Bir kafe işletmecisinin telefonu çalar: müşterilerinden biri Wi-Fi üzerinden bir tehdit unsuru paylaşmıştır ve emniyet ekipleri 24 saat içinde 90 günlük log kaydını talep etmektedir. Eğer işletmenizin elinde uygun bir loglama altyapısı yoksa, bu telefon görüşmesi 50.000 TL’den başlayan idari para cezasıyla sonlanır. 5651 sayılı kanun, 2007 yılında yürürlüğe girdiğinden bu yana onlarca defa güncellendi; ama uygulamada en sık görülen ortak nokta hep aynı: KOBİ sahiplerinin büyük bir kısmı, yasanın kendilerini bağladığını fark etmemiş durumdadır. Bu yazıda 5651 yasal çerçevesini sade bir Türkçeyle anlatacak, ardından MikroTik tabanlı uçtan uca bir loglama mimarisi sunacağım.

5651 Sayılı Kanun Neyi, Kimi Bağlar?

Kanunun resmî adı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun”dur. Ama esasen iki temel yükümlülük getirir: İçerik sağlayıcılar için ve toplu kullanım sağlayıcılar için. Bizim ilgilendiğimiz alan ikincisidir.

Toplu kullanım sağlayıcı tanımı geniştir: kafeler, restoranlar, oteller, alışveriş merkezleri, hastaneler, üniversiteler, kütüphaneler, otobüsler ve benzer mekânlar bu kategoriye girer. Eğer mekânınızda misafirlerinize internet erişimi sunuyorsanız, 5651 kapsamındasınız demektir. Bu yükümlülük 2024’te yapılan son düzenleme ile ufak işletmelere de açıkça uygulanmaktadır.

Yasanın yüklediği temel yükümlülük şudur: Mekânınızda sunulan internet erişiminden yapılan bağlantıları loglamak ve bu logları minimum 2 yıl, maksimum 5 yıl saklamak. 2014’te yapılan düzenlemeyle iş yerlerinin sorumluluğu 2 yıl olarak netleşti; ama yargı pratiğine bakıldığında bazı il emniyet müdürlüklerinin 5 yıllık kayıt talebinde bulunduğu da görülmüştür. Bu nedenle saklama süresini 2 yıldan az tutmayın.

Bir Log Kaydı Tam Olarak Neleri İçermeli?

Çoğu işletme “logum var” deyip ihlal cezasıyla karşılaştığında “ama log tutuyorum” diye savunma yapar. Çünkü 5651’in talep ettiği log, sıradan bir DHCP kaydı değildir. Yetkili otoriteye sunulması gereken bir log kaydı asgari olarak şunları içermelidir:

• Hangi tarih ve saatte (saniye hassasiyetinde, NTP senkronizasyonu olmalı)
• Hangi kullanıcı (MAC adresi veya hotspot oturum bilgisi)
• Hangi hedef IP’ye ve port’a
• Hangi protokol üzerinden bağlanıldı
• Bu bilginin değiştirilmediğinin kanıtı (hash veya imzalı saklama)

Sade DHCP kaydı bunların sadece bir kısmını verir. Ek olarak NAT log’u (kullanıcının hangi dış IP’ye/port’a açıldığı), DNS log’u (hangi alan adlarına bakıldığı) ve hotspot oturum bilgisi (kim, ne zaman giriş yaptı) gerekir.

MikroTik ile 5651 Uyumlu Loglama: Mimari Bakış

MikroTik ekosisteminde 5651 uyumlu bir mimari kurmak için ihtiyacımız olan dört bileşen vardır:

1. Hotspot: Misafir Wi-Fi erişimi için. Kullanıcının cep telefonu numarasıyla veya kupon ile giriş yapmasını sağlar.
2. User Manager (UMR): Hotspot kullanıcılarının yönetimini ve oturum loglarını tutar.
3. Syslog sunucusu: MikroTik’in tüm loglarını dış bir sunucuda saklamak için. Bu çok kritiktir; çünkü MikroTik’in kendi disk alanı sınırlıdır.
4. Hash imzalı arşivleme: Logların değiştirilmediğini kanıtlamak için günlük hash hesabı.

Bu mimari tek bir hAP ax3 cihazda küçük bir kafe için kurulabileceği gibi, RB4011 + ayrı bir Ubuntu syslog sunucusu ile daha büyük bir otelde de uygulanabilir. Tasarımı senaryonuza göre ölçeklendireceğiz.

