HTTP(80) ve HTTPS(443) – Web Trafiği Protokolleri
HTTP (80/tcp), web tarayıcısı ile sunucu arasında şifrelenmemiş veri aktarımı yapar; HTTPS (443/tcp) ise TLS ile trafiği şifreleyerek gizlilik, bütünlük ve kimlik doğrulama sağlar. Modern web uygulamalarında HTTPS varsayılandır; HSTS, HTTP/2 ve HTTP/3 (QUIC) gibi teknolojilerle performans ve güvenlik birlikte geliştirilir.
Bir sayfayı açtığınızda tarayıcı, alan adının IP’sini DNS ile çözümler, ardından hedef sunucunun 443 portuna bağlanarak TLS el sıkışması (sertifika doğrulaması) yapar. Bu süreç doğru yapılandırılmışsa; form verileri, oturum çerezleri ve API çağrıları dinlemeye karşı korunur. Test ve geçiş senaryolarında 80 → 443 kalıcı yönlendirme (301/308) uygulanması SEO ve güvenlik için kritik bir adımdır.
Önemli Not
Tüm sitelerde HTTPS’i zorunlu kılın, HSTS başlığını etkinleştirin ve zayıf şifre paketlerini devre dışı bırakın. CDN/Reverse Proxy kullanıyorsanız uçtan uca şifrelemeyi (Edge ↔ Origin) doğrulayın.
| Özellik | HTTP (80/tcp) | HTTPS (443/tcp) |
|---|---|---|
| Şifreleme | Yok (düz metin) | TLS (gizlilik + bütünlük + kimlik) |
| Performans | Düşük gecikme, ancak modern optimizasyon yok | HTTP/2 çoklu akış, HTTP/3 (QUIC) ile düşük gecikme |
| SEO/UX | Güvensiz uyarıları, dönüşüm kaybı | Tarayıcı güven göstergesi, daha iyi güven skoru |
| Kullanım | Eski/uyumluluk amaçlı | Modern web’in varsayılanı |
TLS ve Sertifikalar
Let’s Encrypt gibi CA’larla otomatik yenileme; OCSP Stapling ve CAA kayıtlarıyla güveni güçlendirin.
HTTP/2 & HTTP/3
Çoklu akış ve başlık sıkıştırma (H2), UDP üzerindeki QUIC ile daha hızlı ilk bayt (H3) ve bağlantı göçü.
Reverse Proxy / CDN
Edge önbellekleme ve WAF ile hem hız hem güvenlik kazanın; origin trafiğini de TLS ile koruyun.
“Güvenli ve hızlı bir web deneyimi, TLS + HTTP/2/3 üçlüsünün uyumuyla başlar.” – Site Güvenilirlik Mühendisleri
FTP(21) ve SSH(22) – Dosya Transferi ve Uzaktan Erişim
FTP (21/tcp), istemci–sunucu arasında dosya aktarımı için en eski protokollerdendir. Varsayılan hâli şifresiz olduğu için modern üretim ortamlarında tek başına önerilmez. Buna karşılık SSH (22/tcp), güvenli uzak kabuk protokolüdür; içinde SFTP ve SCP gibi şifreli dosya aktarım yöntemleri barındırır. Günümüzde yönetim ve dağıtım süreçlerinde SSH tabanlı yöntemler standart kabul edilir.
FTP aktif ve pasif modlarda çalışır. Aktif modda sunucu veri bağlantısını 20/tcp’den istemciye açmaya çalışır; bu durum NAT ve güvenlik duvarı arkasında sorun çıkarabilir. Pasif modda veri bağlantı aralığı sunucudan belirlenir ve istemci o portlara bağlanır; bu model CDN/Proxy ve kurumsal ağlarla daha uyumludur. Güvenli FTP ihtiyacı varsa FTPS (FTP + TLS) bir seçenek olmakla birlikte, SFTP (SSH File Transfer) tek portla (22) çalıştığı için genellikle daha basit ve kararlıdır.
Hızlı Özet
FTP (21): Eski, şifresiz; aktif/pasif veri kanalı.
FTPS (21+TLS): FTP’ye TLS ekler; proxy/NAT uyumluluğu değişken.
