AltaySec Arşiv AltaySec Arşiv Siber Güvenlik Kütüphanesi
Arşiv Network & Infrastructure Ağınız Dışarıdan Nasıl Görünüyor? Shodan İle Kurumsal Ağ Güvenliği İzleme
Teknik RehberNetwork & Infrastructure

Ağınız Dışarıdan Nasıl Görünüyor? Shodan İle Kurumsal Ağ Güvenliği İzleme

Kurumsal Dış Ağ Varlıklarını Proaktif Bir Gözle Taramak

Adnan Enes Kaya
Adnan Enes KayaSiber Güvenlik Araştırmacısı / Öğrenci
12 Haziran 2026
5 dakika okuma
Özet

Saldırganlar iç ağa sızmak için çoğu zaman karmaşık yöntemlere değil, dış ağ yüzünde açık unutulmuş tek bir porta ihtiyaç duyar. Bu rehberde Shodan'ı proaktif savunma ve siber envanter izleme aracına dönüştürerek RDP, SSH, SMB ve veritabanı portlarındaki sızıntıları nasıl yakalayacağınızı; CIDR taraması, organizasyon filtresi ve has_vuln operatörüyle dış varlık denetimini adım adım işliyoruz.

Giriş

Şirketinizin iç ağını (Internal Network) dünyanın en gelişmiş siber güvenlik çözümleriyle donatmış olabilirsiniz; peki ama arka kapılardan birinin internete tamamen açık unutulmadığından emin misiniz? Siber saldırganlar kurumların iç ağlarına sızmak için her zaman karmaşık yöntemler aramazlar. Çoğu zaman internete bakan dış ağ yüzündeki (External Network Surface) açık ve korumasız bırakılmış tek bir portu bulmaları yeterlidir.

Ağ ve altyapı güvenliğinde (Network and Infrastructure Security) en büyük kör noktalardan biri, şirketlerin kendi IP bloklarında hangi servislerin dışarıya açık olduğunu anlık olarak takip edememesidir. İşte bu noktada, siber dünyada genellikle ofansif amaçlarla tanınan Shodan, ağ yöneticileri için harika bir proaktif savunma ve siber envanter izleme aracına dönüşür. Bu rehberde, kendi ağ altyapımızı bir saldırgan gözüyle nasıl denetleyeceğimizi ve kritik ağ portlarındaki sızıntıları Shodan operatörleriyle nasıl yakalayacağımızı adım adım işleyeceğiz.

Kurumsal Ağların Yumuşak Karnı: Kritik Portlar ve Shodan Karşılıkları

Bir ağ güvenliği uzmanının, kurumun dış ağını izlerken en çok dikkat etmesi gereken servisler; uzaktan yönetim protokolleri, dosya paylaşım servisleri ve veri tabanı kapılarıdır. Saldırganların ve Shodan üzerindeki filtreleme mantıklarını kategorize edelim:

1. Uzaktan Yönetim Protokolleri (RDP ve SSH)

Çalışanların veya sistem yöneticilerinin sunuculara uzaktan erişmesi için kullanılan bu protokoller, yanlış yapılandırıldığında veya internete doğrudan açıldığında kaba kuvvet (brute-force) saldırılarının bir numaralı hedefi olur.

  • RDP (Remote Desktop Protocol - Port 3389): Windows sunucuların uzaktan masaüstü bağlantı kapısıdır. Shodan üzerinde port:3389 filtresiyle aranır.
  • SSH (Secure Shell - Port 22): Linux sunucuların uzaktan yönetim kapısıdır. Shodan üzerinde port:22 filtresiyle taranır.

2. Dosya Paylaşım ve Ağ Protokolleri (SMB)

Kurum içinde dosya ve yazıcı paylaşımı için harika olan bu protokol, internete açıldığı an tam bir felakete dönüşür. WannaCry fidye yazılımı gibi siber tarihin en büyük saldırıları bu portun dışarıya açık olmasından beslenmiştir.

