Birçok kurumun üretim trafiği belirli ülkelerden, belirli iş ortaklarından veya belirli ağ bloklarından gelir. Buna rağmen saldırı trafiği dünyanın farklı bölgelerinden, barındırma sağlayıcılarından, konut proxy ağlarından veya kötüye kullanılan ASN'lerden kaynaklanabilir. Sadece IP adresi veya basit blok listeyle karar vermek, bu bağlamı görmezden gelir.
Ülke bazlı erişim kontrolü özellikle kamu, finans, sağlık ve yerel hizmet sunan uygulamalarda kritik olabilir. Eğer servis yalnızca belirli ülkedeki kullanıcılar için tasarlanmışsa, tüm dünyaya açık bırakmak gereksiz saldırı yüzeyi üretir. Ancak bu kontrolün dış bir GeoIP servisine bağlı olması, hem gecikme hem de veri bağımlılığı riski doğurur.
ASN bilgisi de ülke bilgisi kadar önemlidir. Aynı ülkeden gelen kullanıcı trafiği ile büyük barındırma ağlarından, otomasyon altyapılarından veya kötüye kullanılan sağlayıcılardan gelen trafik aynı riskte değildir. Sadece coğrafi konuma bakmak saldırı yüzeyini daraltır; fakat ASN bağlamı olmadan kaynak tipini anlamak eksik kalır.
Çoklu kiracı ve namespace ayrımı olan yapılarda problem daha da büyür. Her tenant aynı ülke politikasını kullanmayabilir; bir kiracı yalnızca Türkiye'den erişim isterken, başka bir kiracı Avrupa ve özel partner ağlarına izin verebilir. Bu durumda ülke setlerinin namespace bazında ayrı hazırlanması ve gereksiz setlerin yüklenmemesi gerekir.
TR7 GeoIP/ASN Erişim Kontrolü, yerel GeoIP veritabanı dosyaları, namespace bazlı ülke ipset senkronizasyonu, IPv4/IPv6 setleri, L7 GeoIP görünürlüğü ve WAAP log zenginleştirmesiyle IP adresini erişim kararına uygun bağlama dönüştürür.
TR7, GeoIP ve ASN kararlarını dış sorgu servislerine bağımlı olmadan, yerel veri tabanı ve katmanlı politika uygulamasıyla yönetir.
GeoLite2 Country, City ve ASN veritabanları TR7 üzerinde `/geoDB` altında tutulur. Ülke, şehir ve ASN sorguları cihaz üzerinde yapılır; karar anında dış internet servisine ihtiyaç duyulmaz.
Ülke bazlı firewall kuralları IPv4 ve IPv6 ipset setleriyle uygulanır. Belirli ülke setleri namespace başına hazırlanır ve trafik erken aşamada drop, reject veya log kararına bağlanabilir.
Aynı platformda farklı vService'ler farklı ülke ve ASN risk politikalarıyla çalışabilir. Ülke whitelist, blacklist, CAPTCHA, rate-limit ve WAAP log zenginleştirmesi servis ihtiyacına göre birlikte kullanılabilir.
TR7, her namespace'e tüm ülke setlerini kör biçimde yüklemek yerine yalnızca kuralda kullanılan ülkeleri hazırlar. Bu yaklaşım RAM kullanımını, hazırlık süresini ve gereksiz ipset yükünü azaltır.
GeoIP/ASN Erişim Kontrolü, yerel lookup, ipset tabanlı ülke politikası, cache, namespace ayrımı ve WAAP görünürlüğünü bir araya getirir.
TR7, istemci IP adresi için iki harfli ISO 3166-1 ülke kodu, geoname_id ve kıta bilgisi üretebilir. Bu bilgi hem L3/L4 erişim kararlarında hem L7 log zenginleştirme süreçlerinde kullanılabilir. Örneğin yalnızca belirli ülkelerden gelen trafiğe izin verilebilir veya riskli ülke grupları için daha sıkı politika uygulanabilir. Sorgu lokal MMDB üzerinden yapıldığı için dış servise bağımlılık oluşmaz.