Adım Adım Mini Kurulum: 80 Müşterili Bir Kafe

İzmir Konak’ta danışmanlık verdiğim bir kafe için kurduğumuz sistemin özet kurulumunu paylaşıyorum.

Hotspot Yapılandırması

Önce LAN tarafındaki bir interface’i hotspot için ayırın. Genellikle ayrı bir VLAN veya bridge önerilir. Hotspot sihirbazını IP > Hotspot > Hotspot Setup‘tan başlatın. Hotspot Interface olarak ayırdığınız bridge’i seçin. DNS, address pool, login type gibi seçenekleri sihirbaz size soracaktır. Login Type olarak “SMS” veya “Cookie + Trial” tercih edilebilir.

2024’ten itibaren BTK tavsiyesi, kullanıcı kimliklendirmesinin SMS doğrulamasıyla yapılmasıdır. Sade ücretsiz Wi-Fi (login penceresine kabul edip geçme) artık yeterli görülmüyor. SMS doğrulamasını entegre etmek için Verimor, Twilio veya yerli SMS API’leri kullanılabilir.

NAT ve Bağlantı Loglama

Loglama tarafında 5651’in en önemli isteği NAT trafiğinin loglanmasıdır. MikroTik üzerinde bunu connection tracking ile etkinleştirebiliriz. IP > Firewall > Connections menüsüne girdiğinizde aktif tüm bağlantıları görürsünüz; ama bunlar bellekte tutulur. Kalıcı log için connection tracking action’ında “log” özelliğini açmanız ve action.log.prefix değerini “5651-nat:” gibi anlamlı bir etikete almanız gerekir.

Aşağıdaki örnek, hotspot kullanıcılarının dışarı çıkışındaki NAT olaylarını loglar:

/ip firewall mangle
add chain=prerouting in-interface=hotspot-br action=mark-connection 
  new-connection-mark=5651-tracked passthrough=yes

/ip firewall filter
add chain=forward connection-mark=5651-tracked action=log 
  log-prefix="5651:" comment="5651 NAT log"

Syslog’u Dış Sunucuya Göndermek

MikroTik’in kendi log alanı küçük olduğu için tüm bu logları dışarıya, kalıcı bir sunucuya iletmeniz şart. System > Logging‘den Actions sekmesinde “remote” tipinde bir aksiyon oluşturun. Remote address olarak Linux veya Windows syslog sunucunuzun IP’sini, port olarak 514’ü girin. Sonra Rules sekmesinde “5651” topic’inde “remote” action’ı seçili kuralı ekleyin.

Sunucu tarafında Ubuntu üzerinde rsyslog basit bir tercih: /etc/rsyslog.conf‘a $ModLoad imudp ve $UDPServerRun 514 satırlarını eklemek yeterli olur. Her gün için ayrı dosya oluşturmak ve dosya başına hash hesaplamak için bir cron görevi yazılır.

Disk Alanı ve Maliyet Hesabı

80 kullanıcılı bir kafede günlük üretilen log miktarı yaklaşık 400-800 MB arasıdır. İki yıllık saklama için kabaca 600 GB’lık bir disk alanı ayırmanız gerekir. Sabit disk üzerinden hesap yaptığımızda bu, 100 dolar civarındaki bir 1 TB HDD ile rahatlıkla karşılanır.

Daha profesyonel bir kurulum için bulut tarafına aktarım önerilir. AWS S3 veya yerli bulut sağlayıcılarına haftalık olarak şifrelenmiş arşiv yükleyebilirsiniz. Hatta bunu otomatikleştiren küçük bir bash script ile cron’a koymak da pratiktir.

Aylık Operasyonel Maliyet Karşılaştırması

• MikroTik kendi başına + Ubuntu syslog + yerel disk: İlk yatırım ~3500-5000 TL. Aylık operasyonel maliyet sıfır.
• Üçüncü parti 5651 yazılımı (yıllık abonelik): Yıllık 4500-12000 TL arası. Sürekli bir bağımlılık.
• Bulut tabanlı log saklama servisi: Aylık 200-500 TL aralığında. Esneklik için bazen tercih edilebilir.

Saha tecrübemden konuşursam, KOBİ’lerin %85’i için MikroTik + Ubuntu syslog modeli yeterlidir ve maliyet açısından en avantajlısıdır.

