İçindekiler
1. Özet
2. Giriş
3. Full-Tunnel VPN: Teknik Arka Plan
3.1 VPN Ne İşe Yarar?
3.2 Full-Tunnel Ne Yapar?
4. Etik Sorunun Boyutları
4.1 Ev Artık Ofis mi?
4.2 Çalışan Biliyor mu?
4.3 Ya Aile Bireyleri?
4.4 Denetim Tek Taraflı
5. Yasal Çerçeve
5.1 KVKK Ne Diyor?
5.2 Anayasal Boyut
6. Çözüm: Split-Tunneling
6.1 Mantık Basit
6.2 Kurumlar Ne Yapmalı?
7. Uygulamalı Demo
7.1 Simülasyon Uygulaması
7.2 Adımlar
7.2.1 Mevcut Durumu Gör
7.2.2 Sorunun Kanıtı
7.2.3 Çözümü Uygula
7.2.4 Doğrulama
8. Sonuç
9. Kaynakça
1. Özet
Pandemi dönemiyle birlikte yaygınlaşan uzaktan çalışma pratiğinde kurumlar genellikle Full-Tunnel VPN yapılandırmasını tercih etmektedir. Ne var ki bu yapılandırma, çalışanın yalnızca iş trafiğini değil banka uygulamalarına, haber sitelerine ve sosyal medyaya yönelik kişisel internet kullanımını da kurumsal ağ geçidi üzerinden geçirmekte ve kayıt altına almaktadır. Dolayısıyla özel hayat ile mesai arasındaki teknik sınır fiilen ortadan kalkmaktadır. Bu çalışmada söz konusu durumun 6698 Sayılı KVKK’nın ölçülülük ilkesi ve Anayasa’nın 20. maddesinde güvence altına alınan mahremiyet hakkı çerçevesindeki yansımaları ele alınmıştır. Bunun yanı sıra çözüm olarak Split-Tunneling yöntemi, web tabanlı bir simülasyon uygulamasıyla birlikte sunulmuştur.
2. Giriş
2020’nin başlarında dünya, çalışma hayatı konusunda büyük bir deney yaşadı. Milyonlarca insan bir sabah ofise gitmek yerine evde oturdu ve dizüstü bilgisayarını açtı. Nitekim Uluslararası Çalışma Örgütü bu dönüşümü belgelediğinde ortaya çıkan rakam çarpıcıydı: uzaktan çalışma artık istisnai bir uygulama olmaktan çıkmış, yapısal bir gerçekliğe dönüşmüştü (ILO, 2021).
Bugün pandemi geride kaldı. Buna karşın evden çalışma kaldı. Pek çok kurum hibrit modele geçti, bir kısmı ise tamamen uzaktan devam etti. Öte yandan bu noktada genellikle göz ardı edilen bir teknik detay var: kurumsal VPN bağlantısının nasıl kurulduğu. Kulağa sıradan gelebilir. Ama değil.
Mesele şu: çoğu şirket Full-Tunnel denen bir VPN yapılandırması kullanıyor. Bu yapıda çalışanın cihazından çıkan her paket, ister iş dosyasına giden olsun ister YouTube videosuna, kurumsal sunucu üzerinden geçiyor. Başka bir deyişle sabah VPN’e bağlanıp akşam çıkana kadar banka işlemlerin, haberler, Spotify, hepsi şirketin kayıt defterine düşebiliyor. Güvenlik gerekçesiyle yapılıyor bu. Tamam, anlaşılır. Buna rağmen çalışanın kendi evinde, kendi internetiyle yaptığı kişisel aktivitelerin de bu kapsama girmesi — işte burası tartışılması gereken nokta.
3. Full-Tunnel VPN: Teknik Arka Plan
3.1 VPN Ne İşe Yarar?
VPN (Virtual Private Network) temelde iki nokta arasında şifreli bir tünel kurar. Uzaktaki çalışan bu tünel sayesinde şirketin iç ağına sanki ofisteymiş gibi erişir. Örneğin dosya paylaşımı, e-posta sunucusu, intranet — hepsi bu tünelden geçer. Buraya kadar sorun yok. Asıl sorun ise tünelin kapsamında başlıyor (Alawadhi, 2020).
