SSL Sertifika Analizi Açık Port Tespiti Web Uygulama Tarama DNS Güvenlik Denetimi HTTP Başlık Analizi Yanlış Yapılandırma Tespiti Yazılım Parmak İzi Alt Alan Adı Tarama
SSL Sertifika Analizi Açık Port Tespiti Web Uygulama Tarama DNS Güvenlik Denetimi HTTP Başlık Analizi Yanlış Yapılandırma Tespiti Yazılım Parmak İzi Alt Alan Adı Tarama

Tüm Rehberler

SSH ve RDP, internet üzerinde en çok hedef alınan iki uzaktan erişim protokolüdür. Otomatik tarayıcılar, varsayılan yapılandırmaları, zayıf parolaları ve yamalanmamış servisleri arayarak her genel IP adresini gün boyu yoklar. Bu kılavuz, geliştiricilere, sistem yöneticilerine ve teknik yöneticilere her iki protokolü de sertleştirmeye yönelik somut, adım adım bir yol haritası sunmakta ve saldırganların en sık kullandığı açıkları kapatmaktadır.

01

Ağ Düzeyinde Erişimi Kısıtlayın

En güvenli SSH veya RDP portu, genel internete görünmez olan porttur. Uzaktan erişim portlarının yalnızca güvenilir ağlardan veya belirli IP aralıklarından erişilebilir olmasını sağlamak için güvenlik duvarı kuralları ve mümkünse bir VPN ya da sıfır güven ağ geçidi kullanın. Sensagraph, uzaktan erişim portlarınızın genel internete açık olup olmadığını sürekli olarak kontrol eder.

  • Çevre güvenlik duvarınızda, onaylı aralıklar dışındaki tüm kaynak IP'ler için SSH (port 22) ve RDP (port 3389) bağlantılarını engelleyin.
  • Çalışanların bir SSH veya RDP oturumu başlatmadan önce VPN veya bir atlama sunucusu (jump host) üzerinden bağlanmasını zorunlu kılın.
  • Portları doğrudan açmak yerine dağıtık ekipler için bir Sıfır Güven Ağ Erişimi (ZTNA) çözümü değerlendirin.
  • İkinci bir uygulama katmanı olarak bulut sağlayıcısı güvenlik gruplarını (AWS Security Groups, Azure NSG'ler, GCP güvenlik duvarı kuralları) kullanın.
  • İç RDP veya SSH bağlantılarını internete açan port yönlendirme kurallarını gözden geçirin ve kaldırın.
02

Varsayılan Portları Değiştirin

SSH'yi 22 numaralı portta ve RDP'yi 3389 numaralı portta çalıştırmak, servisinizin her otomatik kimlik bilgisi doldurma ve güvenlik açığı taramasında görünmesini garantiler. Standart dışı yüksek bir porta geçiş riski tamamen ortadan kaldırmaz; ancak gürültüyü önemli ölçüde azaltır ve gerçek tehditleri tespit etmek için zaman kazandırır. Sensagraph, yaygın alternatif uzaktan erişim portlarını tarar ve gereksiz yere açık olanları işaretler.

  • /etc/ssh/sshd_config dosyasını düzenleyin ve Port değerini 1024'ün üzerinde standart dışı bir değere (ör. 2222, 22222) ayarlayın.
  • Windows kayıt defterinden RDP dinleme portunu değiştirin: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber.
  • Yeni portu izin verecek ve eski portu engelleyecek şekilde güvenlik duvarı kurallarını güncelleyin.
  • Yeni portu tüm meşru kullanıcılara bildirin; komut dosyalarını, izleme araçlarını ve atlama sunucusu yapılandırmalarını buna göre güncelleyin.
03

Güçlü Kimlik Doğrulamayı Zorunlu Kılın

Parolalar tek başına uzaktan erişim için yetersizdir. SSH, şifrografik açıdan çok daha güçlü olan açık anahtar kimlik doğrulamasını destekler. RDP ise çok faktörlü kimlik doğrulama (MFA) ile eşleştirilmelidir. Parola tabanlı girişi ortadan kaldırmak, uzaktan erişim ihlallerinde en sık kullanılan saldırı vektörünü yok eder.

