Sunucu Güvenlik: Hosting ve Veri Merkezi Önü MikroTik Mimarisi

Sunucularınız ister tek bir VPS, ister kendi data center’ınızda 200 fiziksel makine olsun, internete açık olan her sistem sürekli bir saldırı yağmuru altındadır. SSH brute-force denemeleri, web uygulama saldırıları, DDoS, DNS amplification, NTP reflection ve botnet trafiği günde milyonlarca paket olarak sunucularınıza ulaşır. MikroTikBox Sunucu Güvenlik hizmeti, sunucularınızın önüne MikroTik tabanlı bir güvenlik katmanı yerleştirerek bu trafiğin büyük çoğunluğunu sunucuya ulaşmadan eler.

Tipik bir hosting altyapısında saatte 50-200 GB arasında saldırı trafiği görülür. Bu trafiği uygulama sunucusunun (PHP, Node, Java) işlemesi felakettir; çünkü uygulamalar layer-7’de çalışır ve TCP/UDP filtrelemesi için tasarlanmamıştır. MikroTik CCR serisi yönlendiriciler ise saniyede 100 milyon paket’i sıfır CPU yükü ile yutabilir. Doğru mimari ile yedi haneli paket-per-second DDoS’ları bile sunucularınıza ulaştırmadan düşürmek mümkündür.

Hizmet Kapsamımız

• DDoS Mitigation Mimarisi: CCR1036, CCR2004, CCR2116 ve CCR2216 üzerinde katmanlı koruma; volumetrik, protokol ve uygulama katmanı saldırılarına karşı.
• Rate Limiting ve Connection Limit: Tek bir IP’den gelebilecek yeni bağlantı, paket-per-second ve toplam concurrent connection limitleri.
• Geo-IP Bloklama: Hizmet vermediğiniz ülkelerden gelen trafiği tamamen kapatma; saldırı yüzeyi %70-90 azaltma.
• Syslog ve Log Korelasyonu: Tüm sunucu önü trafiğin merkezi loglanması, ELK/Graylog/Wazuh entegrasyonu.
• Hosting Önü Reverse Proxy: MikroTik + Nginx/HAProxy önbellek katmanı ile uygulama sunucularını gizleme ve önbellekleme.
• Port Knocking ve Yönetim Kanalı: SSH, RDP, panel portlarını sadece doğru “kapı çalma” sırasını bilen IP’lere açma.
• VPN Bastion Mimarisi: Yönetim erişimi sadece IPsec/WireGuard tüneli üzerinden, public internetten erişim tamamen kapalı.
• Anti-Spam ve E-posta Sunucu Koruması: SMTP önünde rate-limit, RBL kontrolü, SPF/DKIM/DMARC zorunluluğu.

Katmanlı Sunucu Güvenlik Mimarisi

Sağlam bir sunucu güvenlik mimarisi tek bir cihaza güvenmek değildir; defense in depth (savunmada derinlik) ilkesidir. Tipik tavsiye ettiğimiz mimari şu katmanlardan oluşur:

1. Upstream filtreleme: ISP veya transit sağlayıcının BGP blackhole / FlowSpec ile büyük volume saldırıları kaynağa yakın düşürmesi.
2. Edge MikroTik: Raw chain, geo-IP, rate-limit, bogon filter. Bu katman saldırının %80-95’ini elemiştir.
3. DMZ/Application Firewall: WAF benzeri kurallar, L7 pattern matching, slowloris koruması.
4. Sunucu üstü güvenlik: CSF, fail2ban, ModSecurity, SELinux gibi host-level kontroller.
5. Uygulama içi güvenlik: Input validation, prepared statement, CSRF token; kod düzeyinde önlemler.

Bu beş katmanın hiçbiri tek başına yeterli değildir; ancak hepsi bir arada çalıştığında modern bir saldırgan için ekonomik olarak kırılması zor bir hedef oluşturur.

Saha Vakaları: Kurtardığımız Sunucular

Vaka 1: E-Ticaret Sitesinde 78 Gbps SYN Flood

Bir kozmetik markasının Black Friday kampanyası başlamadan 4 saat önce 78 Gbps boyutunda bir SYN flood saldırısı başladı. Daha önce kurmuş olduğumuz CCR2216 + raw chain SYN cookies + connection rate-limit yapısı saldırının ilk 12 saniyesinde devreye girdi. Saldırı 6 saat sürdü; bu süre boyunca sitenin TTFB değeri 180 ms’den 230 ms’ye yükseldi (kullanıcılar fark etmedi bile). Kampanya başarıyla tamamlandı, 28 milyon TL ciro elde edildi.

Vaka 2: Hosting Sağlayıcısında Cross-Customer Saldırılar

Bir paylaşımlı hosting sağlayıcısının müşterilerinden birine yapılan DDoS, aynı IP’yi paylaşan onlarca başka siteyi de etkiliyordu. Hosting önü CCR2004 yerleştirip, her müşteri için ayrı rate-limit politikaları kurduk. Saldırı altındaki müşteri etkilense bile diğer müşterilerin trafiği etkilenmedi. Aylık churn rate %4.2’den %1.1’e düştü.