SFTP/SCP (22): SSH üzerinde tek portla güvenli aktarım; modern tercih.
| Protokol | Port | Şifreleme | Özellik | Ne Zaman Kullanılır? |
|---|---|---|---|---|
| FTP | 21 (kontrol) + 20/pasif aralık | Yok | Aktif/pasif veri kanalı, basit komut seti | Kapalı devre/lab ortamı; modern internete açık sistemlerde önerilmez |
| FTPS | 21 (Explicit) / 990 (Implicit) + veri aralığı | TLS | Sertifika yönetimi, uyumluluk gereksinimleri | FTP zorunlu ise ve şifreleme şartsa |
| SFTP | 22 | SSH | Tek port, sağlam yetkilendirme, yeniden başlatma | CI/CD dağıtımı, yedekleme, otomasyon senaryoları |
| SCP | 22 | SSH | Basit dosya kopyalama (akış tabanlı) | Hızlı, tek seferlik transferler |
SSH Anahtar Tabanlı Kimlik
Parola yerine ed25519 gibi anahtarlar kullanın; sshd_config’te parola girişini kapatın, Fail2ban ile denemeleri sınırlayın.
İzinli Ağ ve Bağlama (Bind)
Yönetim portu 22/tcp’yi yalnızca yetkili IP’lere açın; mümkünse VPN/Zero Trust arkasına alın.
Pasif FTP Aralığı
FTPS/FTP pasif port aralığını daraltıp güvenlik duvarında izin verin; ALPN/SNI uyumluluğunu test edin.
Pratik Komutlar
scp file.zip user@host:/var/www/— Hızlı ve güvenli dosya kopyalama.sftp user@host→put / get— Etkileşimli yükleme/indirme.rsync -avz -e ssh src/ user@host:dest/— Fark tabanlı senkronizasyon; yeniden başlatmaya dayanıklı.
“Uzak erişimde güvenlik, hızdan önce gelir; SSH ekosistemi ikisini birlikte sunar.” – Sistem Yöneticileri
SMTP(25) ve SMTPS(587) – E-Posta Gönderme Protokolleri
SMTP (Simple Mail Transfer Protocol), e-postaların sunucular arasında iletilmesi için kullanılan temel protokoldür. Tarihsel olarak 25/tcp sunucudan sunucuya (MTA↔MTA) aktarım için kullanılır. İstemcilerin (MUA) kimlik doğrulayıp e-posta göndermesi için modern best practice 587/tcp (SMTP Submission) üstünde STARTTLS ile şifrelemedir. Bazı sağlayıcılarda 465/tcp “implicit TLS” (geleneksel olarak SMTPS) olarak desteklenir.
Güvenilir teslim için yalnızca port doğru seçimi yetmez; kimlik doğrulama, TLS, SPF/DKIM/DMARC politikaları, ters DNS (PTR) ve MTA-STS/TLS-RPT gibi bileşenlerin birlikte ve tutarlı şekilde kurgulanması gerekir.
Hızlı Özet
25/tcp: MTA↔MTA iletimi (server-to-server).
587/tcp: İstemci gönderimi (submission) + kimlik doğrulama + STARTTLS.
465/tcp: SMTPS (implicit TLS); bazı sağlayıcılarda aktif.
| Port | Kullanım | Şifreleme | Kimlik Doğrulama | Not |
|---|---|---|---|---|
| 25/tcp | Sunucular arası SMTP (relay) | OPSİYONEL (STARTTLS önerilir) | Genelde yok | Birçok ISS, kötüye kullanım nedeniyle kısıtlar/engeller |
| 587/tcp | İstemci gönderimi (Submission) | STARTTLS (ZORLA Önerilir) | Gerekli (AUTH PLAIN/LOGIN/XOAUTH2) | Modern ve tavsiye edilen gönderim yolu |
| 465/tcp | SMTPS (Implicit TLS) | Bağlantıdan itibaren TLS | Gerekli | Sağlayıcıya bağlı; 587 ile birlikte ya da yerine |
Teslim Edilebilirlik İçin Temeller
SPF / DKIM / DMARC
SPF ile hangi IP’lerin gönderici olduğunuzu ilan edin, DKIM ile postaları imzalayın, DMARC ile hizalamayı ve reject/quarantine/none politikasını belirleyin.
TLS, MTA-STS ve TLS-RPT
Sunucular arası iletimde STARTTLS’i zorlayın; MTA-STS politikası yayınlayın ve TLS-RPT ile şifreleme raporlarını toplayın.
DNS ve Kimlik
Gönderici host için PTR (Reverse DNS), tutarlı HELO/EHLO host ismi, doğru MX ve CAA kayıtları sağlayın.
