İçeriğe geç
Wi-Fi & Kablosuz

Captive Portal ve
Misafir Ağı Altyapısı

Misafir kullanıcılara güvenli, izole ve yönetilebilir internet erişimi sunmak için captive portal tasarımı ve ağ segmentasyonu ilkeleri.

Captive portal, kablosuz veya kablolu bir ağa bağlanan kullanıcıyı internete çıkmadan önce bir yönlendirme (onay, giriş veya kayıt) sayfasına yönlendiren mekanizmadır. Kurumsal ortamlarda misafir ağı altyapısının merkezinde yer alır; hem kullanıcı deneyimini hem de ağ güvenliğini doğrudan etkiler. Bu yazıda captive portal mimarisinin bileşenlerini, misafir ağı segmentasyonunu, kimlik doğrulama yaklaşımlarını ve yasal yükümlülükleri ele alıyoruz.

1. Captive Portal Nedir?

Captive portal, bir istemci ağa bağlandığında DNS veya HTTP isteklerini yakalayarak kullanıcıyı belirli bir web sayfasına yönlendiren yazılımsal bir katmandır. Kullanıcı bu sayfada bir sözleşmeyi onaylayabilir, bir kod girebilir, sosyal medya hesabıyla giriş yapabilir veya kayıt bilgilerini iletebilir. Onay sonrasında kontrolcü veya güvenlik duvarı, o istemcinin MAC/IP adresine geçici olarak internet erişim izni tanımlar.

Bilgi

Captive portal genellikle kablosuz denetleyici (WLC), bulut tabanlı yönetim platformu veya ayrı bir ağ geçidi cihazı üzerinde çalışır. Yönlendirme mantığı DNS hijacking veya HTTP redirect prensibine dayanır.

2. Misafir Ağı Altyapısının Bileşenleri

Sağlıklı bir misafir ağı yalnızca bir SSID yayınlamaktan ibaret değildir; alt yapıda birkaç bileşenin uyumlu çalışması gerekir.

  • Ayrı SSID: Misafir kullanıcılar için kurumsal ağdan bağımsız, kendi kimliğine sahip bir kablosuz ağ adı.
  • Ayrı VLAN: Misafir trafiğinin kurumsal veri ve ses VLAN’larından mantıksal olarak ayrılması.
  • Güvenlik duvarı kuralları: Misafir VLAN’ından iç ağa erişimi engelleyen, yalnızca internet çıkışına izin veren politikalar.
  • Captive portal sunucusu: Yönlendirme, onay ve oturum yönetimi mantığını çalıştıran bileşen.
  • Bant genişliği ve oturum yönetimi: Misafir trafiğinin kurumsal trafiği olumsuz etkilememesi için uygulanan politikalar.

VLAN Ayrımının Önemi

Misafir ağı, IEEE 802.1Q standardına uygun olarak ayrı bir VLAN üzerinden taşınmalıdır. Bu sayede misafir cihazların yayın (broadcast) trafiği ve olası kötü amaçlı hareketleri kurumsal segmentten izole edilir. VLAN ayrımı yapılmadan tek bir düz ağ üzerinde SSID farklılaştırması, gerçek bir güvenlik izolasyonu sağlamaz.

Dikkat

Misafir SSID’sinin farklı bir isimde yayınlanması, trafiğin ayrı VLAN’da taşındığı anlamına gelmez. SSID ile VLAN eşlemesinin erişim noktası ve anahtar (switch) yapılandırmasında açıkça tanımlanması gerekir; aksi halde misafir cihazlar kurumsal ağla aynı yayın alanında kalabilir.

3. Kimlik Doğrulama Yöntemleri

Captive portal üzerinden uygulanabilecek kimlik doğrulama yöntemleri, kurumun güvenlik ihtiyacına ve kullanıcı deneyimi hedeflerine göre değişir.