  • SMB (Server Message Block - Port 445): Shodan üzerinde port:445 filtresiyle taranır ve sızma testlerinde ilk kontrol edilen alanlardandır.

3. Veritabanı Servisleri (MSSQL, MySQL, Elasticsearch)

Şirket verilerinin tutulduğu veri tabanlarının yanlışlıkla dış ağa açık bırakılması, verilerin şifrelenerek fidye istenmesi (ransomware) veya direkt çalınmasıyla sonuçlanır.

  • MySQL (Port 3306) & MSSQL (Port 1433): Shodan üzerinde port:3306 veya port:1433 şeklinde sorgulanır.

Aşağıdaki tablo, kurumsal ağ izleme süreçlerinde Shodan üzerinde en sık kontrol etmemiz gereken kritik servisleri ve siber güvenlik risklerini özetlemektedir:

Protokol Adı Varsayılan Port Temel Siber Güvenlik Riski Shodan Filtre Kalıbı
RDP 3389 Brute-Force (Kaba Kuvvet) ve Yetkisiz Erişim port:3389
SSH 22 Zayıf Kimlik Doğrulama ve Sızma Riski port:22
SMB 445 Uzaktan Kod Çalıştırma (RCE) ve Fidye Yazılımları port:445
MySQL 3306 Veri Sızıntısı ve Veritabanı Ele Geçirme port:3306
Elasticsearch 9200 Kimlik Doğrulamasız Doğrudan Veri İndeksleme port:9200

Savunma Odaklı Shodan Komutları ve Ağ Altyapısı Denetimi

Bir ağ güvenlik uzmanı olarak kurumunuzun dış duruşunu analiz ederken Shodan’ın web arayüzünü kullanabileceğiniz gibi, Shodan CLI (Komut Satırı Arayüzü) aracılığıyla bu süreci otomatize edebilir ve hızlıca siber envanter raporları çekebilirsiniz.

Eğer sisteminizde Shodan CLI kurulu değilse, Python paket yöneticisi yardımıyla terminalinizden şu komutla kurabilir ve API anahtarınızı tanımlayarak aktif hale getirebilirsiniz:

pip install shodan
shodan init SIZIN_SHODAN_API_ANAHTARINIZ

Kurulum tamamlandıktan sonra, ağ güvenliği denetimlerinde en sık başvurulan proaktif savunma komut yapılarını inceleyelim:

1. Kurumsal IP Bloklarının (CIDR) Taranması

Şirketinize ait olan veya internet servis sağlayıcınız tarafından kurumunuza tahsis edilen dış IP bloklarında (net operatörü kullanarak) internete açık unutulmuş herhangi bir cihaz veya servis olup olmadığını kontrol etmek için şu komut çalıştırılır:

shodan search --fields ip_str,port,transport,product net:"192.168.1.0/24"

Teknik Açıklama: Bu komut, belirtilen IP bloğundaki tüm cihazları Shodan veri tabanında geriye dönük tarar. Ekrana sadece IP adresini, açık port numarasını, taşıma protokolünü (TCP/UDP) ve o portta çalışan yazılımın adını (product) getirerek ağ yöneticisine tertemiz bir dış varlık listesi sunar.

2. Organizasyon Adına Göre Filtreleme ve Zafiyet Analizi

Bazen şirketler farkında olmadan farklı IP bloklarında da sunucu barındırabilirler. Shodan üzerinde şirketinizin resmi organizasyon adını (org operatörü) kullanarak tarama yapmak ve ağınızda bilinen bir CVE (Common Vulnerabilities and Exposures - Ortak Zafiyetler ve Maruz Kalma Durumları) açığı barındıran sistemleri listelemek için şu komut çalıştırılır:

shodan search org:"Kurumunuzun Resmi Adi" has_vuln:true

Teknik Açıklama: Bu komut, şirketinizin adına tescillenmiş tüm siber varlıkları tarar ve üzerinde yaması eksik kalmış, siber saldırganların istismar edebileceği (exploit) bilinen bir zafiyet (has_vuln:true) olan sunucuları anında listeler. Ağ güvenliği ekipleri için harika bir erken uyarı sistemidir.

