Firewall Hizmetleri: Yeni Nesil Güvenlik Duvarı Politikası ve Hardening

Modern siber tehditler artık basit port taramalarından çok daha karmaşık hale geldi. Bir saldırgan dakikada milyonlarca paket üreten botnet ağları, layer-7 uygulama saldırıları, DNS amplification, SYN flood ve protokol manipülasyon teknikleri kullanıyor. MikroTikBox Firewall Hizmetleri, sadece basit allow/deny kuralları yazmaktan çok daha fazlasıdır; yeni nesil güvenlik duvarı (NGFW) felsefesiyle, sıfır güven (zero-trust) ilkeleri çerçevesinde altyapınızı baştan sona güvence altına alıyoruz.

MikroTik’in RouterOS firewall’u, doğru yapılandırıldığında ticari NGFW ürünlerinin sunduğu özelliklerin büyük çoğunluğunu sağlayabilir: stateful inspection, deep packet inspection, IDS/IPS benzeri davranışsal analiz, raw chain ile pre-routing filtreleme, address-list dinamik gruplandırma ve Layer-7 protokol tanıma. Bizim işimiz bu güçlü altyapıyı sizin için optimize etmek.

Sunduğumuz Firewall Hizmetleri

• NGFW Politika Tasarımı: Uygulama bazlı kurallar, kullanıcı/grup bazlı yetkilendirme, segmentasyon ve mikro-segmentasyon.
• Raw Chain Hardening: Prerouting’den önce conntrack’i bypass ederek CPU yükünü minimize eden raw drop kuralları. Saatte 5M+ pps DDoS’u sıfır yük ile yutar.
• Zero-Trust Mimari: “Hiçbir trafik güvenilir değildir” yaklaşımıyla her iç-dış istek için kimlik doğrulama, yetki kontrolü ve loglama.
• Address-List ve Dinamik Bloklama: Tor exit node listesi, bilinen kötü IP’ler, brute-force tespit edip otomatik 24 saat ban, port scanner tespit.
• Geo-IP Filtreleme: Sadece Türkiye, Avrupa veya beyaz liste ülkelerden erişim kabulü; ülke bazlı kısıtlama ile saldırı yüzeyini %80’e kadar düşürme.
• VPN ve Site-to-Site Güvenlik: IPsec IKEv2, WireGuard tünel hardening, PSK rotasyonu, perfect forward secrecy yapılandırması.
• Loglama ve SIEM Entegrasyonu: Syslog üzerinden Splunk, Graylog, ELK veya Wazuh’a güvenli log ileti.
• Denetim Öncesi Hazırlık: ISO 27001, PCI-DSS, KVKK ve KVKK uyum denetimlerine hazırlık; eksik kontrollerin kapanması.

NGFW Politika Yaklaşımımız

Bir firewall’un gerçek değeri kural sayısında değil, kuralların kalitesinde gizlidir. 2000 kurallık bir firewall, 50 doğru yazılmış kuraldan daha az güvenli olabilir. Bizim yaklaşımımız “varsayılan reddetme” (default deny) politikasıdır: hiçbir trafik, açıkça izin verilmedikçe geçemez. Bu, eski “varsayılan kabul” mantığının tersine bir paradigmadır ve modern güvenlik standartlarının temelidir.

Kural yapımız şu mantıkla katmanlanır:

1. Raw chain: Bogon IP’ler, conntrack’i kirletecek invalid paketler, açıkça kötü kaynaklar burada düşürülür.
2. Mangle pre-routing: QoS işaretleri, connection mark’ları, routing kararları için ön hazırlık.
3. Filter input: Routerın kendisine gelen trafik; sadece yönetim IP’leri WinBox/SSH’e erişebilir.
4. Filter forward: İç-dış geçişler; zone-based mantık (LAN, DMZ, GUEST, VOICE, MGMT).
5. Filter output: Routerın kendi çıkışları; çoğunlukla açıktır ama izlenir.

Saha Vakaları: Firewall Müdahalelerimiz

Vaka 1: Hosting Sağlayıcısında 14 Gbps DDoS

İstanbul’da orta ölçekli bir hosting firması, sürekli artan UDP amplification saldırılarına maruz kalıyordu. Mevcut firewall kuralları temel düzeydeydi ve saldırı anında upstream bandwidth tamamen tükeniyordu. CCR2116 üzerinde raw chain hardening, UDP rate-limit, src-port=53 filtresi ve invalid packet drop kuralları kurduk. Sonraki ayda 14 Gbps boyutunda bir DNS amplification saldırısı geldiğinde, CPU yükü %12’yi geçmedi ve müşteri sitelerinin hiçbiri etkilenmedi.

