P2P Bant Genişliği ve dVPN İçin Güvenli Tünelleme Protokolleri

P2P Bant Genişliği Ekonomisine Giriş

Hiç evdeki internetinizin siz işteyken neden boşta durduğunu ve buna rağmen devasa bir internet servis sağlayıcısına (ISS) her ay tam fatura ödediğinizi düşündünüz mü? Bu aslında büyük bir kaynak israfı. P2P bant genişliği ekonomisi, insanların kullanmadıkları internet bağlantılarını ihtiyaç duyanlara "kiralamasına" olanak tanıyarak temelde bu sorunu çözmeyi hedefliyor.

Bunu bant genişliği için Airbnb gibi düşünebilirsiniz. Boş bir odayı kiralamak yerine, konut tipi IP adresinizi paylaşıyorsunuz. Bu konsept, bizi devasa ve merkezi VPN sunucu çiftliklerinden uzaklaştırıp, sıradan insanlar tarafından işletilen dağıtık düğümlerden (node) oluşan bir ağa yönlendiren DePIN (Merkeziyetsiz Fiziksel Altyapı Ağları) akımının en önemli parçalarından biridir.

• Konut Tipi IP Monetizasyonu: Dizüstü bilgisayarınızda veya özel bir cihazda bir düğüm çalıştırırsınız ve bir başkası web'de gezinmek için sizin bağlantınızı kullanır. Onlar temiz ve ticari olmayan bir IP adresi elde ederken, siz de karşılığında kripto token kazanırsınız.
• Merkeziyetsiz Proxy Ağları: Düğümler her yere dağılmış olduğu için, hükümetlerin veya web sitelerinin erişimi engellemesi, standart bir veri merkezi VPN'ine kıyasla çok daha zordur.
• Tokenize Teşvikler: Protokoller, mikro ödemeleri yönetmek için blokzinciri teknolojisini kullanır; böylece "tünelinizden" geçen her gigabayt veri için ödeme alırsınız.

İnternetinizi bir yabancının kullanmasına izin veriyorsanız, doğal olarak bu kişinin kişisel trafiğinizi görmesini veya sizi yasal bir sıkıntıya sokmasını istemezsiniz. İşte burada işin teknik boyutu devreye giriyor. Kullanıcının verilerini başka bir paketin içine sarmak için kapsülleme (encapsulation) yöntemini kullanıyoruz; böylece bu trafik yerel ağınızdan tamamen izole kalıyor.

Palo Alto Networks verilerine göre, SSTP (Güvenli Soket Tünelleme Protokolü) gibi protokoller bu noktada oldukça verimlidir çünkü TCP port 443'ü kullanırlar. Bu port, standart HTTPS web trafiği ile aynı olduğu için çoğu güvenlik duvarından (firewall) fark edilmeden veya engellenmeden kolayca geçebilir.

• Perakende: Bir fiyat karşılaştırma botu, veri merkezi IP'lerini tanıyan "anti-scraping" (veri kazıma engelleme) araçlarına takılmadan rakip fiyatlarını kontrol etmek için bir P2P ağını kullanır.
• Araştırma: Kısıtlı bir bölgedeki bir akademisyen, yerel olarak sansürlenen açık kaynak kütüphanelere erişmek için başka bir ülkedeki bir düğümü kullanır.

Ancak dürüst olmak gerekirse, veriyi sadece bir tünele göndermek yeterli değildir. Bu protokollerin "el sıkışma" (handshake) sürecini nasıl yönettiğini ve hızı nasıl koruduğunu incelememiz gerekir. Bir sonraki bölümde, WireGuard ve SSTP gibi özel protokollere derinlemesine bakacak ve OpenVPN'in bu sıra dışı dVPN dünyasına hala nasıl uyum sağladığını göreceğiz.

dVPN Tünelleme Teknolojisinin Teknik Temelleri

Verilerinizin yabancı birinin ev yönlendiricisi (router) üzerinden geçerken nasıl gizli kaldığını hiç merak ettiniz mi? Bu bir sihir değil; trafiğinizi dijital bir dürüm gibi sarmalayan ve ana düğümün (node) içeriği görmesini engelleyen "tünelleme protokolleri" adı verilen özel kurallar dizisidir.

