Makale Başlıkları
Bir sunucuya, bir yonetim paneline ya da bir API’ye sadece sizin tanidiginiz adreslerin girebilmesini istediginiz oldu mu? Iste IP beyaz liste, tam olarak bu ihtiyacin cevabi. Kapiya “herkes girebilir, sadece kotu niyetlileri kovariz” mantigiyla degil, “kimseyi iceri almam, yalnizca davetlilere kapiyi acarim” mantigiyla yaklasan bir guvenlik yontemi. Bu yazida IP beyaz listenin ne oldugunu, nasil calistigini, nerelerde kullanildigini ve sinirlarini sahada uygulayan birinin gozunden anlatacagim.
IP Beyaz Liste (Whitelist) Nedir?
IP beyaz liste, bir sisteme erisebilecek IP adreslerinin onceden tanimlandigi ve bu listenin disindaki herkesin varsayilan olarak reddedildigi bir erisim kontrol yontemidir. Ingilizce kaynaklarda “whitelist” terimi son yillarda yerini buyuk olcude “allowlist” (izin listesi) ifadesine birakti; mantik degismedi, sadece daha tarafsiz bir adlandirma tercih ediliyor. Turkce’de ise “beyaz liste” ve “izin listesi” yan yana kullaniliyor.
Burada anlasilmasi gereken kritik nokta su: beyaz liste bir “varsayilan reddet” (default deny) felsefesine dayanir. Yani sistem, kendisine ulasan her bir istegin kaynagini kontrol eder; eger gelen IP listede yoksa, istegi daha icerigine bakmadan kapida ceviri. Bu yaklasim, modern guvenlikteki “sifir guven” (zero trust) prensibiyle dogrudan ortusur: hicbir baglantiya peshinen guvenme, herkesi dogrula.
Kavrami somutlastirmak icin bir benzetme: bir apartmanin giris kapisina diafon takmak yerine, yalnizca dairesinde oturanlara ozel bir anahtar vermek gibidir. Anahtari olmayan biri kapinin onunde ne kadar ugrasirsa ugrassin iceri giremez. Kara liste (blacklist/blocklist) ise bunun tersidir: kapi herkese aciktir, sadece daha once “sorun cikaranlar” listesine girenler engellenir.
Beyaz Liste ve Kara Liste Arasindaki Fark
Bu iki yontem cogu zaman karistirilir, oysa felsefeleri taban tabana zittir. Farki net anlamak, hangi senaryoda hangisini secmeniz gerektigini de gosterir.
| Ozellik | Beyaz Liste (Allowlist) | Kara Liste (Blocklist) |
|---|---|---|
| Varsayilan davranis | Her seyi reddet, sadece listedekilere izin ver | Her seye izin ver, sadece listedekileri engelle |
| Guvenlik seviyesi | Yuksek (saldiri yuzeyi cok kucuk) | Orta (bilinmeyen tehditlere acik) |
| Bilinmeyen tehdide karsi | Korumali (listede degilse zaten giremez) | Savunmasiz (henuz listeye eklenmemis olabilir) |
| Yonetim yuku | Yuksek (her yeni izin elle eklenir) | Dusuk ama bitmeyen (sürekli yeni tehdit ekleme) |
| Esneklik | Dusuk (yeni kullanicilar engellenebilir) | Yuksek (herkes varsayilan olarak erisir) |
| Ideal kullanim | Yonetim panelleri, ic sistemler, API’ler | Genel web siteleri, spam filtreleri |
Kara listenin temel zaafi sayilarda gizli: guvenlik arastirma kuruluslarinin verilerine gore her gun yuz binlerce yeni zararli yazilim ve kotu niyetli IP ortaya cikiyor. Boyle bir hizda, “kotuyu tek tek yakalama” stratejisi her zaman bir adim geride kalir. Beyaz liste ise bu yarisa hic girmez; cunku listenizde olmayan milyonlarca IP’nin “iyi mi kotu mu” oldugunu bilmesine gerek yoktur, hepsi zaten reddedilir. ABD siber guvenlik ajansi CISA da fidye yazilimi rehberinde tam olarak bunu oneriyor: “Bir agdaki her olasi uygulamayi listeleyip reddetmeye calismak yerine izin listesi (allowlisting) kullanin.”
Peki hangisi daha iyi?
Dogru cevap genellikle “ikisi birden” oluyor. Olgun bir guvenlik mimarisinde, halka acik web sitenizin onunde bilinen kotu IP’leri eleyen bir kara liste calisirken; yonetim paneli, SSH ve veritabani gibi hassas noktalara erisim icin sicak bir beyaz liste devrede olur. Katmanli savunma dedigimiz sey budur.
IP Beyaz Liste Nasil Calisir?
