Kurumsal Hotspot Çözümleri: Misafir WiFi Rehberi 2024

Kurumsal Hotspot Neden Artık Zorunluluk, "Güzel Olur" Değil?

Otel lobinizde, AVM katlarınızda veya hastane bekleme salonunuzda misafirleriniz WiFi şifresi soruyor mu? Bu sorunun ardından gelen asıl soru şu: Açtığınız misafir ağı 5651 sayılı kanuna uygun mu, yoksa kurumunuzu her an hukuki ve idari yaptırımlarla karşı karşıya bırakacak bir zaman bombası mı? 2024 itibarıyla, kurumsal misafir WiFi sunmak sadece müşteri memnuniyeti meselesi değil—aynı zamanda yasal yükümlülük, veri güvenliği ve marka itibarı meselesidir. Türkiye'de internet erişimi sağlayan her kurum, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun kapsamında kullanıcı erişim kayıtlarını en az bir yıl süreyle saklamak ve talep halinde Bilgi Teknolojileri ve İletişim Kurumu'na () sunmakla yükümlüdür. Bu rehberde, kurumsal hotspot çözümlerinin teknik altyapısından yasal uyumuna, captive portal tasarımından cihaz entegrasyonlarına kadar tüm kritik noktaları ele alacağız.

Kurumsal hotspot çözümleri, otel, AVM, kafe, hastane, belediye, üniversite kampüsü gibi yüksek trafikli alanlarda misafirlere güvenli, izlenebilir ve yasal uyumlu internet erişimi sağlayan sistemlerdir. Klasik ev tipi modem paylaşımından farkı, kullanıcı kimlik doğrulama (captive portal), trafik izleme, bant genişliği yönetimi, içerik filtreleme ve otomatik log saklama gibi kurumsal özelliklerde yatar. Örneğin, 200 odalı bir otelde günde ortalama 400-500 cihaz bağlanır; bu cihazların her birinin MAC adresi, IP adresi, bağlantı zamanı, çıkış zamanı ve eriştiği URL'lerin loglanması gerekir. Manuel yöntemlerle bu iş imkansızdır; dolayısıyla bulut tabanlı veya lokal appliance çözümler devreye girer.

5651 Sayılı Kanun ve Hotspot İlişkisi: Yasal Çerçeve

5651 sayılı kanunun 4. ve 5. maddeleri, internet erişim sağlayıcılarını (access provider) trafik kayıtlarını saklamakla yükümlü kılar. Kanunun 5. maddesine göre, erişim sağlayıcılar kullanıcıların erişim kayıtlarını bir yıl, içerik sağlayıcılar ise iki yıl süreyle saklamalıdır. Kurumsal hotspot işleten bir otel, AVM veya kamu kurumu, misafirlerine internet erişimi sunduğu anda "erişim sağlayıcı" sıfatını kazanır ve bu yükümlülük altına girer. düzenlemeleri, saklanması gereken bilgileri şöyle listeler:

• Kullanıcı kimlik bilgileri: Ad, soyad, TC kimlik numarası, pasaport numarası veya cep telefonu numarası (SMS doğrulama durumunda)
• Bağlantı kayıtları: Bağlantı başlangıç ve bitiş zamanı (timestamp), atanan IP adresi, cihaz MAC adresi
• Trafik kayıtları: Erişilen alan adları (URL), veri miktarı, protokol türü (HTTP/HTTPS)
• Coğrafi konum: Bağlantının yapıldığı fiziksel konum (oda numarası, kat, access point adı)

Bu kayıtlar, suç soruşturmaları kapsamında adli makamlar veya tarafından talep edilebilir. Yükümlülüğü yerine getirmeyen kurumlar için 5.000 TL'den 100.000 TL'ye kadar idari para cezaları söz konusudur (2024 yılı güncel rakamlar). Ayrıca, bir suçun işlenmesinde kullanılan internet erişiminin kaynağı tespit edilemezse, kurum hukuki ve cezai sorumluluk altına girebilir. Örneğin, otelinizin WiFi'si üzerinden bir misafir telif hakkı ihlali veya kişisel veri sızdırma gerçekleştirirse ve siz bu kişinin kimliğini ispatlayamazsanız, sorumluluk size yönelebilir.