Hotspot Giriş Sayfasının Yasal Uyumluluğu

Çoğu kişi gözden kaçırır: Hotspot login sayfasının kendisi de yasal bir araçtır. Sayfada misafire açıkça bildirmeniz gereken üç şey vardır:

1. Hangi tarih aralığında loglama yapacağınızı (genellikle “2 yıl boyunca saklanır” ifadesi)
2. Hangi bilgileri topladığınızı (IP, MAC, bağlantı zamanı, hedef IP/port)
3. 5651 sayılı kanun gereği bu işlemin zorunlu olduğunu

Bu bilgilerin login sayfanızdaki “kabul ediyorum” onayının üstünde okunabilir bir formatla yer alması gerekir. KVKK aydınlatma metni ile karıştırmayın; 5651 metni teknik bir bilgilendirme, KVKK ise kişisel veri işleme şartıdır. Her ikisi de ayrı ayrı yer almalıdır.

Sık Karşılaşılan Üç Denetim Hatası

Saha tecrübemde gördüğüm en yaygın üç eksiklik:

1. NTP senkronizasyon eksikliği. Log kayıtlarınızın saati yanlışsa, kanıt olarak değer kaybeder. /system ntp client set enabled=yes servers=time.google.com,time.cloudflare.com komutu basit bir çözümdür.

2. Log dosyalarının hash imzasız tutulması. Denetimde “logu sonradan değiştirebilirdiniz” itirazına karşı hash zinciri oluşturmak gerekir. Günlük şu komut çalıştırılabilir: sha256sum /var/log/5651/$(date +%Y-%m-%d).log >> /var/log/5651/hashes.txt.

3. Hotspot olmadan sadece MAC eşleme. Bir Wi-Fi’a şifreyle bağlanıp MAC eşleştirmesi yapmak 5651 kapsamında yeterli görülmüyor. Misafire özel bir oturum açılması ve kimliklendirme yapılması talep ediliyor. Yani “evdeki şifrenin başkasına verilmesi” tarzı bir paylaşım kabul edilmez.

Otel Senaryosu: Daha Büyük Bir Mimari

Bir 80 odalı butik otelde tasarladığımız kurulum yaklaşık 300 eşzamanlı kullanıcıyı destekliyor. Bu ölçekte tasarım şöyledir:

• Çıkış katmanında bir RB4011 router
• Her katta CAPsMAN ile yönetilen 4 adet cAP ac
• Misafir VLAN’inde hotspot, personel VLAN’inde basit şifreli Wi-Fi
• Ayrı bir Ubuntu sanal sunucusu (4 vCPU, 8 GB RAM, 2 TB disk) syslog ve hash imza işleri için
• Haftalık AWS S3 Glacier’a şifrelenmiş arşiv aktarımı

Yıllık operasyonel maliyet yaklaşık 2400 TL civarındadır (sadece S3 storage’ı). Bu rakam, herhangi bir abonelik tabanlı 5651 paketinin altında kalır.

Vaka Çalışması: Bir Berber Salonundan Devlet Hastanesine

2023 yılında danışmanlık yaptığım üç farklı işletmenin 5651 deneyimini özetleyeyim, çünkü ölçek farklılıkları çok şey öğretici olur.

Vaka 1: İstanbul Kadıköy’de küçük bir berber salonu. Günde ortalama 25-30 müşteri. Sahibi başlangıçta “küçük bir yer, gerek yok” diye düşünmüştü. Bir müşteri Wi-Fi’a bağlanıp yasal olmayan bir sitenin yöneticisi rolünde mesaj atınca emniyet kapıya geldi. İşletme 23.000 TL idari para cezasıyla karşılaştı, üstelik bağlantısı 7 gün kesildi. Sonrasında 2200 TL’lik tek seferlik bir kurulumla (hAP ax2 + Raspberry Pi 4 syslog sunucusu) sorun ortadan kalktı.

Vaka 2: Bursa’da 8 şubeli bir kırtasiye/kafe zinciri. Toplam yaklaşık 350 günlük müşteri. Buradaki çözümümüz şubelerde birer hAP ac3 + merkez ofiste tek bir loglama sunucusu olacak şekildeydi. Tüm şube logları IPsec VPN üzerinden merkeze geliyor, merkezde rsyslog topluyor, günlük hash dosyaları üretiliyor. Aylık operasyonel maliyet sıfır; çünkü kullandığımız sunucu zaten muhasebe yazılımı için ayrılmıştı.

