Misafir WiFi'ı Neden Ayrı Ağda Olmalı? — VLAN Rehberi
Misafir WiFi'ınız şirket ağınızla aynı hatta mı? Tek bir misafir cihazından tüm ağınıza erişilebilir. VLAN ile ağ segmentasyonu nedir, KOBİ'ler için neden kritik ve nasıl uygulanır — 4 adımda.
Misafir WiFi'ınız şirket ağınızla aynı hatta mı? Tek bir misafir cihazından tüm ağınıza erişilebilir. VLAN ile ağ segmentasyonu nedir, KOBİ'ler için neden kritik ve nasıl uygulanır — 4 adımda.
İçindekiler ▾
- Tek Ağ = Tek Risk
- Ne Olabilir?
- Rakamlar Ne Diyor?
- VLAN: Basit Ama Etkili Çözüm
- Tipik KOBİ VLAN Planı
- 4 Adımda VLAN Geçişi
- Adım 1: Cihaz Envanteri
- Adım 2: Mevcut Donanımı Kontrol Edin
- Adım 3: VLAN Yapılandırması
- Adım 4: Test ve Doğrulama
- Kontrol Tablosu
- VLAN Olmadan vs VLAN İle
- Teknik Detay İçin
- Şimdi Ne Yapmalısınız?
Özet: Misafir WiFi’ınız şirket ağınızla aynı hatta mı çalışıyor? Eğer öyleyse, bir misafirin telefonu üzerinden dosya sunucunuza, kameranıza ve muhasebe bilgisayarınıza ulaşılabilir. Forrester’ın raporuna göre VLAN segmentasyonu yanal hareket saldırılarını %70 azaltıyor. Bu yazıda VLAN nedir, KOBİ’ler için neden kritik ve 4 adımda nasıl uygulanır bulacaksınız.
Bir müşterimizin kafesinde misafir WiFi vardı. Güzel, modern bir mekan. Şifreyi menü kartında yazıyorlardı.
Sorun şu: misafir WiFi ile kasa bilgisayarı, POS cihazı ve güvenlik kameraları aynı ağdaydı.
Bir müşteri WiFi’a bağlandığında — bilgisayarının “ağ keşfi” özelliği açıksa — kasayı, kamerayı ve arka ofisteki yazıcıyı görebiliyordu.
— Bunları misafir görebilir mi?
Evet. Hepsini.
Tek Ağ = Tek Risk
Güvende olduğunuzu sanıyorsunuz. WiFi şifresi var, router çalışıyor. Ama tüm cihazlar aynı ağda.
Bu, ofisteki tüm odaların kapısını açık bırakıp sadece dış kapıyı kilitlemek gibi.
SANS Institute’a göre iç ağ saldırılarının yayılmasında segmentasyon eksikliği birincil kolaylaştırıcıdır (SANS, 2024). Forrester’ın Zero Trust raporuna göre segmentasyon uygulayan kuruluşlarda yanal hareket saldırıları %70 azalıyor (Forrester, 2023).
Sorun WiFi şifresi değil. Sorun ağ mimarisi.
Ne Olabilir?
Misafir ve şirket ağı ayrılmamışsa:
- Zararlı yazılım yayılması: Misafir cihazındaki virüs tüm ağı tarar, yazıcılara, NAS’a, kameraya ulaşır
- Veri sızıntısı: Paylaşımlı klasörler, ağ yazıcıları, dosya sunucuları erişime açık kalır
- IoT riski: Palo Alto’nun 2024 raporuna göre IoT cihazlarının %57’si orta veya yüksek güvenlik açığı taşıyor (Palo Alto, 2024). Akıllı termostat, IP kamera, POS cihazı — hepsi birer giriş noktası
- Yanal hareket: Saldırgan bir cihaza girince aynı ağdaki tüm cihazlara erişebilir
Kafedeki müşteri kötü niyetli olmayabilir. Ama cihazı zaten enfekte olabilir. Otomatik tarama yapan zararlılar sizin ağınızı da tarar.
Rakamlar Ne Diyor?
| Veri | Rakam | Kaynak |
|---|---|---|
| Yanal hareket azalması (segmentasyonla) | %70 | Forrester 2023 |
| Savunmasız IoT cihazı oranı | %57 | Palo Alto 2024 |
| Tipik KOBİ VLAN sayısı | 3-4 | Sektör pratiği |
VLAN: Basit Ama Etkili Çözüm
VLAN (Virtual LAN), fiziksel olarak aynı kabloya bağlı cihazları mantıksal olarak ayırır. Ek kablo çekmenize, yeni ekipman almanıza gerek yok — mevcut yönetilebilir switch’iniz üzerinde yapılandırılır.