  • En az RSA 4096 bit veya Ed25519 ile bir SSH anahtar çifti oluşturun: ssh-keygen -t ed25519 -C "e-posta_adresiniz".
  • Açık anahtarı sunucuya kopyalayın: ssh-copy-id -i ~/.ssh/id_ed25519.pub kullanici@sunucu.
  • sshd_config dosyasında parola kimlik doğrulamasını devre dışı bırakın: PasswordAuthentication no ve ChallengeResponseAuthentication no olarak ayarlayın.
  • Özel anahtarları güçlü bir parola ile koruyun ve bir gizli bilgi yöneticisinde veya donanım güvenlik anahtarında (ör. YubiKey) saklayın.
  • RDP için, bir RD Gateway veya üçüncü taraf MFA aracısı kullanarak bir MFA sağlayıcısı (Microsoft Authenticator, Duo veya benzeri) ile entegrasyon sağlayın.
  • Mevcut olduğunda RDP oturumları için Windows Hello for Business veya akıllı kart kimlik doğrulamasını etkinleştirin.
  • SSH özel anahtarlarını ekip üyeleri arasında asla paylaşmayın — her kullanıcı için ayrı anahtarlar düzenleyin.
04

SSH Sunucu Yapılandırmasını Sertleştirin

Birçok dağıtımdaki varsayılan sshd_config dosyası, güvenliği zayıflatan eski algoritmalar ve izin verici ayarlar içerir. Sertleştirilmiş bir yapılandırma, saldırı yüzeyini yalnızca gerçekten ihtiyaç duyulana indirir.

  • PermitRootLogin no olarak ayarlayın — yöneticiler normal kullanıcı olarak SSH bağlantısı kurmalı ve sudo ile yetki yükseltmelidir.
  • SSH üzerinden hangi hesapların oturum açabileceğini açıkça beyaz listeye almak için AllowUsers veya AllowGroups ayarlayın.
  • Bağlantı başına başarısız kimlik doğrulama denemelerini sınırlamak için MaxAuthTries 3 olarak ayarlayın.
  • Yavaş brute-force denemeleri için pencereyi daraltmak amacıyla LoginGraceTime 30 olarak ayarlayın.
  • Kullanılmayan kimlik doğrulama yöntemlerini devre dışı bırakın: KerberosAuthentication no, GSSAPIAuthentication no.
  • Kabul edilen şifreleri ve MAC'leri yalnızca modern, güvenli algoritmalarla sınırlayın — RC4, 3DES, MD5 ve SHA-1 türevlerini kaldırın.
  • Boştaki oturumları otomatik olarak sonlandırmak için ClientAliveInterval 300 ve ClientAliveCountMax 2 olarak ayarlayın.
  • Açıkça gerekli değilse X11 yönlendirmesini devre dışı bırakın: X11Forwarding no.
  • Gerekli değilse TCP yönlendirmesini devre dışı bırakın: AllowTcpForwarding no.
  • Değişiklik yaptıktan sonra servisi yeniden başlatmadan önce sshd -t ile yapılandırmayı doğrulayın.
05

RDP Yapılandırmasını Sertleştirin

Windows RDP'nin kritik güvenlik açıklarına (BlueKeep, DejaBlue) yönelik uzun bir geçmişi vardır. Yamalama işleminin ötesinde, birkaç yapılandırma kontrolü maruziyeti önemli ölçüde azaltır.

  • Ağ Düzeyi Kimlik Doğrulamasını (NLA) etkinleştirin: Grup İlkesi → Bilgisayar Yapılandırması → Yönetim Şablonları → Windows Bileşenleri → Uzak Masaüstü Hizmetleri → NLA'yı zorunlu kıl.
  • RDP'yi yalnızca TLS 1.2 veya daha yüksek sürüm kullanacak şekilde ayarlayın; Grup İlkesinde eski TLS ve SSL modlarını devre dışı bırakın.
  • RDP erişimini tüm kimliği doğrulanmış kullanıcılar yerine özel bir güvenlik grubunun üyeleriyle sınırlandırın.
  • RDP gerektirmeyen sunucularda ve iş istasyonlarında RDP'yi devre dışı bırakın: Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections -Value 1.
  • Tüm RDP bağlantılarını aracılık etmek ve günlüğe kaydetmek, doğrudan RDP maruziyetini önlemek için Uzak Masaüstü Ağ Geçidi (RD Gateway) kullanın.
  • Grup İlkesi aracılığıyla oturum süre sınırlarını ve boşta bağlantı kesme politikalarını zorunlu kılın.
  • Windows Güvenlik Duvarı kuralını yalnızca belirli IP aralıklarından veya iç ağdan RDP'ye izin verecek şekilde etkinleştirin.
06

Brute-Force Koruması Uygulayın

Güçlü kimlik doğrulama olsa bile brute-force ve kimlik bilgisi doldurma saldırıları gürültü yaratır ve hız sınırlama açıklarını ortaya çıkarabilir. Katmanlı koruma, tekrarlanan başarısız denemelerin otomatik olarak engellenmesini sağlar.

