Uygulama ve Protokol (SSH) Koruması
Bu yazımızda SSH'ı korumaktan ziyade bir protokol veya uygulamayı nasıl koruyacağımızı göreceğiz. Örneklere vesile olacak olan protokol de SSH olacak. Normal şartlarda biraz siber güvenlik bilen arkadaşlarımız biraz sonra yapacaklarımızı oldukça mantıklı bulacaktır. Ancak, bilmeyen arkadaşlarımız için de açıklamalar yapacağız. Sorunumuz şu ki, bu seride siber güvenlik anlatmıyoruz, sadece Mikrotik yapısını nasıl korumamız gerektiğini öğrenmeye çalışıyoruz. Dolayısıyla çok detay veremeyeceğim. Başlayalım.
Geçtiğimiz yazılarda NMAP'ten bahsettik. NMAP'in bir port tarama aracı olduğundan söz ettik hatta bir port taraması da yaptık. Şimdi, SSH portumuz da açık olduğundan bunu bir şekilde korumamız lazım. Efektif bir siber güvenlik önlemi olarak bu protokolün portunu değiştireceğiz. Hadi bunun nasıl olduğunu görelim.
IP > Services yolunu takip ederek servislerimizi görebildiğimizi biliyorsunuz. Burada SSH'ın sol kenarında yeşil, yuvarlak bir ikon olduğunu, port numarasını görüyorsunuz. NMAP'ten de bunu doğrulayalım bakalım.
nmap 10.0.2.0/24 dediğimizde RouterOS'un IP'si olan 10.0.2.5 IP adresine ait açık portları yakaladı ve aralarında SSH da mevcut. Hoş değil. Hadi devam edelim.
SSH'ın üzerine çift tıkladığınızda karşınıza yukarıdaki gibi bir pencere açılacaktır. Port kısmını dilediğiniz gibi değiştirebilirsiniz ama 4 veya 5 haneli olması sizin için daha iyi olacaktır. Ben bu örnekte 8024 numaralı portu SSH protokolüne atadım. Bunu yaptıktan sonra OK diyerek buradan çıkabiliriz.
SSH'ın 22 numaralı portta çalıştığını herkes bilir. Özellikle kötü niyetli bazı arkadaşlar bunu akıllarına kazımıştır. SSH üzerinden karşı cihaza yani Mikrotik'e bağlanmak onların favorileri arasındadır. Dolayısıyla 22 olarak bilinen portu başka bir sayı ile değiştirdik.
Şimdi tekrar bir tarama yapalım ve ne olacağına bir bakalım.
Gördüğünüz üzere SSH artık burada görünmüyor. Elbette, NMAP ile 8024 numaralı portu bırakın 65000 portunu bile görebiliriz. Bizim portu değiştirme amacımız, kötü niyetli kişilerin işini zorlaştırmak. nmap <ip adresi> komutunu verdiğimizde NMAP en popüler 100 portu tarayacaktır. Bu, hız ve verimlilik açısından oldukça avantaj sağlar. SSH'ın portunu değiştirerek kendisini bu 100 popüler port arasından çekip aldık.
NMAP aslında çok geniş kapsamlı bir araçtır. Birçok özelliği, alabileceği birçok parametre mevcut. Bunlardan biri de spesifik olarak bir veya birden fazla portu taramamıza olanak tanımasıdır.
Şu şekilde nmap -p 22 10.0.2.5 dediğimizde 10.0.2.5 IP adresinin sadece 22 numaralı portu tarayacaktır. Ekranda da gördüğünüz üzere 22 numaralı SSH portu kapalı görünüyor. Çok güzel.
Şimdi, direkt olarak 8024 numaralı portu tarayalım ve ne olacağına bir bakalım.
nmap -p 8024 10.0.2.5 komutunu verdiğimde portu buldu, açık olduğunu ifade etti ama unknown yani bilinmeyen bir port olduğunu söyledi. SSH mı, değil mi bilgi verilmiyor.
SSH ile sisteme bağlanmaya çalışacak olan tek kişi saldırganlar olmayacaktır. Şirketinizin ağ yöneticisi veya bu yetkilere sahip bir personeli SSH ile bağlanmak isteyebilir. Dolayısıyla port bilgisini değiştirdiğinizde bunu ilgili kişilere bildirmek zorundasınızdır. Eğer port değişirse eski port bilgisi ile bir erişim sağlanamaz ve hata mesajlarıyla karşılaşılır. O yüzden her zaman bu tarz müdahalelerde bulunduğunuzda ilgili kişilerin de haberi olsun.
Portu değiştirdik. Peki, sadece belli cihazların bu Mikrotik'e SSH ile bağlanmasını istiyorsak bunu nasıl yaparız?
