Honeypot Verileriyle Ağ Savunması — ISP ve Kurumlar İçin Pratik Rehber

Saldırganı tanımak savunmanın yarısıdır. Öte yandan bu cümle, özellikle küçük ve orta ölçekli IT ekipleri için boşlukta kalıyor: saldırganı tanımak için kaynak gerekiyor, kaynak için bütçe, bütçe için üst yönetim onayı — ve bu döngü çoğu zaman tamamlanmadan olaylar gerçekleşiyor.

Honeypot bazlı tehdit istihbaratı bu kısıtlamayı farklı bir noktadan kırıyor. Saldırgan davranışını gözlemleyen, bu gözlemi zenginleştiren ve makine okunabilir formata dönüştüren bir sistem, savunma katmanlarını önceden bilgilendiriyor. Hangi IP bloklarının tarama yaptığını, hangi CVE’lerin aktif olarak silahlandırıldığını ve hangi protokol kombinasyonlarının gerçek saldırı davranışına işaret ettiğini bilen bir ağ yöneticisi, reaktif müdahaleden proaktif yapılandırmaya geçer.

Tellal platformu tam bu amaç için kuruldu. Detaylı teknik rapor ve tüm IoC verilerine Tellal platformundan ulaşabilirsiniz. Sayılar orada; bu yazı ise o sayıların ne anlama geldiğini ve savunmaya nasıl dönüştürüleceğini ele alıyor.

Bu altyapının kurulum sürecini Erdem Özyurt kişisel blogunda anlattı. Tellal platformu hakkında detaylı bilgi için Tellal Tanıtım yazımıza bakabilirsiniz.

---

Tehdit Manzarası

İstanbul veri merkezinde çalışan dört katmanlı honeypot sistemi, ilk 7 günde ayrıntılı bir tablo çıkardı. 6.161 benzersiz saldırgan IP ve 1 milyonun üzerinde olay — ham sayılar bu. Ama savunma kararı almak için protokol dağılımı ve aktör profili daha önemli.

HTTP/443 tarama en büyük kategori: 1.247 IP bu protokolde aktif. Bunların önemli bir bölümü otomatik servis keşfi yapıyor — ama yaklaşık %15’i banner-grab sonrası hedefe özgü exploit deniyor. İkinci grup ilk gruptan çok daha tehlikeli.

SSH brute force 1.167 IP ile ikinci sırada. Bu kategorinin içinde iki farklı davranış var: klasik dictionary saldırısı ve CVE exploit zinciri. 243 IP ikinci kategoriye giriyor — CVE-2023-48795 (Terrapin), CVE-2025-26465 ve CVE-2023-38408’i sıralı kullanan, OpenSSH 9.6 altı sistemleri hedefleyen organize bir saldırı deseni.

NTP amplifikasyonu 478 IP ile üçüncü sırada — ve ilk haftanın en sürpriz bulgusu. Bu IP’lerin büyük bölümü ele geçirilmiş NTP sunucuları; gerçek saldırı kaynağı farklı. Türkiye’deki ISP altyapısında güncellenmemiş NTP servisleri bu kategoriyi hem hedef hem kaynak olarak etkiliyor.

Trafik dağılımında kritik bir yoğunlaşma var: Modat B.V. (AS209334) tek başına trafiğin %35’ini oluşturuyor. 165 IP, üç ülkeden koordineli tarama, 380.000+ hit. Pfcloud UG (AS51396) ise daha küçük ölçekte — 54 IP — ama agresif davranış profili: tek bir IP 17.441 hit üretti.

Bu tablo Türkiye’ye özgü değil. Bu IP kümelerinin Avrupa ve Orta Doğu’daki diğer ağlara da benzer davranış sergilediği biliniyor. Veriyi değerli kılan şu: hangi saldırganın rastlantısal geçiş yaptığını, hangisinin sistematik hedefleme yürüttüğünü ayırt edebilmek.

