Güvenliği lisansla satmak, sektörün en büyük pazarlama masalıdır.

🔐 1️⃣ “Kapalı ürün = daha güvenli” iddiası doğru mu?

Hayır. Peki ya gerçekler?

  • Güvenlik = mimari + konfigürasyon + operasyon
  • Lisans = ticari model
  • İkisi aynı şey değil

📌 Tarihten örnek:

  • SolarWinds (tamamen lisanslı, kurumsal)
  • Exchange zero-day’ler
  • FortiGate, Cisco, Palo Alto CVE’leri

Hepsi lisanslı, pahalı ve “enterprise” ürünlerdi.

🧠 2️⃣ Açık kaynak = güvensiz mi?

Tam tersine:

Açık kaynak ne sağlar?

  • Kod herkes tarafından incelenebilir
  • Backdoor saklamak zordur
  • CVE’ler hızlı ortaya çıkar
  • Topluluk baskısı vardır

Linux, OpenSSL, WireGuard, OpenSSH:

İnternetin %70’ini ayakta tutuyor.

Kimse “Microsoft Exchange kadar güvenli mi?” diye sormuyor çünkü:
👉 Exchange’in açıkları çok daha yıkıcı.

🔥 3️⃣ Vendor’ların asıl korkuttuğu şey ne?

Vendor’ların gerçek korkusu şudur:

“Müşteri fark ederse ki, bu sistem lisans olmadan da çalışıyor…”

Bu yüzden şu söylemler pompalanır:

❌ “Antivirüs yoksa hacklenirsiniz”
❌ “Bulut olmazsa veri kaybolur”
❌ “Enterprise ürün şart”
❌ “Compliance bunu istiyor”

Oysa teknik gerçek:

  • Firewall doğru kurgulanmamışsa → lisanslı da olsa açık
  • Yedekleme test edilmemişse → pahalı yazılım da işe yaramaz
  • Kullanıcı admin ise → EDR da kurtarmaz

İletişim kanallarımızdan mutlaka bize ulaşın. Çünkü:
“Biz güvenliği lisansla değil, mimariyle sağlıyoruz.
Ürün değil, sorumluluk satıyoruz.”

İşletmeler için 5 Yıllık Gerçek BT Maliyeti

Bir işletme BT altyapısını kurarken genellikle tek tek ürünlere odaklanır:
Windows, Office, sunucu, antivirüs, güvenlik duvarı…

Ancak bu ürünler 5 yıllık bir perspektiften ele alındığında, ortaya çıkan tablo çoğu zaman beklenenden çok daha ağırdır.

Aşağıda, 10 bilgisayarlı küçük bir işletme için ortalama ve muhafazakâr bir 5 yıllık maliyet örneği yer alıyor.

📊 Örnek Senaryo: 10 Kullanıcılı Bir İşletme (5 Yıl)

Donanım ömrü: 5 yıl
Kurumsal ama “lüks olmayan” seçimler

💻 İstemci Tarafı

  • Windows 11 Pro (tek seferlik): 10 adet
  • Office (yıllık lisans): 10 kullanıcı

🖥 Sunucu Tarafı

  • Windows Server (tek seferlik)
  • Kullanıcı erişimi için CAL lisansları

🔐 Güvenlik & Altyapı

  • Antivirüs (yıllık)
  • Firewall lisans yenileme (yıllık)
  • VPN / UTM özellikleri (yıllık)
  • Yedekleme yazılımı (yıllık)

💰 5 Yıllık Yaklaşık Lisans Maliyeti (TL bazlı, ortalama)

(Kur ve kampanya etkileri hariç, yuvarlatılmış)

  • Windows lisansları: tek sefer
  • Windows Server + CAL: tek sefer
  • Office (5 yıl): 5 × yıllık
  • Antivirüs (5 yıl): 5 × yıllık
  • Firewall & VPN lisansları (5 yıl): 5 × yıllık
  • Yedekleme yazılımı (5 yıl): 5 × yıllık

➡️ Toplamda 5 yılda:

ciddi bir lisans bütçesi

ve

her yıl yenilenen zorunlu ödemeler

Bu maliyetlere şunlar dahil değildir:

  • Kurulum hizmetleri
  • Arıza / destek bedelleri
  • Versiyon geçişleri
  • Acil müdahaleler
  • Lisans uyumsuzluk riskleri

Yani gerçek maliyet genellikle hesaplanan rakamın da üzerine çıkar.

