Siber Tehditler Sadece Dışardan Gelmez: MikroTik ile İç Ağ Güvenliği Nasıl Sağlanır?
Geleneksel güvenlik anlayışı genellikle dış tehditlere odaklanır. Ancak birçok saldırı aslında içeriden, yani kurumun kendi ağı içerisinden gelir. Özellikle Wi-Fi üzerinden ağa bağlanan kullanıcılar, bilinçli ya da bilinçsiz şekilde ağın güvenliğini riske atabilir. MikroTik RouterOS, sadece dış saldırılara karşı değil, içeriden gelebilecek tehditlere karşı da güçlü savunma mekanizmaları sunar. İşte iç tehditleri engellemek için MikroTik’te uygulanabilecek bazı gelişmiş yöntemler:
1. Sahte DHCP Sunuculara Karşı Koruma
Saldırganlar kendi DHCP sunucularını kurarak kullanıcıları yanlış IP dağıtımıyla sahte ağlara yönlendirebilir.
Çözüm:
Interface-level DHCP Snooping ile sadece güvenilir portlardan DHCP sunucusu trafiğine izin verin.
IP > DHCP Server > DHCP Snooping bölümünden güvenilir portları tanımlayın.
2. İç Ağda Port Taramaya Karşı Savunma
Ağ içerisinde bir cihaz, IP bloklarını tarayarak hangi servislerin açık olduğunu tespit etmeye çalışabilir. Bu durum kötü niyetli bir saldırının başlangıcı olabilir.
Çözüm:
MikroTik’in Layer7 filters ve Firewall Raw Rules özellikleriyle belirli port tarama imzaları tespit edilebilir.
Ayrıca Port Scan mitigation için ip firewall filter üzerinde limitli bağlantı eşik değerleri belirlenebilir.
3. Yetkisiz Servis ve Veritabanı Erişimlerinin Engellenmesi
İç ağdaki kullanıcılar yanlışlıkla ya da bilinçli olarak veritabanı, FTP, SMB gibi kritik sistemlere bağlanmaya çalışabilir.
Çözüm:
IP > Firewall > Filter Rules üzerinden IP tabanlı veya port tabanlı whitelist kuralları oluşturun.
İç ağ IP’lerine sadece belirlenen kullanıcı gruplarının erişmesine izin verin.
Erişim denemeleri loglanmalı ve olası ihlaller e-posta ile yöneticilere bildirilmelidir.
4. Anormal Trafik ve Paket Gönderimi Tespiti
Bazı kötü amaçlı yazılımlar içeriden sürekli DNS sorguları göndererek dışa veri sızdırabilir ya da servislere SYN Flood atabilir.
Çözüm:
IP > Firewall > Filter Rules altında connection-limit, limit, burst, packet-size gibi parametrelerle anormal trafiği tespit edin ve engelleyin.
DNS trafiğini sadece tanımlı DNS sunucular üzerinden yönlendirin.
Traffic Flow + FastNetMon gibi harici araçlarla izleme entegre edilebilir.
5. Layer2 Saldırılara Karşı Koruma
Kullanıcıların Layer2 seviyesindeki saldırılarla yönlendiriciyi aldatma girişimlerine karşı savunma şart.
Çözüm:
Bridge Settings > Use IP Firewall ve Bridge Port Isolation özellikleriyle broadcast yönelimli saldırılar sınırlanabilir.
ARP tabloları statik olarak tanımlanarak spoofing girişimleri engellenebilir.
MikroTik sadece bir router değil, aynı zamanda güçlü bir iç güvenlik duvarıdır. İç ağda saldırı ihtimalini düşünmeden hareket etmek, saldırılara kapı aralamaktır. Proaktif filtreleme, yetki kontrolleri ve anormallik tespiti ile iç tehditleri minimize edebiliriz.
1. Sahte DHCP Sunuculara Karşı Koruma
Saldırganlar kendi DHCP sunucularını kurarak kullanıcıları yanlış IP dağıtımıyla sahte ağlara yönlendirebilir.
Çözüm:
Interface-level DHCP Snooping ile sadece güvenilir portlardan DHCP sunucusu trafiğine izin verin.
IP > DHCP Server > DHCP Snooping bölümünden güvenilir portları tanımlayın.
2. İç Ağda Port Taramaya Karşı Savunma
Ağ içerisinde bir cihaz, IP bloklarını tarayarak hangi servislerin açık olduğunu tespit etmeye çalışabilir. Bu durum kötü niyetli bir saldırının başlangıcı olabilir.
Çözüm:
MikroTik’in Layer7 filters ve Firewall Raw Rules özellikleriyle belirli port tarama imzaları tespit edilebilir.
Ayrıca Port Scan mitigation için ip firewall filter üzerinde limitli bağlantı eşik değerleri belirlenebilir.
3. Yetkisiz Servis ve Veritabanı Erişimlerinin Engellenmesi
İç ağdaki kullanıcılar yanlışlıkla ya da bilinçli olarak veritabanı, FTP, SMB gibi kritik sistemlere bağlanmaya çalışabilir.
Çözüm:
IP > Firewall > Filter Rules üzerinden IP tabanlı veya port tabanlı whitelist kuralları oluşturun.
İç ağ IP’lerine sadece belirlenen kullanıcı gruplarının erişmesine izin verin.
Erişim denemeleri loglanmalı ve olası ihlaller e-posta ile yöneticilere bildirilmelidir.
4. Anormal Trafik ve Paket Gönderimi Tespiti
Bazı kötü amaçlı yazılımlar içeriden sürekli DNS sorguları göndererek dışa veri sızdırabilir ya da servislere SYN Flood atabilir.
Çözüm:
IP > Firewall > Filter Rules altında connection-limit, limit, burst, packet-size gibi parametrelerle anormal trafiği tespit edin ve engelleyin.
DNS trafiğini sadece tanımlı DNS sunucular üzerinden yönlendirin.
Traffic Flow + FastNetMon gibi harici araçlarla izleme entegre edilebilir.
5. Layer2 Saldırılara Karşı Koruma
Kullanıcıların Layer2 seviyesindeki saldırılarla yönlendiriciyi aldatma girişimlerine karşı savunma şart.
Çözüm:
Bridge Settings > Use IP Firewall ve Bridge Port Isolation özellikleriyle broadcast yönelimli saldırılar sınırlanabilir.
ARP tabloları statik olarak tanımlanarak spoofing girişimleri engellenebilir.
MikroTik sadece bir router değil, aynı zamanda güçlü bir iç güvenlik duvarıdır. İç ağda saldırı ihtimalini düşünmeden hareket etmek, saldırılara kapı aralamaktır. Proaktif filtreleme, yetki kontrolleri ve anormallik tespiti ile iç tehditleri minimize edebiliriz.