---

ISP Operatörleri İçin Aksiyonlar

1. Yüksek Riskli ASN Bloklarını Upstream Filtreleyin

Modat B.V. ve Pfcloud gibi bulletproof hosting sağlayıcılarına ait /24 blokları, upstream peering veya transit düzeyinde filtrelenebilir. Bu, müşteri trafiğini korumak için en erken ve en verimli müdahale noktasıdır.

Upstream filtering mümkün değilse en azından sınır yönlendiricilerinde ACL uygulayın. BGP community ile null-route kullanılabilen ortamlarda bu blokları otomatik kara listeye almak mümkün. Hedef: bu adres aralıklarından müşteri ağlarına ulaşan trafiği kesmek.

Pratik başlangıç noktası: Tellal feed’inden haftalık en aktif /24 listesini çekip edge ACL’e eklemek. Manuel işlem olarak başlayıp daha sonra otomatikleştirilebilir.

2. RPKI Zorunlu Doğrulama

İlk haftada 30 şüpheli /24 prefix tespit edildi — bunların bir bölümü route hijack adayı. RPKI ROV (Route Origin Validation) uygulayan ISP’ler geçersiz veya ROA uyumsuz duyuruları propagate etmez.

RPKI, tek başına saldırıları durdurmaz. Ama meşruiyeti doğrulanamayan prefix’lerden gelen trafiğin miktarını ciddi biçimde azaltır ve BGP hijack senaryolarını önler. Türkiye ISP’leri arasında RPKI uyum oranı hâlâ düşük — bu rekabetçi bir güvenlik avantajına dönüşüyor. RPKI uyumu aynı zamanda abuse bildirim süreçlerinde ön koşul niteliği taşıyor: prefix kaydı doğrulanamayan bir kaynak IP için resmi sorumluluk atfetmek güvensiz hale geliyor.

3. NTP Amplifikasyonuna Karşı BCP38

478 kaynak IP NTP amplifikasyonu denedi. İki farklı risk var: kendi müşterilerinizin hedef alınması ve kendi altyapınızın reflektör olarak kullanılması.

Kendi ağınızdaki NTP sunucularında monlist özelliğini kapatın. Daha önemlisi: BCP38 uygulayarak kendi ağınızdan sahte kaynak IP’li paket çıkışını engelleyin. Kendi ağınız amplifikasyon kaynağı olmayacak şekilde yapılandırılmış olmalı — bu hem güvenlik hem de itibar yönetimi açısından kritik.

4. MikroTik Yönetim Erişimini Kısıtlayın

Honeypot’ta 4 IP MikroTik’e özgü payload kullandı. Az sayıda görünebilir ancak RouterOS CVE’leri ISP altyapısında yüksek etki potansiyeli taşıyor.

WinBox (8291), SSH (22) ve HTTP (80/443) yönetim erişimini IP whitelist ile sınırlayın. Yönetim trafiği yalnızca tanımlı kaynak adreslerinden gelecek şekilde yapılandırılmış olmalı. VPN üzerinden yönetim erişimi bu konuda en güvenilir yaklaşım.

---

Kurumsal IT İçin Aksiyonlar

SSH Hardening

Honeypot’ta gözlemlenen CVE zinciri OpenSSH 9.6 altı sürümleri etkiliyor. Güncelleme öncelik — ama acil güncelleme yapılamıyorsa geçici hafifletme:

# /etc/ssh/sshd_config
Ciphers [email protected],aes128-cbc,aes192-cbc,aes256-cbc
MACs [email protected],[email protected]
KexAlgorithms -diffie-hellman-group1-sha1,diffie-hellman-group14-sha1
PermitRootLogin no
MaxAuthTries 3
LoginGraceTime 20
AllowAgentForwarding no

AllowAgentForwarding no özellikle önemli — CVE-2023-38408 ssh-agent forwarding aktifken çalışıyor. Bu satır üçüncü CVE’nin exploit zincirini kesiyor.

