Threema, gerçekten kurumsal güvenlik odaklı olarak tasarlanmış birkaç mesajlaşma uygulamasından biridir: uçtan uca şifreleme, minimum meta veriler, İsviçre'de sunucular. Ancak onun da zayıf bir noktası var - ağ seviyesi. Eğer sağlayıcınız trafiği engelliyorsa, kurumsal IT departmanı bağlantıları kısıtlıyorsa veya mesajlaşma uygulamasını kullandığınız gerçeğini gizlemeniz gerekiyorsa - proxy olmadan yapamazsınız.
Bu yazıda, Threema Work ve normal sürüm için proxy nasıl bağlanır, kurumsal görevler için hangi proxy türünün uygun olduğunu ve ayarlama sırasında güvenlikten nasıl ödün vermeyeceğinizi inceleyeceğiz.
Threema için proxy neden gerekli: gerçek kurumsal senaryolar
Birçok kişi Threema'nın her şeyi uçtan uca şifrelediğini düşündüğü için burada proxy'nin gereksiz olduğunu düşünüyor. Ancak pratikte durum böyle değil. Şifreleme, mesajların içeriğini korur, ancak Threema sunucularına bağlanma gerçeğini gizlemez. Çoğu kurumsal sorun, tam olarak ağ seviyesinde ortaya çıkar.
Proxy'nin zorunlu hale geldiği belirli durumları inceleyelim:
Senaryo 1: Bölgesel engellemeler
Bazı ülkelerde ve kurumsal ağlarda Threema sunucularına giden trafik, güvenlik duvarı seviyesinde engellenmektedir. Bu, katı internet düzenlemeleri olan ülkelerde ofisleri bulunan şirketler için özellikle geçerlidir. Bir çalışan Threema Work'ü açtığında - bağlantı hatası görür. Bu durumda proxy, bir ara düğüm olarak işlev görür: trafik doğrudan Threema sunucularına değil, izin verilen bir yargı alanındaki IP adresi üzerinden gider.
Senaryo 2: Kurumsal IT kontrolü
Büyük şirketler genellikle çalışanların tüm trafiğini kurumsal proxy sunucusu üzerinden yönlendirir - izleme, filtreleme ve günlükleme için. Eğer Threema Work bu proxy üzerinden çalışacak şekilde ayarlanmadıysa, ofis ağında bağlanamaz. IT yöneticilerinin uygulama yapılandırmasında proxy'yi açıkça belirtmeleri gerekir, aksi takdirde mesajlaşma uygulaması iş cihazlarında kullanılamaz.
Senaryo 3: Rekabetçi istihbarat ve görüşmelerin anonimliği
Üst düzey yöneticiler ve hukuk departmanları için görüşmelerin içeriği kadar meta veriler de önemlidir: hangi IP üzerinden iletişim kurulduğu, katılımcıların hangi bölgede bulunduğu. Proxy, kurumsal ofisin veya belirli bir çalışanın gerçek IP adresini gizlemeye yardımcı olur - özellikle M&A görüşmeleri sırasında, belirli bir tarafla iletişim kurma gerçeği bile hassas bir bilgi olabilir.
Senaryo 4: Uzaktan çalışanların durumu
Farklı ülkelerdeki uzaktan çalışanlar, Threema sunucularına bağlantıda istikrarsızlık yaşayabilir. İlgili bölgede sunucuları olan bir proxy, gecikmeyi azaltmaya ve istikrarlı bir bağlantı sağlamaya yardımcı olur - özellikle Asya, Latin Amerika ve Afrika'daki ekipler için, doğrudan İsviçre'deki Threema sunucularına bağlantı istikrarsız olabilir.
Önemli bir nokta:
Proxy, Threema'nın şifrelemesini değiştirmez - farklı bir seviyede çalışır. Birlikte, iki katmanlı bir koruma sağlar: içerik şifrelenmiştir ve trafik kaynağı gizlenmiştir.
Threema Work vs normal Threema: iş için fark nedir
Ayarlamaya geçmeden önce, hangi sürümle çalıştığınızı anlamak önemlidir. Bu, proxy'nin nasıl ayarlanacağını belirler.
| Parametre | Threema (kişisel) | Threema Work (kurumsal) |
|---|---|---|
| Yönetim | Kullanıcı | IT yöneticisi MDM üzerinden |
| Proxy ayarı | Cihazın sistem ayarları üzerinden | MDM profili veya yapılandırma dosyası üzerinden |
| SOCKS5 desteği | Sistem ayarlarına bağlıdır | Yapılandırma üzerinden desteklenir |
| Güvenlik politikaları | Yok | Merkezi politikalar |
| Hedef kitle | Bireyler | 10 kişilik şirketler |
Çoğu kurumsal senaryo için Threema Work kullanılır - bu, IT yöneticisinin MDM (Mobil Cihaz Yönetimi) sistemi aracılığıyla proxy dahil ayarları merkezi olarak yönetmesini sağlar - örneğin, Jamf, Microsoft Intune veya VMware Workspace ONE.