Vaka 2: KVKK Denetimi Öncesi Hardening

Bir sağlık teknolojileri şirketi, KVKK denetimi öncesi firewall ve ağ erişim politikalarının yeniden gözden geçirilmesini istedi. 6 hafta süren proje kapsamında: (a) tüm kullanıcı erişimleri 802.1X ile kimliklendirildi, (b) hasta verisi taşıyan VLAN tamamen segregate edildi, (c) DMZ ile core arasındaki tüm trafik IDS kurallarından geçirildi, (d) tüm log’lar merkezi syslog sunucusunda 5 yıl tutulacak şekilde yapılandırıldı. Denetim raporunda firewall maddesi için tam puan alındı.

Vaka 3: Banka Şube Firewall Standardizasyonu

50 şubeli bir finans kuruluşunun her şubesindeki MikroTik firewall’lar farklı zamanlarda farklı mühendisler tarafından yapılandırılmıştı. Tutarsızlık, sızma testlerinde sürekli bulgu olarak çıkıyordu. Standart bir template hazırladık, tüm şubelere REST API ile otomatik dağıttık. Her şubede aynı baseline kuralları (input/forward/raw chain) artık aynı sırada ve aynı isimde çalışıyor. Audit raporlarındaki firewall ile ilgili bulgu sayısı 47’den 0’a düştü.

Firewall Kurulum Süreci

1. Mevcut Durum Analizi: Var olan kurallar, trafik logları ve mimari incelenir. Risk haritası çıkarılır.
2. Politika Tasarımı: Zone yapısı, kullanıcı/uygulama grupları ve allow/deny matrisi tasarlanır.
3. Test Ortamında Doğrulama: Yeni kurallar önce sanal ortamda denenir; kritik servislerin etkilenmediği doğrulanır.
4. Bakım Penceresi Uygulaması: Müşteri ile belirlenen gece saatlerinde yeni politika canlıya alınır.
5. Monitoring ve İnce Ayar: İlk 14 gün yoğun log incelemesi, false-positive temizliği ve eksik kuralların eklenmesi.
6. Belgeleme ve Eğitim: Tüm zone matrisi, kural setleri ve operasyon talimatları teslim; IT ekibine yarım gün eğitim.

Uzmanlığımız: Neden MikroTikBox Firewall Hizmeti?

Firewall yapılandırması, ağ dünyasında belki de en hassas konulardan biridir. Tek bir yanlış kural binlerce müşteri sitesini erişilemez kılabilir veya kritik bir güvenlik açığı bırakabilir. MikroTikBox ekibinde MTCNA, MTCRE ve OSCP, CEH gibi penetration testing sertifikalarına sahip mühendisler bulunmaktadır. Hem savunma hem de saldırı perspektifinden bakabildiğimiz için, firewall politikalarını gerçek tehditlere karşı tasarlıyoruz.

Sıkça Sorulan Sorular

Hemen Firewall Audit Talep Edin

Mevcut firewall altyapınızın ne durumda olduğunu öğrenmek, hardening önerileri almak veya sıfırdan kurumsal güvenlik mimarisi tasarlamak için MikroTikBox ekibiyle iletişime geçin. MikroTikBox iletişim sayfasından ulaşabilir, ücretsiz ön analiz randevusu alabilirsiniz.

Ücretsiz Firewall Audit

NGFW PolitikaZero-TrustKVKK UyumluOSCP/CEH Ekip7/24 SOC

Firewall Politikası Sürekli İyileştirme

İyi bir firewall politikası statik değildir; sürekli güncellenmesi, yeni tehditlere göre adaptasyonu ve eski kuralların temizlenmesi gerekir. MikroTikBox yönetilen firewall hizmeti, bu süreci otomatik ve sistematik bir şekilde yürütür. Aylık olarak: (a) kural seti gözden geçirilir, kullanılmayan kurallar tespit edilir, (b) son 30 günde gerçekleşen drop’lar analiz edilir, false-positive’ler temizlenir, (c) yeni CVE’ler ve tehdit istihbaratları taranır, (d) müşteri ile birlikte aylık güvenlik raporu paylaşılır.

Threat Intelligence Entegrasyonu

Modern firewall hardening, sadece statik kural tabanlı çalışmaz. Tehdit istihbaratı feed’leri (Spamhaus DROP, Emerging Threats, Abuse.ch URLhaus, FireHOL Level 1-4) MikroTik address-list olarak otomatik güncellenebilir. Bu sayede dünyada yeni keşfedilen bir botnet veya C&C sunucusu, sizin firewall’unuza 4-8 saat içinde otomatik olarak dahil edilir. Hazırladığımız scripting yapısı bu feed’leri saatlik veya günlük olarak çeker, tekrarsız tek bir address-list halinde tutar ve filter forward kurallarında drop eder.

Sızma Testi ve Red Team Hazırlığı

Yıllık pentest, KVKK ve ISO 27001 denetimlerinin standart bir parçası haline geldi. Pentest öncesi yapılacak 2-4 haftalık hardening çalışması, raporda çıkacak “kritik” ve “yüksek” bulguların büyük çoğunluğunu kapatır. Tipik hardening kontrol listemiz şunları kapsar: tüm yönetim arayüzlerinin VPN arkasına alınması, default-deny politikasının zorlanması, log retention süresinin compliance gereksinimine ayarlanması, brute-force koruma mekanizmalarının tüm servisler için aktif edilmesi, modern TLS sürümlerinin zorunlu kılınması (TLS 1.2 ve üzeri), zayıf cipher’ların kaldırılması.