Ek olarak: SSH için fail2ban veya benzeri bir brute force engelleme sistemi aktif olmalı. MaxAuthTries değerini 3’e çekmek brute force süresini uzatıyor ama CVE exploit girişimleri genellikle ilk bağlantıda yeterli — MaxAuthTries bu vektörü durdurmaz, sadece brute force’u yavaşlatır.

SMB/RDP Politikası

SMB (445) ve RDP (3389) portları hiçbir koşulda doğrudan internete açık olmamalı. Bu söylenmiş ama tekrar edilmesi gereken kural çünkü honeypot verisi bu portlarda hâlâ aktif exploit girişimlerini gösteriyor.

Kurumsal ağda SMB zorunluysa segmentasyon şart. Farklı departmanların birbirinin SMB trafiğine doğrudan erişimi olmamalı — VLAN izolasyonu ve firewall kuralları bu segmentasyonu sağlar. Domain controller ile client arasındaki SMB trafiği dedicated VLAN üzerinde taşınmalı.

RDP için: Network Level Authentication (NLA) zorunlu kılın, varsayılan portu değiştirin ve VPN üzerinden erişim politikası uygulayın. Hibrit çalışma modellerinde RDP Gateway (443 üzerinde tünel) doğrudan 3389 açmaktan güvenli alternatif sunuyor.

NTP Yapılandırması

Kurumsal ortamda kendi NTP hiyerarşinizi kurun. Public NTP sunucularına doğrudan erişim yerine stratum 2 seviyesinde birkaç güvenilir kaynak kullanın ve kurumsal NTP sunucusu olarak konfigure edin. ntpd kullanıyorsanız disable monitor direktifi monlist amplifikasyon açığını kapatıyor. chrony daha modern ve varsayılan olarak daha güvenli yapılandırma sunuyor.

---

Otomatik Savunma: IoC Feed Entegrasyonu

Tellal platformu IoC verilerini makine okunabilir formatlarda sunuyor. STIX 2.1, JSON ve CSV formatında IoC feed’leri tellal.net/feeds adresinde sunulur. Bu feed’ler doğrudan firewall otomasyonuna beslenebilir.

Temel entegrasyon mantığı:

1. Periyodik çekme: Feed URL’yi her 6 saatte bir çekerek yerel dosyaya yaz
2. Format dönüştürme: JSON veya CSV’den RouterOS address-list formatına parse et
3. Import: /ip firewall address-list ile otomatik güncelleme
4. Expire yönetimi: 7 günden eski kayıtları otomatik kaldır

MikroTik Script örneği:

/system scheduler
add interval=6h name=tellal-feed-update \
  on-event="/tool fetch url=\"https://tellal.net/feeds/mikrotik.rsc\" \
  dst-path=tellal-feed.rsc; \
  /import file-name=tellal-feed.rsc"

Bu yaklaşım minimal ayarla çalışıyor. İleri seviye entegrasyonda Python middleware ile filtreleme — yalnızca belirli tehdit skoru üstündeki IP’leri içe aktarma — mümkün. Tellal API bu filtrelemeyi doğrudan sorgu parametresiyle destekliyor.

---

MikroTik Firewall Örnekleri

Haftalık rapordan çıkarılan yüksek öncelikli /24 bloklarının elle eklenmesi:

/ip firewall address-list
add list=tellal-threats address=85.217.140.0/24 comment="Modat B.V. scan cluster"
add list=tellal-threats address=85.217.149.0/24 comment="Modat B.V. scan cluster"
add list=tellal-threats address=176.65.149.0/24 comment="Pfcloud scan cluster"
add list=tellal-threats address=176.65.151.0/24 comment="Pfcloud scan cluster"
add list=tellal-threats address=204.76.203.0/24 comment="Pfcloud scan cluster"

/ip firewall filter
add chain=forward src-address-list=tellal-threats action=drop comment="Tellal threat feed block"
add chain=input src-address-list=tellal-threats action=drop

Önemli uygulama notu: bu kuralları eklemeden önce established,related bağlantılar için accept kuralının üstte olduğunu doğrulayın. Kural sırası kritik — RouterOS kuralları yukarıdan aşağıya işliyor, ilk eşleşen uygulanıyor.