Eğer normal Threema kullanıyorsanız - proxy, cihazın sistem ayarları üzerinden ayarlanır (iOS'ta Wi-Fi proxy veya Android'de genel proxy). Bu daha az esnek, ancak küçük ekipler için yeterli bir seçenek.
Threema için hangi proxy türünü seçmelisiniz
Her proxy, kurumsal mesajlaşma uygulaması için aynı derecede iyi değildir. Temel türleri ve Threema'ya uygunluklarını inceleyelim.
İkametgah proxy'leri
İkametgah proxy'leri, gerçek ev kullanıcılarının IP adreslerini kullanır. Bu, en az fark edilen türdür: bu tür bir IP'den gelen trafik, kurumsal bir sunucu gibi değil, sıradan bir internet kullanıcısı gibi görünür. Threema için, IP adresi türüne göre engeli aşmak gerektiğinde bu önemlidir - birçok güvenlik duvarı, veri merkezi IP'lerini engellerken, ikametgah adreslerini geçirebilir.
İkametgah proxy'lerinin kurumsal mesajlaşma uygulaması için dezavantajı, IP'nin döngüsüdür. Eğer proxy her birkaç dakikada bir adres değiştiriyorsa, bu Threema'da kimlik doğrulama sorunlarına yol açabilir. Bu nedenle, bu görev için uzun süre (10 dakikadan 24 saate kadar) sabit IP'ye sahip sticky oturumları olan ikametgah proxy'leri seçilmelidir.
Mobil proxy'ler
Mobil proxy'ler, mobil operatörlerin IP adresleri (3G/4G/5G) üzerinden çalışır. Bu, herhangi bir filtreleme sistemi açısından en güvenilir trafik türüdür - mobil IP'ler nadiren engel listelerine girer. Threema için, mobil proxy'ler özellikle çalışanlar akıllı telefonlarda uygulamayı kullanıyorsa iyidir: trafik, mobil kalıba doğal olarak uyar.
Mobil proxy'ler, ikametgah proxy'lerine göre daha pahalıdır, ancak kurumsal güvenlik için bu masraflar makul bir harcamadır - özellikle görüşmelerin anonimliği kritik olan üst düzey yöneticiler ve hukuk departmanları için.
Veri merkezi proxy'leri
Veri merkezi proxy'leri, en hızlı ve en uygun fiyatlı seçenektir. Kurum içindeki güvenlik duvarlarını aşmak için iyi bir şekilde uygundur, IT yöneticisi Threema trafiğini yönlendirmek için proxy sunucusunu kendisi ayarladığında. Ancak, eğer görev, kurumsal trafiği dış gözlemcilerden gizlemekse, veri merkezi IP'leri "ev IP'leri" olarak tanımlanması daha kolaydır.
| Proxy türü | Hız | Anonimlik | Threema için en iyi senaryo |
|---|---|---|---|
| İkametgah | Orta | Yüksek | Bölgesel engellerin aşılması |
| Mobil | Orta | Maksimum | Üst düzey yöneticilerin anonimliği |
| Veri merkezi | Yüksek | Orta | Kurumsal proxy sunucusu |
Threema'da Android için proxy ayarı
Android'de Threema'ya proxy bağlamak için iki yol vardır: Wi-Fi sistem ayarları üzerinden veya bir proxy uygulaması (örneğin, ProxyDroid veya Shadowsocks) aracılığıyla. İlk yöntem daha basit, ikincisi ise daha esnektir.
Yöntem 1: Wi-Fi ayarları üzerinden (HTTP proxy)
Bu yöntem, proxy'nizin HTTP/HTTPS protokolünü desteklemesi durumunda çalışır. Adımlar:
- Ayarlar → Wi-Fi bölümünü açın.
- Bağlı ağı basılı tutun - "Ağı Değiştir" seçeneğini seçin.
- "Gelişmiş Ayarlar" kısmını açın.
- "Proxy" alanında "Manuel" seçeneğini seçin.