Ayrıca, KVKK (Kişisel Verilerin Korunması Kanunu) uyumu da kritiktir. Misafirlerden toplanan kimlik bilgileri, telefon numarası, e-posta gibi kişisel veriler, KVKK'nın 10. maddesine göre açık rıza alınarak, belirli amaçla sınırlı olarak ve güvenli şekilde saklanmalıdır. Captive portal ekranında "Kişisel Verilerin Korunması ve İşlenmesi Politikası" metni yer almalı, kullanıcı onay kutusunu işaretlemelidir. Saklanan loglar, yetkisiz erişime karşı şifreli veritabanlarında tutulmalı ve yedekleme prosedürleri düzenli test edilmelidir.

Kurumsal Hotspot Mimarileri: Bulut vs. Lokal Appliance

Kurumsal hotspot çözümleri iki ana mimari üzerinde çalışır: bulut tabanlı (cloud-hosted) ve lokal appliance (on-premise). Her ikisinin de avantajları ve sınırlamaları vardır; doğru seçim, kurumunuzun büyüklüğüne, bütçesine, teknik ekip kapasitesine ve veri hassasiyetine bağlıdır.

NextLog5651 gibi bulut tabanlı çözümler, özellikle çok lokasyonlu işletmeler için ideal çözümdür. Merkezi bir panelden tüm şubelerinizin hotspot trafiğini izleyebilir, kullanıcı raporlarını tek tıkla alabilir ve yazılım güncellemelerini otomatik alırsınız. Örneğin, 15 şubesi olan bir kafe zinciri, her şubeye ayrı sunucu kurmak yerine mevcut router'larını (MikroTik, Sophos, FortiGate) bulut hotspot sistemine entegre eder; captive portal sayfası merkezi olarak tasarlanır, tüm loglar şifreli bulut veritabanında toplanır. Lokal appliance ise, hassas verilerle çalışan (örneğin savunma sanayi tesisi, özel hastane) veya internet bağlantısının sık kesildiği bölgelerdeki kurumlar için tercih edilir.

Captive Portal Tasarımı: İlk İzlenim ve Hukuki Gereklilikler

Captive portal, kullanıcının WiFi ağına bağlandıktan sonra internet erişimi kazanmadan önce karşılaştığı kimlik doğrulama ve bilgilendirme sayfasıdır. Bu sayfa, hem yasal yükümlülükleri yerine getirmenin hem de marka deneyimi sunmanın kritik aracıdır. Etkili bir captive portal şu unsurları içermelidir:

• Marka kimliği: Logo, kurumsal renkler, slogan—misafir ağınızı kullanırken markanızı hatırlamalı.
• Çoklu doğrulama seçeneği: SMS (cep telefonu numarası), e-posta, sosyal medya (Facebook/Google OAuth), oda numarası + soyad (oteller için), voucher kodu (etkinlikler için).
• Açık rıza metni: KVKK uyumu için "Kişisel verileriniz 5651 sayılı kanun ve KVKK kapsamında işlenecektir" ifadesi ve onay kutusu.
• Kullanım koşulları: Yasadışı içerik paylaşımı, telif ihlali gibi faaliyetlerin yasak olduğu, ihlal durumunda yasal işlem başlatılacağı uyarısı.
• Bağlantı süresi ve kota bilgisi: "Günlük 2 GB kullanım hakkınız var, bağlantı 24 saat geçerlidir" gibi net bilgi.
• Reklam/tanıtım alanı (opsiyonel): Otel restoranı, AVM kampanyaları, yerel etkinlikler—ek gelir veya çapraz satış fırsatı.