Asıl Soru: İşletme Ne Satın Almış Oluyor?

Bu 5 yılın sonunda işletme:

  • Yazılımların sahibi olmuyor
  • Sadece kullanma hakkını kiralamış oluyor
  • Yenileme yapılmazsa güvenlik riski başlıyor
  • Sistem hâlâ destek ve yönetim gerektiriyor

Kısacası:

Harcanan para bir varlığa değil, süreye gidiyor.

Alternatif Yaklaşım: Lisans Yerine Hizmet

Burada farklı bir bakış açısı devreye giriyor:

“Bu ürünleri satın almak zorunda mıyım,
yoksa çalışan bir sistemi hizmet olarak alabilir miyim?”

Bu modelde işletme:

  • Tek tek lisans takip etmez
  • Yenileme tarihleriyle uğraşmaz
  • Ürün bağımlılığı yaşamaz
  • Tek muhatapla çalışır

Odak noktası:
“hangi lisans?” değil, “sistem çalışıyor mu?”

Biz Bunu Nasıl Çözüyoruz?

Bizim yaklaşımımız ürün değil, altyapı hizmeti sunmak üzerine kurulu.

🧩 Temel prensiplerimiz:

  • Açık standartlar
  • Vendor lock-in (üretici bağımlılığı) yok
  • Lisans yenileme stresi yok
  • Güvenlik mimariyle sağlanır

⚙️ Teknik omurga:

  • Linux tabanlı sunucu altyapısı
  • MikroTik ile firewall, VPN ve ağ güvenliği
  • Açık kaynaklı e-posta, dosya, yedekleme çözümleri
  • Merkezi yönetim ve izleme

🧾 Müşteri ne alıyor?

  • Çalışan bir sistem
  • Sürekli güncel yapı
  • Güvenlik takibi
  • Destek ve bakım
  • Sabit ve öngörülebilir aylık bedel

Ve en önemlisi:

Sistem bize bağımlı değil, standartlara bağlı.

Kimler İçin Mantıklı?

  • BT personeli olmayan firmalar
  • Lisans maliyetlerini kontrol altına almak isteyenler
  • “Aradığımda ulaşabileyim” diyenler
  • BT’yi yatırım değil, hizmet olarak görmek isteyenler

Sonuç

5 yıllık tabloda mesele sadece lisans bedeli değildir.
Asıl mesele:

  • Süreklilik
  • Güvenlik
  • Yönetilebilirlik
  • Öngörülebilir maliyet

Çoğu işletme için bunları ürün satın alarak değil,
doğru hizmet modeliyle sağlamak daha mantıklıdır.

BT, işletmenin sırtında bir yük değil;
doğru kurgulandığında sessizce çalışan bir destek olmalıdır.

Lisans Satın Almak mı, Hizmet Almak mı?

İşletmeler için Görünmeyen BT Maliyetleri

Bir işletme büyüdükçe bilgisayar sayısı artar, dosyalar çoğalır, uzaktan erişim ihtiyacı doğar ve doğal olarak “kurumsal” çözümler gündeme gelir.
Bu noktada çoğu işletmenin karşısına aynı tablo çıkar:

  • Windows lisansları
  • Office paketleri
  • Sunucu yazılımları
  • Antivirüs
  • Güvenlik duvarı lisansları
  • VPN, yedekleme, ek modüller

Ve bunların önemli bir kısmı yıllık yenileme gerektirir.

İlk bakışta bu normal görünür. Ancak birkaç yıl geriye çekilip toplam maliyete bakıldığında tablo değişir.

Lisanslı Ürünler Gerçekte Ne İfade Ediyor?

Lisans satın almak, çoğu zaman şu anlama gelir:

  • Yazılımı kullanma izni
  • Belirli süreyle (genellikle 1 yıl)
  • Belirli şartlarla

Yani satın alınan şey aslında bir varlık değil, bir kullanım hakkıdır.
Bu hakkın süresi dolduğunda sistem çalışmaya devam etse bile:

  • Güncellemeler kesilir
  • Güvenlik riski oluşur
  • Destek biter

Ve işletme tekrar ödeme yapmak zorunda kalır.

Bu durum, yıllar içinde sabit bir gider kalemi haline gelir.

