış node'u zaman içinde istemcinin WireGuard kimliği ile çevrim içi etkinliklerini ilişkilendirebilir.

Öte yandan, yalnızca çıkış node'una tek tünel kurulan sistemlerde, ek bir aktarım katmanı şifrelemesi kullanılmadığında önemli bir risk ortaya çıkar. İstemci–giriş node'u ve giriş–çıkış node'u arasındaki bağlantıları aynı anda izleyebilen bir ağ gözlemcisi, trafik kalıplarını eşleştirerek belirli kullanıcıları belirli çıkış node'larıyla ilişkilendirebilir. Bu da gizliliği zayıflatır ve trafik analizi yoluyla kullanıcıların profillenmesine kapı aralar.

Sonuç: VPN tasarımı gerçekten önemlidir

"Merkeziyetsizlik” kavramı VPN pazarlamasında sıkça kullanılır, ancak asıl gizlilik kazanımı sistemlerin ne diye adlandırıldığından değil, nasıl tasarlandığından gelir. İki atlamalı (2-hop) bir VPN mimarisi gizlilik açısından gerçekten daha iyi olabilir, ancak bunun için bazı koşulların sağlanması gerekir:

• Giriş ve çıkış node'ları, birbirleriyle iş birliği yapmayan, bağımsız taraflarca işletilmelidir
• Kullanılan protokol ve tünel yapısı, trafiğin incelenmesini ve birbirine bağlanmasını engellemelidir

Bir dVPN çözümünü değerlendirirken ya da kendiniz böyle bir sistem kurmayı düşünürken şunu akılda tutmak gerekir: Merkeziyetsizlik yalnızca daha fazla node'a sahip olmak demek değildir. Asıl mesele, güvenin öyle bir dağıtılmasıdır ki, hiçbir tekil taraf çevrim içi yaşamınızın tamamını bir araya getirip göremesin.