3.2 Full-Tunnel Ne Yapar?
Full-Tunnel’da işletim sistemi şunu der: nereye gidiyorsan git, önce VPN’den geç. Teknik karşılığı, routing tablosundaki varsayılan yolun (0.0.0.0/0) VPN arayüzüne atanmasıdır. Bunun pratik karşılığı ise şudur: örneğin Google’a bir şey aramak istesen bile o sorgu önce kurumun sunucusuna uğrar, ardından oradan internete çıkar.
Bunu kanıtlamak için tek bir komut yeterli: route print
0.0.0.0 0.0.0.0 10.50.0.1 10.50.0.105 2 Aktif (VPN)
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.105 35 Pasif (Ev Modemi)
Yukarıdaki metric değerine dikkat. 2 ve 35 var. Düşük olan kazanır. Dolayısıyla 10.50.0.1, yani VPN öncelikli. Ev modemin metric’i 35 olduğu için kullanılmıyor. Kısacası her şey — bankacılık, sosyal medya, haber, müzik — kurumdan geçiyor.
4. Etik Sorunun Boyutları
4.1 Ev Artık Ofis mi?
Ofiste çalışırken sınır belliydi. Akşam altıda kapıdan çıkınca mesai biterdi. Oysa ev ofisinde böyle bir kapı yok. Çalışan sabah sekizde VPN’e bağlanıyor, akşam yedide belki çıkıyor. Bu süre zarfında öğle arası haber okuyor, bir ara bankacılık işlemi yapıyor, akşamüstü eşi aynı Wi-Fi’dan alışveriş sitesine giriyor. Sonuç olarak bunların hepsi log’a düşebilir.
Tek tek bakınca zararsız görünür bu veriler. Ancak yan yana koyduğunda bir insanın dijital davranış haritası çıkar ortaya. Özellikle hangi saatte hangi siteye girdiği, ne kadar kaldığı, nelere baktığı gibi bilgiler bir bütün oluşturur. Üstelik bu harita, kişinin haberi olmadan, rızası sorulmadan oluşuyor.
4.2 Çalışan Biliyor mu?
İşe girişte imzalanan sözleşmelerde genellikle şöyle bir madde bulunur: ‘Kurumsal sistemler izlenebilir.’ Ama bu ifade neyi kapsıyor tam olarak? Ev ağındaki kişisel trafiği de mi? Çoğu çalışan VPN’e bağlandığında sadece şirket dosyalarına erişiminin şifrelendiğini düşünür. Tüm internet trafiğinin kurumdan geçtiğinden haberi yoktur. KVKK’nın 10. maddesi ise açık: veri sorumlusu, hangi verileri ne amaçla topladığını önceden ve anlaşılır biçimde bildirmekle yükümlüdür (KVK Kurumu, 2018).
4.3 Ya Aile Bireyleri?
Bunların yanı sıra durumu daha da çetrefil kılan bir boyut var. Ev ağını çalışanla birlikte kullanan eş, çocuk ya da başka biri internete bağlandığında, router ayarlarına bağlı olarak bu trafik de kurumsal altyapıya görünür olabilir. Şöyle düşünün: işverenle hiçbir sözleşme ilişkisi olmayan birinin internet geçmişi kurumsal log sistemlerinde. Bunu hiçbir güvenlik gerekçesi haklı kılamaz.
4.4 Denetim Tek Taraflı
Öte yandan bu yapıda güç dengesi tamamen bozuktur. İşveren her şeyi görebilecek konumdayken çalışan hiçbir şeyin farkında değildir. Hangi veriler tutuluyor? Kim erişiyor? Ne kadar saklanıyor? Bu soruları sormak bile çoğu çalışan için risk almaktır. Nitekim işyerinde gözetim konusunu inceleyen akademik çalışmalar, bu asimetrinin çalışan üzerinde caydırıcı bir etki yarattığını ve öz-sansüre yol açtığını ortaya koymaktadır (Nurata, 2021).
5. Yasal Çerçeve
5.1 KVKK Ne Diyor?
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK, 2016) internet trafik verilerini kişisel veri kapsamında değerlendiriyor. Kanun’un 4. maddesi ölçülülük ilkesini getiriyor: toplanan veri, amacıyla orantılı olmak zorunda. Bu bağlamda Full-Tunnel yapılandırması, iş amacıyla hiçbir ilgisi olmayan kişisel verileri de topladığı için bu ilkeyle doğrudan çelişiyor (KVK Kurumu, 2018).