Vaka 3: Ankara’da bir devlet hastanesi. 1200 odalı, günlük 5000+ ziyaretçi. Burada ölçek artıyor: CCR1036 omurga, CAPsMAN ile 84 cAP, üç farklı VLAN (hasta, personel, yönetim). Loglama tarafında dedikasyon: iki adet Dell R740 sunucu, biri primary biri replica, S3 Glacier’a haftalık şifreli arşiv. Sistem 18 aydır çalışıyor; iki resmi log talebine 90 dakika içinde cevap verildi.

5651 ile Beraber Düşünülmesi Gereken Diğer Güvenlik Önlemleri

5651 odaklı bir kurulum sadece yasal yükümlülüğü karşılar; siber güvenlik açısından eksik kalabilir. Aynı altyapıya birkaç ek katman eklemek hem ağı korur hem de log kalitesini artırır:

• DNS filtreleme: Pi-hole veya AdGuard Home gibi bir DNS sunucusu, kötü amaçlı sitelere yapılan istekleri engeller. Hem misafiri korur hem de loglarınızda gereksiz gürültüyü azaltır.
• HTTPS inspection bilinçli devre dışı: Çoğu MikroTik kurulumunda L7 inceleme yapılamadığı için HTTPS trafiği şifreli kalır. Bu, KVKK ve içerik gizliliği açısından doğru yaklaşımdır.
• Şüpheli davranış uyarı: User Manager üzerinden bir kullanıcının kısa süre içinde 50+ farklı IP’ye bağlanması gibi davranışlar webhook ile bildirim olarak iletilebilir.
• Yedek internet hattı: 5651 yükümlülüğü ana hattınız kesik olsa bile devam eder. Yedek bir 4G hattı eklemek operasyonel sürekliği korur.

Loglar Talep Edildiğinde Ne Yapılır?

Cumhuriyet Savcılığı veya emniyet ekipleri tarafından log talebi geldiğinde 24 saat içinde cevap vermeniz beklenir. Hazırlığınız varsa bu kısa bir e-posta meselesidir; yoksa panik içinde çırpınmak yerine doğru adımlarla ilerlemek hayati önem taşır:

1. Talep edilen tarih aralığını belirleyin.
2. İlgili log dosyalarını arşivinizden çıkarıp şifrelenmiş bir formatta (örneğin 7z + AES-256 şifreli) hazırlayın.
3. Şifre kanıtı için yetkili amirin imzasıyla bir tutanak hazırlayın.
4. Logları kanunda belirtilen süre içinde (genellikle 24 saat) ilgili merciye teslim edin.

Bu süreçte logun değiştirilmediğini kanıtlamak için hash dosyanızın da bir kopyasını paylaşmak akıllıca olur. Yetkili merci, kendi sistemine aldığı log dosyasının hash’ini yeniden hesaplayıp sizin sağladığınız hash ile karşılaştırabilir.

Loglama Sisteminin Sağlığını Sürekli İzlemek

Bir 5651 mimarisi kurulduktan sonra çoğu işletme onu unutur. Oysa sistemin sağlığını izlemek, gerçek bir denetim anında size güvence sağlar. Aşağıdaki kontrolleri aylık rutin haline getirin:

• Syslog sunucusunun disk doluluk oranı %80’in altında mı? Aksi takdirde eski arşivleri Glacier’a aktarmak gerekir.
• Son 30 günün hash zinciri kırıksız mı? Bir gün eksikse, o günün logları sahte sayılabilir.
• NTP senkronizasyonu sapması 1 saniyenin altında mı?
• Hotspot SMS gönderiminde başarısızlık oranı %2’nin altında mı? Yüksek başarısızlık, kullanıcı kimliklendirmenin sağlam çalışmadığını gösterir.
• Otomatik silme cron’u 2 yıllık eşiği doğru hesaplıyor mu? Bu, KVKK için kritiktir.

