Ağ güvenliği, herhangi bir iletişim altyapısını siber saldırılardan, yetkisiz erişimden ve veri kaybından koruyan ve CIA üçlüsünün ilkelerini destekleyen teknolojileri, politikaları, insanları ve prosedürleri ifade eder . Ağın kendisinin yanı sıra, hem ağ kenarında hem de çevre içinde trafiği ve ağa erişilebilir varlıkları da güvence altına alırlar

Saldırı Yüzeyi Önleme (ASM) Attack Surface Manegement

Saldırı Yüzeyi Yönetimi (ASM), bir kuruluşun BT ekosistemindeki tüm dijital varlıkların (sunucular, bulut hizmetleri, web uygulamaları) sürekli olarak keşfedilmesi, analiz edilmesi ve korunması sürecidir
Temel amacı, saldırganların (hackerların) istismar edebileceği açık giriş noktalarını (saldırı yüzeyi) proaktif olarak tespit edip siber riski azaltmaktır

ASM'nin Temel Özellikleri ve Kullanım Örnekleri:

Sürekli Keşif: Kuruluşun internete açık olan tüm varlıklarını (gölge BT dahil) otomatik olarak belirler

Açık İzleme: Güvenlik açıklarını, yanlış yapılandırmaları ve zayıf parolaları gerçek zamanlı izler

Önceliklendirme: Tespit edilen riskleri, ciddiyet derecesine göre sıralayarak güvenlik ekiplerine aksiyon önerileri sunar

Kullanım Örnekleri:

Bulut Güvenliği: Yanlış yapılandırılmış AWS/Azure depolama alanlarını tespit etme

Gölge BT Tespiti: BT departmanının haberi olmadan kullanılan web sitelerini/sunucuları bulma

Sertifika Yönetimi: Süresi dolmak üzere olan SSL/TLS sertifikalarını belirleme

Üçüncü Taraf Riski: Tedarikçi zinciri risklerini izleme

ASM, daha geniş bir siber güvenlik bağlamında şu kavramlarla da anılır:

EASM (External Attack Surface Management): Dış saldırı yüzeyi yönetimi

Siber Varlık Yönetimi (Cyber Asset Management): Dijital varlıkların takibi

Tehdit Maruziyeti Yönetimi (TEM): Risk odaklı güvenlik yaklaşımı

ASM, siber saldırıların %60'tan fazlasının bilinmeyen veya yönetilmeyen varlıklardan kaynaklandığı düşünüldüğünde, modern güvenlik ekipleri için hayati bir proaktif savunma yöntemidir

Ağ Erişim Denetleyicisi (NAC) Network Access Controller

NAC (Network Access Controller), bir ağa girmeye çalışan cihazların (bilgisayar, telefon, yazıcı vb.) güvenlik kurallarına uyup uymadığını denetleyen bir sistemdir. Kısaca "ağın kapıdaki güvenlik görevlisi" gibi çalışır.

Nasıl çalışır:

1. Bağlantı isteği: Bir cihaz ağa (kablolu/kablosuz) bağlanmak ister.

2. Kimlik ve uyum kontrolü: NAC, cihazın:

- Güncel antivirüs yazılımı var mı?

- İşletim sistemi güncel mi?

- Güvenlik duvarı aktif mi?

- Kullanıcı yetkili mi? gibi soruları kontrol eder.

3. Karar verme:

- Uygun → Tam ağ erişimi verilir.

- Uygun değil → Erişim engellenir veya **kısıtlı** (yalnızca güncelleme sunucusuna) yönlendirilir (düzeltme alanı).

4. Sürekli izleme: Bağlandıktan sonra da davranışı izlenir, kural dışı durumda erişim kesilebilir.

Neden kullanılır?

- Yetkisiz cihazların ağa girmesini engellemek

- Virüslü/güncellemesi yapılmamış cihazları izole etmek

- Ağ güvenlik politikalarını otomatik uygulamak

Özetle: NAC, "önce denetle, sonra ağa al" mantığıyla çalışan bir erişim kontrol sistemidir.

Sınırlandırılmış Yürütme Ortamı Sandboxing

Sandboxing (sınırlandırılmış yürütme ortamı), genellikle NAC (Ağ Erişim Kontrolü), Posta Ağ Geçidi Güvenliği, AV ile birlikte veya ondan bağımsız olarak zararlı yazılımları tespit etmek için kullanılan önemli bir güvenlik tekniğidir.

Sandboxing Nedir? (Kısa Tanım)

Bir dosyayı veya uygulamayı, **ana sistemden tamamen izole edilmiş**, yapay bir çalışma ortamında çalıştırarak ne yaptığını gözlemleme tekniğidir.

Nasıl Çalışır? (Adım Adım)

1. Şüpheli Nesnenin Yakalanması

- E-posta eki, indirilen dosya, USB'deki program veya ziyaret edilen web sitesindeki kod

- Ağ geçidinde (firewall, NAC, proxy) önceden tanımlı güvenlik kurallarına takılır (imza yok, davranışsal analiz gerekli)

2. Yönlendirme ve İzolasyon

- Sandbox yazılımı, bu şüpheli nesneyi sanal bir ortama (genellikle bir VM - Sanal Makine) kopyalar

- Bu ortamın gerçek ağ ile hiçbir bağlantısı yoktur veya varsa tamamen taklit edilmiştir (fake DNS, fake internet)

3. Davranış Analizi (Gerçek Zamanlı)

Sandbox, dosyayı çalıştırır ve şunları izler:

- Dosya işlemleri: Kendi kendine kopyalama, sistem dosyalarına yazma

- Registry değişiklikleri (Windows'ta)

- Ağ trafiği (C&C sunucusuna bağlanmaya çalışıyor mu?)

