Web Filtreleme ve URL Kontrolü: KOBİ Ofisi İçin Politika
Özet: KOBİ ofisinde web filtreleme politikası tasarımı, URL kategori yönetimi, çalışan üretkenliği ile güvenlik dengesi ve KVKK uyumu.
Özet: KOBİ ofisinde web filtreleme; sadece "sosyal medyayı engelle" demekten ibaret değildir. Doğru bir politika hem güvenlik (zararlı alan, phishing, malware drive-by, ransomware C2) hem üretkenlik (mesai saatlerinde uygunsuz içerik) hem yasal yükümlülük (5651 logger, KVKK aydınlatma) boyutlarını birlikte kurar. Filtreleme yöntemi DNS seviyesinde, proxy üzerinden veya next-gen firewall ile yapılabilir; kategori bazlı politika, departmana göre özelleştirme ve istisna yönetimi sürekli bakım gerektirir.
Bir ofiste web filtresi olmadığında çalışanlar sosyal medyada saatler harcar; ama bu en küçük problem. Asıl risk: bir çalışanın açtığı zararlı reklam (malvertising) ofis ağına ransomware indirmesi, veya phishing e-postasındaki linke tıklayıp banka şifresini sahte sayfaya girmesi. Web filtresi olmayan ortamda EDR, firewall ve diğer savunma katmanları tek başına yetmez — saldırının başlangıç noktası kullanıcının tarayıcısıdır.
Bu yazıda KOBİ ölçeğinde web filtreleme politikası tasarımını, çözüm seçimini ve operasyonel yönetimini ele alıyoruz. Hedef kitlemiz IT sorumluları, ofis yöneticileri ve çalışan üretkenliğini güvenlikle birlikte yönetmek isteyen karar vericiler.
Web Filtrelemenin Üç Boyutu
Filtreleme politikası tasarımında üç farklı amaç dengelenir.
1. Güvenlik
- Zararlı alan adları (malware, phishing, ransomware C2)
- Drive-by download tehlikesi olan siteler
- Komuta-kontrol (C2) sunucu listeleri
- Sızdırılmış kurumsal veri tespit kategorileri
2. Üretkenlik
- Sosyal medya (mesai saatlerinde)
- Video streaming (bant genişliği yorucu)
- Oyun, bahis siteleri
- Alışveriş, dating
3. Yasal Uyum
- 5651 sayılı kanun erişim kayıtları
- KVKK aydınlatma metni (filtreleme yapılıyor bilgisi)
- Yasaklı içerik (ulusal regülasyon)
- Uyumsuz hizmetlere erişim engeli (lisanssız yazılım)
Üçü dengeli kurulduğunda filtre hem korur hem kabul edilebilir bir kullanıcı deneyimi sunar.
Filtreleme Yöntemleri
Üç temel teknik yaklaşım vardır:
DNS Tabanlı Filtreleme
DNS sorgu seviyesinde zararlı veya istenmeyen alan engellenir.
| Avantaj | Dezavantaj |
|---|---|
| Hızlı kurulum (DNS değiştirme yeterli) | Sadece alan adı bazlı, URL yolu görmez |
| Tüm cihazlara etki (mobil dahil) | DoH/DoT ile bypass edilebilir |
| Düşük maliyet | HTTPS içine bakmaz |
| Şeffaf — kullanıcı yapılandırma yapmaz | Sadece "evet/hayır" kararı |
Yaygın çözümler: Cisco Umbrella, Quad9, NextDNS, Cloudflare Gateway, AdGuard.
HTTP/HTTPS Proxy
Tüm tarayıcı trafiği proxy üzerinden geçer; HTTPS inspection ile şifreli trafik bile incelenir.
| Avantaj | Dezavantaj |
|---|---|
| URL yolu, sayfa içeriği seviye filtre | Kullanıcı deneyiminde yavaşlama olabilir |
| HTTPS inspection ile derinlik | Sertifika yönetimi karmaşık |
| Üretkenlik filtresi detaylı | Yapılandırma uzun |
| Kategori + zaman bazlı kurallar | Bazı uygulamalar uyumsuz olur |
Yaygın çözümler: Squid (açık kaynak), Sophos, Forcepoint, Trend Micro IWSVA.