- Proxy Host (proxy sunucunuzun IP adresi) ve Port girin.
- Eğer proxy kimlik doğrulama gerektiriyorsa - ilgili alanlarda kullanıcı adı ve şifreyi belirtin (Android 10+ için geçerlidir).
- "Kaydet" butonuna basın ve Threema'yı yeniden başlatın.
Bağlantıyı kontrol edin: Threema'da Ayarlar → Threema Hakkında bölümüne gidin ve tanıma göndermek için sürüme tıklayın - bağlantı kurulmuşsa, uygulama yeşil bir durum gösterecektir.
Yöntem 2: SOCKS5 üzerinden (ileri düzey kullanıcılar için)
Android, sistem düzeyinde doğrudan SOCKS5'i desteklemez. Threema ile SOCKS5 kullanmak için ProxyDroid uygulamasını (root gerektirir) kullanın veya bir SSH tüneli ayarlayın. Kurumsal kullanıcılar için, proxy ile birlikte kurumsal VPN kullanmak daha yönetilebilir bir çözümdür.
Kurumsal dağıtım için öneri:
Eğer çalışan cihazlarını MDM (örneğin, Microsoft Intune) üzerinden yönetiyorsanız, proxy ayarlarını tüm kurumsal Android cihazlarına merkezi olarak yapılandırma profili aracılığıyla uygulayabilirsiniz. Bu, her cihazı manuel olarak ayarlama gerekliliğini ortadan kaldırır.
Threema'da iPhone (iOS) için proxy ayarı
iOS'ta Threema, sistem proxy ayarlarını kullanır - uygulama içinde ayrı bir ayar yoktur. Proxy, Wi-Fi düzeyinde veya MDM profili aracılığıyla ayarlanmalıdır.
Wi-Fi üzerinden ayarlama
- Ayarlar → Wi-Fi bölümünü açın.
- Bağlı ağın yanındaki (i) simgesine tıklayın.
- "HTTP Proxy" bölümüne kadar aşağı kaydırın.
- "Manuel" seçeneğini seçin.
- Sunucu (proxy IP adresi) ve Port girin.
- Kimlik doğrulama gerekiyorsa - "Kimlik Doğrulama" anahtarını açın ve kullanıcı adı ile şifreyi girin.
- "Tamam" butonuna basın - iOS ayarları otomatik olarak tüm uygulamalara, Threema dahil, uygular.
PAC dosyası üzerinden ayarlama
Kurumsal kullanım için PAC dosyası (Proxy Auto-Configuration) kullanmak daha uygundur - bu, hangi trafiğin proxy üzerinden, hangisinin doğrudan gideceğini belirlemenizi sağlar. Örneğin, yalnızca Threema trafiğini proxy üzerinden yönlendirebilir, diğer tüm trafiği değiştirmeden bırakabilirsiniz.
- "HTTP Proxy" bölümünde "Otomatik" seçeneğini seçin.
- IT departmanınız tarafından sağlanan PAC dosyasının URL'sini girin.
- iOS yapılandırmayı yükleyecek ve otomatik olarak uygulayacaktır.
MDM (Jamf, Intune) üzerinden ayarlama
Kurumsal yöntem - MDM üzerinden yapılandırma profili dağıtmak. Jamf Pro'da bu, Configuration Profiles → Network → Proxy üzerinden yapılır. Profil, çalışanların tüm kurumsal iPhone'larına otomatik olarak uygulanır. Bu, 20'den fazla cihazı olan şirketler için en doğru yaklaşımdır.
Threema'da bilgisayarda (Windows/Mac) proxy ayarı
Threema Desktop (bilgisayar sürümü) de işletim sisteminin proxy ayarlarını kullanır. Uygulama içinde ayrı bir proxy ayarı yoktur - bu, geliştiricilerin yönetimi basitleştirmek için kasıtlı bir mimari kararının sonucudur.
Windows 10/11
- Ayarlar → Ağ ve İnternet → Proxy bölümünü açın.
- "Proxy ayarlarını manuel olarak yapılandır" bölümünde "Proxy sunucusunu kullan" anahtarını açın.
- Adres (proxy IP) ve Port girin.
- Yerel adresleri hariç tutmak istiyorsanız - "Yerel adresler için proxy sunucusunu kullanma" seçeneğini işaretleyin.
- "Kaydet" butonuna basın ve Threema Desktop'ı yeniden başlatın.
macOS
- Sistem Tercihleri → Ağ bölümünü açın.