- Süreç oluşturma (kendini başka bir işleme enjekte ediyor mu?)

- Gizli API çağrıları (belleğe doğrudan erişim)

4. Karar Mekanizması

- Zararlı aktivite tespit edilirse → Dosya engellenir, kullanıcıya/sistem yöneticisine alarm gider

- Şüpheli ama net değilse → Daha uzun süre (bazen dakikalarca) izole ortamda bekletilir, hatta kullanıcıya "riskli" etiketiyle izole edilerek gönderilir

- Zararsız ise → Dosya ana sisteme iletilir

5. Davranış Raporu Oluşturulur

Tüm loglar (hangi registry değişti, hangi IP'ye gidilmeye çalışıldı, hangi dosyalar silindi) bir rapor halinde güvenlik ekibine sunulur.

Teknik Özellikler (Önemli Noktalar)

Özellik

Açıklama

Çevre Taklitçiliği

Sandbox, gerçek kullanıcı ortamını taklit eder (Windows 10, Office, PDF reader, browser)

Gecikme Yürütme

Zararlı yazılımlar sandbox'ı anlamak için uyuyabilir. Sandbox da bu süreyi simule eder

Makine ID Farklılaştırma

Her analiz için farklı makine MAC adresi, hostname, kullanıcı profili üretir

Süre ve Tetikleme

Bazı zararlılar sadece belirli bir saatte veya klavye tıklamasıyla aktif olur. Sandbox bunu da taklit eder

Birlikte kullanıldığında:

1. NAC, cihazı ağa alır

2. Cihaz üzerinde dosya çalıştırılmadan önce bir sandbox kuyruğuna düşer

3. Temiz çıkarsa cihaz normal ağda işleme devam eder

Örnek Senaryo

- Kullanıcı bir E-posta eki alır (PDF.exe)

- Güvenlik duvarı bunu sandbox'a yönlendirir

- Sandbox içinde PDF.exe:

- `C:\Windows\System32\cmd.exe` çağırır

- `198.51.100.5` adresine bağlanmaya çalışır

- Registry'e `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` anahtarı ekler

- Sandbox raporu: "Trojan.Implant" → Dosya engellenir

Sınırlamaları

- Evasion teknikleri: Zararlı yazılım sandbox'ı anlayıp (örneğin 10 dakika bekle, az CPU kullan) hiç zararlı hareket yapmayabilir

- Zaman ve kaynak maliyeti: Her dosyayı sandbox'a atmak gecikme yaratır

- Büyük dosyalar / sıkıştırılmış yapılar bazen tam analiz edilemeyebilir

Özetle: Sandboxing, "önce denetle, güvenliyse çalıştır" diyen bir davranış tabanlı analiz yöntemidir. NAC'ten farklı olarak, kimlik/ağ uyumu değil, yazılımın kendisinin tehlikeli olup olmadığını inceler.

Antivirüs

Antivirus yazılımları artık sadece imza tabanlı tarayıcılardan çok daha fazlası. Günümüzde kullanım amacına, çalışma prensibine ve hedef kitlesine göre farklı türlere ayrılırlar.

İşte ana antivirus türleri ve özellikleri:

👤 Kullanıcı Tipine Göre Antivirus Türleri

Tür

Kime Uygun?

Temel Özellikler

Temel (Bağımsız) Antivirus

Sadece zararlı yazılım koruması isteyen bireysel kullanıcılar

Yalnızca virüs, truva atı vb. zararlılara karşı gerçek zamanlı ve isteğe bağlı tarama sunar. Diğer güvenlik özelliklerini içermez .

İnternet Güvenlik Paketleri

Daha kapsamlı koruma isteyen bireysel kullanıcılar

Antivirus + Ağ Duvarı (Firewall), Kimlik Avı (Phishing) Koruması, Ebeveyn Kontrolü ve İstenmeyen E-posta (Spam) Filtresi gibi ek modüller içerir .

Kurumsal Antivirus

Merkezi güvenlik yönetimi ihtiyacı olan işletmeler

Bir yönetim konsolu üzerinden binlerce cihaza aynı anda politika uygulama, uzaktan müdahale ve raporlama imkanı sunar .

Bulut Tabanlı Antivirus

Düşük sistem kaynağı kullanımı isteyenler

Tehdit veri tabanı ve analiz işlemleri bulutta yapıldığı için bilgisayarın performansını çok az etkiler. Anlık tehdit güncellemeleriyle hızlı koruma sağlar .

🧠 Çalışma Teknolojisine Göre Antivirus Türleri

Geleneksel antivirusler, bilinen virüslerin "imzasını" ararken, modern çözümler çok daha gelişmiş yöntemler kullanır:

Tür

Çalışma Prensibi ve Önemi

Geleneksel (İmza Tabanlı): Bilinen virüslerin eşsiz "parmak izini" eşleştirerek çalışır. Yeni veya değiştirilmiş (polimorfik) virüslere karşı yetersizdir.

Davranışsal Analiz (NGAV): Dosyanın kodunu değil, NE YAPTIĞINI izler.Anormal bir davranış (örn. dosyaları şifrelemeye çalışma) tespit ederse, bu yeni bir virüs olsa bile engeller.

