Uzun zaman önce yazmış olduğum bir makalede kısaca CloudFlare arkasında bulunan sunucuları DNS üzerinden nasıl yakalayabileceğinizi anlatmıştım.
Siber istihbarat toplarken kullandığımız siteler ancak burada bu tarz bir işleme girişmemiştim. Şimdi durum şundan ibaret bu site ilahi bir güç ile çalışmıyor tamamen akademik amaçlar için bilgi topluyor bunuda dünya üzerindeki ip adreslerini periyodik olarak tarayarak yapıyor.
Censys, araştırmacıların Internet’i oluşturan ana bilgisayarlar ve ağlar hakkında soru sormalarını sağlayan bir arama motorudur. Censys, IPv4 adres alanının günlük ZMap ve ZGrab taramaları yoluyla ana bilgisayarlar ve web siteleri hakkında veri toplar ve ana bilgisayarların ve web sitelerinin nasıl yapılandırıldığına dair bir veri tabanını oluşturur. Araştırmacılar bu veri ile bir arama motoru, rapor hazırlama ve SQL arama motoru aracılığıyla etkileşim halinde olabilirler.
Şimdi Durum bu iken yapılacaklar basit ve hatta CloudFlare kullanıyorsanız Origin IP adresinizi ne şekilde koruyabileceğinizi anlatan çokta güzel bir makale bulunmaktadır.
Bunlardan ilki anlaşılabileceği gibi sadece CloudFlare IP aralıklarından gelen trafiklere izin vermektir. Ana IP adresinizi kesinlikle public olarak herkese açmayacaksınız. Zaten korunmanın asıl amacıda budur. Bunu yapmak için güvenlik duvarı ayarlarından aşağıdaki örnekte bulunduğu gibi ekleme yapmanızdır.
sudo ufw allow from 103.21.244.0/22 to any port 443
sudo ufw allow from 103.22.200.0/22 to any port 443
sudo ufw allow from 103.31.4.0/22 to any port 443
sudo ufw allow from 104.16.0.0/12 to any port 443
sudo ufw allow from 108.162.192.0/18 to any port 443
sudo ufw allow from 131.0.72.0/22 to any port 443
sudo ufw allow from 141.101.64.0/18 to any port 443
sudo ufw allow from 162.158.0.0/15 to any port 443
sudo ufw allow from 172.64.0.0/13 to any port 443
sudo ufw allow from 173.245.48.0/20 to any port 443
sudo ufw allow from 188.114.96.0/20 to any port 443
sudo ufw allow from 190.93.240.0/20 to any port 443
sudo ufw allow from 197.234.240.0/22 to any port 443
sudo ufw allow from 198.41.128.0/17 to any port 443
sudo ufw allow from 2400:cb00::/32 to any port 443
sudo ufw allow from 2405:8100::/32 to any port 443
sudo ufw allow from 2405:b500::/32 to any port 443
sudo ufw allow from 2606:4700::/32 to any port 443
sudo ufw allow from 2803:f800::/32 to any port 443
sudo ufw allow from 2c0f:f248::/32 to any port 443
sudo ufw allow from 2a06:98c0::/29 to any port 443İkinci olarak Asla ve asla aynı sunucu üzerinde mail server yapılandırıp kullanmayacak olmanızdır. En çok yapılan yanlışlardan biridir. DNS taraması ile kolay bir şekilde Origin IP adresinize erişilebilir.
Bu tarz yöntemlerden kurtulmak için mail hizmeti veren yerleri tercih edebilirsiniz MX kaydı edinerek hem istediğiniz kişiye mail atabilir hemde mail alabilirsiniz. Bu servislerden bir kaçı
- G Suite
- Yandex Kurumsal
- Zoho Mail
Üçüncü olarakta Web sunucunuzun ve web uygulamanızın bilinen tüm bilgi açıklama güvenlik açıklarına karşı düzeltildiğinden emin olun.
Mümkünse CloudFlare kullanımından hemen önce sağlayıcınızdan yeni IP adresi tahsis etmesini isteyin. Çünkü DNS kayıtları kamuya açık bir şekilde yayınlanır ve geçmiş kayıtların arşivlendiği birçok web sitesi bulunmaktadır. Bu geçmiş DNS kayıtları, CloudFlare’ye kaydolmadan önce ki kullandığınız Origin IP adresinizi kayıt eder.
Ayrıca Saldırgan, web sunucunuzu rasgele bir adrese bağlanmasını sağlayabilirse(ki genelde başarabilir), kaynak IP’yi görecektir. Kullanıcının belirli bir URL’den bir fotoğraf yüklemesine izin veren “URL’den yükle” gibi özellikler bulunuyorsa, indirmeyi yapan sunucunun web sitesi kaynak sunucusu olmadığı şekilde tekrar yapılandırılmalıdır.
Saldırgan girilen URL’yi seçebilirse, özellikle kendisine bağlananları izlemek için bir web sitesi oluşturabilir veya kullanıcıların IP adreslerini monitörlemek için kullanabilirler. Ayrıca mümkünse kullandığınız tüm subdomainleri CloudFlare arkasına alarak güvenli hale getirin.
Mert Bey merhaba,
Gsuite bu konuda biraz problemli. Gsuite mail header üzerinden sunucunun ip adresine ulaşmak mümkün oluyor.