City veritabanı IP adresine şehir ve geoname_id bağlamı ekler. Şehir bilgisi çoğu zaman doğrudan firewall kararından çok analiz, raporlama ve olay inceleme tarafında değerlidir. WAAP olaylarında saldırının ülke ve şehir dağılımı daha anlamlı şekilde görülebilir. Bu bağlam, güvenlik ekibinin saldırı dalgasının coğrafi profilini daha hızlı anlamasına yardımcı olur.
ASN lookup, IP adresi için otonom sistem numarası, organizasyon adı ve ağ CIDR bilgisini döndürür. Bu veri, trafiğin ev kullanıcısı ağı mı, barındırma sağlayıcısı mı, kurumsal ağ mı olduğunu anlamaya yardımcı olur. ASN bilgisi WAAP logları ve canlı izleme içinde risk analizi için kullanılabilir.
RFC1918, loopback ve lokal adresler otomatik olarak özel kategoriye alınabilir. TR7 bu tür kaynakları `XX` gibi lokal etiketlerle raporlayabilir; bilinmeyen veya eşleşmeyen adresler de `--` etiketiyle ayrı kategoriyle gösterilebilir. Bu ayrım, iç ağ trafiği ile gerçek dış kaynak trafiğinin karışmasını önler. Denetim raporlarında "bilinmeyen", "lokal" ve gerçek ülke kodları net biçimde ayrışır.
Smart per-namespace sync, her namespace için sadece ilgili firewall kurallarında kullanılan ülke setlerini oluşturur. Örneğin bir tenant yalnızca TR, DE ve US için kural kullanıyorsa yalnızca bu setler hazırlanır. Bu yaklaşım 250+ ülkenin tamamını her namespace'e yükleme ihtiyacını ortadan kaldırır. Çoklu kiracı yapılarda bellek, hazırlık süresi ve operasyon karmaşıklığı düşer.
Her ülke için IPv4 ve IPv6 setleri ayrı ama birlikte ele alınır. Bu sayede yalnızca IPv4 trafiğini kontrol edip IPv6 yolunu açık bırakma hatası azaltılır. Ülke kuralı tanımlandığında ilgili v4 ve v6 kapsamı birlikte düşünülür. Modern çift-yığın ağlarda erişim kontrolü için bu ayrım kritiktir.
TR7, sık görülen IP adresleri için 10.000 key kapasiteli ve 600 saniye TTL değerine sahip cache profili kullanabilir. Sıcak IP'ler her istekte yeniden MMDB lookup'a gitmeden hızlıca cevaplanır. Bu, özellikle aynı müşteri ağlarından gelen yoğun trafikte gecikmeyi azaltır. Cache yerel çalıştığı için dış sorgu ücreti veya internet erişimi gerekmez.
GeoIP lookup yalnızca firewall drop kararı için kullanılmaz; WAAP olaylarında ülke ve şehir bilgisi loglara eklenebilir. Saldırı ülkeleri agregasyonu, olay trendleri ve SIEM raporları bu veriden beslenir. Güvenlik ekibi hangi ülkelerden hangi saldırı tiplerinin geldiğini daha kolay görür. Bu görünürlük politika ayarlarını kanıta dayalı yapmayı kolaylaştırır.
Ülke ipset verileri `/geoDB/countries.ipset` gibi lokal dosyalardan parse edilerek hazırlanabilir. İtibar veya blacklist setleri de ayrı dosya yoluyla yönetilebilir. Bu yapı, internet erişimi kısıtlı veya tamamen kapalı ortamlarda bile erişim kontrolünün çalışmasını sağlar. Güncelleme süreci kurumun kendi bakım penceresine göre planlanabilir.
