Kişisel Alan Adı Güvenlik Uygulamaları: Tarama Saldırılarından Koruma Stratejilerine
Categories:
Giriş
İnternet çağında, alan adı güvenliği her internet kullanıcısının dikkat etmesi gereken bir konu haline geldi. Her gün sayısız otomatik araç internetin her köşesini tarıyor ve olası zafiyetleri arıyor. Birçok kişi sadece büyük şirketlerin saldırı hedefi olduğunu düşünüyor, ancak aslında saldırı maliyetlerinin düşmesi ve araçların yaygınlaşması nedeniyle internete açık her hizmet saldırı hedefi olabilir. Alan adı güvenliği yalnızca kişisel gizlilik ve veri koruma ile ilgili değil, aynı zamanda ağ hizmetlerinin kararlı bir şekilde çalışmasının temelini oluşturur. Siber güvenlik tehditlerinin sürekli evrilmesiyle birlikte, kapsamlı bir alan adı güvenlik koruma sistemi kurmak giderek daha önemli hale geliyor ve bu nedenle güvenlik uygulama deneyimlerini sürekli olarak takip etmek ve paylaşmak istiyoruz.
Gerçek Vaka Analizi
Tarama Saldırısı Örneği
Cloudflare’a dağıttığım küçük bir gösteri sitesi, yalnızca iki geçerli URL’ye sahip olmasına rağmen:
yine de sürekli tarama saldırılarına maruz kalıyor.
Site başlatıldığında, diğer tüm URL’ler 404 döndürüyordu ve aynı gün Hong Kong sunucuları taramasına başladı; kaynak IP’ler her gün değişiyordu ancak çoğu Hong Kong’tan geliyordu. Bazı kullanıcılar Hong Kong IP’lerinden geldiği için bu bölgeyi doğrudan engelleyemiyorduk. Bu vaka, siber saldırıların otomatik ve sürekli özelliklerini gösteriyor ve aynı zamanda sistemli bir alan adı güvenlik koruma stratejisi oluşturmamız gerektiğini hatırlatıyor.
Yukarıdaki tüm bu URL’ler çeşitli amaçlarla yapılan denemelerdir; worker’im yalnızca / ve /logs-collector yollarını işliyor ve bu kararlı denemelerin çoğu zafiyet aramak içindir. Bu saldırı denemeleri yalnızca Cloudflare’nin ücretsiz istek kotasını tüketmekle kalmıyor, aynı zamanda günlük verilerini kirletiyor ve sistem izlemesine müdahale ediyor.
Ancak bu şekilde tarama CF’nin ücretsiz istek sayısını tüketiyor ve günlüklerimi kirletiyor; bu da iyi bir şey değil.
Daha sonra tüm diğer istekleri 200 döndürdüm ve Host on Cloudflare Worker, don't waste your time mesajını ekledim.
Değişiklikten sonra tarama miktarı azaldı; nedensellik ilişkisinden emin olamasak da bu yaklaşım kesin bir sinyal gönderdi.
Eğer kendi sunucunuzda çalışan bir hizmetse, her gün böyle taranıyor ve hizmet güvenlik güncellemelerini zamanında yapmıyorsa, eninde sonunda zafiyetler taranacak ve saldırıya uğrayacaktır. İşte bu nedenle alan adı güvenliğinin önemini vurguluyoruz; bu yalnızca tek bir saldırının başarılı olup olmadığıyla ilgili değil, aynı zamanda uzun vadeli sistem güvenlik durumuyla da ilgilidir.
Saldırganlar için bu tür saldırılar, her gün düzenli olarak durmadan deneme yapmak anlamına gelir; birini kırabilirlerse kırabilirler ve bunların çoğu otomatiktir; cihaz ve zaman maliyetleri düşüktür. Bu da siber saldırıların neden bu kadar yaygın olduğunu açıklar, çünkü saldırganlar için bu düşük maliyetli, yüksek getirili bir faaliyettir.