Tekrardan SSH üzerine çift tıklıyoruz. Açılan pencerede Available From kısmına, erişim vermek istediğiniz IP adresini yazıyorsunuz. Bu, ağ içerisindeki IP adresi olmalıdır. Örneğin yukarıdaki görselde de görebileceğiniz üzere oraya Windows 11 makinenin IP adresi olan 10.0.2.15 IP adresini yazdım.
Yani artık bu IP adresine sahip cihazdan başka bir cihaz buraya giremeyecektir. Peki, birden fazla cihaza aynı şeyi yapmak istesek nasıl yaparız?
Buraya subnet de yazabiliyoruz. Çok güzel ama bir Prefix yani Range yazamıyoruz. Bununla beraber normal IP adresi olarak birden fazla IP adresi giremiyoruz. Örneğin 10.0.2.15, 10.0.2.16, 10.0.2.17 şeklinde ve 10.0.2.0/30 şeklinde bir tanımlama yapamıyoruz. Bu bir sorun. Hemen halledelim.
En soldan başlayarak yavaşca gideceğiz. Az önce sözüne ettiğim sorunu çözmek için Firewall ayarlarına erişmemiz lazım. Bunun için de IP > Firewall yolunu takip ediyoruz. Açılan pencerede, içi boş ve kırmızı bir ok ile işaretlediğim kısımda + işaretine tıklıyoruz.
Uzun bir pencere daha açılacaktır. Bu kısımda şu an için önemli olan kısımlar Chain, Src. Address, Protocol, Dst. Port kısımları. Sırasıyla gidelim.
Chain kısmında Firewall kuralını belirliyoruz. Şimdiki konumuz input yani giriş için bir kural olduğundan Chain: input diyoruz.
Src. Address kısmı, Source Address yani Kaynak Adresi ifade eder. Bu, hangi IP adresi için input işlemi yapılacağını sorar. Buna bir range verdik; 10.0.2.0/30 dedik. Bu kural, bu range içerisindeki IP'leri kapsayacak.
Protocol kısmında ise TCP seçeneğini seçiyoruz çünkü SSH, TCP ile taşınır.
Dst. Port kısmına, SSH'ın port numarasını giriyoruz. Ancak, 22 değil 8024. Çünkü değiştirmiştik.
İşlemler tamamlandıktan sonra OK diyoruz ve kuralımız oluşturulmuş oluyor. Burada söylediğimiz şey şu: "8024 numaralı porta, 10.0.2.0/30 aralığında olan bir IP'den bağlantı isteği geldiğinde onu onayla."
Kırmızı kutucuk içerisine bakarsanız ek olarak 2 tane kural daha eklediğimi görürsünüz. Artık şu söylemimiz, "8024 numaralı porta, 10.0.2.0/30 aralığında olan bir IP'den bağlantı isteği geldiğinde onu onayla." biraz değişti ve şuna döndü: "8024 numaralı porta, 10.0.2.0/30 aralığında olan bir IP'den, 10.0.2.20 IP'sinden ve 10.0.2.24 IP'sinden bağlantı isteği geldiğinde onu onayla."
Peki, yapmamız gereken ufak bir iş daha var. Yukarıda gördüğünüz gibi kural tanımlama kısmını tekrardan açıyorum ve ayarları ekrandaki gibi düzenliyorum.
Action kısmına gelip Action: drop dersek, yeni bir kural oluşacaktır.
Şimdi bu alanı bir algoritma olarak düşünelim.
1. Başla
2. 10.0.2.0/30 aralığından bir IP sana istek atarsa onu kabul et.
3. 10.0.2.20 IP'si sana istek atarsa onu kabul et.
4. 10.0.2.24 IP'si sana istek atarsa onu kabul et.
5. Bitir
Hep kabul ediyoruz. Peki, kabul etmediğimiz zamanlar olacak mı? Elbette olacak. Biz bunları kabul ediyoruz ama bunların dışında bir istek gelirse de onu drop ediyoruz yani düşürüyoruz. Daha sade bir anlatımla, o isteği karşılamıyor, isteği yapan IP adresini eli boş gönderiyoruz. O zaman algoritmayı biraz daha düzenleyelim.
1. Başla
2. 10.0.2.0/30 aralığından bir IP sana istek atarsa onu kabul et.
3. 10.0.2.20 IP'si sana istek atarsa onu kabul et.
4. 10.0.2.24 IP'si sana istek atarsa onu kabul et.
5. Başka bir IP'den gelen istekleri drop et.
6. Bitir
Benzer şeyleri diğer servisler için de yapabiliriz. Orada winbox'ı görüyorsunuz. Winbox'a yalnızca kendi cihazınızdan bağlanabilmek için biraz uğraşmanızı istiyorum. Bir IP adresini statik olarak ayarlamanız gerekebilir. Sevgiler.
Yayınlanma Tarihi: 2024-11-01 08:05:46
Son Düzenleme Tarihi: 2025-07-05 11:49:31