Olay Müdahale ve Incident Response

Bir güvenlik olayı yaşandığında ilk 24 saat kritik öneme sahiptir. MikroTikBox incident response hizmeti kapsamında: (a) saldırı kaynağı ve vektör tespit edilir, (b) etkilenen sistemler izole edilir, (c) logs preserved ve forensik kopyalar alınır, (d) firewall kuralları acil olarak güncellenir, (e) detaylı bir post-mortem raporu hazırlanır. Bu hizmet 7/24 hazır bekleyen bir ekip ile yürütülür.

Compliance ve Düzenleyici Gereksinimler

Sektörünüze göre uymanız gereken farklı düzenlemeler vardır: BDDK (bankacılık), EPDK (enerji), SPK (sermaye piyasası), KVKK (genel kişisel veri), ISO 27001 (uluslararası bilgi güvenliği), PCI-DSS (kart ödemeleri). Her birinin firewall, log retention, segmentasyon ve erişim kontrolü konularında spesifik gereksinimleri vardır. Sertifikalı mühendislerimiz bu gereksinimleri MikroTik konfigürasyonu üzerinde nasıl karşılayacağınızı bilir ve denetim öncesi tüm dökümanları hazırlar.

Firewall ile Birlikte Çalışan Tamamlayıcı Çözümler

Modern bir güvenlik mimarisi tek bir teknolojiye dayanmaz; firewall katmanı doğru kurulduktan sonra bunu tamamlayan ek çözümlerle güçlendirilmelidir. MikroTikBox firewall projelerinde aşağıdaki tamamlayıcı bileşenleri sıklıkla beraber kuruyoruz.

IDS / IPS Entegrasyonu

MikroTik native bir IDS sunmaz, ancak mirror-port (TZSP veya SPAN) özelliği ile trafik kopyası Suricata veya Snort gibi açık kaynaklı IDS’e gönderilebilir. Bu sayede deep packet inspection yapılır, bilinen exploit imzalarına göre uyarı üretilir. Tipik bir kurulumda Suricata bir Linux sunucuda çalışır, MikroTik’ten gelen trafik kopyasını incelir, şüpheli olayları Wazuh veya Graylog’a iletir. Bu hibrit mimari, ticari NGFW’lerin sunduğu IDS yeteneğine çok yakın bir koruma sağlar.

SIEM (Security Information and Event Management)

Firewall log’ları tek başına anlamlı değildir; korelasyon edilmeleri gerekir. Wazuh, Graylog veya Elastic Stack üzerinde firewall log’larını topluyor, normalleştiriyor ve davranışsal anomalileri tespit ediyoruz. Örneğin: bir IP’den 100 farklı porta art arda bağlantı denemesi (port scan), bir kullanıcının normal saatler dışında VPN bağlanması, beklenmeyen ülkeden admin paneline giriş, gibi pattern’ler otomatik alert üretir.

Honeypot Yapılandırması

İleri seviye güvenlik mimarisinde decoy (yem) sistemler kullanılır. MikroTik üzerinde sahte port-forwarding kurarak saldırganları gerçek sunuculara değil honeypot’lara yönlendirebiliriz. T-Pot veya Cowrie gibi honeypot sistemleri ile saldırgan davranışları toplanır, bu da gelecekteki tehditlere karşı ön bilgi sağlar.

Kullanıcı Eğitimi ve Güvenlik Kültürü

Hiçbir firewall, kullanıcı hatasını tam olarak engelleyemez. Phishing, sosyal mühendislik ve weak password kullanımı en yaygın güvenlik ihlali nedenleridir. MikroTikBox firewall projelerinde müşterilerimizin IT ekipleri için yarım veya tam günlük eğitim seansları düzenliyoruz. Eğitim içeriği: MikroTik firewall operasyonu, log analizi, incident response prosedürleri, en sık karşılaşılan saldırı pattern’leri ve müdahale yöntemleri.

Periyodik Güvenlik Auditleri

Firewall yapılandırması zamanla bozulur. Geçici bir kural kalıcı hale gelir, eski projelerden artakalmış port forward’lar unutulur, IT ekibi değişikliklerle birlikte yeni güvenlik açıkları oluşturulur. Bu nedenle yıllık veya 6 aylık periyodik audit önerisi sunuyoruz. Audit kapsamı: kural seti karmaşıklık ölçümü, kullanılmayan kural tespiti, çelişen kural tespiti, log retention compliance kontrolü, threat intelligence feed’lerin güncelliği, VPN sertifikalarının geçerliliği. Audit sonrası detaylı bir rapor ve aksiyon listesi sunulur.