  • Linux sunucularında yapılandırılabilir sayıda başarısız SSH denemesinden sonra (ör. 10 dakikada 5 başarısız) IP'leri otomatik olarak yasaklamak için Fail2Ban kurun ve yapılandırın.
  • Windows için tekrarlayan RDP başarısızlıklarını engellemek amacıyla Windows Defender Güvenlik Duvarı'nı bir komut dosyası veya RdpGuard ya da Cyberarms IDDS gibi bir araçla kullanın.
  • İşletim sistemi düzeyinde hesap kilitleme yapılandırın: 5–10 başarısız oturum açma denemesinden sonra hesapları kilitleyin ve yönetici kilidini açma veya zamanlı sıfırlama gerektirin.
  • Ek IP düzeyinde kısıtlama için Linux'ta /etc/hosts.deny ve /etc/hosts.allow (TCP Sarmalayıcılar) kullanın.
  • Kalıcı saldırı kaynaklarını belirlemek ve IP aralıklarını güvenlik duvarında proaktif olarak engellemek için Fail2Ban veya eşdeğer günlükleri haftalık olarak inceleyin.
07

Kapsamlı Günlük Kaydı ve Uyarı Etkinleştirin

Göremediğiniz bir saldırıya yanıt veremezsiniz. Her uzak erişim oturumu — başarılı ve başarısız — günlüğe kaydedilmeli, merkezi olarak toplanmalı ve anormallikler açısından izlenmelidir. Zamanında uyarılar, kontrol altındaki bir olay ile tam kapsamlı bir ihlal arasındaki farkı belirler.

  • Ayrıntılı SSH günlük kaydını etkinleştirin: Her başarılı oturum açmada anahtar parmak izlerini yakalamak için sshd_config dosyasında LogLevel VERBOSE ayarlayın.
  • SSH günlüklerini (/var/log/auth.log veya /var/log/secure) ve Windows Olay Günlüklerini (Olay ID'leri 4624, 4625, 4648) merkezi bir SIEM veya günlük yönetim platformuna gönderin.
  • Şunlar için gerçek zamanlı uyarılar ayarlayın: aynı IP'den birden fazla başarısız oturum açma, yeni bir coğrafi konumdan başarılı oturum açma, olağandışı saatlerde oturum açma ve oturum açma sonrası ayrıcalık yükseltme olayları.
  • Windows RDP denetim günlüğünü etkinleştirin: Oturum Açma/Kapatma olaylarını ve Terminal Hizmetleri oturum olaylarını denetleyin.
  • Adli soruşturmayı desteklemek için günlükleri en az 90 gün (veya uyumluluk çerçevenizin gerektirdiği süre) boyunca saklayın.
  • Uyarı altyapınızı periyodik olarak test edin — test oturum açma hatası tetikleyin ve uyarının beklenen SLA dahilinde geldiğini doğrulayın.
08

Yazılım ve Sistemleri Güncel Tutun

En yıkıcı SSH ve RDP açıklarının büyük bölümü, yamalanmamış OpenSSH, Windows RDP yığını veya temel işletim sistemi bileşenlerini hedef alır. Disiplinli bir yama takvimi vazgeçilmezdir. Sensagraph, açık portlarınızda tespit edilen bilinen güvenlik açığı içeren servis sürümlerini işaretler.

  • OpenSSH, Linux dağıtımınız ve Microsoft Windows için güvenlik danışma bültenlerine abone olun.
  • Kritik güvenlik yamalarını yayımlanmasından itibaren 24–72 saat içinde uygulayın; kritik olmayan yamaları aylık döngüde planlayın.
  • Linux dağıtımları için otomatik güvenlik güncellemelerini etkinleştirin: unattended-upgrades (Debian/Ubuntu) veya dnf-automatic (RHEL/Fedora).
  • Windows Update'i güvenlik yamalarını otomatik olarak yükleyecek şekilde etkinleştirin veya kurumsal denetim için WSUS/SCCM ile entegre edin.
  • Son kullanıcı cihazlarındaki RDP istemci yazılımını (ör. Uzak Masaüstü uygulaması) da güncel tutun — istemci tarafı güvenlik açıkları da istismar edilebilir.
  • Her büyük yama döngüsünden sonra daha önce tespit edilen sorunların çözüldüğünü doğrulamak için bir güvenlik açığı taraması çalıştırın.
09

Erişimi Düzenli Olarak Denetleyin ve İnceleyin

Erişim sürünmesi, uzaktan erişim ihlalinin en yaygın nedenlerinden biridir. SSH anahtarlarına veya RDP ayrıcalıklarına sahip eski çalışanlar, yükleniciler ve unutulmuş servis hesapları, saldırganlar için hazır giriş noktalarıdır. Düzenli denetimler, yetkili kullanıcı listenizi temiz ve güncel tutar.