Buna ek olarak 10. madde aydınlatma yükümlülüğünü düzenliyor: ne toplandığı, neden toplandığı, ne kadar saklanacağı önceden bildirilmeli. Ayrıca 5. madde açık rızayı esas koşul olarak belirliyor. Benzer şekilde 12. madde de toplanan verilerin yetkisiz erişime karşı korunmasını zorunlu kılıyor. İş ilişkilerinde bu maddelerin uygulanma biçimi hâlâ tartışmalıdır; bununla birlikte Full-Tunnel yapılandırmasının ölçülülük sınırını aştığı yönünde güçlü bir hukuki argüman mevcuttur (Üstün ve Günal, 2020).
5.2 Anayasal Boyut
Benzer şekilde Anayasa’nın (Anayasa, 1982) 20. maddesi özel hayatın gizliliğini, 22. maddesi ise haberleşme özgürlüğünü güvence altına alıyor. Bu haklar iş akdi imzalamakla askıya alınmaz.
6. Çözüm: Split-Tunneling
6.1 Mantık Basit
Split-Tunneling’in mantığı aslında çok sade: kurumsal sunuculara giden trafik VPN tünelinden geçsin, geri kalan her şey ev modeminden çıksın. Routing tablosuna kurumsal IP bloğu için özel bir rota yazılır ve varsayılan yol ev modeminde kalır. Bu kadar.
Tablo 1
Full-Tunnel ve Split-Tunnel Yönlendirme Tablosu Karşılaştırması
|
Yapılandırma Türü |
Yönlendirme Tablosu İçeriği |
|
Full-Tunnel |
0.0.0.0 0.0.0.0 10.50.0.1 ← HER ŞEY VPN’den |
|
Split-Tunnel |
10.0.0.0 255.0.0.0 10.50.0.1 ← Sadece kurumsal ağ VPN’den |
Not. Tablo, yazar tarafından hazırlanmıştır.
İlk tabloda tek bir satır var ve o satır diyor ki: nereye gidersen git, buradan geç. Buna karşın ikincisinde kurumsal ağ ayrılmış, kişisel trafik serbest bırakılmış. Teknik olarak karmaşık değil. Bununla birlikte zor olan, kurumun bunu bir politika olarak benimsemesi.
6.2 Kurumlar Ne Yapmalı?
Teknik çözüm hazır. Ancak tek başına yetmez. Her şeyden önce çalışana hangi verilerin toplandığı açıkça bildirilmeli. Bunun yanı sıra mesai dışında VPN otomatik kesilmeli ya da Split-Tunnel’a geçmeli. Ayrıca VPN politikası yazılırken hukuk birimi de masada olmalı. Ve en önemlisi: bu adımlar bir lütuf değil, aksine KVKK kapsamında bir yükümlülük olarak ele alınmalı.
7. Uygulamalı Demo
7.1 Simülasyon Uygulaması
Bu çalışma kapsamında, Full-Tunnel ile Split-Tunnel arasındaki farkı somut biçimde göstermek amacıyla bir web tabanlı Komut İstemi simülasyonu geliştirildi. Böylece uygulama, Windows Terminal arayüzünü birebir taklit ediyor ve route print, route add, route delete, tracert, ping gibi komutları gerçek zamanlı olarak çalıştırabiliyor. Dahası herhangi bir yazılım yüklemeye ya da yönetici yetkisine gerek kalmadan tarayıcıdan doğrudan kullanılabiliyor.
Simülasyon uygulamasına şu adresten erişilebilir:
https://batuhandenizfb71-alt.github.io/vpn-simulator
7.2 Adımlar
7.2.1 Mevcut Durumu Gör
İlk olarak simülasyonda ‘route print’ yazılır. Eğer 0.0.0.0 satırında gateway olarak 10.50.0.1 (VPN) görünüyorsa bu durum Full-Tunnel’ın aktif olduğunu gösterir. Başka bir deyişle tüm trafik kurumdan geçiyor demektir.
Mevcut Durum Gözlemi İçin Route Print Komutu:
C:\Users\BOTE> route print
0.0.0.0 0.0.0.0 10.50.0.1 10.50.0.105 2
TÜM trafik VPN üzerinden — Full-Tunnel aktif
7.2.2 Sorunun Kanıtı
Ardından simülasyonda ‘tracert google.com’ çalıştırılır. Burada dikkat edilmesi gereken nokta şudur: ilk satırda 10.50.0.1 ve yanında ‘MAHREMİYET İHLALİ’ uyarısı görünür. Kısacası kişisel bir arama bile kurumsal ağdan geçiyor.