Hibrit (Yapay Zeka ve Bulut): Günümüzün en yaygın ve etkili yöntemi. Dosyayı çalıştırmadan önce Yapay Zeka (AI) ile analiz eder, şüpheli bulursa kum havuzunda (sandbox) izole bir ortamda çalıştırarak karar verir.

🛠️ Antivirus İçindeki Yardımcı Bileşenler

Birçok antivirus programının içinde, farklı amaçlara hizmet eden alt modüller bulunur:

- Scanners (Tarayıcılar): Kullanıcı tarafından başlatılan veya zamanlanmış görevle dosya sistemini tarayan yazılımlardır (Görevi: "Aktif veya pasif tarama").

- Monitors (Gerçek Zamanlı Koruma): Sürekli arka planda çalışır. Bilgisayara erişen her dosyayı anında kontrol eder (Görevi: "Gerçek zamanlı engelleme").

- Auditors (Denetçiler): Dosyaların bir "parmak izini" (örn. hash değeri) alır ve kaydeder. Daha sonra dosya değişmişse bunu tespit eder (Görevi: "Dosya bütünlüğü değişikliklerini izleme").

- Disinfectors (Temizleyiciler): Sadece virüsü tespit etmekle kalmaz, eğer mümkünse virüs bulaşmış dosyayı orijinal haline döndürmeye çalışır (Görevi: Tedavi ve onarma).

AV - Makine Öğrenme Machine learning

Antivirüs yazılımlarında makine öğrenmesi (ML), bir dosyanın zararlı olup olmadığını, daha önce hiç görülmemiş olsa bile, istatistiksel modeller ve çıkarılan özellikler sayesinde tahmin etme sürecidir.

Geleneksel imza tabanlı yöntemlerin aksine, ML "benzer davranışlar benzer sonuçlar doğurur" mantığıyla çalışır.

İşte adım adım nasıl çalıştığı:

1. Öznitelik (Feature) Çıkarma: Dosyanın "Parmak İzi" Yerine "DNA'sı" Çıkarılır

Antivirüs, dosyayı çalıştırmadan önce statik ve dinamik özelliklerini çıkarır. Örneğin:

Statik Öznitelikler (Koda bakarak, çalıştırmadan):

- Dosya başlığındaki belirli bölümlerin entropisi (rastgelelik seviyesi) - yüksek entropi genellikle şifrelenmiş/paketlenmiş zararlıyı işaret eder.

- İthal edilen fonksiyonlar (örneğin `VirtualAlloc`, `CreateRemoteThread` gibi nadir API'ler)

- Bölüm (section) isimleri ve boyutları

- Bayt dizilimindeki belirli kalıplar (n-gram analizi)

- PE (Portable Executable) Dosya yapısındaki anormallikler

Dinamik Öznitelikler (Kum havuzu/sandbox içinde çalıştırarak):

- Açmaya çalıştığı Dosya veya Registry anahtarları

- Kurduğu ağ bağlantıları (IP, port, domain)

- Çalıştırdığı alt işlemler (child processes)

- Kendini gizleme teknikleri (örn. `NtSetInformationProcess` ile hata raporlamayı engelleme)

Bu özniteliklerin hepsi, bir dosyayı temsil eden*sayısal bir vektöre (örneğin 5000 boyutlu bir diziye) dönüştürülür.

2. Eğitim (Training) Aşaması: Modelin Öğrenmesi

Güvenlik şirketinin milyonlarca temiz ve zararlı dosyadan oluşan etiketli bir veri seti vardır.

- Her dosyadan öznitelik vektörü çıkarılır.

- Bu vektörler ve etiketleri (zararlı/temiz) bir ML algoritmasına (örn. Random Forest, Gradient Boosting, Derin Sinir Ağları) beslenir.

- Algoritma, hangi öznitelik kombinasyonlarının zararlı dosyalarda daha sık görüldüğünü istatistiksel olarak öğrenir.

Örneğin:

- Kural öğrenmez: "Eğer A ve B varsa, zararlıdır" gibi bir kural çıkarmaz (geleneksel imzalama/yöntem böyle yapar).

- Model öğrenir: "Öznitelik X'in değeri 0.7'den büyük VE öznitelik Y'nin değeri 0.2'den küçükse, %92 ihtimalle zararlı" gibi olasılıksal bir eşik öğrenir.

3. Tahmin (Inference) Aşaması: Gerçek Zamanlı Karar Verme

Son kullanıcının bilgisayarına yeni bir dosya geldiğinde:

1. Antivirüs aynı öznitelik vektörünü çıkarır.

2. Bu vektörü eğitilmiş modele sokar.

3. Model bir olasılık skoru üretir: Örneğin "Bu dosyanın zararlı olma ihtimali %97".

4. Önceden belirlenen eşik değerine göre (örneğin %80) karar verilir:

- Skor > %80 → Zararlı (Engelle)

- Skor <%20 → Temiz (İzin ver)

- Aradaki → Şüpheli (Kum havuzuna gönder veya kullanıcıya sor)

4. Geri Besleme Döngüsü (Continuous Learning)

En gelişmiş antivirüslerde bu süreç durmaz:

- Yanlış tespitler (false positive/negative) şirketin bulut sunucusuna otomatik olarak raporlanır.

- Bu verilerle model periyodik olarak yeniden eğitilir (genellikle haftada bir veya günde birkaç kez).

- Yeni eğitilen model, imza güncellemesi gibi istemcilere dağıtılır.

