SSL Sertifika Analizi Açık Port Tespiti Web Uygulama Tarama DNS Güvenlik Denetimi HTTP Başlık Analizi Yanlış Yapılandırma Tespiti Yazılım Parmak İzi Alt Alan Adı Tarama
SSL Sertifika Analizi Açık Port Tespiti Web Uygulama Tarama DNS Güvenlik Denetimi HTTP Başlık Analizi Yanlış Yapılandırma Tespiti Yazılım Parmak İzi Alt Alan Adı Tarama

Tüm Kayıtlar

Kategori Güvenlik Yapılandırma Hatası / Saldırı Yüzeyi Yönetimi
Tipik Önem Derecesi Orta
OWASP A05:2021 – Güvenlik Yapılandırma Hatası
CWE CWE-1188 – Güvensiz Varsayılan ile Kaynak Başlatma; CWE-16 – Yapılandırma
Diğer adları Aşırı Açık Portlar, Gereksiz Servisler, Genişletilmiş Saldırı Yüzeyi, Port Açığı
Etkilenen sistemler Web sunucuları, uygulama sunucuları, bulut örnekleri, VM'ler, ağ cihazları, konteynerleştirilmiş iş yükleri
İlgili standartlar CIS Kıyaslamaları, NIST SP 800-123, ISO/IEC 27001 A.13

Genel Bakış

Bir ana bilgisayarda açık bırakılan her TCP veya UDP portu ile sistemin amaçlanan işlevi için kesinlikle gerekli olmayan her çalışan servis, gereksiz saldırı yüzeyi oluşturur. Saldırganlar, açık servisleri tespit etmek, yazılım sürümlerini belirlemek ve bilinen güvenlik açıklarını bulmak amacıyla rutin olarak port taraması gerçekleştirir. Bir yönetim arayüzü, eski protokol uç noktası veya varsayılan kurulum bileşeni gibi zararsız görünen servisler bile istismar edilebilir zayıflıklar içerebilir ya da daha derin bir ihlal için zemin hazırlayabilir.

Bu yapılandırma hatası sınıfı, OWASP A05:2021 (Güvenlik Yapılandırma Hatası) kapsamında açıkça belirtilmekte olup NIST SP 800-123 (Genel Sunucu Güvenliği Rehberi) ve CIS Kıyaslamaları gibi ağ sertleştirme kılavuzlarında temel bir endişe kaynağı olarak ele alınmaktadır. Sensagraph, taranan hedeflerde açık portları ve beklenmedik servisleri otomatik olarak tespit eder.

Nasıl çalışır?

İlk keşif aşamasında saldırganlar, hangi portların bağlantı kabul ettiğini ve hangi yazılımların dinlediğini belirlemek için yaygın ve tam port aralıklarında (TCP 0–65535, temel UDP portları) hedef IP adresi veya ana bilgisayar adını araştırır. Ulaşılabilir bir servis çalıştıran her açık port daha sonra parmak izi alınır — çoğunlukla tam yazılım sürüm dizgileri ortaya çıkar — ve saldırganlar bu bilgileri kamuya açık güvenlik açığı veritabanlarıyla (NVD, CVE listeleri) çapraz referans ederek bilinen açıkları tespit edebilir.

Gereksiz açık portlara yol açan yaygın senaryolar şunlardır:

  • Varsayılan kurulumlar: Sunucu yazılımları ve işletim sistemleri, uygulamanın birincil amacı için gerekli olmayan yardımcı daemon'ları (FTP, Telnet, SMTP, SNMP, RPC, NetBIOS, mDNS) sıklıkla başlatır.
  • Geliştirme ve hata ayıklama servisleri: Geliştirme sürecinde açılan (örn. 8080/8443 portunda veritabanı yönetim arayüzleri, hata ayıklama uç noktaları, uzak kabuk dinleyicileri) ve üretim ortamında yanlışlıkla etkin bırakılan portlar.
  • Bulut ve konteyner varsayılanları: Bulut makine görüntüleri ve konteyner temel görüntüleri, dahili ağlarla veya VPN'lerle kısıtlanması gereken ancak kamuya açık hale gelen yönetim portlarını (SSH 22, RDP 3389, Docker API 2375/2376) sıklıkla açar.
  • Unutulan veya eski servisler: Geçici bir amaç için kurulup hiç devre dışı bırakılmayan servisler veya geriye dönük uyumluluk için muhafaza edilen eski protokol uç noktaları (örn. Telnet, FTP, TFTP).
  • Güvenlik duvarı kural kayması: Engellenmesi gereken portlara trafiğe istemeden izin veren aşırı geniş kapsamlı veya yanlış sıralanmış güvenlik duvarı kuralları.