Teknik olarak beyaz liste, gelen her ag isteginin kaynak IP adresini onceden tanimlanmis bir kurallar setiyle karsilastirir. Surec adim adim soyle isler:
- Istek gelir: Bir kullanici ya da sistem, sunucunuza/servisinize baglanmak ister. Bu istegin icinde kaynak IP adresi bulunur.
- Kaynak kontrol edilir: Guvenlik duvari, web sunucusu veya uygulama, gelen IP’yi izin listesiyle karsilastirir.
- Karar verilir: IP listede varsa istek isleme alinir; yoksa baglanti daha kurulmadan ya da ilk pakette reddedilir.
- Kayit tutulur: Iyi yapilandirilmis sistemlerde reddedilen denemeler loglanir; bu, saldiri girisimlerini gormenizi saglar.
Bu kontrol farkli katmanlarda yapilabilir: ag seviyesinde guvenlik duvarinda (iptables, firewalld), web sunucusu seviyesinde (Nginx allow/deny direktifleri veya Apache .htaccess), ya da uygulama seviyesinde (bir API’nin izin verilen IP’leri kontrol ettigi kod). Genel kural: erisimi ne kadar erken katmanda keserseniz, sunucunuzu o kadar az yorarsiniz.
CIDR Notasyonu: Tek Tek Degil, Blok Blok
Her IP’yi elle yazmak buyuk aglarda imkansizdir. Burada CIDR notasyonu devreye girer. Ornegin bir ofisin tum cikis adreslerini tek tek yazmak yerine 203.0.113.0/24 seklinde tanimlarsiniz; bu, 203.0.113.0 ile 203.0.113.255 arasindaki 256 adresin tamamini tek satirda kapsar. “/24” kismindaki sayi ne kadar kucukse, blok o kadar genis olur.
IPv6 icin mantik aynidir ama format farklidir; ornegin 2001:db8::/32 gibi. Onemli bir nokta: IPv4 ve IPv6 izin listeleri ayri ayri yonetilir, cunku adres formatlari tamamen farklidir. Eger sisteminiz IPv6 uzerinden de erisilebiliyorsa, sadece IPv4 izinlerini tanimlamak guvenlik acigi birakir.
IP Beyaz Liste Ne Ise Yarar? Kullanim Alanlari
Beyaz listenin somut faydasini en iyi kullanim ornekleri uzerinden gormek mumkun. Sahada en sik karsilastigim senaryolar sunlar:
1. Sunucu ve Hosting Yonetim Panellerine Erisim
cPanel, Plesk veya DirectAdmin gibi panellere, ya da SSH (port baglantisi) erisimine yalnizca belirli IP’lerden izin vermek, bir sunucuyu kaba kuvvet (brute force) saldirilarina karsi ciddi olcude korur. SSH portunuza her gun yuzlerce otomatik bot deneme yapar; ancak port yalnizca ofis IP’nize aciksa, bu denemelerin tamami daha el sikismadan reddedilir. WHM tarafindaki “Limit logins to verified IP Addresses” gibi secenekler de bu mantikla calisir.
2. WordPress ve Web Uygulama Yonetim Alanlari
WordPress’te /wp-admin ve wp-login.php, saldirilarin bir numarali hedefidir. Bu dizini .htaccess uzerinden yalnizca guvenilir IP’lere acmak, en etkili ve en az maliyetli onlemlerden biridir. Mantik basit: order deny,allow ile once herkesi reddedersiniz, sonra “allow from” satirlariyla yalnizca kendi adreslerinizi eklersiniz. Boylece login formunu otomatik denemelerle dolduran botlar sayfayi bile goremez.
3. API ve Odeme Sistemleri
Sunuculararasi (server-to-server) haberlesen API’ler ve odeme saglayicilari neredeyse her zaman IP beyaz liste ister. Odeme altyapiniz, yalnizca sizin sunucunuzun IP’sinden gelen istekleri kabul edecek sekilde yapilandirilir; boylece API anahtariniz calinsa bile, saldirgan farkli bir IP’den o anahtari kullanamaz. Bu, “tek bir savunma hattina guvenme” prensibinin somut bir ornegidir.
4. Veritabani ve Ic Servisler
Bir veritabani sunucusu (MySQL, PostgreSQL) asla tum internete acik olmamalidir. Erisimi yalnizca uygulama sunucularinin IP’leriyle sinirlamak, en kritik verinizi disaridan dogrudan erisime kapatir.
5. E-posta ve SMTP Releyleri
Kurumsal mail altyapilarinda, hangi sunucularin posta gonderebilecegini IP bazinda tanimlamak hem yetkisiz gonderimi engeller hem de gonderdiginiz postalarin spam’e dusme ihtimalini azaltir.