  • Şartları kabul et (click-through): Kullanıcı sadece kullanım koşullarını onaylar, bilgi girişi istenmez.
  • Voucher/kod tabanlı: Önceden üretilmiş tek kullanımlık veya süreli erişim kodları.
  • SMS/e-posta doğrulama: Kullanıcının telefon numarası veya e-posta adresine gönderilen kodla doğrulama.
  • Sosyal medya girişi: Üçüncü taraf kimlik sağlayıcı üzerinden oturum açma.
  • Sponsorlu erişim: Kurum içindeki bir personelin misafiri onaylaması.
Öneri

Kimlik doğrulama yöntemi seçilirken yalnızca kullanıcı deneyimi değil, kaydedilen bilginin ne kadar süre saklanacağı ve hangi amaçla kullanılacağı da netleştirilmelidir. Bu, hem güvenlik hem de kişisel verilerin korunması açısından önemlidir.

4. Ağ Segmentasyonu ve Güvenlik

Misafir ağının kurumsal kaynaklardan tamamen izole edilmesi, captive portal tasarımının en kritik güvenlik gereksinimidir. Bu izolasyon; VLAN ayrımı, güvenlik duvarı üzerinde tanımlı erişim kontrol listeleri (ACL) ve gerekiyorsa istemciler arası izolasyon (client isolation) özelliğinin etkinleştirilmesiyle sağlanır. Client isolation etkinleştirildiğinde aynı misafir ağına bağlı cihazlar birbirini göremez, bu da yan yana bağlanan misafirler arasındaki riskleri azaltır.

Erişim Kontrolü Katmanları

Segmentasyon tek katmanla sınırlı kalmamalıdır. VLAN ayrımının üzerine, güvenlik duvarında misafir segmentinden iç ağa (yönetim arayüzleri, dosya sunucuları, yazıcılar gibi) erişimi engelleyen açık kurallar tanımlanmalı ve yalnızca gerekli olan çıkış (internet) trafiğine izin verilmelidir.

5. Yasal ve Kayıt Yükümlülükleri

Türkiye’de kamuya açık alanlarda (otel, kafe, alışveriş merkezi, iş yeri gibi) internet erişimi sunan işletmeler, internet toplu kullanım sağlayıcılığına ilişkin mevzuat kapsamında bazı kayıt ve loglama yükümlülüklerine tabi olabilir. Ayrıca captive portal üzerinden toplanan kişisel veriler (ad, telefon, e-posta gibi) Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında değerlendirilir.

Dikkat

Hangi verinin ne kadar süre saklanacağı, hangi mevzuata göre hareket edileceği proje ve sektöre göre değişebileceğinden, güncel mevzuat metinlerine ve gerekirse hukuki danışmanlığa başvurulması önerilir. Bu yazı genel teknik çerçeve sunmaktadır, hukuki tavsiye niteliği taşımaz.

6. Captive Portal Deneyimi ve Kullanıcı Akışı

Kullanıcı deneyimi açısından captive portal akışının sade tutulması önemlidir. Aşırı sayıda adım, karmaşık form alanları veya yavaş yüklenen yönlendirme sayfaları kullanıcı memnuniyetsizliğine yol açar. Portal tasarımında marka kimliğine uygun, mobil uyumlu ve az adımlı bir akış tercih edilmelidir.

  • Bağlantı sonrası otomatik yönlendirme süresi kısa tutulmalıdır.
  • Form alanları yalnızca gerçekten ihtiyaç duyulan bilgilerle sınırlı olmalıdır.
  • Oturum süresi ve yeniden kimlik doğrulama sıklığı, kullanım senaryosuna göre dengelenmelidir.

7. Performans ve Bant Genişliği Yönetimi

Misafir ağı, kurumsal trafiğin performansını olumsuz etkilememelidir. Bu nedenle misafir SSID’sine yönelik bant genişliği sınırlaması, eş zamanlı istemci sayısı kontrolü ve trafik önceliklendirme (QoS) politikaları uygulanmalıdır. Sınır değerlerinin ne olacağı; bina büyüklüğü, eş zamanlı kullanıcı yoğunluğu ve kurumsal internet bağlantı kapasitesine göre değişir; bu nedenle sabit bir sayı önermek yerine mevcut altyapı kapasitesine göre planlama yapılması önerilir.