Güvenlik Tehdidi Analizi
Saldırgan Özellikleri
Sınır ötesi faaliyet siber saldırıların yaygın bir özelliğidir; saldırganlar farklı bölgelerde saldırı altyapıları dağıtarak sorumlu tutulma olasılığını azaltırlar. Otomatik araçların yaygın kullanımı saldırı maliyetlerini önemli ölçüde düşürür; Nmap ve Masscan gibi port tarama araçları saldırganların standart ekipmanı haline gelmiştir. Saldırılar genellikle süreklidir ve maliyetleri son derece düşüktür. Saldırganlar yeterli sayıda ‘zombi’ cihaza sahiptir ve engellemeleri atlatmak için IP adreslerini sık sık değiştirebilirler. Saldırı zamanları genellikle gece yarısı veya tatil günlerine denk gelir, bu zamanlarda izleme ve yanıt daha zayıf olabilir.
Yaygın Saldırı Yöntemleri
Port tarama saldırganların ilk adımıdır; açık portları toplu şekilde tarayarak SSH, RDP, MySQL gibi yaygın hizmetleri tanırlar. Zafiyet taraması ise bilinen zafiyetlere sahip eski yazılımları keşfetmek için yapılır; yol özellikleri ve dosya adı özellikleri aracılığıyla olası saldırı yüzeylerini tanır. Ayrıca, saldırganlar kendi girdilerini oluşturur ve giriş doğrulama zafiyetlerinden yararlanarak sistem izinleri elde etmeye çalışırlar.
Güvenlik Uygulamaları
Alan adı güvenlik koruması, hizmet türüne göre farklı stratejiler gerektirir. Kişisel hizmetler ve halka açık hizmetler için tamamen farklı koruma planları benimsenmelidir.
flowchart TD
A[Alan Adı Hizmet Dağıtımı] e1@--> B{Hizmet Türü Belirleme}
B e2@-->|Kişisel Hizmet| C[VPN Çözümü Seçme]
B e3@-->|Halka Açık Hizmet| D[Kenar Güvenlik Hizmeti Seçme]
C e4@--> E[Dahili Ağ DNS'i Kurma]
C e5@--> F[Tailscale veya ZeroTier Dağıtma]
C e6@--> G[Dahili Sabit IP Erişimi Yapılandırma]
D e7@--> H[Cloudflare Seçme]
D e8@--> I[Alibaba Cloud ESA Seçme]
D e9@--> J[WAF ve DDoS Koruması Yapılandırma]
E e10@--> K[Hizmeti Tamamen Gizleme]
F e11@--> K
G e12@--> K
H e13@--> L[Gerçek IP'yi Gizleme]
I e14@--> L
J e15@--> L
classDef start fill:#E3F2FD,stroke:#1565C0,stroke-width:1px,color:#0D47A1;
classDef decision fill:#FFF8E1,stroke:#EF6C00,stroke-width:1px,color:#E65100;
classDef action fill:#E8F5E9,stroke:#2E7D32,stroke-width:1px,color:#1B5E20;
classDef result fill:#F3E5F5,stroke:#6A1B9A,stroke-width:1px,color:#4A148C;
classDef animate stroke:#EF6C00,stroke-width:2px,stroke-dasharray: 9\,5,stroke-dashoffset: 900,animation: dash 25s linear infinite;
class A start;
class B decision;
class e1,e2,e3,e4,e5,e6,e7,e8,e9,e10,e11,e12,e13,e14,e15 animate;
class C,D,E,F,G,H,I,J action;
class K,L result;VPN Kullanımı ve Ters Proxy Yerine
Çoğu kişi yazılımlarını zamanında yükseltmez, en iyi strateji kendi alan adını açığa çıkarmamaktır. Tarama saldırıları hem önek hem de sonek oluşturabilir ve çeşitli alt alan adları denenecektir. Alt alan adı taramasının yoğun olduğu bölgeler nas, home, dev, test, blog, work, webdav, frp, proxy gibi isimleri içerir. Otomatik saldırılar gerçekleştirmek için saldırganlar bir alt alan adı sözlüğü hazırlar ve otomatik testler yapar. Bu yaygın isimler öncelikle taranacağı için, bu açık alt alan adı isimlerinden kaçınmak temel bir koruma önlemidir.