Vaka 3: Veri Merkezi Yönetim Ağı Hardening

Orta ölçekli bir Tier-3 veri merkezi, iLO/IPMI yönetim portlarının public internete açık olduğunu fark etti. Bir Shodan taraması ile ortaya çıkan bu durum kritik bir zafiyet idi. Tüm yönetim trafiğini ayrı bir VLAN’a aldık, MikroTik üzerinde port-knocking ve WireGuard bastion kurduk. Artık iLO portları internetten erişilemez; yönetici önce VPN’e bağlanır, sonra knock yapar, ardından erişim hakkı kazanır. Saldırı yüzeyi binlerce porttan sıfıra indi.

Sürecimiz: Sıfırdan Kuruluma

1. Tehdit Profili Çıkarma: Hangi tür saldırılarla karşılaşıyorsunuz? E-ticaret, oyun, finans, medya her birinin tehdit profili farklıdır.
2. Trafik Baseline: Mevcut normal trafiğinizin paket-per-second, connection-per-second ve bandwidth profilini ölçeriz.
3. Mimari Tasarım: Cihaz seçimi (CCR modelleri), bağlantı topolojisi, BGP/static routing planlaması.
4. Kurulum ve Test: Cihazlar saha veya colocation’da konumlanır, simülasyon saldırıları ile koruma doğrulanır.
5. Canlıya Alma: Önce passive monitoring modunda, sonra inline mod, son olarak aktif filtreleme moduna alınır.
6. İzleme ve Optimizasyon: Grafana dashboard, gerçek zamanlı alert, aylık optimizasyon raporu.

Uzmanlığımız: Hosting ve DC Tecrübesi

MikroTikBox ekibi, kendi data center kurma projelerinden, Türkiye’nin en büyük hosting firmalarına danışmanlığa kadar sektörün her noktasında çalıştı. Saatte 100+ Gbps trafiği yöneten, on binlerce müşteri sitesini koruyan altyapılar tasarladık. Bu deneyim, teorik bilginin saha gerçeklerine nasıl tercüme edileceğini bilmekten gelir.

Sunucu güvenliği için kullanılan ticari “scrubbing center” hizmetleri aylık binlerce dolara mal olur. Doğru kurgulanmış bir MikroTik mimarisi ile benzer korumayı bir kerelik yatırım ve düşük aylık maliyetle elde edebilirsiniz. Üstelik kontrol tamamen sizin elinizde kalır; trafiğiniz üçüncü taraf bir scrubbing merkezine yönlendirilmez.

Sıkça Sorulan Sorular

Sunucularınızı Bugün Güvene Alın

Hosting altyapınızı, dedicated sunucularınızı veya veri merkezinizi MikroTik tabanlı katmanlı bir güvenlik mimarisi ile korumak istiyorsanız, MikroTikBox ekibi sizinle çalışmaya hazır. MikroTikBox iletişim sayfasından bize yazın, ücretsiz tehdit analizi ve mimari önerisi alın.

Ücretsiz Tehdit Analizi

DDoS MitigationHosting ÖnüCCR Cluster7/24 SOC5651 Uyumlu

Sunucu Güvenlik Sürekli İzleme ve Raporlama

Sunucularınızın önündeki MikroTik koruma katmanı, sadece pasif bir filtre değildir; sürekli izlenmesi ve performansının raporlanması gerekir. MikroTikBox yönetilen hizmet kapsamında Grafana tabanlı bir dashboard sunarız. Bu dashboard üzerinden gerçek zamanlı olarak şunları izleyebilirsiniz: anlık bandwidth ve paket per saniye, ülke bazlı trafik dağılımı, en çok bloklanan IP’ler, saldırı tipi dağılımı (SYN flood, UDP flood, amplification, brute-force), CPU ve memory kullanımı, conntrack tablo doluluğu, BGP session durumu.

BGP Blackhole ve FlowSpec

Üst seviye DDoS korumasında en etkili yöntemlerden biri, saldırı trafiğini sizin upstream provider’ınıza ulaşmadan dünya genelinde “blackhole” (kara delik) yöntemi ile düşürmektir. MikroTik, BGP peering ile RTBH (Remotely Triggered Blackhole) ve FlowSpec özelliklerini destekler. Bu özellikleri kullanabilmek için ISP veya transit sağlayıcınızın da bu protokolü desteklemesi gerekir. Türkiye’de Turkcell Superonline, TurkTelekom Wholesale, Vodafone Business gibi büyük transitler bu yetenekleri sunar. Kurulum ve coordination hizmetlerimiz arasındadır.