Örneğin, Opera PMS veya Elektraweb gibi otel yönetim sistemleri ile entegre bir captive portal, misafirin oda numarasını ve soyadını girdiğinde otomatik olarak check-in durumunu doğrular; eğer misafir kayıtlı değilse erişim vermez. Bu, hem güvenliği artırır hem de yetkisiz kullanımı engeller. Amonra gibi yerel PMS çözümleri de API entegrasyonu ile aynı doğrulama akışını destekler. Zincir otellerde, merkezi rezervasyon sistemi ile senkronizasyon sayesinde misafir bir şubede giriş yaptığında, diğer şubelerde de otomatik tanınır.

Captive portal tasarımında mobil uyumluluk (responsive design) zorunludur; kullanıcıların %80'inden fazlası akıllı telefondan bağlanır. Sayfa yüklenme süresi 2 saniyeden uzun olmamalı, aksi halde kullanıcı deneyimi bozulur ve şikayet oranı artar. Ayrıca, çoklu dil desteği (Türkçe, İngilizce, Arapça, Rusça gibi) özellikle turizm sektöründe kritiktir; yabancı misafir kendi dilinde bilgilendirilmeli, onay vermelidir.

Firewall ve Router Entegrasyonları: Adım Adım Kurulum

Kurumsal hotspot çözümü, mevcut ağ altyapınıza entegre edilmelidir. En yaygın kullanılan cihazlar FortiGate, Sophos XG/XGS, MikroTik RouterOS ve SonicWall serisidir. Her platformun kendine özgü yapılandırma adımları vardır; ancak genel mantık aynıdır: misafir trafiğini ayrı bir VLAN'a yönlendirmek, captive portal'a yönlendirme (redirect) yapmak ve kimlik doğrulama sonrası internet erişimi açmak.

FortiGate ile Hotspot Kurulumu

1. VLAN oluşturma: FortiGate CLI veya GUI'den misafir ağı için VLAN ID tanımlayın (örneğin VLAN 50). Bu VLAN'ı fiziksel porta veya WiFi SSID'ye bağlayın.
2. Captive Portal yapılandırması: Security Profiles > Captive Portal bölümünden yeni bir profil oluşturun. Authentication yöntemi olarak "External" seçin ve NextLog5651 API endpoint'ini girin (örneğin https://portal.nextlog5651.com/auth).
3. Firewall Policy: Misafir VLAN'ından WAN'a giden trafiği izin veren bir policy oluşturun. Bu policy'de Captive Portal profilini etkinleştirin ve Logging seçeneğini "All Sessions" olarak ayarlayın.
4. DNS ve NTP ayarları: Misafir cihazların captive portal sayfasını görebilmesi için DNS sorgularına izin verin (port 53). NTP senkronizasyonu, log zaman damgalarının doğruluğu için kritiktir.
5. Test: Bir test cihazı ile misafir SSID'ye bağlanın; tarayıcı otomatik olarak captive portal sayfasını açmalıdır. Kimlik doğrulama sonrası internet erişimi kontrol edin ve FortiGate loglarında session kaydını doğrulayın.

MikroTik RouterOS ile Hotspot Kurulumu

1. Hotspot Server: IP > Hotspot > Hotspot Setup wizard'ını çalıştırın. Misafir ağı için kullanılacak interface'i seçin (örneğin wlan2).
2. RADIUS entegrasyonu: NextLog5651 bulut hotspot, RADIUS protokolü üzerinden MikroTik ile entegre olur. RADIUS > Add New bölümünden NextLog5651 RADIUS sunucu IP'sini, shared secret'ı ve port'u (genellikle 1812) girin.
3. Walled Garden: Captive portal sayfası ve gerekli CDN'lerin (örneğin Google Fonts, Bootstrap CDN) engellenmeden erişilebilmesi için IP > Hotspot > Walled Garden bölümüne domain'leri ekleyin.
4. User Profile: Bant genişliği limiti, oturum süresi gibi parametreleri IP > Hotspot > User Profiles bölümünden tanımlayın. Örneğin, "Misafir" profili: 5 Mbps download, 2 Mbps upload, 24 saat oturum süresi.
5. Log ve Accounting: System > Logging bölümünden hotspot action'larını remote syslog sunucusuna (NextLog5651 log collector) yönlendirin. Accounting paketleri RADIUS üzerinden otomatik gönderilir.