Bir anahtarın 24 portunu düşünün:
- Port 1-6: Yönetim ağı (IT ekipmanları, router)
- Port 7-16: Personel ağı (çalışan bilgisayarları, yazıcılar)
- Port 17-20: Kamera ağı (NVR, IP kameralar)
- Port 21-24: Misafir WiFi AP
Bu 4 grup birbirini göremez. Ama fiziksel olarak aynı cihaza bağlı. Ek kablo yok, ek maliyet yok.
NIST 800-125B mikro segmentasyonu güvenlik temel kontrollerinden biri olarak tanımlar. — NIST, 2019
Tipik KOBİ VLAN Planı
| VLAN | İsim | Ne İçerir | İnternet | İç Ağ Erişimi |
|---|---|---|---|---|
| 10 | Yönetim | Router, switch, AP yönetim arayüzleri | ✅ | Tüm VLAN’lara |
| 20 | Personel | Çalışan bilgisayarları, yazıcılar | ✅ | Sadece kendi VLAN’ı |
| 30 | Misafir | WiFi misafir ağı | ✅ | ❌ Hiçbir yere |
| 40 | Kamera/IoT | IP kameralar, sensörler | ❌ | Sadece NVR’ye |
Misafir VLAN’ı sadece internet erişimine sahip — dosya sunucusu yok, yazıcı yok, kamera yok. Kamera VLAN’ı ise internete bile çıkmaz — sadece NVR ile konuşur.
4 Adımda VLAN Geçişi
Adım 1: Cihaz Envanteri
Ağınızdaki tüm cihazları listeleyin. Her birini bir gruba atayın:
- Yönetim mi? (switch, router, AP)
- Personel mi? (bilgisayar, yazıcı)
- Misafir mi? (WiFi AP)
- IoT/Kamera mı?
Bu envanter 30 dakika sürer. Ama plansız VLAN kurulumu saat kaybettirir.
Adım 2: Mevcut Donanımı Kontrol Edin
Switch’iniz yönetilebilir mi? VLAN destekliyor mu?
- MikroTik (CRS/RB serisi): ✅ Destekler
- Cisco (SG/CBS serisi): ✅ Destekler
- HP/Aruba: ✅ Destekler
- Ubiquiti: ✅ Destekler
- Ev tipi switch (TP-Link unmanaged vb.): ❌ Desteklemez
Ev tipi unmanaged switch’iniz varsa, yönetilebilir bir switch ile değiştirmeniz gerekir. MikroTik CRS326 gibi uygun fiyatlı seçenekler mevcut.
Adım 3: VLAN Yapılandırması
IT danışmanınız veya ekibiniz switch ve router üzerinde VLAN’ları oluşturur:
- Her VLAN için IP aralığı belirlenir
- Access ve trunk portlar yapılandırılır
- DHCP ayarları VLAN bazlı ayrılır
- Firewall kuralları ile VLAN’lar arası trafik denetlenir
Süre: 20-30 portluk bir ofis için 2-4 saat.
Adım 4: Test ve Doğrulama
- Misafir WiFi’dan şirket dosya sunucusuna ping → timeout olmalı
- Personel bilgisayarından internete → çalışmalı
- Kamera ağından internete → timeout olmalı
- Yönetim ağından tüm VLAN’lara → erişim olmalı
Bir test başarısız olursa yapılandırmada eksik var demektir.
Kontrol Tablosu
| Kontrol | Durum | Öncelik |
|---|---|---|
| Misafir WiFi ayrı VLAN’da mı? | ☐ | 🔴 Acil |
| IoT/kamera cihazları izole mi? | ☐ | 🔴 Acil |
| Switch yönetilebilir mi? | ☐ | 🔴 Acil |
| VLAN’lar arası firewall kuralı var mı? | ☐ | 🟡 Bu ay |
| Cihaz envanteri güncel mi? | ☐ | 🟡 Bu ay |
| VLAN haritası (diagram) çizilmiş mi? | ☐ | 🟢 Planlı |
VLAN Olmadan vs VLAN İle
| Durum | VLAN Yok | VLAN Var |
|---|---|---|
| Misafir cihazı dosya sunucusunu görür | ✅ Evet | ❌ Hayır |
| Kamera ağına dışarıdan erişilebilir | ✅ Evet | ❌ Hayır |
| Zararlı yazılım tüm ağa yayılır | ✅ Evet | ⚠️ Sadece kendi VLAN’ı |
| Ağ trafiği izlenebilir | ⚠️ Zor | ✅ VLAN bazlı |
| Ek donanım maliyeti | — | Çoğunlukla sıfır |
Teknik Detay İçin
Bu yazıda “neden VLAN” tarafını ele aldık. Peki “nasıl yapılandırılır?”