Yüksek bağlantı sayısı sınırı (Pfcloud gibi hızlı tarayıcılara karşı):

/ip firewall filter
add chain=input protocol=tcp connection-limit=20,32 \
  action=add-src-to-address-list address-list=rate-limit-block \
  address-list-timeout=1h \
  comment="Rate limit: 20 concurrent conn per /32"
add chain=input src-address-list=rate-limit-block action=drop

SSH brute force koruması, CVE exploit girişimlerine karşı da ilk savunma katmanı:

/ip firewall filter
add chain=input protocol=tcp dst-port=22 \
  src-address-list=ssh-blacklist action=drop
add chain=input protocol=tcp dst-port=22 connection-state=new \
  action=add-src-to-address-list address-list=ssh-stage1 \
  address-list-timeout=1m
add chain=input protocol=tcp dst-port=22 connection-state=new \
  src-address-list=ssh-stage1 \
  action=add-src-to-address-list address-list=ssh-stage2 \
  address-list-timeout=1m
add chain=input protocol=tcp dst-port=22 connection-state=new \
  src-address-list=ssh-stage2 \
  action=add-src-to-address-list address-list=ssh-blacklist \
  address-list-timeout=7d

Bu kural seti üç bağlantı denemesinde başarısız olan IP’yi 7 gün bloke ediyor. Kural başına ayrı address-list kullanmak büyük listelerde bellek verimliliği açısından önemli.

---

Sonuç

Honeypot verisi bir araştırma kaynağı olarak değil, operasyonel savunma kaynağı olarak değerlenmeli. Modat B.V. /24 bloklarını bloke etmek trafiğin %35’ini kesiyor; OpenSSH güncelleme yapılması aktif exploit zincirini geçersiz kılıyor; IoC feed entegrasyonu elle müdahaleye gerek kalmadan güncel listeyi uygular.

Tehdit istihbaratı entegrasyonu salt engelleme listesiyle sınırlı değil. Gözlemlenen davranış örüntüleri, hangi sektörün veya altyapı türünün hedef alındığını da ortaya koyuyor. HTTP/443 tarama ağırlıklı bir küme büyük ihtimalle web uygulama güvenlik açıkları arıyor; SSH CVE zinciri kullanan cluster OpenSSH sürüm tespiti yapıyor; MikroTik payload’ı gönderen IP ise doğrudan ISP altyapısını hedefliyor. Bu davranış profili bilgisi, saldırı geldiğinde doğru log kümesine bakmanızı ve doğru olay müdahale adımını uygulamanızı sağlıyor.

Bunların üçü de büyük bütçe gerektirmiyor. Birincisi iki satır RouterOS komutu; ikincisi tek bir paket güncellemesi; üçüncüsü saatlik bir scheduler görevi.

Ağ savunması reaktif olmak zorunda değil. Haftalık raporlar ve otomatik feed güncellemeleri ile saldırgan altyapısı tanımlandığı anda müdahale edilebilir — “bize saldırı oldu” değil, “saldırı yolu daha erişmeden kapatıldı” moduna geçiş mümkün.

Sonraki adım: kendi ağınızın bu feed’leri alıp alamayacağını test edin. Tellal API’si ücretsiz erişim sunuyor. STIX 2.1 ve JSON formatları mevcut; MikroTik için hazır .rsc formatı ayrıca üretiliyor. Entegrasyon için gereken tek şey RouterOS scheduler ve tek satır fetch komutu. API dokümantasyonu entegrasyon rehberini içeriyor.