- Aktif ağ bağlantısını (Wi-Fi veya Ethernet) seçin ve "Gelişmiş" butonuna tıklayın.
- "Proxy" sekmesine geçin.
- Gerekli proxy türünü etkinleştirin: "Web Proxy (HTTP)" veya "Güvenli Web Proxy (HTTPS)".
- Proxy sunucusunun adresini ve portunu girin. Gerekirse - kullanıcı adı ve şifreyi de girin.
- "Tamam" ve "Uygula" butonlarına basın. Threema Desktop'ı yeniden başlatın.
Proxy'nin çalıştığını kontrol edin:
Ayarlamadan sonra bir tarayıcı açın ve whatismyip.com adresine gidin - eğer gerçek ofis IP'niz yerine proxy IP'niz görünüyorsa, ayar doğru yapılmıştır. Ardından Threema Desktop'ı başlatın ve bağlantı durumunu kontrol edin.
Kurumsal güvenlik: dağıtımda dikkate alınması gerekenler
Threema ile proxy kullanımı kurumsal ortamda yalnızca teknik bir sorun değil, aynı zamanda organizasyonel bir meseledir. İşte dağıtıma başlamadan önce ele alınması gereken ana noktalar.
1. Proxy sunucusunun yargı alanının seçimi
Threema sunucuları İsviçre'de bulunmaktadır. Minimum gecikme için, Batı Avrupa'da sunucuları olan bir proxy seçin. Eğer çalışanlar Asya'dan çalışıyorsa - Singapur veya Hong Kong'da varlık noktaları olan proxy'ler arayın. Önemli: Proxy sağlayıcısının yargı alanının trafik günlüklerini saklama ve iletme yükümlülüğü olmadığından emin olun - bu, kurumsal gizlilik için kritik öneme sahiptir.
2. Proxy sağlayıcısının günlükleme politikası
Proxy sağlayıcısından günlükleme politikasını (No-logs policy) talep edin. Threema üzerinden kurumsal iletişimler için, sağlayıcının meta verileri saklamaması kritik öneme sahiptir: kim, ne zaman ve hangi IP ile bağlandığı. Mesajların içeriği Threema düzeyinde şifrelenmiş olsa da, bağlantıların meta verileri hassas olabilir.
3. Protokol: HTTP vs SOCKS5
Threema için teknik olarak mümkünse SOCKS5 kullanılması önerilir. SOCKS5 daha düşük bir seviyede çalışır ve istek başlıklarını değiştirmez - bu, push bildirimlerinin ve mesaj senkronizasyonunun düzgün çalışması için önemlidir. HTTP proxy de çalışır, ancak ikili veri (dosyalar, sesli mesajlar) iletiminde gecikmelere neden olabilir.
4. Proxy kimlik doğrulaması: IP beyaz listesi vs kullanıcı adı/şifre
Kurumsal kullanım için, beyaz liste IP (IP-whitelist) ile kimlik doğrulama tercih edilir - bu, çalışan cihazlarda şifre saklamayı gerektirmez ve yönetimi daha kolaydır. Eğer çalışanlar dinamik IP'lerle (örneğin, evden) çalışıyorsa, her çeyrekte kimlik bilgilerini döndürerek kullanıcı adı ve şifre ile kimlik doğrulaması kullanın.
5. İzleme ve yedek proxy
Kritik öneme sahip kurumsal iletişimler için, proxy sunucusunun kullanılabilirliğini izlemek için ayarlamalar yapın. Farklı veri merkezlerinde en az iki proxy kullanın - birincil ve yedek. Eğer birincil proxy kullanılamıyorsa, çalışanların Threema Work'e erişim kaybetmeden yedeğe nasıl geçeceğini bilmesi gerekir.
Threema ile proxy kullanırken sık yapılan hatalar
Pratikte, Threema'nın proxy üzerinden çalışmasındaki çoğu sorun birkaç tipik hatadan kaynaklanmaktadır. Aynı hatalara düşmemeniz için bunları ayrıntılı olarak inceleyelim.
Hata 1: Ücretsiz proxy kullanımı
Ücretsiz proxy'ler, kurumsal güvenliğe doğrudan bir tehdit oluşturur. Genellikle geçen tüm trafiği kaydederler, kötü amaçlı kod enjekte edebilirler ve çoğu zaman Threema sunucuları düzeyinde zaten engellenmişlerdir. Güvenlik nedeniyle kullandığınız bir kurumsal mesajlaşma uygulaması için, ücretsiz bir proxy Threema'nın avantajlarını tamamen ortadan kaldırır.