Reverse Proxy ve Application Acceleration

Sunucu ön katmanına MikroTik ile birlikte bir reverse proxy (Nginx, HAProxy, Caddy) eklemek hem güvenlik hem performans açısından dramatic fayda sağlar. Reverse proxy: (a) SSL termination yapar, sunucu yükünü düşürür, (b) static content cache eder, response time’ı 5-10 kat hızlandırır, (c) origin IP’nizi gizler, doğrudan saldırı yüzeyini ortadan kaldırır, (d) Layer-7 firewall özellikleri ile sql injection ve XSS denemelerini bloklar. MikroTik + Nginx mimarisi kurulum ve optimizasyonu yapıyoruz.

SOC (Security Operations Center) Hizmeti

Kurumsal müşterilerimiz için 7/24 izlenen SOC hizmeti sunuyoruz. SOC ekibimiz olağandışı bir aktivite tespit ettiğinde önceden tanımlanmış playbook’lara göre müdahale eder. Tipik olarak: (a) saldırı tespit edildiğinde ilk 5 dakika içinde otomatik mitigation başlar, (b) 15 dakika içinde insan analiz başlar, (c) 30 dakika içinde müşteri yetkilisine bildirim gider, (d) saldırı çözüldükten sonra detaylı rapor hazırlanır. Bu hizmet aylık sabit ücret ile sunulur.

Yedekleme ve Disaster Recovery

Sunucu güvenliği sadece DDoS’a karşı koruma değil; veri kaybına karşı da hazırlıktır. MikroTik konfigürasyonlarının düzenli yedeklenmesi, alternatif site’a (DR) replikasyonu ve failover senaryolarının test edilmesi sundurmamız gereken servislerdir. VRRP veya BGP anycast kullanarak iki farklı veri merkezinde aynı IP’nin yayınlanması ve bir DC çöktüğünde diğerinin otomatik devralması sağlanabilir. Bu mimari özellikle finansal hizmetler ve sağlık teknolojileri için kritiktir.

Sunucu Performans Optimizasyonu

Sunucu güvenliği sadece “saldırıları engellemek” değil, normal trafiğin de hızlı ve verimli işlenmesini sağlamaktır. MikroTik ön katman, doğru optimize edildiğinde sunucularınızın hem güvenlik hem performans açısından çok daha iyi çalışmasını sağlar.

TCP Optimizasyonu ve MSS Clamping

MTU ve MSS değerlerinin yanlış ayarlanması büyük paketlerde fragmentasyon yaratır, bu da performans kaybı ve TCP retransmission anlamına gelir. Özellikle VPN tüneli veya PPPoE ile internet kullanımı varsa MSS clamping kritiktir. MikroTik üzerinde mangle change-mss kuralları ile doğru MSS değeri otomatik enforce edilir. Tipik olarak 1452 veya 1412 byte gibi değerler kullanılır. Bu konfigürasyon detayı yapılmadığında web sitelerinde belirli görseller veya videolar açılmaz, “site iyi yüklenmiyor” şikayeti gelir.

Conntrack Tuning ve Bucket Size

Yüksek trafikli sunucularda connection tracking tablosu yetersiz kalabilir. Default 65536 entry yeterli olmayabilir; CCR2116 gibi cihazlarda 1 milyon hatta 4 milyon entry’e çıkarmak gerekebilir. Aynı zamanda hash bucket size de orantılı şekilde ayarlanmalı, yoksa connection lookup süresi linear artar. Sunucu önü gibi yoğun trafikli ortamlarda bu tuning çok kritiktir.

Fast Path ve FastTrack

RouterOS’un kendine has performans optimizasyonları (Fast Path, FastTrack, IPv4/IPv6 FastTrack) doğru kullanıldığında CPU yükünü %50-80 azaltır. Ancak yanlış kullanıldığında QoS, log veya bazı firewall kurallarını bypass eder. Hangi senaryoda FastTrack kullanılabilir, hangisinde kullanılamaz konusu uzmanlık gerektirir. Genellikle: pure-routing senaryolarda evet, queue veya logging gereken trafiklerde hayır.

Anomali Tespiti ve Bot Bloklama

Modern sunucu saldırılarının önemli bir kısmı insan değil bot kaynaklıdır. Bot tespiti için: (a) user-agent imza tarama, (b) JavaScript challenge (CDN katmanında), (c) davranışsal analiz (insanın tıklama paterni vs bot’un düzenli paterni), (d) honeypot link’leri (insan tıklamaz, bot tıklar). MikroTik layer-4 katmanında, web sunucusu önündeki nginx ile beraber bu pattern’leri tespit edip otomatik address-list’e ekleyen otomasyonlar kuruyoruz.

Multi-Tenant ve Reseller Mimarileri

Hosting sağlayıcısı, ajans veya reseller iseniz birden fazla müşterinin trafiğini aynı altyapı üzerinden geçirirsiniz. Bu durumda her müşteri için ayrı: rate-limit, geo-IP politikası, log dosyası, monitoring dashboard’u gerekir. MikroTik üzerinde VRF, ayrı address-list’ler ve simple queue parent yapısı ile tam izolasyonlu multi-tenant koruma kuruyoruz. Bu sayede bir müşteriye yapılan saldırı diğer müşterileri etkilemez ve her müşteri kendi metriklerini görebilir.