Görünmeyen Ama Gerçek Maliyetler

Lisans bedelleri genelde tek başına değerlendirilir. Oysa işletmelerin katlandığı gerçek maliyet şunları da içerir:

  • Kur artışıyla yükselen yenileme bedelleri
  • Ürün paketlerinin değişmesi (bir özellik artık “üst paket”)
  • Uyum sorunları (eski sistem, yeni lisans)
  • Birden fazla üreticiyle muhatap olma
  • Sorun anında “ürün var ama çözüm yok” durumu

Üstelik lisanslı ürün kullanmak, destek alındığı anlamına gelmez.
Çoğu zaman işletmeler lisansı alır, ama yönetimi ve sorumluluğu yine kendi üzerinde kalır.

Güvenlik Lisansla mı Sağlanır?

Pazarda sıkça duyulan bir söylem vardır:

“Kurumsal lisanslı ürün kullanmazsanız güvende olmazsınız.”

Gerçekte güvenlik;

  • Mimariyle
  • Doğru yapılandırmayla
  • Günlük operasyon disipliniyle
    sağlanır.

Tarihte yaşanan büyük güvenlik ihlallerinin önemli bir kısmı, çok pahalı ve tamamen lisanslı kurumsal ürünler üzerinde gerçekleşmiştir.

Yani sorun lisanslı ya da lisanssız olmak değil;
nasıl kurulduğu ve nasıl yönetildiğidir.

Alternatif Bir Yaklaşım: Hizmet Olarak Altyapı

Son yıllarda birçok işletme şu soruyu sormaya başladı:

“Bu sistemleri satın almak yerine, neden yönetilen bir hizmet olarak almıyorum?”

Bu yaklaşımda işletme:

  • Lisans kovalamaz
  • Yenileme tarihlerini takip etmez
  • Ürün değişikliklerinden etkilenmez
  • Tek muhatapla çalışır

Odak noktası “hangi ürünü aldım” değil,
“sistem çalışıyor mu ve güvende mi” olur.

Hizmet Modelinin Sağladıkları

Hizmet odaklı bir BT modelinde:

  • Yazılım lisansları değil, süreklilik önemlidir
  • Sabit ve öngörülebilir maliyet oluşur
  • Sistemler ihtiyaçlara göre şekillenir
  • Vendor (üretici) bağımlılığı azalır
  • İşletme, BT’yi bir yük değil destekleyici güç olarak görür

En önemlisi:
İşletme, teknik detaylarla değil kendi işiyle ilgilenir.

Peki Bu Model Kimler İçin Uygun?

  • Kendi BT personeli olmayan firmalar
  • Lisans ve yenileme maliyetlerinden yorulmuş olanlar
  • “Birini aradığımda ulaşabileyim” diyenler
  • BT’yi yatırım kalemi değil, operasyonel hizmet olarak görmek isteyenler

Sonuç

Bugün işletmelerin önünde iki yol var:

  1. Ürünleri tek tek satın alıp,
    lisanslarını yenileyip,
    sorumluluğu üstlenmek
  2. Altyapıyı bir bütün olarak,
    yönetilen bir hizmet şeklinde almak

İkinci yol genellikle daha sade, daha öngörülebilir ve uzun vadede daha mantıklı oluyor.

Çünkü işletmelerin ihtiyacı olan şey yazılım lisansı değil;
çalışan, güvenli ve sürdürülebilir bir sistem.

Per Connection Queue (PCQ) ile Bant Genişliği Tanımlama

Mikrotik cihazınızda bağlantı başına bant genişli sınırlamak istiyorsanız, aşağıda bulunan komutları yerel ağınıza uygun olarak düzenleyerek terminal ekranına yapıştırabilirsiniz.

/queue type
add kind=pcq name=pcq-upload-custom pcq-classifier=src-address pcq-rate=5M
add kind=pcq name=pcq-download-custom pcq-classifier=dst-address pcq-rate=5M
/queue simple
add name=Throttle-Each queue=pcq-upload-custom/pcq-download-custom target=192.168.88.0/24

PCC Metodu ile İnternet Yük Dengeleme

Şayet iki servis sağlayıcı kullanıyorsanız, pcc metodu ile Mikrotik cihazlarınızda yük dengeleme yaparak yerel ağınızdaki istemcilere daha verimli bir bant genişliği sağlayabilirsiniz.