Bu kontrol listesini Zabbix veya Grafana ile dashboard haline getirmek, küçük bir teknik yatırımla işletmenize sürekli bir güvenlik katmanı kazandırır. Sahada izlediğim bir otel zincirinde, üç şubenin syslog sunucusu üç hafta boyunca durmuştu ve kimse fark etmemişti; ben dashboard ekleyince anında anormallik tespit edildi ve geçmişe yönelik bir denetim talebi geldiğinde işletme yasal yükümlülüğünü yerine getirebildi.

Sıkça Sorulan Sorular

Wi-Fi’a şifre koyup misafire şifreyi verirsem 5651 yükümlülüğünden muaf olur muyum?

Hayır. Önemli olan kimliklendirme. Hotspot tabanlı bir oturum açmadığınız sürece, şifreyi paylaşmak sizi yasal yükümlülükten kurtarmaz.

Logları kendi telefonumdan veya yurt dışı bir sunucudan tutabilir miyim?

Teknik olarak mümkün, ama yasal olarak risklidir. Türkiye sınırları içindeki bir sunucuda tutmak hem hukuki süreçleri kolaylaştırır hem de KVKK ile uyum açısından avantaj sağlar.

İnternet servisimi başka bir kurumdan kiralıyorum, sorumluluk onlarda mı?

Yine sizdesiniz. ISP, transit altyapı sağlayıcısıdır; mekânınızdaki misafir erişiminden siz sorumlusunuz. Bazı ISP’ler ek ücret karşılığında 5651 uyumlu loglama sunar ama bu sorumluluğu tamamen onlara transfer etmez.

Misafirimin yaptığı yasadışı bir işten ben sorumlu muyum?

Eğer 5651 uyumlu loglama yapıyorsanız hayır. Sorumlu, log’larda görünen gerçek kullanıcıdır. Loglama yapmamışsanız ise işletme sahibi olarak ihmalden ceza alabilirsiniz.

Eski loglarımı silmek zorunlu mu, yoksa daha uzun süre saklayabilir miyim?

KVKK açısından bakıldığında belirlenen sürenin ötesinde tutmak doğru olmaz. 2 yıllık saklama süresi sonunda otomatik silme cron görevi kurmanız hem yasal hem etik açıdan doğrudur.

Sonuç ve Tavsiye

5651 uyumlu loglama, ilk bakışta karmaşık ve maliyetli bir yatırım gibi görünür. Oysa MikroTik tabanlı bir mimari ile bir kerelik 3500-5000 TL’lik bir yatırımla küçük bir işletmenin tüm yükümlülüklerini yerine getirebilirsiniz. Eğitmen olarak şu konuda hemfikiriz: önemli olan kurulumdan sonra ihmal etmemek. Aylık bir bakım rutiniyle log dosyalarının üretildiğinden, hash imzalarının düzgün yazıldığından ve disk alanının dolmadığından emin olun.

Eğer kendi başınıza kurmak istemiyorsanız MikroTikBox üzerinden 5651 uyumlu loglama hizmeti talep edebilirsiniz. Kurulum sonrasında ayrıca bir yıllık ücretsiz teknik destek ile yapılandırmanızı izleyebilirsiniz. Hangi yolu seçerseniz seçin, bir şey kesindir: bu sorumluluğu ertelemek size çok daha pahalıya patlar. Saha gözlemlerime göre 5651 ihlali ile karşılaşan işletmelerin yaklaşık %70’i, kurulumun maliyetinin on katından fazla bir cezayla yüzleşiyor. Dolayısıyla bu yatırımı bir maliyet kalemi olarak değil, sigorta primi olarak görmek daha doğru bir yaklaşımdır.

Devam Eden Konular

Bu konuyla doğrudan ilişkili pratik rehberlerimiz:

• MikroTik Hotspot Kurulumu: Misafir Wi-Fi'yi Yasal ve Profesyonel Sunmak
• MikroTik vs Cisco: KOBİ İçin 5 Yıllık TCO Karar Rehberi
• KOBİ'lerde MikroTik Tabanlı Ağ Mimarisi: 47 Kullanıcılı Bir Şirket İçin Tam Plan

Kaynaklar ve Daha Fazla Bilgi

Bu yazıdaki konuları derinleştirmek için aşağıdaki otoriter kaynaklara başvurabilirsiniz:

• 5651 Sayılı Kanun (Mevzuat)
• BTK (Bilgi Teknolojileri ve İletişim Kurumu)
• KVKK Resmi Sitesi
• KVKK Aydınlatma Yükümlülüğü Rehberi