Mahremiyet İhlali Kanıtı İçin Tracert Komutu:
C:\Users\BOTE> tracert google.com
1 16 ms 15 ms 16 ms 10.50.0.1 [Kurumsal VPN Gateway — MAHREMİYET İHLALİ!]
2 22 ms 21 ms 22 ms 192.168.100.1 [Kurumsal ISP]
3 28 ms 26 ms 27 ms 142.250.184.206
7.2.3 Çözümü Uygula
Bundan sonra simülasyonda önce ‘route delete 0.0.0.0 10.50.0.1’ komutuyla kurumsal varsayılan rota silinir. Ardından ‘route add 10.0.0.0 mask 255.0.0.0 10.50.0.1’ komutuyla yalnızca kurumsal ağ bloğu için özel bir rota eklenir. Buna bağlı olarak alt durum çubuğu otomatik olarak yeşile döner ve “Split-Tunnel” moduna geçildiği görünür.
Split-Tunnel Çözümü Uygulama Komutları:
C:\Users\BOTE> route delete 0.0.0.0 10.50.0.1
C:\Users\BOTE> route add 10.0.0.0 mask 255.0.0.0 10.50.0.1
7.2.4 Doğrulama
Son olarak doğrulama yapılır. Önce ‘tracert google.com’ ile kişisel trafiğin ev modeminden çıktığı, ardından ‘tracert 10.50.1.10’ ile kurumsal sunucuya hâlâ VPN üzerinden erişilebildiği gösterilir. Böylelikle Split-Tunneling’in her iki yönde de doğru çalıştığı kanıtlanmış olur.
Split-Tunnel Doğrulama İçin Tracert Komutları:
C:\Users\BOTE> tracert google.com
1 2 ms 1 ms 2 ms 192.168.1.1 [Ev Modemi — Güvenli Yol ✓]
2 10 ms 11 ms 10 ms 10.20.30.40 [Yerel Servis Sağlayıcı]
3 15 ms 14 ms 15 ms 142.250.184.206
C:\Users\BOTE> tracert 10.50.1.10
1 15 ms 14 ms 15 ms 10.50.0.1 [Kurumsal VPN Gateway]
2 16 ms 15 ms 16 ms 10.50.1.10
8. Sonuç
Full-Tunnel VPN yapılandırması tek başına kötü niyetli bir tercih değil. Nitekim güvenlik ekipleri açısından makul bir gerekçesi var. Ancak bir araç meşru olabilir, buna rağmen kullanım biçimi yine de sorunlu olabilir. Özellikle ev ortamında, mesai saatleri dışında, çalışanın kişisel yaşamını kapsayacak şekilde uygulandığında bu yapılandırma artık bir güvenlik aracı olmaktan çıkıyor; aksine bir gözetim mekanizmasına dönüşüyor.
Şöyle ki KVKK’nın ölçülülük ilkesi, Anayasa’nın mahremiyet güvencesi ve AİHM’in orantılılık vurgusu — hepsi aynı yöne işaret ediyor: özetle iş amacıyla ilişkisiz kişisel verilerin kurumsal sistemlere girmesi hukuki açıdan savunulması güç bir uygulamadır.
Buna karşılık Split-Tunneling bu soruna sade ve uygulanabilir bir teknik cevap sunuyor. Böylelikle kurumsal veri güvende kalıyor, çalışanın özel hayatı da korunuyor. Geriye kalan tek adım ise kurumların bunu bir politika olarak benimsemesi ve çalışanlarına şeffaf biçimde anlatması. Çünkü uzaktan çalışma kalıcılaştıkça bu tartışmayı ertelemenin maliyeti giderek artıyor.