Pratik İpuçları
- Kullanıcı istemcilerini 587 + STARTTLS’a yönlendirin; 25/tcp yalnızca MTA↔MTA için açık kalsın.
- Gönderim IP’leri için PTR ve SPF’i güncelleyin; DMARC raporlarını düzenli analiz edin.
- DKIM anahtarlarını döngüsel yenileyin; CAA ile sertifika yetkilerinizi kısıtlayın.
E-Posta Altyapınızı Doğrulayın
DNS kayıtları (MX, SPF, DKIM, DMARC) ve TLS kurulumunu düzenli test edin. IP ve çözümleme kontrolleri için iPadressorgu.com üzerinden hızlı doğrulama yapabilirsiniz.
DNS & IP Kontrolü YapDNS(53) – Alan Adı Çözümleme Protokolü
DNS (Domain Name System), insanlar için okunabilir alan adlarını (ör. ipadressorgu.com) makinelerin anladığı IP adreslerine çeviren sistemdir. DNS trafiği tarihsel olarak 53/udp üzerinden çalışır; 53/tcp ise zone transferleri (AXFR/IXFR) ve büyük yanıtlar (DNSSEC/EDNS0 nedeniyle) için kullanılır. Güncel gizlilik ihtiyaçları için DNS’in şifreli varyantları (DoT 853/tcp, DoH 443/tcp) yaygınlaşmaktadır.
Tarayıcınız bir ad çözümlemek istediğinde, stub resolver sorguyu recursive çözümleyiciye iletir; o da kök → TLD → yetkili ad sunucuları zincirini takip ederek A/AAAA gibi nihai kayıtları getirir. Yanıtlar TTL süresince önbellekte tutulur; böylece takip eden istekler daha hızlı yanıtlanır.
Hızlı Özet
53/udp: Sorgular için varsayılan yol • 53/tcp: Zone transfer / büyük yanıt • DNSSEC: Doğrulama & bütünlük • DoH/DoT: Şifreli DNS (gizlilik).
| Bağlam | Port/Protokol | Kullanım | Not |
|---|---|---|---|
| Standart sorgu/yanıt | 53/udp | Çoğu recursive & istemci sorgusu | Düşük gecikme; paket kaybında uygulama yeniden dener |
| Büyük yanıt / transfer | 53/tcp | AXFR/IXFR, DNSSEC ile şişen kayıtlar | EDNS0 başarısızsa TCP’ye geri düşülür (fallback) |
| Şifreli DNS (TLS) | 853/tcp | DoT (DNS over TLS) | İstemci–resolver trafiği şifrelenir |
| Şifreli DNS (HTTPS) | 443/tcp | DoH (DNS over HTTPS) | HTTP/2/3 üzerinden; ağda daha az görünür |
En İyi Uygulamalar
- DNSSEC imzalama (authoritative) ve validation (recursive) etkinleştirin.
- QNAME minimization ve 0x20 case randomization ile yanıtlama sahteciliğine direnç artırın.
- Rate limiting ve response policy ile amplifikasyon ve kötü amaçlı alan adlarına karşı koruma sağlayın.
- Kurum içinde DoT/DoH’u tercih ederek gizliliği ve bütünlüğü artırın.
Teşhis ve Test Komutları
dig A ipadressorgu.com +short— A kaydını sorgula.dig AAAA ipadressorgu.com +dnssec— IPv6 ve DNSSEC bayraklarıyla sorgu.dig @resolver-ip ipadressorgu.com +trace— Kök → TLD → yetkili zincirini izle.
“Hızlı ve güvenilir bir internet deneyimi, doğru DNS tasarımı ve şifreli çözümleme ile başlar.” – Ağ Mimarları
POP3(110) ve IMAP(143) – E-Posta Alma Protokolleri
POP3 (Post Office Protocol v3) ve IMAP (Internet Message Access Protocol), e-postaları sunucudan alma/okuma için kullanılan iki temel protokoldür. POP3’te varsayılan akış, postaların istemciye indirildikten sonra sunucudan silinmesi yönündedir; çok cihazlı kullanımda senkron sorunları doğurabilir. IMAP ise sunucu tabanlı bir modeldir: Klasörler, okunma bayrakları ve taslaklar dahil tüm durum sunucuda kalır; istemciler bu durumu eşitler. Güvenlik için her iki protokolün de şifreli sürümleri tercih edilmelidir: POP3S (995/tcp) ve IMAPS (993/tcp) veya 110/143 üzerinde STARTTLS.