  • Servis hesapları ve CI/CD boru hattı kullanıcıları dahil olmak üzere SSH veya RDP erişimine sahip her hesabın envanterini tutun.
  • Her sunucudaki ~/.ssh/authorized_keys dosyalarını en az ayda bir gözden geçirin — ayrılan ekip üyelerine ait anahtarları işten ayrılma anında hemen kaldırın.
  • SSH anahtar çiftlerini en az yılda bir veya herhangi bir tehlike şüphesinde derhal döndürün.
  • RDP iznine sahip Windows Yerel Kullanıcı ve Gruplar ile Active Directory gruplarını üç ayda bir denetleyin.
  • SSH anahtarlarının, RDP erişiminin ve VPN kimlik bilgilerinin son iş gününde iptal edilmesini açıkça içeren resmi bir işten ayrılma kontrol listesi uygulayın.
  • Kalıcı erişim yerine tam zamanında, süreli uzaktan erişim kimlik bilgileri vermek için Ayrıcalıklı Erişim Yönetimi (PAM) araçlarını kullanın.
  • Bu kontrol listesini temel alarak yılda en az iki kez tam bir uzaktan erişim yapılandırması incelemesi planlayın.

Sıkça sorulan sorular

Evet. Bir servis gerekmiyorsa devre dışı bırakmak her zaman en güvenli seçenektir. Uzak masaüstü yönetimi gerektirmeyen Windows sunucularında ve iş istasyonlarında RDP'yi devre dışı bırakın. Linux'ta yalnızca seri konsol veya bulut sağlayıcısı kabuğu üzerinden erişilen sunucularda SSH arka plan programını durdurun ve devre dışı bırakın. Her açık port potansiyel bir saldırı yüzeyidir.

Hayır. Port gizlemesi, otomatik tarama gürültüsünü azaltır ancak gerçek güvenlik sağlamaz. Bunu açık anahtar kimlik doğrulaması (parolaları devre dışı bırakma), güvenlik duvarı kısıtlamaları, brute-force koruması ve sertleştirilmiş bir sshd_config ile birleştirmeniz gerekir. Özel portu, bağımsız bir kontrol olarak değil derinlemesine savunma stratejisinin bir katmanı olarak düşünün.

NLA, tam bir RDP oturumu kurulmadan önce kullanıcıların kimliğini doğrulamasını gerektirir. NLA olmadan bir saldırgan, herhangi bir ön kimlik bilgisi kontrolü olmaksızın Windows oturum açma ekranına ulaşabilir; bu da sunucuyu kimlik doğrulama öncesi güvenlik açıklarına (BlueKeep gibi) maruz bırakır. NLA etkinleştirildiğinde saldırganın önce geçerli kimlik bilgileri sunması gerekir, bu da saldırı yüzeyini önemli ölçüde azaltır.

Kullanıcı başına bireysel anahtar çiftleri düzenleyin — özel anahtarları asla paylaşmayın. Özel anahtarları güçlü bir parola ile şifrelenmiş olarak, tercihen YubiKey gibi bir donanım güvenlik anahtarında saklayın. Erişimin iptalinin anlık ve güvenilir olması için authorized_keys dosyalarını bir yapılandırma yönetim aracı (Ansible, Puppet, Chef) veya özel bir SSH sertifika yetkilisi kullanarak merkezi olarak yönetin ve denetleyin.

VPN, SSH ve RDP'yi ek bir kimlik doğrulama katmanının arkasına koyar ve portları genel internete görünmez hale getirir. Saldırganlar göremedikleri bir porta erişemez. VPN kimlik bilgileri tehlikeye girse bile VPN üzerindeki MFA ek bir bariyer oluşturur. VPN ayrıca oturum trafiğini ağ düzeyinde gizli dinlemeden koruyan şifreli bir tünel oluşturur.

SSH anahtar çiftlerini planlanmış kimlik bilgisi hijyeni sürecinin bir parçası olarak en az yılda bir kez döndürün. Şu durumlarda hemen döndürün: bir ekip üyesi ayrıldığında, özel anahtar içeren bir cihaz kaybolduğunda veya çalındığında, herhangi bir anahtar tehlikesi şüphesi olduğunda veya anahtar algoritmanız kullanımdan kaldırıldığında. Otomatik araçlar veya bir PAM çözümü, anahtar döndürme politikalarını ölçekte uygulayabilir.