3. Kritik Port Sızıntılarının Nokta Atışı Yakalanması

Yazımızın başında bahsettiğimiz ve internete asla açılmaması gereken RDP (3389) ve SMB (445) gibi tehlikeli portların, şirket ağınızda açık kalıp kalmadığını sadece saniyeler içinde denetlemek için filtre kombinasyonlarından yararlanabilirsiniz:

shodan search org:"Kurumunuzun Resmi Adi" port:3389

Teknik Açıklama: Eğer bu komutun çıktısında herhangi bir IP adresi listeleniyorsa, o sunucu şu an siber saldırganların kaba kuvvet ya da fidye yazılımı saldırısına doğrudan açık durumda demektir. Ağ yöneticisinin yapması gereken ilk iş, ilgili IP adresinin dış dünya ile olan bağını güvenlik duvarı (firewall) kuralları üzerinden derhal kesmektir.

Sonuç ve Proaktif Aksiyon Planı

Ağ ve altyapı güvenliği, sadece iç ağa kurulan siber barikatlardan ibaret değildir; dışarıdan nasıl göründüğünüzü bilmediğiniz sürece ağınızı tam anlamıyla koruyamazsınız. Shodan’ı bir tehdit istihbaratı ve siber envanter izleme aracı olarak konumlandırmak, kurumsal siber hijyeni sürdürülebilir kılmanın en az maliyetli ve en etkili yollarından biridir.

Ağ güvenlik duruşunuzu sürekli güçlü tutmak adına şu aksiyonları hızlıca hayata geçirmelisiniz:

  • Düzenli Dış Varlık Taraması: Şirketinize ait IP blokları ve alan adlarını, Shodan CLI betikleri (scripts) yardımıyla haftalık veya aylık olarak otomatik taramalı, envantere yeni eklenen veya yanlışlıkla dışarıya açılan servisler anlık olarak raporlanmalıdır.
  • Sıkılaştırma (Hardening) Politikaları: Yönetimsel zorunluluk nedeniyle dışarıya açılması gereken servisler (örn: SSH veya RDP) kesinlikle standart portlarında bırakılmamalı, doğrudan internete açılmak yerine bir VPN (Virtual Private Network - Sanal Özel Ağ) arkasına gizlenmeli veya MFA (Multi-Factor Authentication - Çok Faktörlü Kimlik Doğrulama) ile korunmalıdır.
  • Yamalama Yönetimi: Shodan’ın has_vuln:true operatörüyle tespit edilen tüm kritik güvenlik açıkları, kurumun yama yönetimi politikalarına dahil edilerek en yüksek öncelikle kapatılmalıdır.

Kaynakça

  1. Query.ai — Leveraging Shodan for Security Research
  2. Shodan Command Line Interface (CLI) Official Documentation
  3. MITRE ATT&CK — External Remote Services (T1133)
shodannetwork securityinfrastructureproactive defensevulnerability managementattack surface
Adnan Enes Kaya
Adnan Enes Kaya
Siber Güvenlik Araştırmacısı / Öğrenci
Havacılık geçmişinin verdiği mühendislik disiplinini siber güvenlik alanına taşıyan bir araştırmacı. Açık kaynak istihbaratı (OSINT), ağ güvenliği ve log analizi üzerinde çalışıyor.
in@

Sen de yaz, arşivde yerini al

AltaySec Arşiv'e katkı ver — uzmanlığını Türkçe siber güvenlik literatürüne kat.

Yazar Ol

İlgili Yazılar

Write-upNetwork & Infrastructure

Kerberoasting: Active Directory'de Sessiz Ayrıcalık Yükseltme

Kerberoasting, Active Directory ortamlarında service account parolalarını çevrimdışı kırmak için kullanılan klasik ama hâlâ etkili bir tekniktir. Bu write-up'ta saldırının nasıl çalıştığını, tespit yöntemlerini ve savunma önlemlerini adım adım inceliyoruz.

AltaySec·2 dk·26 Mayıs 2026