Next-Gen Firewall (NGFW)
Modern firewall'lar L7 (uygulama katmanı) inspection ile web trafiği filtreler.
| Avantaj | Dezavantaj |
|---|---|
| Tek cihazda firewall + filtre | Lisans maliyeti |
| Uygulama farkındalığı (Facebook, YouTube vs.) | NGFW kapasite sınırı |
| Zaman bazlı kategori | Konfigürasyon karmaşık |
| KVKK loglama entegre | Yedeklilik için ikinci NGFW şart |
Yaygın çözümler: FortiGate (FortiGuard), Palo Alto Networks, Sophos XG, Cisco Firepower.
Kategori Bazlı Politika Tasarımı
Modern filtre çözümleri yüzlerce kategoriye ayrılmış URL veritabanı sunar. KOBİ için tipik politika:
| Kategori | Genel Çalışan | Yönetici | IT/Geliştirici |
|---|---|---|---|
| Malware / phishing | ❌ | ❌ | ❌ |
| Yetişkin içerik | ❌ | ❌ | ❌ |
| Bahis / kumar | ❌ | ❌ | ❌ |
| Şiddet / nefret | ❌ | ❌ | ❌ |
| Sosyal medya | ⚠️ Mola saatleri | ✓ | ✓ |
| Streaming video | ⚠️ Sınırlı | ✓ | ✓ |
| Alışveriş | ⚠️ Sınırlı | ✓ | ✓ |
| Haber / blog | ✓ | ✓ | ✓ |
| Eğitim / referans | ✓ | ✓ | ✓ |
| File sharing | ⚠️ Onaylı sağlayıcı | ✓ | ✓ |
| Anonim proxy / VPN | ❌ | ❌ | Sınırlı |
| Kripto madencilik | ❌ | ❌ | ❌ |
| Bilinmeyen / yeni alan | ⚠️ Onay sonrası | ⚠️ | ⚠️ |
Departmana Göre Özelleştirme
- Pazarlama: Sosyal medya açık (iş gereği)
- Satış: LinkedIn, CRM araçları açık
- Geliştirici: GitHub, Stack Overflow, paket dağıtımcıları (PyPI, npm) açık
- İK: İş ilanı siteleri açık
- Muhasebe: Banka portalları, mali siteler açık
Aynı şirketteki herkes için tek politika yerine departman + role bazlı özelleştirme ideal.
Zaman Bazlı Kurallar
Bazı kategoriler "tamamen yasak" değil, sadece mesai saatlerinde sınırlı.
Tipik Zaman Politikası
- 09:00-12:00 ve 13:00-18:00: Sosyal medya, alışveriş, oyun erişilemiyor
- 12:00-13:00 (öğle arası): Sosyal medya açık
- 18:00-09:00 (mesai dışı): Geniş erişim
- Hafta sonu: Tam erişim
Modern filtre çözümlerinde bu kurallar takvim bazlı yapılandırılır.
HTTPS Inspection — Hassas Konu
Web trafiğinin %90'ından fazlası HTTPS şifreli. URL yolu, sayfa içeriği görmek için HTTPS inspection (TLS interception) gerekir.
HTTPS Inspection Nasıl Çalışır?
- Çalışan tarayıcısı
https://example.comister - Proxy/firewall, çalışan ile site arasına girer
- Proxy, kuruma ait CA sertifikasıyla yeni bir sertifika üretir
- Tarayıcı bu sertifikaya güveniyor (kurumsal CA önceden cihaza yüklendi)
- Proxy trafiği görür, filtreleyebilir, log alır
- Çalışana yeni şifrelenmiş kanalla iletir
KVKK Boyutu
HTTPS inspection, çalışanın trafiğini görür hale getirir. KVKK kapsamında:
- Aydınlatma metninde HTTPS inspection yapıldığı açıkça belirtilmeli
- Banka, sağlık, kişisel mali siteler inspection dışı bırakılmalı (whitelist)
- Toplanan veriye erişim sıkı kontrol edilmeli (sadece IT, gerektikçe)
- Kayıtlar yasal süre kadar saklanmalı, sonra silinmeli
Inspection Yapmadan Filtreleme
HTTPS inspection olmadan da filtreleme yapılabilir; ancak yalnızca alan adı (SNI) seviyesinde:
facebook.com'a tüm erişim engellenir- Ama
facebook.com/specific-pageengellenemez (içerik görülmez) - Ortalama KOBİ için bu çoğu zaman yeterli
Uyarı Sayfası Tasarımı
Filtre engellediğinde kullanıcıya gösterilen sayfa kritiktir.