Bir saldırgan ulaşılabilir bir servisi tespit ettiğinde risk, o servisin kritikliğine göre artar: kamuya açık bir veritabanı portu (örn. MySQL 3306, Redis 6379) doğrudan kimlik doğrulamasız erişime izin verebilir; güncel olmayan bir FTP sunucusu bilinen bir CVE ile istismar edilebilir; açıkta kalan bir yönetim paneli, kaba kuvvet veya kimlik bilgisi doldurma saldırılarına hedef olan bir giriş arayüzü sunar.

İş etkisi

Gereksiz açık portlar ve servislerin varlığı, bir güvenlik açığının keşfedilme ve istismar edilme olasılığını artırır. Somut etkiler şunlardır:

  • Veri ihlali: Veritabanı veya önbellek servislerine doğrudan erişim (örn. kimlik doğrulama olmadan açıkta bırakılan MongoDB, Elasticsearch, Redis), milyonlarca kaydı içeren çok sayıda büyük ölçekli veri ihlalinin temel nedeni olmuştur.
  • Yetkisiz sistem erişimi: Açıkta kalan yönetim protokolleri (SSH, RDP, Telnet), otomatik kaba kuvvet ve kimlik bilgisi doldurma kampanyalarının sürekli hedefi olmaktadır.
  • Yanal hareket: Ele geçirilen düşük riskli bir servis, saldırganın dışarıdan erişilemeyen daha hassas dahili sistemlere ulaşması için bir pivot noktası işlevi görebilir.
  • Uyumluluk başarısızlıkları: PCI DSS Gereksinim 1, gelen ve giden trafiği yalnızca gerekli olanla kısıtlamayı zorunlu kılmaktadır. ISO/IEC 27001 ve CIS Kontrolleri de benzer şekilde açıkta kalan servislerin en aza indirilmesini gerektirmektedir. Gereksiz açık portlara ilişkin denetim bulguları, uyumluluk cezalarına veya başarısız sertifikasyonlara yol açabilir.
  • İtibar zararı: Özellikle kamuya açık servisleri içeren, önlenebilir bir yapılandırma hatasından kaynaklanan bir ihlal, genellikle önemli olumsuz ilgi çeker ve müşteri güvenini zedeler.

Nasıl düzeltilir?

  1. Tüm dinleyen servisleri envanterleyin: Her ana bilgisayarda root olarak ss -tlnup (Linux) veya netstat -ano (Windows) çalıştırarak dinleyen her portu ve buna bağlı işlemi listeleyin. Sonuçları yetkili servis listenizle karşılaştırın.
  2. Gereksiz servisleri devre dışı bırakın veya kaldırın: Sistemin işlevi için gerekli olmayan her servis daemon'ını durdurun ve devre dışı bırakın (örn. systemd ana bilgisayarlarında systemctl disable --now <servis>). Mümkün olduğunda ilişkili paketleri kaldırarak kurulu ayak izini azaltın.
  3. En az işlevsellik ilkesini uygulayın: Sistemleri yalnızca açıkça gerekli olan portları ve protokolleri açıkta bırakacak şekilde yapılandırın. Temel olarak ilgili işletim sistemi ve yazılım için CIS Kıyaslamalarını kullanın.
  4. Ağ katmanında erişimi kısıtlayın: Yalnızca yetkili kaynak IP'lere ve port aralıklarına izin vermek için ana bilgisayar tabanlı güvenlik duvarları (iptables, nftables, Windows Güvenlik Duvarı) ve ağ katmanı kontrolleri (bulut ortamlarında güvenlik grupları, NACL'ler) kullanın. Varsayılan-reddet kuralları temel güvenlik tutumu olmalıdır.
  5. Yönetim arayüzlerini genel internetten ayırın: Yönetim ve bakım portlarına (SSH, RDP, veritabanı portları, yönetim arayüzleri) yalnızca güvenilir ağlardan, VPN'lerden veya bastion ana bilgisayarlarından erişilebilmeli — doğrudan genel internetten kesinlikle erişilmemelidir.
  6. Güvensiz eski protokolleri değiştirin: Düz metin protokollerini (Telnet, FTP, TFTP, SNMP v1/v2c) devre dışı bırakın ve bir servis gerçekten gerekiyorsa şifreli eşdeğerleriyle (SSH, SFTP, SNMPv3) değiştirin.
  7. Periyodik port taramalarını otomatikleştirin ve planlayın: Saldırganlardan önce port açığı kaymasını tespit etmek için düzenli dahili ve harici port taramayı CI/CD boru hattınıza ve güvenlik operasyonlarınıza entegre edin.
  8. Güvenlik duvarı kurallarını düzenli olarak gözden geçirin ve sıkılaştırın: Gözden geçirilmemiş eklemelerin kalıcı hale gelmesini önlemek için güvenlik duvarı kurallarına yönelik bir değişiklik yönetimi süreci oluşturun. Belgelenmiş iş gerekçesi kalmayan kuralları kaldırın.