Bant genişliği madenciliği (bandwidth mining) dünyasında hız her şeydir; çünkü bağlantınız yavaşsa kimse bant genişliğinizi satın almak istemez. Modern dVPN uygulamalarının çoğu, eski yöntemleri terk ederek WireGuard protokolüne geçiş yapıyor. OpenVPN'in 100.000 satırı aşan devasa kod yapısına kıyasla WireGuard, sadece 4.000 satır civarındaki kompakt kod tabanıyla çok daha az hata barındırır ve çok daha hızlı şifreleme sunar. (Wireguard ilk kullanıma sunulduğunda, küçük kod tabanı...)

• Hafif ve Verimli: WireGuard, işlemciyi (CPU) yormayan modern kriptografi yöntemlerini (ChaCha20 gibi) kullanır. Bu durum, Raspberry Pi veya eski bir dizüstü bilgisayar gibi düşük güçlü cihazlarda düğüm işletenler için kritik bir avantajdır.
• Bağlantı Kararlılığı: Wi-Fi'dan 4G'ye geçerken takılabilen OpenVPN'in aksine WireGuard "durumsuz" (stateless) bir yapıdadır. Tekrar çevrimiçi olduğunuzda, uzun bir "el sıkışma" (handshake) sürecine gerek duymadan paketleri göndermeye devam eder.
• UDP ve TCP Karşılaştırması: WireGuard genellikle daha hızlı olan ancak bazı katı internet servis sağlayıcıları (ISS) tarafından engellenmesi daha kolay olan UDP üzerinden çalışır. OpenVPN ise TCP protokolüne geçiş yaparak, daha yavaş olsa bile hemen hemen her güvenlik duvarını (firewall) aşabilen bir tank gibi hareket edebilir.

Eğer hükümetin veya ISS'nin VPN trafiğini engelleme konusunda çok agresif olduğu bir bölgedeyseniz, WireGuard "VPN trafiği" gibi göründüğü için engellenebilir. İşte bu noktada SSTP (Secure Socket Tunneling Protocol) devreye girer. Daha önce de belirtildiği gibi, bu protokol TCP port 443'ü kullanır; bu da verilerinizin sıradan bir banka sitesi veya sosyal medya ziyareti gibi görünmesini sağlar.

SSTP'nin en büyük dezavantajı, ağırlıklı olarak bir Microsoft teknolojisi olmasıdır. Açık kaynaklı istemcileri bulunsa da diğer protokoller kadar "evrensel" değildir. Ancak dürüst olmak gerekirse, yüksek performanslı madencilik için en iyisi olmasa da, ağır sansür ortamlarında bir yedek plan (fallback) olarak gizlilik konusunda rakipsizdir.

Strathclyde Üniversitesi araştırmacıları tarafından yapılan 2024 tarihli bir çalışmaya göre, bu tünellere IPsec veya MACsec gibi şifreleme katmanları eklemek gecikme süresini (delay) sadece 20 mikrosaniye artırıyor. Bu, genel tabloda yok denecek kadar küçük bir değerdir ve performansınızdan ödün vermeden yüksek güvenlik sağlayabileceğinizin kanıtıdır.

• Endüstriyel IoT: Mühendisler, bir elektrik şebekesindeki uzak sensörleri birbirine bağlamak için Katman 2 (Layer 2) tünellerini kullanır. Sadece internet paketlerini taşıyan Katman 3 (IP tabanlı) tünellerin aksine, Katman 2 tünelleri uzun bir sanal Ethernet kablosu gibi çalışır. Bu sayede özel donanımlar, IP adresi bile kullanmayan düşük seviyeli durum güncellemeleri olan "GOOSE" mesajlarını ağ üzerinden güvenle gönderebilir. Strathclyde Üniversitesi'nin araştırması, bunun tepki süresini yavaşlatmadan şebekeyi güvende tuttuğunu göstermektedir.
• Sağlık Verileri Gizliliği: Tıbbi araştırmacılar, modern web protokolleri için tasarlanmamış eski nesil hastane ekipmanlarını birbirine bağlamak için aynı Katman 2 tünellerini kullanarak hasta verilerini kamuya açık internetten izole ederler.

Bir sonraki bölümde, gerçek konumunuzun yanlışlıkla sızmaması için bu tünellerin IP adresinizi nasıl yönettiğini inceleyeceğiz.