Kullanılan Popüler ML Teknikleri

Teknik

Ne İşe Yarar

Random Forest: Karar ağaçları topluluğu; öznitelik önem sıralaması iyi, aşırı öğrenmeye (overfitting) dayanıklı |

Gradient Boosting (XGBoost, LightGBM): Yanlış sınıflandırılmış örneklere odaklanarak yüksek doğruluk sağlar; günümüz antivirüslerinde en yaygın kullanılanı |

Derin Sinir Ağları (CNN, RNN): Ham bayt dizilerinden veya API çağrı sıralarından otomatik öznitelik çıkarır; özellikle paketlenmiş/polimorfik zararlılarda etkili |

Autoencoder: Anormallik tespiti için; sadece temiz dosyalarla eğitilir, gelen dosyayı yeniden inşa edemiyorsa "anormal/zararlı" kabul edilir |

ML Tabanlı Antivirüslerin Avantajları (Geleneksel İmza'ya Karşı)

Özellik

Geleneksel İmza

Makine Öğrenmesi

Sıfırıncı gün (Zero-day) zararlılar

❌ Tanımaz (imzası yoksa)

✅ Davranış benzerliğinden tanıyabilir

Polimorfik virüsler

❌ Her varyant için yeni imza gerekir

✅ Yapısal benzerliği yakalar

Hız

İmza veritabanı büyüdükçe yavaşlar

Eğitim sonrası tahmin çok hızlıdır (milisaniye)

Güncelleme gereksinimi

Sürekli (günde birkaç kez)

Modele bağlı (haftada bir)

Yanlış pozitif (FP)

Çok düşük

Daha yüksek olabilir (ayarlaması zordur)

Örnek Senaryo

Kullanıcının bilgisayarına daha önce hiç görülmemiş yeni bir fidye yazılımı (ransomware) geliyor:

1. Geleneksel antivirüs imzayı bilmediği için "Temiz" der. (Zararlı çalışır, dosyalar şifrelenir)

2. ML tabanlı antivirüs dosyayı inceler:

- `%USERPROFILE%\Documents` altındaki birçok dosyaya art arda yazma isteği

- `\\.\PhysicalDrive0`'a doğrudan erişim

- `CryptoAPI` fonksiyonlarını çağırma

- Kısa sürede çok sayıda `WriteFile` işlemi

' - Model, bu davranışsal özniteliklerin eğitim sırasında ransomware'lerde çok sık görüldüğünü bilir. → %99 ihtimalle zararlı → Engeller.

Özetle: Makine öğrenmesi antivirüse "görmese bile tanıma" yeteneği kazandırır. Dosyanın kimlik (imza) yerine davranış ve yapısal benzerliklerine bakar. Bu sayede günde yüzbinlerce yeni zararlının tespiti mümkün hale gelir.

Güvenlik Duvarı Firewall

Firewall (Güvenlik Duvarı) Nedir?

Firewall, bir ağ ile diğer ağlar (genellikle internet) arasındaki trafiği önceden belirlenmiş güvenlik kurallarına göre izleyen, filtreleyen ve kontrol eden bir güvenlik sistemidir. Adını, yangının bir binanın bir bölümünden diğerine yayılmasını önleyen fiziksel yangın duvarından alır.

Temel Çalışma Prensibi

1. İzin Ver (Allow) : Güvenli olduğu bilinen trafiğe izin verir.

2. Engelle (Block/Deny) : Güvenli olmadığı veya kurallara aykırı olduğu bilinen trafiği engeller.

3. Kaydet (Log) : Belirli trafik tiplerini kayıt altına alır.

Firewall Türleri

1. Donanım Firewall

- Fiziksel bir cihazdır

- Genellikle ağın girişine (router ile Ağ arasına) takılır

- Büyük şirketler ve kurumlar için idealdir

- Örnek: Fortinet FortiGate, Cisco ASA, SonicWall, ........

2. Yazılım Firewall

- Bilgisayar veya sunucu üzerinde çalışan yazılımdır

- Bireysel kullanıcılar ve küçük işletmeler için uygundur

- Örnek: Windows Defender Firewall, ZoneAlarm, Comodo Firewall

3. Bulut Tabanlı Firewall (FWaaS)

- Bulut üzerinde hizmet olarak sunulur

- Dağıtık ve mobil çalışanlar için idealdir

- Örnek: Zscaler, Cato Networks

Filtreleme Yöntemleri

Yöntem

Nasıl Çalışır?

Packet Filtering: Her bir veri paketinin kaynak/hedef IP, port ve protokol bilgilerine bakar

Stateful Inspection: Bağlantının durumunu (yeni, kurulmuş, ilişkili) takip eder

Proxy Firewall: İstemci ile sunucu arasında aracı görevi görür

Next-Gen Firewall (NGFW): Derin paket incelemesi, IPS/IDS, uygulama tanıma gibi gelişmiş özellikler sunar |

Örnek Kural Yapılandırması

KURAL 1: Kaynak IP: 192.168.1.0/24 → Hedef: ANY → Port: 80,443 → İZİN VER (Web trafiği)

KURAL 2: Kaynak IP: ANY → Hedef: 192.168.1.10 → Port: 22 → İZİN VER (SSH)

KURAL 3: Kaynak IP: ANY → Hedef: ANY → Port: 135-139 → ENGELLE (SMB saldırıları)