Avantajlari ve Dezavantajlari: Dengeyi Kurmak
Hicbir guvenlik yontemi sihirli degnek degildir; beyaz liste de degil. Dogru karar verebilmek icin iki tarafi da net gormek gerekir.
| Avantajlar | Dezavantajlar |
|---|---|
| Saldiri yuzeyini dramatik olcude daraltir | Dinamik IP’lerde surekli bakim gerektirir |
| Bilinmeyen/yeni tehditlere karsi etkilidir | Yeni/uzak calisanlar icin erisim engeli yaratabilir |
| Otomatik bot ve brute force denemelerini eler | Kimligi degil yalnizca konumu (IP) dogrular |
| Uyum (compliance) gereksinimlerini destekler | Paylasimli/NAT adreslerde fazla genis izin riski |
| Log uzerinden net denetim imkani sunar | Yanlis yapilandirma kendinizi kilitleyebilir |
En Buyuk Zaaf: Dinamik IP Sorunu
Beyaz listenin pratikteki en can sikici tarafi sudur: ev ve mobil internet baglantilarinin cogu dinamik IP kullanir. Yani IP adresiniz modeminizi her yeniden baslattiginizda ya da operatorun atadigi sureye gore degisebilir. Sabah erisebildiginiz panele, ogleden sonra IP’niz degistigi icin giremeyebilirsiniz. Bunun en saglikli cozumu, sabit IP’li bir VPN kullanmaktir: ekibinizin tamami VPN’e baglanir, VPN’in tek bir cikis IP’sini izin listesine eklersiniz. Boylece herkesin gercek IP’si degisse de, sisteme her zaman ayni guvenilir adresten ulasilir.
Unutulmamasi Gereken: IP Kimlik Degildir
Cok onemli bir gercek: bir IP adresi kim oldugunuzu degil, nereden baglandiginizi soyler. Eger bir saldirgan izin verilen bir aga (ornegin ofis Wi-Fi’sina ya da ele gecirilmis bir sunucuya) sizarsa, izin listesi onu sizden ayirt edemez. Bu yuzden IP beyaz liste tek basina degil, iki adimli dogrulama (2FA), guclu parolalar ve guncel yazilim ile birlikte kullanildiginda anlam kazanir. Onu bir kapinin ek kilidi olarak dusunun, kapinin kendisi olarak degil.
Beyaz Liste Olustururken Iyi Uygulamalar
- En az ayricalik ilkesi: Sadece gercekten erismesi gereken IP’leri ekleyin. “Belki lazim olur” diye genis bloklar tanimlamak, izin listenizin amacini bosa cikarir.
- Listeyi guncel tutun: Ayrilan personelin, kapatilan ofisin ya da degisen tedarikcinin IP’sini listede unutmayin. Eski kayitlar zamanla birikir ve sessiz bir risk olusturur.
- Kendinizi kilitlemeyin: Kuralları uygulamadan once mevcut baglantinizin IP’sinin listede oldugundan emin olun. Aksi halde sunucuya erisimi kaybedebilirsiniz; bu, en sik yapilan hatadir.
- Loglari izleyin: Reddedilen erisim denemelerini takip etmek, hem saldiri girisimlerini hem de yanlislikla engellenen mesru kullanicilari ortaya cikarir.
- IPv6’yi atlamayin: Cift yiginli (dual-stack) ortamlarda yalnizca IPv4 kurali yazmak, IPv6 uzerinden bir kapi acik birakmak demektir.
Alastyr Altyapisinda Beyaz Liste ve Katmanli Guvenlik
Beyaz liste, ancak saglam bir altyapinin uzerinde anlamlidir. Alastyr olarak 2002’den bu yana, yani 25 yila yakin suredir Turkiye’nin koklu hosting saglayicilarindan biri olarak guvenligi tek bir katmana yaslamiyoruz. Izmir’deki kendimize ait, N+1 yedekli ve Tier III standartlarinda kurulu veri merkezimizde calisan sunucular; Imunify360, CageFS ve tehdit istihbarati (AbuseIPDB, RBL) ile beslenen cift katmanli bir WAF arkasinda durur. Yani henuz siz beyaz listenizi tanimlamadan once bile, bilinen kotu niyetli IP’ler altyapi seviyesinde elenir.
Hosting ve sunucu hizmetlerimizde cPanel, Plesk ve DirectAdmin uzerinden panel ve SSH erisimini IP bazinda sinirlandirabilir; WordPress yonetim alaninizi .htaccess ile yalnizca guvendiginiz adreslere acabilirsiniz. CloudLinux ve CageFS izolasyonu, LiteSpeed + LSCache performansi ve Voxility 1 Tbps uzeri L3-L4 anti-DDoS korumasiyla birleseimi, IP beyaz listenizi sadece bir kural degil, gercek anlamda calisan bir savunma katmanina donusturur.