IP Maskeleme ve Sızıntı Koruması

İşin kazanç kısmına geçmeden önce, dijital dünyada açık vermemeniz için gereken güvenlik önlemlerinden bahsetmemiz gerekiyor. Güvenli bir tünel içinde olmanız, gerçek IP adresinizin her zaman gizli olduğu anlamına gelmez.

İlk olarak, NAT Geçişi (NAT Traversal) konusunu ele alalım. Çoğu kullanıcı, NAT (Ağ Adresi Çevirisi) kullanan bir ev yönlendiricisinin (router) arkasındadır. Bir dVPN'in (merkeziyetsiz VPN) sağlıklı çalışabilmesi için protokolün, yönlendirici ayarlarınızla manuel olarak uğraşmanıza gerek kalmadan, iki düğümün (node) doğrudan haberleşebilmesi adına o yönlendiricide bir "delik açması" gerekir.

Bir diğer kritik unsur ise Durdurma Anahtarı (Kill Switch) özelliğidir. Bu yazılım, bağlantınızı sürekli izler. Eğer tünel bağlantısı bir saniyeliğine bile kopsa, durdurma anahtarı internet erişiminizi anında keser. Bu özellik olmazsa, bilgisayarınız varsayılan olarak normal internet servis sağlayıcı (İSS) bağlantınıza geri dönebilir ve ziyaret ettiğiniz siteye gerçek IP adresinizi sızdırabilir.

Son olarak, IPv6 Sızıntı Koruması büyük önem taşır. Birçok eski VPN protokolü yalnızca IPv4 trafiğini tüneller. Eğer internet servis sağlayıcınız size bir IPv6 adresi tanımladıysa, tarayıcınız bir web sitesine ulaşmak için bu adresi kullanmaya çalışabilir ve güvenli tüneli tamamen devre dışı bırakabilir. Kaliteli dVPN uygulamaları, kimliğinizi gizli tutmak için tüm IPv6 trafiğini tünel üzerinden geçmeye zorlar veya IPv6'yı tamamen devre dışı bırakır.

Tokenizasyon ve Bant Genişliği Madenciliği Ödülleri

Tünel bağlantınızı kurdunuz, peki ama devasa komisyonlar alan bir aracı olmadan veya sistemin "sahte" düğümler (node) tarafından suistimal edilmesini engelleyerek ödemenizi tam olarak nasıl alacaksınız? İşte burası, blokzinciri katmanının gerçek gücünü gösterdiği ve basit bir VPN'i kelimenin tam anlamıyla bir bant genişliği madenine dönüştürdüğü noktadır.

Standart bir merkezi VPN hizmetinde, sağlayıcının size sunduğu panele güvenmekten başka çareniz yoktur. Bir P2P (eşten eşe) değişim ağında ise tüm süreci otomatikleştirmek için Akıllı Kontratlar (Smart Contracts) kullanılır. Bu kontratlar, kullanıcının ödemesini emanet (escrow) hesabında tutan ve ancak veri aktarımı gibi belirli şartlar yerine getirildiğinde sağlayıcıya aktaran, kendi kendine çalışan kod parçacıklarıdır.

Ancak asıl zorluk şurada: 5 GB'lık trafiği gerçekten yönlendirdiğinizi nasıl kanıtlarsınız? Bunun için Bant Genişliği Kanıtı (Proof of Bandwidth) protokollerini kullanıyoruz. Bu, ağın belirli aralıklarla düğümünüze "sorgu" paketleri gönderdiği kriptografik bir el sıkışma yöntemidir. Bir sağlayıcının bu süreci bir script ile simüle etmesini (sahtecilik yapmasını) önlemek için, bu sorgular son kullanıcıdan (bant genişliğini satın alan kişi) dijital bir imza gerektirir. Bu, trafiğin sadece düğüm tarafından uydurulmadığını, gerçekten hedefine ulaştığını kanıtlar.

• Otomatik Uzlaşma: Aylık maaş günü beklemenize gerek yok; oturum kapandığı ve kanıt doğrulandığı anda tokenlar cüzdanınıza geçer.
• Anti-Sybil Önlemleri: Bir düğüm başlatmak için küçük bir miktar token "stake" etme (kilitleme) şartı koşularak, bir kişinin ödülleri toplamak için 1.000 tane sahte düğüm kurması engellenir.
• Dinamik Fiyatlandırma: Tıpkı gerçek bir serbest piyasada olduğu gibi; Londra'da çok fazla düğüm varken Tokyo'da yeterli kapasite yoksa, Tokyo'daki ödüller daha fazla sağlayıcı çekmek için otomatik olarak yükselir.