KURAL 4: Kaynak IP: ANY → Hedef: ANY → Port: ANY → VARSAYILAN: ENGELLE

Avantajları

- Yetkisiz erişimi engeller

- Zararlı trafiği filtreler

- Ağ aktivitelerini kayıt altına alır

- IP spoofing, DDoS gibi saldırılara karşı korur

Sınırlamaları

- Virüsleri veya kötü amaçlı yazılımları doğrudan tespit edemez (antivirüs gerekir)

- İçerideki kullanıcıların yaptığı saldırılara karşı sınırlı Koruma

- şifrelenmiş trafiği (HTTPS) incelemek zordur

- Yanlış yapılandırıldığında meşru trafiği engelleyebilir

Yaygın Kullanım Senaryoları

- Ev kullanıcısı: Modem/router üzerindeki firewall + Windows Firewall

- Küçük işletme: Donanım firewall cihazı

- Büyük kurum: NGFW + IPS/IDS + Log yönetimi

- Veri merkezi: Sanal firewall + Segmentasyon

Güncel Trendler

- ZTNA (Zero Trust Network Access) ile entegrasyon

- AI/ML tabanlı tehdit tespiti

- SASE (Secure Access Service Edge) mimarisi

- TLS/SSL trafik şifre çözme ve inceleme

Uzaktan Erişim VPNs Remote Access VPNs

Remote Access VPN Nedir?

Remote Access VPN, bireysel kullanıcıların internet üzerinden güvenli bir tünel aracılığıyla kurumun özel ağına (intranet) uzaktan bağlanmasını sağlayan teknolojidir. Evden çalışan, seyahat eden veya şube ofisinde bulunan kullanıcılar için idealdir.

Nasıl Çalışır?

Kullanıcı (Ev) → İnternet → VPN Tüneli (Şifreli) → Şirket Ağı

↓

(IP değişir, trafik şifrelenir)

Adımlar:

1. Kullanıcı VPN istemci yazılımını başlatır

2. Kimlik doğrulaması yapar (kullanıcı adı/şifre, sertifika, 2FA)

3. VPN gateway ile şifreli tünel kurulur

4. Kullanıcıya şirket ağından bir IP adresi atanır

5. Tüm trafik şifrelenmiş tünelden geçer

Remote Access VPN Türleri

1. SSL VPN

- Web tarayıcısı üzerinden çalışır (genellikle 443 portu)

- Clientless (istemcisiz) veya thin client seçenekleri

- NAT dostudur

- Örnek: OpenVPN, Cisco AnyConnect, Pulse Secure

2. IPsec VPN

- Ağ seviyesinde çalışır (Layer 3)

- Özel istemci yazılımı gerektirir

- genellikle Daha hızlıdır

- Örnek: StrongSwan, L2TP/IPsec, IKEv2

3. Modern Çözümler

- WireGuard: Yeni, hızlı ve basit protokol

- Zscaler Private Access (ZPA): Zero Trust tabanlı

Karşılaştırma Tablosu

Özellik

SSL VPN

IPsec VPN

WireGuard

Port

TCP 443

UDP 500,4500

UDP 51820

Kurulum

Kolay

Orta

Kolay

Performans

Orta

Yüksek

Çok Yüksek

NAT Geçişi

Mükemmel

İyi

Mükemmel

Platform Desteği

Çok Geniş

Geniş

Büyüyor

Şifreleme

TLS

IKE/Ipsec

ChaCha20

Temel Bileşenler

1. VPN Gateway: Şirket ağının girişindeki sunucu/cihaz

2. VPN Client: Kullanıcının bilgisayarındaki yazılım

3. AAA Server: Kimlik doğrulama (RADIUS, LDAP, Active Directory)

4. Sertifika Yönetimi: PKI altyapısı (opsiyonel)

Kimlik Doğrulama Yöntemleri

Tek Faktörlü: Kullanıcı Adı + Şifre

İki Faktörlü: Kullanıcı Adı + Şifre + SMS/TOTP/Mobil Onay

Sertifikalı: Sertifika (Opsiyonel + Şifre)

Biometrik: Parmak izi / Yüz tanıma (mobil cihazlarda)

```

Örnek Yapılandırma (OpenVPN ile)

Sunucu Konfigürasyonu (server.conf):

```bash

port 1194

proto udp

dev tun

ca ca.crt

cert server.crt

key server.key

dh dh.pem

server 10.8.0.0 255.255.255.0

push "redirect-gateway def1"

push "dhcp-option DNS 8.8.8.8"

client-to-client

keepalive 10 120

cipher AES-256-CBC

auth SHA256

user nobody

group nogroup

persist-key

persist-tun

status openvpn-status.log

verb 3

İstemci Konfigürasyonu (client.ovpn):

```bash

client

dev tun

proto udp

remote vpn.sirket.com 1194

resolv-retry infinite

nobind

user nobody

group nogroup

persist-key

persist-tun

ca ca.crt

cert client.crt

key client.key

cipher AES-256-CBC

auth SHA256

verb 3

```

Avantajları

✅ Çalışanlar her yerden güvenli erişim sağlar

✅ Trafik şifrelenir (man-in-the-middle saldırılarına karşı)

✅ Şirket IP'si ile internete çıkma imkanı (coğrafi kısıtlamaları aşma)

✅ Donanım maliyeti olmadan ölçeklenebilir

✅ Modern çözümlerde Zero Trust entegrasyonu

Dezavantajları

❌ Performans düşüşü (şifreleme/şifre çözme yükü)

❌ Latency artışı (tünel gecikmesi)

❌ Split-tunneling ayarlanmazsa tüm trafik şirket üzerinden gider

❌ İstemci yönetimi (güncelleme, uyumluluk) ek yük getirir

❌ Shadow IT riski (yetkisiz VPN kullanımı)

Önemli Kavramlar

Terim

Açıklama

Split Tunneling: Sadece şirket trafiği VPN'den geçer, internet trafiği doğrudan gider.