İyi Uyarı Sayfası
- Niçin engellendi (kategori adı, kural numarası)
- Kim onaylar (IT yöneticisi, e-posta)
- Beyaz liste talep formu (tek tıkla)
- KVKK aydınlatma linki
- "Yanlış kategorize edildi" raporlama
Kötü Uyarı Sayfası
- Sadece "Erişim engellendi" yazısı
- Hiçbir bağlam yok
- Çalışan destek talebi açmak zorunda
İyi uyarı sayfası filtreden hoşlanmayan çalışanı bile en azından yargısını anlayabilen kullanıcıya dönüştürür.
İstisna ve Beyaz Liste Yönetimi
Filtre asla %100 mükemmel olmaz. İstisna yönetimi şart.
Tipik İstisna Akışı
- Çalışan engellenmiş siteye erişmek ister
- Uyarı sayfasındaki butondan talep açar
- Talep IT'ye iletilir (ticket)
- IT inceler — meşru iş ihtiyacı mı, kişisel mi?
- Onaylanırsa beyaz listeye eklenir (geçici veya kalıcı)
- Çalışan bilgilendirilir
Beyaz Liste Hijyeni
- Geçici whitelist'lere son kullanma tarihi
- Yıllık beyaz liste denetimi (gereksiz olanlar silinir)
- Kim onayladı, ne zaman, hangi gerekçeyle — kayıtlı
Mobil Cihazlar ve Uzaktan Çalışan
Çalışan ofisten ayrıldığında filtre devre dışı kalmamalı.
Yöntemler
- Bulut filtre + agent: Cisco Umbrella, NextDNS gibi sağlayıcılar cihaza küçük ajan kurar; cihaz nerede olursa olsun trafik bulut filtresinden geçer
- Daima açık VPN: Cihaz sürekli kuruma VPN ile bağlı, tüm trafik kurum filtresinden geçer
- DNS profili (MDM): Cihaza zorunlu DNS sunucusu profili (Apple, Android destekler)
KOBİ'de bulut filtre + ajan en pratik çözüm; cihazın konumundan bağımsız çalışır.
Yamanlar Bilişim Olarak Sunduğumuz Hizmetler
KOBİ ölçeğinde web filtreleme destek alanlarımız:
- Mevcut filtre durumu denetimi
- Çözüm seçim danışmanlığı (DNS / proxy / NGFW)
- Politika tasarımı (departman, role, zaman bazlı)
- Cisco Umbrella, NextDNS, Sophos, Fortinet kurulum
- HTTPS inspection ve KVKK aydınlatma desteği
- Uzak çalışan kapsama mimarisi
- Yıllık politika gözden geçirme ve raporlama
Sıkça Sorulan Sorular
Sonuç
Web filtreleme; KOBİ siber güvenlik mimarisinin görünmez ama kritik bir katmanıdır. DNS, proxy veya NGFW seviyesinde uygulanabilir; doğru politika tasarımı güvenlik, üretkenlik ve yasal uyumu birlikte kurar. KVKK boyutunda HTTPS inspection ve aydınlatma metni dikkatli yönetilmelidir. Uzak çalışan ortamında bulut filtre + ajan modeli klasik VPN'i giderek geride bırakıyor.
Yamanlar Bilişim olarak ofis ölçeğinize ve çalışan profillerinize göre özelleştirilmiş web filtreleme tasarımları sunuyor; çalışanın tarayıcısını saldırganın değil, kurumun belirlediği sınırlar içinde tutuyoruz.
Sıkça Sorulan Sorular
Ücretsiz Quad9 DNS yeterli mi yoksa Cisco Umbrella gibi premium gerekli mi?