Kriter Click-through SMS/E-posta Doğrulama Voucher/Kod
Kullanıcı Sürtünmesi Düşük Orta Orta
Kimlik Doğrulama Gücü Zayıf Orta-Yüksek Kontrollü dağıtıma bağlı
Yönetim Yükü Düşük Orta (SMS/e-posta altyapısı gerekir) Kod üretim/dağıtım süreci gerekir
Uygun Ortam Kafe, kamuya açık alan Otel, etkinlik alanı Konferans, sınırlı davetli erişimi

8. Kurulum Öncesi Planlama Adımları

Captive portal ve misafir ağı altyapısı kurulmadan önce ağ mimarisinin bütün olarak gözden geçirilmesi gerekir. VLAN yapısı, kablosuz erişim noktalarının SSID-VLAN eşlemesi, güvenlik duvarı kuralları ve internet çıkış kapasitesi bu planlamanın temel taşlarıdır.

  • Misafir VLAN’ı için ayrı bir alt ağ ve DHCP kapsamı tanımlanmalıdır.
  • Kablosuz denetleyici veya bulut yönetim platformunda SSID’ye özel politika uygulanmalıdır.
  • Captive portal sayfası, kurumun onaylı içerik ve tasarım standartlarına uygun hazırlanmalıdır.
  • Loglama ve oturum kayıtlarının nerede, ne kadar süre tutulacağı önceden netleştirilmelidir.

Sık Sorulan Sorular

Captive portal ile misafir ağı VLAN’ı zorunlu mudur?

Teknik olarak captive portal, VLAN olmadan da çalışabilir; ancak güvenlik açısından misafir trafiğinin ayrı bir VLAN üzerinden taşınması önerilir. Aksi halde kurumsal ağ ile misafir cihazlar aynı yayın alanında bulunabilir.

Misafir ağı kurumsal ağın performansını etkiler mi?

Bant genişliği ve eş zamanlı bağlantı sınırlaması yapılmazsa etkileyebilir. Bu nedenle QoS politikaları ve trafik sınırlamaları uygulanması önerilir.

Captive portal üzerinden toplanan veriler ne kadar süre saklanmalıdır?

Bu süre; ilgili mevzuata, kurumun veri saklama politikasına ve kullanım senaryosuna göre değişir. Güncel mevzuata ve gerekirse hukuki danışmanlığa başvurulması önerilir.

Client isolation her zaman etkinleştirilmeli midir?

Misafir ağlarında genellikle önerilir çünkü aynı ağa bağlı cihazlar arasındaki doğrudan iletişimi engeller. Ancak bazı özel kullanım senaryolarında (örneğin cihazlar arası paylaşım gereken etkinlik ağları) proje ihtiyacına göre değerlendirilmelidir.

Özet: Captive Portal ve Misafir Ağı Altyapısı

VLAN ayrımı: Misafir trafiği mutlaka ayrı bir VLAN üzerinden taşınmalı, SSID-VLAN eşlemesi açıkça yapılandırılmalıdır.
Kimlik doğrulama: Yöntem seçimi kullanıcı deneyimi ile güvenlik ihtiyacı arasında dengelenmelidir.
Segmentasyon: Güvenlik duvarı kuralları ve client isolation ile iç ağa erişim engellenmelidir.
Yasal uyum: Kayıt ve loglama yükümlülükleri, güncel mevzuata göre değerlendirilmelidir.
Performans: Bant genişliği ve QoS politikaları kurumsal trafiği korumak için planlanmalıdır.

İlgili Yazılar

Profesyonel Kablolama Hizmeti

Sertifikalı ekip, test raporu ve üretici garantisiyle projenizi değerlendirelim.

0212 993 99 98