Full Tunneling: Tüm trafik VPN'den geçer (güvenli ama yavaş)

Always-On VPN: Cihaz açıldığında otomatik bağlanır.

Per-App VPN: Sadece belirli uygulamalar VPN kullanır (mobil cihazlar) |

Güvenlik: En İyi Uygulamaları

1. Çok faktörlü kimlik doğrulama (MFA) zorunlu olsun

2. Split-tunneling kısıtlamaları (belirli CIDR aralıklarına izin ver)

3. Cihaz postür kontrolü (antivirüs, güncellemeler, şifreleme)

4. Düzenli log analizi (anormal bağlantıları tespit et)

5. Eski protokolleri devre dışı bırak (PPTP, L2TP tek başına)

Alternatif ve Gelecek Trendler

Yerine geçen/rakip teknolojiler:

- ZTNA (Zero Trust Network Access) - Google BeyondCorp, Zscaler

- SASE (Secure Access Service Edge) - Bulut tabanlı güvenlik

- SD-WAN - Şubeler arası bağlantılar için

Gelecek eğilimler:

- Passwordless authentication

- AI tabanlı anomali tespiti

- Quantum-resistant şifreleme

- tamamen Clientless çözümler (WebAssembly tabanlı)

Web ve DNS Filtreleme

Web ve DNS filtreleme, internet güvenliği ve erişim kontrolü sağlamak için kullanılan iki temel yöntemdir. İkisi de istenmeyen içeriklere erişimi engellemeyi amaçlar ancak farklı katmanlarda çalışır. İşte detaylı açıklama:

DNS Filtreleme Nasıl Çalışır?

DNS (Domain Name System), alan adlarını IP adreslerine çeviren "internetin telefon rehberi"dir.

Çalışma prensibi:

1. Kullanıcı `örneksite.com` adresini tarayıcıya yazar

2. DNS sorgusu bir DNS sunucusuna (genellikle sağlayıcının veya filtreleme servisinin) gönderilir

3. DNS filtresi, istenen alan adını kara liste/izin listesiyle karşılaştırır:

- İzin verilen site → Gerçek IP adresini döndürür

- Engellenen site → 0.0.0.0 gibi geçersiz bir IP veya uyarı sayfası yönlendirmesi gönderir

Avantajları:

- Hızlı ve hafif (Sadece DNS sorgularını kontrol eder)

- Tüm trafiği kapsar (web, e-posta, uygulamalar)

- HTTPS şifreli siteleri bile engelleyebilir

Dezavantajları:

- IP adresi üzerinden erişilen siteleri engelleyemez

- VPN veya şifreli DNS (DoH) kullanımını atlatabilir

- Sadece alan adı bazlı kontrol sağlar

Web Filtreleme Nasıl Çalışır?

Web filtreleme, HTTP/HTTPS trafiğini derinlemesine analiz eder ve genellikle bir proxy veya güvenlik duvarı üzerinde çalışır.

Çalışma prensibi:

1. Kullanıcı web sitesine bağlanmaya çalışır

2. Trafik proxy/güvenlik duvarından geçer

3. Web filtresi şunları analiz eder:

- URL yapısı (`orneksite.com/kategorik/icerik`)

- Sayfa içeriği (metin, resimler, anahtar kelimeler)

- Dosya türleri (.exe, .pdf, .mp4)

- HTTP başlıkları ve metodları (GET, POST)

4. Politikaya göre ya bağlantıya izin verir ya da engeller

Gelişmiş özellikler:

- Kategori bazlı engelleme (yetik, kumar, şiddet içerikleri)

- İçerik analizi (resim tanıma, metin madenciliği)

- Zaman bazlı kurallar (çalışma saatlerinde sosyal medya yasak)

- Kullanıcı/cihaz bazlı (farklı kullanıcılara farklı kurallar)

- Dinamik filtreleme (AI ile gerçek zamanlı tehdit tespiti)

Karşılaştırma Tablosu

Özellik

DNS Filtreleme

Web Filtreleme

Katman

DNS katmanı (L3-L4)

Uygulama katmanı (L7)

Kontrol seviyesi

Alan adı bazlı

URL, içerik, dosya bazlı

Performans etkisi

Çok düşük

Orta-Yüksek

HTTP/HTTPS şifresi

Etkilenmez

SSL decryption gerektirir

IP tabanlı erişim

Engellemez

Engeller

Detaylı raporlama

Sınırlı

Kapsamlı

Kullanım alanı

Okullar, küçük işletmeler

Kurumlar, hassas sektörler

Birlikte Kullanım (Katmanlı Güvenlik)

En etkili çözüm her iki yöntemin birlikte kullanılmasıdır:

1. DNS filtreleme: İlk savunma hattı - hızlı engelleme

2. Web filtreleme: Detaylı kontrol - içerik analizi

3. Örnek akış:

- DNS filtresi `yetiskinsite.com`'u engeller

- Web filtresi `habersitesi.com/gizli-oyun` sayfasını engeller

- Web filtresi bir PDF'indeki zararlı kodu tespit eder

Her iki teknoloji de günümüz siber güvenlik stratejilerinin temel yapı taşlarıdır. Seçim yaparken ihtiyacınız olan kontrol seviyesi, performans gereksinimleri ve bütçenizi göz önünde bulundurmalısınız.