Sophos XG/XGS ile Hotspot Kurulumu

1. Captive Portal Zone: Authentication > Captive Portal bölümünden yeni bir zone oluşturun (örneğin "Guest_Zone"). Zone'u misafir interface'ine (Port3 veya VLAN50) bağlayın.
2. External Authentication: Authentication > Servers bölümünden NextLog5651 API'sini "External Authentication" olarak tanımlayın. SAML veya OAuth2 destekleniyorsa, token tabanlı doğrulama tercih edilebilir.
3. Firewall Rule: Rules and Policies > Firewall Rules bölümünden Guest_Zone'dan WAN'a izin veren bir kural oluşturun. Identity-based policy etkinleştirin; böylece her kullanıcı oturumu ayrı loglanır.
4. Web Policy: Opsiyonel olarak, misafir ağında belirli kategorilerdeki siteleri engelleyin (örneğin kumar, yetişkin içerik). Sophos'un entegre web filtreleme motoru bu işi kolaylaştırır.
5. Reporting: Reports > Captive Portal bölümünden günlük/aylık kullanıcı raporlarını inceleyin. Sophos Central entegrasyonu varsa, tüm lokasyonların raporlarını merkezi panelden görüntüleyin.

SonicWall cihazlarda da benzer adımlar uygulanır; Guest Services modülü, captive portal ve kullanıcı yönetimini basitleştirir. Önemli olan, hangi cihaz kullanılırsa kullanılsın, tüm logların merkezi bir noktada toplanması ve yedeklenmesidir. NextLog5651 gibi bulut çözümler, cihazdan bağımsız olarak syslog, RADIUS accounting veya API üzerinden logları toplar ve 5651 uyumlu formatta saklar.

Bant Genişliği Yönetimi ve Kullanıcı Deneyimi Optimizasyonu

Yüzlerce kullanıcının aynı anda bağlandığı bir kurumsal hotspot'ta, bant genişliği yönetimi (bandwidth management) olmadan servis kalitesi hızla düşer. Bir kullanıcı büyük dosya indirirse veya 4K video izlerse, diğer kullanıcılar yavaşlık yaşar. Bu sorunu çözmek için QoS (Quality of Service) ve kullanıcı bazlı rate limiting uygulanmalıdır.

• Kullanıcı başına bant genişliği limiti: Örneğin, her misafir maksimum 5 Mbps download ve 2 Mbps upload hızında bağlanabilir. Bu, toplam bant genişliğinin adil paylaşılmasını sağlar.
• Toplam bant genişliği rezervasyonu: Kurumsal ağınızın toplam bant genişliğinin (örneğin 100 Mbps) %30-40'ını misafir ağına ayırın; geri kalanı iç ağ trafiği (POS, PMS, VoIP) için rezerve edin.
• Zaman bazlı kotalar: Günlük veri kullanım kotası (örneğin 2 GB) belirleyin; kota dolduğunda kullanıcıdan ek ücret talep edin veya hızı düşürün (throttle).
• Önceliklendirme (prioritization): VoIP ve video konferans trafiğine öncelik verin; torrent veya P2P trafiğini düşük önceliğe alın veya tamamen engelleyin.

Kullanıcı deneyimini artırmak için hızlı yeniden bağlanma (fast reconnect) özelliği sunun. Bir misafir bir kez kimlik doğrulama yaptıktan sonra, aynı cihazla tekrar bağlandığında captive portal atlanmalı, otomatik internet erişimi verilmelidir. Bu, özellikle otellerde misafir memnuniyetini artırır; misafir her kat değiştirdiğinde veya lobiye indiğinde tekrar giriş yapmak zorunda kalmaz. MAC adresi tabanlı session yönetimi bu özelliği sağlar; ancak KVKK uyumu için MAC adresinin kişisel veri sayıldığı unutulmamalı, saklama süresi ve amacı açıkça belirtilmelidir.

Sık Sorulan Sorular (SSS): Kurumsal Hotspot Hakkında

Küçük bir kafe işletiyorum