Hızlı Özet
POP3 (110): İndir–güncelle; tek cihaz senaryolarına uygun.
IMAP (143): Sunucu tabanlı senkron; çok cihaz ve ekip çalışması için ideal.
Güvenlik:IMAPS 993 / POP3S 995 ya da STARTTLS kullanın.
| Özellik | POP3 (110 / 995) | IMAP (143 / 993) |
|---|---|---|
| Depolama Modeli | İstemci ağırlıklı; sunucudan indirme | Sunucu ağırlıklı; istemciler senkronize |
| Çok Cihaz Desteği | Sınırlı (kopya bırak ayarı gerekebilir) | Güçlü (klasör/etiket/paylaşım desteği) |
| Durum Eşitleme | Okundu/işaretler eşitlenmez | Okundu, etiket, taslak, bayrak eşitlenir |
| Performans | Düşük bant genişliğinde hızlı indirme | Kısmi getirme (headers/partial fetch), arama |
| Güvenlik | 995/STARTTLS ile şifreleme | 993/STARTTLS ile şifreleme |
| Tipik Kullanım | Tek cihaz, arşivlemek isteyen kullanıcı | Birden çok cihaz, ekip ve mobil kullanıcılar |
Bağlantı Noktaları ve Şifreleme
- POP3: 110/tcp (STARTTLS) · POP3S: 995/tcp (implicit TLS)
- IMAP: 143/tcp (STARTTLS) · IMAPS: 993/tcp (implicit TLS)
- İstemci ve sunucuda yalnızca şifreli bağlantılara izin verin; düz metin girişleri kapatın.
IMAP ile Klasör & Ekip Çalışması
Paylaşılan posta kutuları, klasör izinleri ve gelişmiş arama, destek ekipleri ve satış süreçlerinde verimliliği artırır.
POP3 ile Arşiv
Yerel arşiv isteyen kullanıcılar için POP3 pratik olabilir; “sunucuda kopya bırak” ayarını ve kota kullanımını izleyin.
Kimlik & Politika
OAuth 2.0 (mümkünse) ve güçlü parola politikaları kullanın; başarısız girişleri rate limit ile sınırlayın.
Pratik İpuçları
- Çok cihazlı senaryolarda IMAPS (993)’i varsayılan yapın; POP3’ü arşiv/uyumluluk için sınırlı kullanın.
- STARTTLS destekleniyorsa 110/143 üzerinde zorlayın; aksi durumda 995/993’ü tercih edin.
- Sunucu tarafında kota (quota) ve otomatik arşiv/yaşlandırma kuralları tanımlayın.
IMAP, durumun sunucuda kalmasını sağlar; POP3 yerel arşiv ve basit akışlar için uygundur.
E-Posta Alma Yapınızı Doğrulayın
TLS, kimlik ve kota politikalarını gözden geçirin. DNS ve IP kontrolleri için iPadressorgu.com’u ziyaret edebilir, bağlantı durumunuzu hızlıca test edebilirsiniz.
IP & DNS Kontrolü YapRDP(3389) – Uzak Masaüstü Protokolü
RDP (Remote Desktop Protocol), Windows tabanlı sistemlere grafiksel uzak erişim sağlayan bir protokoldür. Varsayılan olarak 3389/tcp portunu kullanır; performans için UDP 3389 desteği de bulunur. RDP, BT ekiplerinin sunucuları ve iş istasyonlarını uzaktan yönetmesini kolaylaştırsa da doğrudan internete açıldığında yüksek risk barındırır. En iyi yaklaşım, RDP’yi VPN/Zero Trust arkasına almak ve RD Gateway (443/tcp) üzerinden HTTPS tünellemesi ile erişim sağlamaktır.