Quad9 (9.9.9.9) ücretsiz olarak temel zararlı alan engelleme sağlar; küçük KOBİ için makul başlangıç. Ama: kategori filtre yok (sosyal medya engelleyemezsiniz), departman bazlı politika yok, raporlama yok. Cisco Umbrella, NextDNS, Cloudflare Gateway gibi ücretli çözümler bu gelişmiş özellikleri sunar — orta ölçek KOBİ için ROI hızla geri döner.
HTTPS inspection KVKK ihlali mi olur?
İhlal değil, ancak şartlı uygulanmalı. Aydınlatma metninde açıkça belirtilmeli, çalışana açıklanmalı, banka/sağlık siteleri inspection dışı tutulmalı, toplanan veriye sıkı erişim kontrolü uygulanmalı. Çalışan rızası olmadan gizlice inspection yapmak KVKK ihlalidir.
Çalışan VPN ile filtreyi bypass ederse ne yapmalıyım?
İki katmanlı yaklaşım: (1) VPN/anonim proxy kategorisini filtre düzeyinde engelleyin — kullanıcı VPN sağlayıcısının sitesine erişemez, (2) cihaza filtre ajanı kurun (Cisco Umbrella, NextDNS gibi); kullanıcı VPN açsa bile ajan trafiği önce kuruma yönlendirir. Üçüncü katman: kullanıcı politikası — bypass denemesi disiplinli süreç.
Sosyal medya yasağı çalışan moralini bozar mı?
Tam yasak yerine mola saati yaklaşımı önerilir: 12:00-13:00 ve 18:00 sonrası açık. Bu yaklaşım hem güvenlik (tehdit kategorileri sürekli kapalı) hem üretkenlik (mesai saati odak) hem moral (kişisel zaman izni) dengesi sağlar. Çalışanlara açık iletişim yapılırsa anlayışla karşılanır.
Kategori yanlış sınıflandırılmış, sürekli istisna yapıyorum, ne yapmalıyım?
Filtre sağlayıcılarının Reclassification Request akışı vardır — yanlış kategorize edilmiş URL i sağlayıcıya bildirirsiniz, sağlayıcı düzeltir, tüm müşterileri etkiler. Cisco Umbrella, NextDNS gibi sağlayıcılar bu akışı destekler. Sürekli aynı tip istisna gerekiyorsa kategori yapılandırmanızı (örnek: Eğitim kategorisi açık olmalı) gözden geçirin.
Filtre logu ne kadar saklanmalı?
5651 sayılı kanun gereği erişim kayıtları iki yıl saklanmalıdır. KVKK kapsamında kişisel veri kategorisinde sayılır; saklama süresi VERBİS kaydında belirtilmelidir. Sürenin sonunda kayıtlar güvenli imha ile silinir. Yıllık denetim süresinin doğru takip edildiğini sorgulamalı.
Yazar
Serdar
Yamanlar Bilişim Uzmanı
Yamanlar Bilişim bünyesinde IT altyapısı, siber güvenlik ve dijital dönüşüm konularında içerikler üretmektedir. Sorularınız için iletişime geçebilirsiniz.
Profesyonel Destek
Bu konuda destek alın
Siber Güvenlik alanında ihtiyaç duyduğunuz çözümü birlikte tasarlayalım. Uzman ekibimiz 1 iş günü içinde size geri döner.
support@yamanlarbilisim.com.tr · Yanıt süresi: 1 iş günü
Devamını Oku
İlgili Makaleler
Insider Threat: KOBİ'lerde İçeriden Tehdit Tespiti
İçeriden tehdit (insider threat) nedir, KOBİ'lerde tespit yöntemleri, ayrılan çalışan, ihmal ve kasıtlı kötü niyet senaryoları.
NDR (Network Detection & Response) KOBİ'ye Gerekir mi?
Network Detection & Response (NDR) nedir, EDR ve SIEM'den farkı, KOBİ ölçeğinde gerekli olup olmadığı ve uygun çözümlerin değerlendirilmesi.
Honeypot Kurulumu: KOBİ İçin Erken Uyarı Sistemi
Honeypot nedir, KOBİ ölçeğinde nasıl kurulur, hangi tipler vardır ve sessiz çalışan bu erken uyarı sisteminin pratik yapılandırması.