Strathclyde Üniversitesi araştırmacıları tarafından yürütülen çalışma, IPsec gibi ağır şifreleme yöntemlerinde bile endüstriyel ortamlardaki gecikmenin minimum düzeyde kaldığını göstermiştir. Bu durum "madenciler" için harika bir haber; çünkü bu, token akışını sağlayan otomatik bant genişliği kontrollerinden geçememe riski olmadan düğümünüzü son derece güvenli tutabileceğiniz anlamına gelir.

• Akıllı Ev Sahipleri: Bir kullanıcı, Raspberry Pi cihazı üzerinden fiber bağlantısının %10'unu paylaşarak aylık Netflix aboneliğini karşılayacak kadar token kazanabilir.
• Dijital Göçebeler: Bir gezgin, kendi ülkesindeki ev yönlendiricisi (router) üzerinde bir düğüm çalıştırarak başkasına bir "çıkış noktası" sağlar ve kazandığı ödüllerle veri dolaşım (roaming) masraflarını öder.

Dağıtık Ağlarda Güvenlik Zorlukları

Bant genişliğinizi kiralayan kişinin, yasa dışı içeriklere erişmeye karar vermesi durumunda neler olabileceğini hiç düşündünüz mü? Bu konu, tüm P2P (eşler arası) ağların görmezden gelinen en kritik meselesidir. Açık konuşmak gerekirse, eğer "çıkış düğümü sorumluluğu" (exit node liability) üzerine kafa yormuyorsanız, bu işi yanlış yapıyorsunuz demektir.

Başka birinin trafiği için ağ geçidi görevi gördüğünüzde, o kişinin dijital ayak izi sizin üzerinizde kalır. Merkeziyetsiz bir VPN (dVPN) üzerindeki bir kullanıcı, kısıtlanmış içeriklere eriştiğinde veya bir DDoS saldırısı başlattığında, internet servis sağlayıcınız (İSS) kaynak olarak sizin IP adresinizi görür.

• Hukuki Gri Alanlar: Birçok bölgede "aracı kurum" savunması İSS'leri korur; ancak bireysel bir düğüm (node) sağlayıcısı olarak her zaman aynı yasal korumaya sahip olamazsınız.
• Trafik Zehirlenmesi: Kötü niyetli aktörler, hassas verileri çekmek (scraping) için düğümünüzü kullanmaya çalışabilir. Bu durum, ev IP adresinizin Netflix veya Google gibi ana hizmetler tarafından kara listeye alınmasına neden olabilir.

Şimdi biraz performanstan bahsedelim; çünkü hiçbir şey bir bant genişliği pazarını gecikmeli (laggy) bir bağlantı kadar hızlı bitiremez. Dağıtık ağlardaki en büyük sorunlardan biri "TCP üzerinden TCP" kullanımı, yani TCP Meltdown (TCP Erimesi) durumudur.

Wikipedia üzerinde de açıklandığı gibi, TCP kapsüllemeli bir veri paketini başka bir TCP tabanlı tünelin (SSTP veya SSH port yönlendirme gibi) içine sardığınızda, iki ayrı tıkanıklık kontrol döngüsü birbiriyle çatışmaya başlar. Dış tünel bir paket kaybettiğinde onu yeniden iletmeye çalışır; ancak iç tünel bundan habersiz olduğu için veri basmaya devam eder. Bu durum tampon belleklerin (buffer) dolmasına ve sistemin neredeyse durma noktasına gelmesine yol açar.

• UDP'nin Üstünlüğü: WireGuard gibi modern araçların UDP kullanmasının temel sebebi budur. UDP paket sıralamasına aldırmaz; böylece içteki TCP katmanının "güvenilirlik" kısmını herhangi bir müdahale olmadan yönetmesine izin verir.
• MTU Ayarlaması: Maksimum İletim Birimi (MTU) değerinizi optimize etmeniz gerekir. Kapsülleme işlemi veriye yeni başlıklar (headers) eklediği için, standart 1500 baytlık bir paket artık sığmaz hale gelir. Bu da paket parçalanmasına (fragmentation) ve ciddi yavaşlamalara neden olur.