Hızlı Özet
3389/tcp: RDP ana portu • 3389/udp: Gecikmeyi azaltan ek kanal • RD Gateway: RDP’yi 443/tcp üzerinden HTTPS ile tüneller • NLA + MFA: Kimlik ve güvenlik şart.
| Konu | Öneri | Not |
|---|---|---|
| Erişim Yöntemi | RD Gateway (443) veya VPN üzerinden | Doğrudan 3389’u internete açmayın |
| Kimlik Doğrulama | NLA (Network Level Authentication) + MFA | Zayıf parolalara karşı ek katman sağlar |
| Şifreleme | Modern TLS sürümleri ve güçlü şifre paketleri | RDP güvenlik katmanını “SSL (TLS)” olarak zorlayın |
| İzin Politikası | IP/ülke allowlist, saat bazlı erişim | JIT (Just-in-Time) ile süreli aç/kapat |
| Kilit & İz | Hatalı girişte kilitleme, deneme sayısı sınırı | SIEM’e log akışı, uyarı eşikleri |
| Güncelleme | RDP client/server yamaları ve politika şablonları | Eski şifreleme ve protokol sürümlerini kapatın |
Yapılandırma İpuçları
- GPO/Policy: “Require user authentication for remote connections by using Network Level Authentication” ayarını etkinleştirin.
- RD Gateway: 443/tcp üzerinden yayın; içerideki RDP’leri yalnızca iç ağ arayüzlerinde dinletin.
- Brute-force Savunması: Hesap kilit politikası, Account Lockout Threshold ve Smart Lockout.
- Firewall: 3389’a yalnızca yetkili kaynaklardan izin verin; coğrafi ve ASN tabanlı filtre ekleyin.
- İzleme: Başarısız oturum, oturum süreleri ve anomali girişleri için uyarı kuralları oluşturun.
“Güvenli uzak erişim, RDP’yi gizlemekten değil; kontrollü yayın ve çok katmanlı kimlikten geçer.” – Güvenlik Mimarları
Telnet(23) – Eski Uzaktan Erişim Protokolü
Telnet, ağ cihazlarına ve sunuculara metin tabanlı uzak erişim sağlayan tarihsel bir protokoldür ve varsayılan olarak 23/tcp portunu kullanır. Telnet’in en büyük problemi, şifreleme yapmamasıdır: Kimlik bilgileri ve oturum verileri düz metin olarak taşınır. Bu nedenle modern ağlarda kullanımı önerilmez; yerine SSH (22/tcp) tercih edilmelidir.
Buna karşın bazı miras (legacy) ağ ekipmanları, gömülü sistemler veya sınırlı kapasiteli cihazlar yalnızca Telnet destekleyebilir. Böyle durumlarda erişimi izole etmek, VPN/Zero Trust arkasına almak ve IP allowlist uygulamak zorunludur. Üretim ortamında Telnet’in internete doğrudan açılması kritik risk oluşturur.
Kısa Özet
Port: 23/tcp • Şifreleme: Yok (düz metin) • Risk: Parola dinleme/MITM • Alternatif: SSH (22/tcp).
| Kriter | Telnet (23/tcp) | SSH (22/tcp) |
|---|---|---|
| Şifreleme | Yok (düz metin) | Tam uçtan uca (TLS/SSH) |
| Kimlik Doğrulama | Parola (sıklıkla zayıf), düz metin | Anahtar tabanlı, MFA ile güçlendirilebilir |
| Güvenlik Düzeyi | Düşük (MITM/sniffing mümkün) | Yüksek (bütünlük ve gizlilik) |
| Kullanım Önerisi | Yalnızca izole lab/kapalı ağ | Üretim ve internet erişimi olan tüm sistemler |
Ne Zaman Telnet Karşımıza Çıkar?
- Eski switch/router modellerinde ilk kurulum aşaması
- Konsol sunucuları veya out-of-band erişim çözümlerinde geriye dönük uyumluluk
- Gömülü/IoT cihazlarda yalnızca Telnet desteği bulunan durumlar
Riskleri Azaltmak İçin Öneriler
İzolasyon ve Tünelleme
Telnet erişimini VPN/Zero Trust arkasına alın, mümkünse SSH tüneli üzerinden kullanın.
IP Allowlist & Zaman Kısıtı
Yalnızca belirli yönetim IP’lerinden erişime izin verin; JIT (Just-in-Time) ile süreli açın.
Oturum Kaydı ve Denetim
Kritik komutlar için oturum kaydı tutun; merkezi SIEM’e log gönderin, anomali uyarıları kurun.
Pratik Komutlar (Sadece İzole Ortamlarda!)
telnet 192.0.2.10 23— Hedef cihaza Telnet ile bağlanma.ssh [email protected]— Önerilen güvenli alternatif.
“Güvenlikte geriye uyumluluk gerekçesi, kalıcı çözüm değildir; SSH’a geçiş yol haritasını planlayın.” – Ağ Güvenliği Uzmanları