Yukarıda bulunan örnek topoloji üzerinden gidersek:

/ip address
add address=192.168.88.1/24 network=192.168.88.0 broadcast=192.168.88.255 interface=Local
add address=192.168.10.2/24 network=192.168.10.0 broadcast=192.168.10.255 interface=WAN1
add address=192.168.20.2/24 network=192.168.20.0 broadcast=192.168.20.255 interface=WAN2

Cihazı dns sunucusu olarak kullanalım:

/ip dns set allow-remote-requests=yes cache-max-ttl=1w cache-size=5000KiB max-udp-packet-size=512 servers=8.8.4.4,8.8.8.8

Paketleri işaretlemek ve yönlendirmek için mangle kurallarına ihtiyacımız var.


/ip firewall mangle
add chain=input in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_conn
add chain=input in-interface=WAN2 action=mark-connection new-connection-mark=WAN2_conn
add chain=output connection-mark=WAN1_conn action=mark-routing new-routing-mark=to_WAN1
add chain=output connection-mark=WAN2_conn action=mark-routing new-routing-mark=to_WAN2
add chain=prerouting dst-address=192.168.10.0/24 action=accept in-interface=Local
add chain=prerouting dst-address=192.168.20.0/24 action=accept in-interface=Local
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses-and-ports:2/0 action=mark-connection new-connection-mark=WAN1_conn passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses-and-ports:2/1 action=mark-connection new-connection-mark=WAN2_conn passthrough=yes
add chain=prerouting connection-mark=WAN1_conn in-interface=Local action=mark-routing new-routing-mark=to_WAN1
add chain=prerouting connection-mark=WAN2_conn in-interface=Local action=mark-routing new-routing-mark=to_WAN2

Son olarak routing mark ile birlikte yeni route tanımlarını işledikten sonra ağımızı maskeleyelim.

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.10.1 routing-mark=to_WAN1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.20.1 routing-mark=to_WAN2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.20.1 distance=2 check-gateway=ping
/ip firewall nat
add chain=srcnat out-interface=WAN1 action=masquerade
add chain=srcnat out-interface=WAN2 action=masquerade

Hepsi bu kadar. Örnekte iki internet devresi var. Ama ikiden fazla kullanılıp kuralları buna göre revize edebilirsiniz.

Mikrotik ve Stateful Firewall Kuralları

Stateful ve stateless güvenlik duvarları arasındaki temel farkı, birinin paket durumların izleyebilecekken diğerinin izleyememesi olarak özetleyebiliriz. Haricinde, her iki güvenlik duvarı türü de aynı şekilde çalışır, paket başlıklarını inceler ve trafiğin önceden tanımlanmış kurallara göre geçerli olup olmadığını belirlemek için içerdikleri bilgileri kullanır. Stateful güvenlik duvarları, stateless güvenlik duvarlarının belirleyemediği çeşitli tehditlerin belirlemesini sağlar.

Aşağıda bulunanlar dahil olmak üzere, bazı saldırı türleri hedeflerine ulaşmak için legitimate (geçerli) paketleri kötü niyetli olarak kullanır

TCP Taramaları: Bazı taramalar, TCP paketini sıra dışı gönderir ve yanıtı gözlemler. Örnekler arasında ACK ve FIN taramaları bulunur.

DDoS Saldırıları: DDoS saldırılarında genellikle geçerli paketleri kullanılır. Bunlarla birlikte saldırgan, hedef uygulamayı veya sistemi boğmak için büyük miktarlarda paket gönderimi sağlamaktadır.

Her iki örnek saldırıda, stateless bir güvenlik duvarı paketlerin geçmesine izin verecektir. Saldırıyı belirlemek, yalnızca stateful bir güvenlik duvarının sahip olacağı bağlamı gerektirir.

Satın almış olduğunuz Mikrotik cihazlar varsayılan olarak “Stateless” kurallar ile birlikte gelecektir. Bu nedenle cihazınızı bir stateful güvenlik duvarı olarak kullanacaksanız, mutlaka tüm konfigürasyonu silmeniz gerekecektir.

Mikrotik Stateful Güvenlik Duvarı Komutları:

/ip firewall filter
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" in-interface-list=LAN protocol=icmp
add action=accept chain=input dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
add action=accept chain=input comment="defconf: accept TCPs example" dst-port=143,993,995,25,465,587,80,443,1194 protocol=tcp
add action=accept chain=input comment="defconf: accept UDPs example" dst-port=5060 protocol=udp
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="dropping port scanners" src-address-list="port scanners"
add action=drop chain=input in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"