İzinsiz Giriş Önleme Sistemi Intrusion Prevention System IPS

IPS (Intrusion Prevention System) Nasıl Çalışır?

IPS (Saldırı Önleme Sistemi), ağ trafiğini gerçek zamanlı olarak analiz eden, kötü niyetli aktiviteleri tespit eden ve bu aktiviteleri otomatik olarak engelleyen bir güvenlik sistemidir. IDS'den (Saldırı Tespit Sistemi) farklı olarak sadece uyarı vermez, doğrudan müdahale eder.

Temel Çalışma Prensibi

IPS, ağ trafiğinin içinden geçtiği bir "inline" (seri bağlı) cihaz olarak çalışır:

[İnternet] → [IPS] → [Firewall] → [İç Ağ]

↑

Trafiği analiz eder

ve anında engeller

1. Tüm trafik IPS üzerinden geçer

2. IPS, paketleri kural tabanları ve imzalarla karşılaştırır

3. Şüpheli aktivite tespit edilirse bağlantıyı anında sonlandırır

IPS Teknikleri ve Çalışma Yöntemleri

1. İmza Tabanlı (Signature-Based)

- Bilinen saldırıların "parmak izi" ile karşılaştırma

- Örnek: Bir SQL Injection saldırısında `' OR '1'='1` pattern'ini arar

- Avantaj: Hızlı ve doğru

- Dezavantaj: Sıfır gün saldırılarını yakalayamaz

2. Anomali Tabanlı (Anomaly-Based)

- Normal Ağ davranışını öğrenir ve sapmaları tespit eder

- Örnek: Normalde 100 DNS sorgusu/paket varken aniden 10,000 sorgu

- Avantaj: Bilinmeyen saldırıları bulabilir

- Dezavantaj: Yanlış pozitif üretebilir

3. Politika Tabanlı (Policy-Based)

- Belirlenen güvenlik politikalarını ihlal eden trafiği engeller

- Örnek: Çalışma saatlerinde SSH bağlantısını engelleme

4. Protokol Analizi

- Protokollerin standartlara uygunluğunu kontrol eder

- Örnek: HTTP isteğinin RFC normalarına uygun formatı

IPS Müdahale Yöntemleri

Bir saldırı tespit edildiğinde IPS şunları yapabilir:

| Müdahale | Açıklama |

Bağlantıyı sonlandırma

TCP RST paketi göndererek oturumu kapatır.

Paket düşürme

Zararlı paketi siler, diğerlerine izin verir.

IP engelleme

Kaynak IP'yi geçici/kalıcı olarak bloke eder.

Ne zaman

Bağlantıyı yeniden yönlendirir.

Alert loglama

Sadece kayıt alır ve izinsiz devam eder (IDS modu)

Gerçek Dünya Örnekleri

Örnek 1: SQL Injection Engelleme

Kullanıcı: "Ürün ara" formuna yazıyor:

> DROP TABLE kullanicilar;

IPS Analizi:

1. HTTP POST isteğini inceler

2. SQL komutu pattern'ini tespit eder ("DROP TABLE")

3. Paketi düşürür

4. Bağlantıyı sonlandırır

5. Alarm kaydeder ve yöneticiyi bilgilendirir

Örnek 2: DDoS Saldırısı Engelleme

Ağa gelen normal SYN paketi sayısı: 1000/saniye

Anlık SYN paketi sayısı: 50,000/saniye

IPS Analizi:

1. Anomali tespit eder (50 kat artış)

2. Kaynak IP'leri rate-limit'e alır

3. Aşırı istek gönderen IP'leri geçici bloklar

IPS Dağıtım Mimarileri

1. Dedicated IPS (Özel Cihaz)

2. NGFW (Next-Gen Firewall) İçinde IPS

3. Host Tabanlı IPS (HIPS)

4. Cloud IPS

IPS vs IDS Karşılaştırması

Özellik

IPS

IDS

Konum

Inline (trafik içinden)

Out-of-band (yan bağlı)

Aksiyon

Otomatik engelleme

Sadece uyarı + log

Ağ performansı

Düşürebilir

Etkilemez

Yanlış pozitif riski

Yüksek (engelleme yapar)

Düşük (sadece uyarır)

Gecikme

Ekler (mikrosaniye)

Yok

IPS Zorlukları ve Dezavantajları

1. Yanlış pozitifler: Normal trafiği engellediğinde iş kesintisi

2. Performans yükü: Tüm trafiği analiz ederken gecikme ekler

3. Şifreli trafik: HTTPS trafiğini analiz edemez (SSL decryption gerekir)

4. Sıfır gün saldırıları: İmzasız saldırıları kaçırabilir

5. Kaçınma teknikleri: Paket parçalama, fragmantasyon, encoding ile atlatma

En İyi Uygulama Önerileri

1. ÖNCE İZLE (veya sadece alarm modu): Trafiği öğren

↓

2. YANLIŞ POZİTİFLERİ ANALİZ ET: Kuralları iyileştir

↓

3. HASSAS AĞLARDA AKTİF ET: DMZ, kritik sunucular

↓

4. DÜZENLİ GÜNCELLE: İmza ve kural güncellemeleri

↓

5. KATMANLI SAVUNMA: Firewall + IPS + EDR birlikte

IPS, modern güvenlik mimarisinin aktif savunma katmanıdır. Ancak tek başına yeterli değildir; Firewall, EDR (Endpoint Detection Response) ve SIEM ile birlikte kullanılmalıdır. Özellikle şifreli trafiğin artmasıyla, IPS'lerin SSL/TLS decryption yetenekleri de kritik hale gelmiştir.