Küme yapılarında ipset ve ilgili GeoIP verilerinin pasif düğüme aktarılması gerekir. TR7, ülke setleri ve değişikliklerin pasif node tarafına senkronize edilmesini destekleyen bir işletim modeli sunar. Failover olduğunda yeni aktif düğüm aynı ülke politikasıyla trafiği karşılamaya devam eder. Böylece GeoIP erişim kontrolü tek düğüm davranışına bağlı kalmaz.
GeoIP/ASN erişim kontrolü; GeoIP okuyucu modeli, cache profili, ipset dosya yönetimi, background restore, gerekli set çıkarımı ve force mode güncellemesiyle birlikte işletilir.
TR7, country, city ve ASN lookup için prefix-length destekli GeoIP MMDB okuyucularını kullanır. IP adresinin hangi ağa düştüğü bilgisi bu yöntemle alınabilir. Model hem IPv4 hem IPv6 adreslerinde çalışır.
Cache profili 10.000 key kapasite, 600 saniye standart TTL ve 120 saniye kontrol periyodu ile çalışabilir. Gereksiz kopyalama maliyeti azaltılır. Bu yapı yoğun ve tekrarlı IP sorgularında hızlı yanıt sağlar.
Ülke setleri `/geoDB/countries.ipset` dosyasından, blacklist setleri ise ayrı bir blacklist dosyasından yönetilebilir. Dosyalar lokal olduğu için cihaz dışı sorgu gerekmez. Güncelleme ve rollback operasyonları dosya ve restore süreci üzerinden planlanabilir.
Ipset doldurma işlemi arka planda çalıştırılarak UI akışı gereksiz bekletilmez. Batch işleme ile setler kontrollü biçimde hazırlanır. Büyük ülke setlerinde bu yaklaşım yönetim deneyimini daha akıcı hale getirir.
Firewall kuralları ve namespace güvenlik haritası incelenerek her namespace için hangi ülke setlerinin gerektiği çıkarılır. Smart sync bu listeye göre çalışır. Böylece kullanılmayan ülke setleri ilgili namespace'e yüklenmez.
Force mode etkinleştirildiğinde cache dikkate alınmadan parse ve push işlemi yeniden yapılabilir. Bu mod, GeoIP veri güncellemesi, kural değişikliği veya set tutarsızlığı şüphesinde kullanışlıdır. Normal işletimde gereksiz yeniden yüklemeyi azaltmak için cache ve smart sync tercih edilir.
Banka yalnızca Türkiye ve belirli Avrupa ülkelerinden gelen kullanıcı trafiğine izin vermek isteyebilir. TR7 ülke ipset'leriyle diğer ülkeleri erken aşamada drop veya reject kararına bağlar. Roaming veya istisna gereken müşteriler için daha yumuşak fallback politikaları eklenebilir.
Kamu portalı yalnızca Türkiye ve lokal ağlardan erişim kabul edecek şekilde yapılandırılabilir. `XX` etiketi lokal/private kaynakları ayırır; gerçek dış ülke trafiği ise ülke setleriyle engellenir. Denetimlerde hangi ülke trafiğinin düştüğü loglardan gösterilebilir.
SaaS uygulaması login endpoint'ine gelen trafiğin ASN bilgisini WAAP loglarında izleyebilir. Barındırma ağlarından gelen olağandışı login denemeleri CAPTCHA, rate-limit veya özel WAAP politikalarıyla birlikte değerlendirilebilir. ASN görünürlüğü, yalnızca ülke bazlı karardan daha zengin risk bağlamı sağlar.
Trafik artışı belirli ülkelerde yoğunlaşıyorsa TR7 bu ülkeler için geçici drop, reject veya daha sıkı rate-limit politikalarına geçebilir. Ülke setleri hazır olduğu için karar erken trafik katmanında uygulanır. Operasyon ekibi saldırı dalgasını kaynak ülke dağılımıyla birlikte izleyebilir.
Lokal GeoIP veritabanı, namespace bazlı ipset senkronizasyonu ve WAAP log zenginleştirmesiyle tam denetlenebilir erişim kontrolü. Kendi ortamınızda canlı kurulumu birlikte gezebiliriz.