Ozetle IP beyaz liste, dogru kurulduğunda saldiri yuzeyinizi en aza indiren, basit ama son derece etkili bir araçtir. Tek basina yeterli degildir; ama 2FA, guncel yazilim ve saglam bir altyapiyla birlestiginde, sisteminizi internetin gurultusunden ayiran net bir sinir cizgisi olur.
Sikca Sorulan Sorular
IP beyaz liste ile kara liste arasindaki temel fark nedir?
Beyaz liste “her seyi reddet, sadece izin verdiklerime ac” mantigiyla calisir; kara liste ise “her seye ac, sadece engellediklerimi kapat” mantigiyla. Beyaz liste daha guvenlidir cunku bilinmeyen tehditler zaten listede olmadigi icin otomatik reddedilir, ancak yonetimi daha fazla emek ister.
Whitelist ve allowlist ayni sey mi?
Evet, ayni kavrami ifade ederler. “Allowlist” (izin listesi), son yillarda “whitelist” yerine tercih edilen daha tarafsiz bir terimdir. Islevsel olarak ikisi arasinda hicbir fark yoktur; her ikisi de yalnizca onceden onaylanmis kaynaklara erisim verir.
Dinamik IP kullaniyorsam beyaz liste nasil calisir?
Dinamik IP’niz degistikce listenizi guncellemeniz gerekir ki bu pratikte zordur. En saglikli cozum, sabit cikis IP’li bir VPN kullanmaktir. Tum ekip VPN’e baglanir ve siz yalnizca VPN’in tek IP’sini izin listesine eklersiniz; gercek IP’leriniz degisse de erisim kesintisiz surer.
IP beyaz liste tek basina yeterli bir guvenlik onlemi mi?
Hayir. IP adresi kim oldugunuzu degil, nereden baglandiginizi gosterir. Izin verilen bir aga sizan saldirgan ayirt edilemez. Bu yuzden beyaz listeyi iki adimli dogrulama, guclu parolalar ve guncel yazilimla birlikte, katmanli savunmanin bir parcasi olarak kullanmak gerekir.
CIDR notasyonu nedir ve neden kullanilir?
CIDR, bir IP blogunu tek satirda tanimlamaya yarayan notasyondur. Ornegin 203.0.113.0/24 yazdiginizda 256 adresin tamamini kapsarsiniz. Boylece bir ofisin ya da agin tum adreslerini tek tek yazmak yerine tek bir kuralla izin listenize ekleyebilirsiniz.
cPanel veya WordPress’te IP beyaz liste nasil olusturulur?
cPanel/WHM tarafinda panel ve SSH erisimini “Access List” ya da dogrulanmis IP secenekleriyle sinirlandirabilirsiniz. WordPress’te ise /wp-admin ve wp-login.php dizinlerini .htaccess dosyasina “order deny,allow”, “deny from all” ve ardindan “allow from” satirlari ekleyerek yalnizca guvendiginiz IP’lere acabilirsiniz.
Yanlislikla kendi IP’mi engellersem ne olur?
Sunucunuza veya panele erisiminizi kaybedebilirsiniz; bu en sik yapilan hatadir. Bu yuzden kurali devreye almadan once mevcut baglantinizin IP’sinin listede oldugundan mutlaka emin olun. Erisiminizi kaybederseniz, hosting saglayicinizin destek ekibi ya da konsol erisimi uzerinden duzeltme yapilabilir.
IPv6 adreslerini de beyaz listeye eklemem gerekir mi?
Eger sisteminiz IPv6 uzerinden de erisilebiliyorsa evet. IPv4 ve IPv6 izin listeleri ayri yonetilir. Yalnizca IPv4 kurali tanimlamak, IPv6 uzerinden bir erisim kapisini acik birakmak anlamina gelir ve guvenlik aciginiz olusturur.
Beyaz liste sunucu performansimi etkiler mi?
Dogru katmanda uygulandiginda performansa olumlu etki yapar. Erisimi guvenlik duvari gibi erken bir katmanda kestiginizde, sunucunuz reddedilen istekleri islemek icin kaynak harcamaz. Bu da ozellikle yogun bot trafigi alan sistemlerde gozle gorulur bir rahatlama saglar.
Guvenligi Altyapidan Baslatin
IP beyaz listenizin gercekten ise yaramasi icin saglam bir temel gerekir. Alastyr’in Imunify360, CageFS ve cift katmanli WAF korumasiyla guclendirilmis hosting ve sunucu cozumlerinde panel, SSH ve yonetim alanlarinizi guvenle sinirlandirin.