Bir sonraki bölümde, tüm bu teknik detayları toparlayacak ve bu protokollerin geleceğinin, interneti alıp satma şeklimizi nasıl dönüştüreceğine bakacağız.

Merkeziyetsiz İnternet Erişiminin Geleceği

Tünellerin teknik yapısını ve sistemdeki para akışını inceledik; peki tüm bunlar bizi nereye götürüyor? Dürüst olmak gerekirse, gizliliğin doğrudan ağ yığınının (network stack) içine gömüldüğü ve bir VPN kullandığınızı bile fark etmediğiniz bir dünyaya doğru ilerliyoruz.

Şu andaki en büyük değişim Sıfır Bilgi Kanıtları (Zero-Knowledge Proofs - ZKP) tarafında yaşanıyor. Eski günlerde —yani yaklaşık iki yıl öncesinden bahsediyoruz— düğüm (node) sağlayıcısı verilerinizi görmüyor olabilirdi; ancak blokzincir kayıt defteri hâlâ "A Cüzdanı, 5GB için B Cüzdanına ödeme yaptı" bilgisini kaydediyordu. Bu bir üstveri (metadata) sızıntısıdır ve internet servis sağlayıcı (İSS) gözetimi konusunda ciddi endişeleri olanlar için takip edilebilir bir iz bırakır.

Yeni protokoller ZKP kullanmaya başlıyor; böylece cüzdan adresinizi sağlayıcıya ifşa etmeden bant genişliği için ödeme yaptığınızı kanıtlayabiliyorsunuz. Bu, adınızı veya ev adresinizi vermeden sadece "21 yaşından büyük" olduğunuzu gösteren bir kimlik kartı ibraz etmek gibidir. Bu yöntem hem tüketiciyi hem de sağlayıcıyı anonimleştirerek tüm P2P ağını dış gözlemciler için tam bir "kara kutu" haline getirir.

• Kör İmzalar (Blind Signatures): Ağ, erişim jetonunuzun (token) hangi kullanıcıya ait olduğunu bilmeden geçerliliğini doğrular.
• Çok Katmanlı Onion Yönlendirme: Verileriniz tek bir tünel yerine, Tor ağına benzer şekilde ancak WireGuard hızıyla üç farklı konut tipi düğüm üzerinden aktarılabilir.

Aslında burada merkeziyetsiz bir İSS alternatifinin doğuşuna tanıklık ediyoruz. Eğer yeterli sayıda insan bu düğümleri çalıştırırsa, "gizlilik" için dev telekom şirketlerine güvenmek yerine matematiğe güvenmeye başlayacağız. Şu an için süreç biraz karmaşık görünebilir ancak protokol düzeyindeki güvenlik inanılmaz bir hızla gelişiyor.

Günün sonunda her şey risk ve ödül dengesine dayanıyor. Temelde bir "mikro İSS" haline geliyorsunuz. Wikipedia'daki TCP Meltdown (TCP Erimesi) maddesinde gördüğümüz gibi, paket çakışması gibi teknik aksaklıklar gerçektir; ancak bunlar artık UDP tabanlı tünelleme yöntemlerine geçilerek çözülüyor.

• Perakende ve E-ticaret: Küçük işletmeler, "bölgesel fiyatlandırma" botlarına veya veri merkezi engellerine takılmadan küresel reklam yerleşimlerini doğrulamak için bu ağları kullanıyor.
• Finans: Yatırımcılar, bazı kurumsal güvenlik duvarları tarafından kullanılan agresif Derin Paket İncelemesi (DPI) işlemlerinden yüksek frekanslı işlem sinyallerini gizlemek için 443 portu üzerinden SSTP kullanıyor. Daha yavaş olsa da, bu gizlilik onlar için her şeye değer.

Eğer stabil bir bağlantınız ve boşta duran bir Raspberry Pi cihazınız varsa, neden denemeyesiniz? Sadece DNS kara listeye alma (DNS blacklisting) özelliğine ve sağlam bir acil durdurma anahtarına (kill switch) sahip bir protokol kullandığınızdan emin olun. Teknoloji nihayet gerçek anlamda açık, P2P tabanlı bir internet hayaline yetişiyor. Üstelik siz uyurken yönlendiricinizin (router) çalışması karşılığında kripto para kazanmak hiç de fena bir fikir değil. Güvende kalın.