Kaynaklar

Sıkça sorulan sorular

Veritabanı portları (MySQL 3306, PostgreSQL 5432, MongoDB 27017, Redis 6379, Elasticsearch 9200) en yüksek risk grubundadır; çünkü pek çok kurulum varsayılan olarak kimlik doğrulama gerektirmez ya da zayıf kimlik doğrulama kullanır. RDP (3389), Telnet (23) ve korumasız SSH (22) gibi yönetim protokolleri, otomatik kaba kuvvet kampanyalarının sürekli hedefidir. SMB (445) ve NetBIOS (135–139), büyük ölçekli solucan ve fidye yazılımı kampanyalarında istismar edilmiştir. Bilinen, yamalanmamış bir CVE çalıştıran herhangi bir port, port numarasından bağımsız olarak kritik derecede tehlikelidir.

Linux'ta root olarak 'ss -tlnup' veya 'netstat -tlnup' komutunu çalıştırarak ilişkili işlemle birlikte tüm dinleyen TCP ve UDP soketlerini listeleyebilirsiniz. Windows'ta 'netstat -ano' komutu, Görev Yöneticisi'nde çapraz referans verilebilecek işlem ID'leriyle birlikte portları listeler. Bir saldırganın gördüğünü simüle eden harici bir bakış açısı için, kendi IP aralıklarınıza karşı yetkilendirilmiş tarama araçlarıyla ana bilgisayar ağının dışından bir port taraması gerçekleştirin.

Güvenlik duvarı kuralları önemli ağ katmanı koruması sağlar; ancak tek başına yeterli değildir. Güvenlik duvarı kuralı yanlış yapılandırılırsa, değiştirilirse veya atlatılırsa (örn. aynı ağ segmentindeki ele geçirilmiş bir ana bilgisayar aracılığıyla) servis erişilebilir olmaya devam eder. Tercih edilen yaklaşım hem servisi tamamen devre dışı bırakmak hem de güvenlik duvarında portu engellemektir — bu derinlemesine savunma yaklaşımıdır. Çalışmayan bir servis, güvenlik duvarı kuralı başarısız olsa bile istismar edilemez.

Evet, genellikle daha belirgin biçimde etkiler. Konteyner görüntüleri sıklıkla varsayılan servisler içerir ve bulut güvenlik grupları yanlış yapılandırma veya geliştirici kolaylığı nedeniyle aşırı izin verici olabilir. Docker daemon API'si (2375/2376 portu), Kubernetes API sunucusu (6443), etcd (2379/2380) ve bulut meta veri servisleri özellikle hassastır. Bulut-yerel ortamlar, güvenlik grupları, ağ politikaları ve uygun şekilde kapsamlandırılmış IAM rolleri aracılığıyla uygulanan aynı port minimizasyon ilkelerini gerektirir.

Denetimler sürekli olmalı veya en azından değişim hızınızla örtüşen bir sıklıkta planlanmalıdır. Pratikte bu, altyapı değişiklikleri için port taramayı CI/CD boru hattınıza entegre etmek, otomatik harici taramaları en az haftalık çalıştırmak ve kapsamlı manuel incelemeleri üç ayda bir ya da önemli bir altyapı değişikliğinin ardından gerçekleştirmek anlamına gelir. Otomatik ölçeklendirme veya geçici iş yükleri bulunan bulut ortamları, otomatik, olay güdümlü taramadan faydalanır.