Ağ Algılama ve Müdahale (NDR)

Network Detection and Response

NDR (Ağ Algılama ve Müdahale), kurumsal ağlardaki şüpheli veya kötü amaçlı trafiği gerçek zamanlı olarak tespit etmek ve bu tehditlere otomatik veya manuel müdahale etmek için kullanılan bir siber güvenlik çözümüdür.

NDR, özellikle imza tabanlı (signature-based) geleneksel güvenlik duvarlarının veya antivirüs yazılımlarının kaçırdığı sıfır gün saldırıları, iç tehditler ve gelişmiş kalıcı tehditlere (APT) karşı etkilidir.

Nasıl Çalışır?

NDR’nin çalışma prensibi 4 temel aşamadan oluşur:

1. Toplama (Collect):

Ağ anahtarları, yönlendiriciler, uç noktalar gibi kritik noktalara yerleştirilen sensörler veya NetFlow, sFlow, IPFIX, Full Packet Capture (FPC) gibi protokoller aracılığıyla tüm ağ trafiği toplanır. Bu, genellikle "pasif" bir yöntemdir; yani ağa herhangi bir yük veya gecikme eklemez.

2. Analiz (Analyze):

Toplanan veriler üzerinde yapay zeka (AI) ve makine öğrenimi (ML) modelleri kullanılarak bir "normal davranış" profili oluşturulur. Ardından şu yöntemlerle anormallikler aranır:

- Davranışsal Analiz: Örneğin bir sunucunun gece 03:00’te daha önce hiç iletişim kurmadığı bir IP’ye büyük veri göndermesi.

- İstatistiksel Anomaliler: Ani trafik patlamaları, olağandışı port taramaları.

- İmza Karşılaştırması: Bilinen saldırı modelleriyle (C2 iletişimi, DNS tunneling vb.) eşleşme.

3. Tespit (Detect):

Analiz sonucunda şüpheli bir durum tespit edildiğinde NDR, risk seviyesine göre bir alarm üretir. Örneğin: "Kullanıcı X’in bilgisayarından bir cryptominer sunucusuna sürekli bağlantı kuruluyor."

4. Müdahale (Respond):

Bu aşama, NDR’yi sadece bir "NIDS"den (Ağ Tabanlı Saldırı Tespit Sistemi) ayıran en kritik farktır. Müdahale şunları içerebilir:

- Otomatik: Şüpheli bağlantıların firewall üzerinden anında engellenmesi, şüpheli hostun ağdan izole edilmesi, zararlı oturumların sonlandırılması.

- Manuel: Güvenlik yöneticisine e-posta/SIEM uyarısı göndererek aksiyon almasını sağlama, tehdit avcılığı (threat hunting) için veri sağlama.

Neden Kullanılır & Avantajları

- Şifreli Trafiği İnceleyebilir (TLS/SSL): Sertifikaları düşürmeden (decryption) metadata üzerinden anormallik tespit eder.

- Ajan Gerektirmez: Uç noktalara yazılım yüklemeye gerek yoktur, bu nedenle IoT veya işletim sistemi eski cihazları da izleyebilir.

- İç Tehditleri Bulur: Dışarıdan gelen saldırılar kadar, içerideki yetkisiz erişim veya veri sızdırma girişimlerini de yakalar.

- EDR ile Tamamlayıcıdır: EDR (Uç Nokta) host içini izlerken, NDR ağ trafiğini izler. İkisi birlikte kullanıldığında (XDR konsepti) çok daha kapsamlı koruma sağlanır.

Detay:

EDR ve XDR

Örnek Senaryo

Bir çalışan, sahte bir fatura e-postasındaki bağlantıya tıklar ve bilgisayarına trojan bulaşır. Trojan, C2 sunucusu ile şifreli bir kanal açar ve yeni komut bekler.

- Antivirüs bu troyanı daha önce görmediği (sıfır gün) için kaçırabilir.

- NDR ise, trojanın bilgisayarından bir dış IP’ye saniyede 3 defa bağlanma denemesi, gece yarısı olmasına rağmen yüksek veri çıkışı gibi anormal davranışları algılar ve bağlantıyı otomatik olarak firewall’dan bloklar.

NDR vs Benzer Teknolojiler

Özellik

NDR

IDS/IPS

SIEM

EDR

Veri Kaynağı

Ağ trafiği (packet, flow)

Ağ trafiği (imza bazlı)

Loglar, olaylar

Uç nokta (process, registry)

Yöntem

Davranışsal analiz, ML

İmza / kural tabanlı

Korelasyon, kural eşleme

Davranışsal + dosya tabanlı

Müdahale

Ağ müdahalesi (block, isolate)

Sınırlı (Sadece IPS drop yapar)

Uyarı üretir

Host müdahalesi (kill process)

Özetle: NDR, ağ trafiğini pasifçe dinleyen, yapay zeka ile anomali tespit eden ve otomatik müdahale yapabilen bir siber güvenlik katmanıdır. Özellikle sessiz hareket eden saldırganları ve iç tehditleri bulmak için idealdir.