MikroTik üzerinde bridge VLAN filtering, trunk/access port konfigürasyonu, inter-VLAN routing ve CRS switch ayarları — satır satır:
→ MikroTik VLAN — Fabrikada 3 Ağı Nasıl İzole Ettim (Erdem Özyurt, teknik deep-dive)
Şimdi Ne Yapmalısınız?
- Bu hafta: Misafir WiFi’ınızın şirket ağından ayrı olup olmadığını kontrol edin — misafir telefonundan dosya sunucusuna ping atın
- Bu ay: Cihaz envanteri çıkarın, VLAN planı yapın, mevcut switch’inizin VLAN desteğini doğrulayın
- Sürekli: Yeni cihaz eklendiğinde doğru VLAN’a atandığından emin olun
O kafe şimdi 3 VLAN’da çalışıyor. Misafirler internete bağlanıyor, kasa ve kameralar kendi ağında. Menüdeki WiFi şifresi hâlâ orada — ama artık sadece internet veriyor.
→ Ağınızın segmentasyon durumunu değerlendirmek ister misiniz? Ücretsiz Keşif Görüşmesi
Kaynaklar: SANS Institute — Network Segmentation (2024), Forrester Zero Trust Report (2023), Palo Alto Networks IoT Security (2024), NIST SP 800-125B (2019)
Kaynaklar
- İç ağ saldırılarının yayılmasında segmentasyon eksikliği birincil kolaylaştırıcıdır — SANS Institute — Network Segmentation Best Practices (2024)
- Segmentasyon uygulayan kuruluşlarda yanal hareket saldırıları %70 azalıyor — Forrester Zero Trust Report (2023)
- IoT cihazlarının %57'si orta veya yüksek güvenlik açığı taşıyor — Palo Alto Networks IoT Security Report (2024)
- NIST 800-125B mikro segmentasyonu güvenlik temel kontrollerinden biri olarak tanımlar — NIST SP 800-125B — Secure Virtual Network Configuration (2019)
Sıkça Sorulan Sorular
Misafir WiFi'ı ayrı ağda olmazsa ne olur? +
Misafir cihazı şirket ağınızdaki tüm cihazları görebilir — yazıcılar, dosya sunucuları, kameralar, POS cihazları. Zararlı yazılım bulaşmış bir misafir telefonu tüm ağınızı tarayabilir. SANS Institute'a göre segmentasyon eksikliği iç ağ saldırılarının birincil kolaylaştırıcısıdır.
VLAN nedir, basitçe ne işe yarar? +
VLAN, fiziksel olarak aynı kablolara bağlı cihazları mantıksal olarak ayırır. Bir switch üzerinde 4 farklı ağ oluşturabilirsiniz — her biri birbirini göremez. Ek kablo veya ekipman gerekmez, mevcut altyapıda yazılımsal olarak yapılandırılır.
VLAN kurmak için yeni ekipman almam gerekir mi? +
Çoğu durumda hayır. MikroTik, Cisco, HP, Ubiquiti gibi yönetilebilir switch ve router'lar VLAN destekler. Mevcut donanımınız yönetilebilir bir switch ise ek maliyet sıfır.
Kaç VLAN'a ihtiyacım var? +
Tipik bir KOBİ için 3-4 VLAN yeterlidir: yönetim (IT ekipmanları), personel (çalışan bilgisayarları), misafir (WiFi) ve varsa üretim/kamera gibi özel ağlar. Daha az VLAN yönetim kolaylığı sağlar, çok fazla VLAN karmaşıklık yaratır.
VLAN kurulumu ne kadar sürer? +
Deneyimli bir IT danışmanı 20-30 portluk bir ofisi 2-4 saatte segmentlere ayırabilir. Planlama (hangi cihaz hangi VLAN'da) 1 saat, konfigürasyon 1-2 saat, test 1 saat.
Profesyonel Destek mi Lazım?
Bu konuda yardıma ihtiyacın varsa yanındayız. Kurulum, konfigürasyon ve sorun giderme için ulaş.