Kişisel hizmetler için, ters proxy yerine VPN teknolojisini kullanmanız önerilir; bu sayede hizmeti tamamen dahili ağınızda gizleyebilirsiniz. Yerel ağınızda bir DNS sunucusu kurabilirsiniz, örneğin AdGuard Home, üzerinde alan adı çözümlemesi yapılandırabilir ve dahili cihazların sabit IP’ler üzerinden erişmesini sağlayabilirsiniz. AdGuard Home yalnızca DNS hizmeti sağlamakla kalmıyor, aynı zamanda reklam engelleme ve ebeveyn kontrolü özelliklerine de sahip, bu da onu ev ağı ortamı için ideal bir seçenek yapar. DDNS, AdGuard Home’un API’si kullanılarak da gerçekleştirilebilir; yerel ağ ortamı olduğu için alan adını kendi istediğiniz gibi seçebilirsiniz ve genel ağ alan adı kurallarından etkilenmezsiniz. Bu yöntemin avantajı, hizmetin tamamen genel ağa açık olmaması ve böylece doğal olarak tarama saldırı riskinden kaçınmasıdır.
Kenar Güvenlik Hizmetlerinin Kullanımı
Genel ağdan erişim gerektiren hizmetler için, kenar güvenlik hizmetleri en iyi seçenektir. Cloudflare küresel lider kenar güvenlik hizmetleri sunar ve kişisel geliştiriciler gerçekten ticari değere sahip projeler bulana kadar ücretsiz sürümü tamamen yeterlidir. Yerel Alibaba Cloud ESA da iyi bir seçenektir; yeni kullanıcılar 3 ay ücretsiz deneme yapabilir, normal ücretlendirme kök alan adı başına aylık 10 RMB ve 50GB trafik sınırlamasıdır. Cloudflare’nin tamamen ücretsiz hizmeti karşısında, ESA’nın ana avantajı Çin anakarasındaki erişim hızının daha iyi olmasıdır.
Güvenlik hizmetleri genellikle yüksek fiyatlıdır, ancak koruma yapılmazsa saldırıya uğranıldığında kayıplar daha büyük olabilir. Ücretli koruma yapılırsa, doğrudan sabit giderleri günlük olarak görürsünüz. Kenar güvenlik hizmetleri bir tür sigorta gibidir, çok ucuz ve çok yüksek fiyat-performans oranına sahiptir; tipik olarak profesyonellerin profesyonel işlerini yapmasıdır.
Kenar güvenlik hizmetlerinin temel amacı gerçek IP’nizi gizlemektir; kullanıcılar kenar düğümlerine erişir, kenar düğümleri gerçek IP’ye geri dönüp dönmemeye karar verir. Temelde ön bir ters proxy’dir, önbellekleme, WAF, CDN, DDoS koruma gibi işlevleri entegre etmiştir. Kullanıcı ile hizmet arasına bir üçüncü taraf eklendiği için, kullanıcı deneyiminin düşmesi olasılığı vardır. Hem Cloudflare hem de ESA kullanıyorum; özetle, en iyi deneyime sahip bir kısım kullanıcının deneyimini biraz düşürsek de, daha fazla bölgedeki kullanıcı deneyimini artırıyoruz. Genel olarak hala çok değerli bir yatırım.
Özet
Alan adı güvenliği bir sistem mühendisliğidir ve hizmet türüne göre farklı koruma stratejileri gerektirir. Kişisel hizmetler için öncelikle VPN çözümünü kullanın; Tailscale ve ZeroTier her ikisi de olgun ve güvenilir seçeneklerdir. DNS hizmeti gerekiyorsa, dahili ağınızda AdGuard Home kurabilirsiniz; bu, reklam engelleme ve ebeveyn kontrolü işlevlerini içeren kapsamlı bir DNS çözümü sunar. Genel ağ erişim ihtiyaçları için, şifreli DNS çözümleme hizmeti sağlamak üzere AdGuard Private kullanabilirsiniz.
Halka açık hizmetler, kitleye erişim sağlayan hizmetler için, en iyisi bir kenar güvenlik hizmeti katmanı eklemektir. Cloudflare küresel lider ücretsiz güvenlik koruması sunar ve çoğu kişisel geliştirici için uygundur. Çin anakarasındaki erişim hızını özellikle önemsiyorsanız, Alibaba Cloud ESA seçebilirsiniz; bu, ülke içinde daha geniş düğüm dağılımına sahiptir ve daha iyi yerelleştirilmiş deneyim sunabilir.
Hangi planı seçerseniz seçin, önemli olan alan adı güvenliği bilincini geliştirmek, koruma önlemlerini proaktif olarak almak ve saldırıların olmasını pasif beklememektir. Siber güvenlikte sihirli bir çözüm yoktur, size en uygun olan en iyisidir.