Hata 2: Sticky oturumları olmayan IP döngüsü yapan proxy'ler
Eğer proxy'niz her 1-5 dakikada bir IP değiştiriyorsa, Threema sürekli olarak bağlantıyı kaybedecek ve yeniden kimlik doğrulaması isteyecektir. Mesajlaşma uygulaması için sticky oturumlar gereklidir - en az 30 dakika boyunca sabit bir IP. Proxy sağlayıcısını seçerken, mutlaka maksimum sticky oturum süresini sorun.
Hata 3: Sadece bazı cihazlar için proxy ayarı
Sık karşılaşılan bir durum: proxy, kurumsal dizüstü bilgisayarlarda ayarlanmış, ancak çalışanların akıllı telefonlarında ayarlanmamıştır. Sonuç olarak, aynı Threema Work hesabı, proxy üzerinden veya doğrudan - farklı IP'lerle bağlanır. Bu, güvenlik sistemlerinde şüphe uyandırabilir ve hesabın engellenmesine neden olabilir. Proxy'yi belirli bir çalışanın tüm cihazlarında tutarlı bir şekilde ayarlayın.
Hata 4: DNS sızıntılarını göz ardı etme
Proxy ayarlanmış olsa bile, DNS istekleri onun etrafından geçebilir - doğrudan sağlayıcının DNS sunucusuna. Buna DNS sızıntısı denir. Sonuç olarak, proxy olmasına rağmen, ofisin gerçek konumu açığa çıkabilir. Proxy ayarından sonra dnsleaktest.com adresinde DNS sızıntısını kontrol edin. Giderim için DNS-over-HTTPS (DoH) kullanın veya DNS proxy desteği olan bir proxy ayarlayın (uzaktan DNS ile SOCKS5).
Hata 5: WebSocket desteği olmayan proxy'ler
Threema, sunucu ile sürekli bir bağlantı sağlamak için WebSocket kullanır (push bildirimleri, hızlı mesaj iletimi). Bazı HTTP proxy'leri WebSocket'i desteklemez veya uzun süreli bağlantıları engeller. Sağlayıcıyı seçmeden önce WebSocket desteğini sorun - aksi takdirde bildirimler gecikmeli gelir veya hiç gelmez.
Hata 6: Dağıtımdan önce test yapmama
Tüm kurumsal cihazlarda proxy'yi dağıtmadan önce, yapılandırmayı 2-3 cihazda bir hafta boyunca test edin. Bağlantının istikrarını, mesaj iletim hızını, sesli aramaların çalışmasını ve dosya iletimini kontrol edin. Sadece başarılı bir testten sonra kitlesel dağıtıma geçin.
Sonuç ve öneriler
Threema, kurumsal iletişimler için güçlü bir araçtır, ancak ağ seviyesinde proxy ekleyerek güvenliğini önemli ölçüde artırabilirsiniz. Proxy, şifrelemenin tek başına kapatmadığı sorunları çözer: bölgesel engellerin aşılması, kurumsal IP'nin gizlenmesi, trafiğin kurumsal güvenlik duvarı üzerinden yönlendirilmesi ve uzaktan çalışanlar için istikrarlı bir bağlantı sağlanması.
Yazının ana noktaları:
- Bölgesel engelleri aşmak için sticky oturumları olan ikametgah proxy'leri kullanın.
- Üst düzey yöneticilerin maksimum anonimliği için - mobil proxy'ler.
- Kurumsal dağıtım için proxy'yi MDM (Jamf, Intune) üzerinden ayarlayın, manuel olarak değil.
- Ayarlandıktan sonra her zaman DNS sızıntılarını kontrol edin.
- Sağlayıcıdan WebSocket ve en az 30 dakika boyunca sticky oturum desteği talep edin.
- Kurumsal iletişimler için asla ücretsiz proxy kullanmayın.
Eğer Threema üzerinden kurumsal iletişimlerinizi korumak için güvenilir bir çözüm arıyorsanız, ikametgah proxy'lerini düşünmenizi öneririz - yüksek anonimlik seviyesi, engel riskinin minimumda tutulması ve mesajlaşmanın istikrarlı çalışması için gerekli sticky oturum desteği sağlarlar. Görüşmelerin maksimum anonimiyetinin kritik olduğu durumlar için en iyi seçim mobil proxy'ler olacaktır - trafiği herhangi bir filtreleme sistemi için en doğal şekilde görünür.
```