9. Kaynakça
-
Alawadhi, S. (2020). In the age of COVID-19: VPN full tunneling or VPN split tunneling. ResearchGate. https://www.researchgate.net/publication/343627053_In_the_Age_of_COVID-19_VPN_Full_Tunneling_or_VPN_Split_Tunneling
-
ILO (International Labour Organization). (2021). Working from home: From invisibility to decent work. Geneva: ILO. https://www.ilo.org/sites/default/files/wcmsp5/groups/public/%40ed_protect/%40protrav/%40travail/documents/publication/wcms_765806.pdf
-
Kişisel Verileri Koruma Kurumu [KVKK]. (2018). Kişisel veri güvenliği rehberi: Teknik ve idari tedbirler (Yayın No: 72). https://kvkk.gov.tr/SharedFolderServer/CMSFiles/7512d0d4-f345-41cb-bc5b-8d5cf125e3a1.pdf
-
Nurata, Z. C. (2021). Hukuksal, örgütsel ve etik bir sorun olarak işyerinde gözetim. Gazi İktisat ve İşletme Dergisi, 7(3), 214-225. https://dergipark.org.tr/tr/download/article-file/1671164
-
T.C. Anayasası. (1982). Madde 20 ve Madde 22. T.C. Resmî Gazete. https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=2709&MevzuatTur=1&MevzuatTertip=5
-
Türkiye Büyük Millet Meclisi [TBMM]. (2016). Kişisel Verilerin Korunması Kanunu (Kanun No. 6698). T.C. Resmî Gazete (Sayı 29677). https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5
-
Üstün, Y. ve Günal, A. (2020). İş ilişkilerinde bazı yaygın uygulamaların Kişisel Verilerin Korunması Kanunu kapsamında değerlendirilmesi. Kişisel Verileri Koruma Dergisi, 2(2). https://dergipark.org.tr/tr/download/article-file/1104037
Bu eser Batuhan Deniz tarafından Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.
Öne çıkan görsel: Dan Nelson tarafından Unsplash üzerinde yayımlanmıştır. Unsplash Lisansı kapsamında ücretsiz kullanıma açıktır. Kaynak: https://unsplash.com/photos/AvSFPw5Tp68
Bu makale 20.05.2026 tarihinde https://plagiarismdetector.net/ adresinde iki bölüm olarak incelenmiş ve benzerlik incelemesinden geçmiştir.
1: 3% Plagiarism – 97% Unique
2: 3% Plagiarism – 97% Unique
Bu makale 20.05.2026 tarihinde https://aidetectorwriter.com/ adresinde yapay zeka içerik incelemesinden geçmiştir.
1: AI PERCENTAGE: %12.20
İsmim Batuhan Deniz, İstanbulda doğup büyüdüm. Marmara Üniversitesi Bilgisayar ve Öğretim Teknolojileri Eğitimi bölümünde 4. sınıf öğrencisiyim. Kariyerimi IT Operations ve Network Administration alanlarında şekillendirmekte, bu doğrultuda global sertifikasyon süreçleri(CCNA) ve teknik eğitimlerle yetkinliklerimi sürekli geliştirmekteyim.
IT’ye olan merakım Marmara Üniversitesi Atatürk Eğitim Fakültesi Dekanlığı bünyesinde teknik destek süreçleriyle başladı. Bu süreçte donanım, yazılım ve ağ altyapıları konusunda son kullanıcılara yerinde çözümler üreterek saha tecrübesi kazandım. Şu an kariyerime Siemens şirketinde IT Assistant Specialist olarak devam etmekteyim. Ar-Ge biriminde görev alan kullanıcılara; donanım, işletim sistemleri, ağ ve yazılım katmanlarında SLA (Hizmet Seviyesi Taahhüdü) gerekliliklerine uygun profesyonel destek sağlıyorum.
Network alanına merakım ise Bilgisayar Ağları ve İletişim dersimizle beraber başladı. Özellikle Ar-Ge projeleri için tasarlanan yeni geliştirme ortamlarında; kurumsal ağ prosedürleri doğrultusunda VLAN yapılandırması, ağ erişim izinlerinin yönetimi ve cihaz kurulum süreçlerini takip ederek sistemleri operasyona hazır hale getiriyorum.
Network Administration süreçlerinde edindiğim bu tecrübeyi siber güvenlik prensipleriyle harmanlayarak, kariyerimi Network Security alanında derinleştirmeyi hedefliyorum. Altyapı kurulumlarının ötesinde, bu sistemlerin dış tehditlere karşı korunması, firewall yapılandırmaları ve ağ güvenliği protokolleri üzerine uzmanlaşarak, kurumların dijital varlıklarını en üst düzeyde güvence altına alacak savunma stratejileri geliştirmek bir diğer hedeflerim arasında.
