Ağ Güvenliği

NAT (Ağ Adresi Çevirisi)

👤 Güvenlik Uzmanı1/35 dk
İnteraktif sahne yükleniyor…
🎯 Neden önemli?

Evinizde onlarca cihaz internete bağlıyken servis sağlayıcınız size genellikle TEK bir genel IP adresi verir — işte tüm o cihazları bu tek adres arkasında buluşturan sihir NAT'tır.

Anlatım

NEDİR? NAT (Network Address Translation / Ağ Adresi Çevirisi), bir paket yönlendirici (router/firewall) üzerinden geçerken paketin IP başlığındaki adres bilgisini yeniden yazma işlemidir. En yaygın kullanımıyla, iç ağdaki cihazların kullandığı 'özel' IP adreslerini (RFC 1918 ile tanımlı 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 blokları), internette geçerli olan tek bir 'genel' IP adresine çevirir. Böylece çok sayıda iç cihaz, dışarıya tek bir kimlikle çıkar. NASIL ÇALIŞIR? 1) İç ağdaki bir cihaz (ör. 192.168.1.20) dışarıdaki bir sunucuya paket gönderir. Paketin kaynak adresi kendi özel IP'sidir. 2) Paket NAT yapan cihaza (genelde yönlendirici/güvenlik duvarı) ulaşır. NAT, paketin kaynak adresini kendi genel IP'siyle (ör. 88.x.x.x) değiştirir. 3) NAT cihazı bu değişimi bir 'çeviri tablosunda' (translation table) tutar: hangi iç IP+port'un hangi genel IP+port'a karşılık geldiğini kaydeder. PAT (Port Address Translation) yönteminde birden çok iç cihaz, farklı port numaralarıyla ayırt edilerek aynı genel IP'yi paylaşır. 4) Dış sunucu cevabı genel IP'ye geri gönderir. NAT cihazı tablosuna bakar, cevabı doğru iç cihaza (192.168.1.20) yönlendirir ve hedef adresi tekrar özel IP olarak yazar. NEDEN ÖNEMLİ / İŞ YERİNDE • IPv4 adres tasarrufu: Sınırlı sayıdaki genel IPv4 adresinin tükenmesini geciktiren temel mekanizmadır; binlerce iç cihaz tek genel adresle internete çıkabilir. • Topoloji gizleme (savunma derinliği): Dışarıdan bakan biri yalnızca genel IP'yi görür; iç ağ yapısı ve cihaz adresleri gizlenir. Bu, saldırganın doğrudan iç cihazı hedeflemesini zorlaştırır. • Varsayılan içeri-engelleme: 'İçeriden başlatılmayan' bağlantıların çeviri tablosunda karşılığı yoktur; bu yüzden dışarıdan gelen istenmeyen bağlantılar varsayılan olarak düşer. DİKKAT / İYİ UYGULAMA • NAT bir güvenlik duvarı DEĞİLDİR. Adresi gizlemek ve içeri-bağlantıyı zorlaştırmak bir yan faydadır; gerçek erişim denetimi için ayrı bir firewall/kural seti şarttır. NAT'a güvenlik kontrolü gibi bel bağlamak yaygın bir hatadır. • Port yönlendirme (port forwarding) ile dışarıdan belirli bir servise (ör. web sunucusu) erişim açılabilir; bu kuralları minimumda tutun (en az yetki). • IPv6 ile bol adres geldiği için NAT'ın 'adres tasarrufu' gerekçesi zayıflar; ancak gizleme/sınır denetimi rolü için NAT66 yerine düzgün firewall politikaları tercih edilir.

📌 Senaryolar
📌 Örnek 1: Bir ofiste 50 bilgisayar var ama internet servis sağlayıcısı yalnızca tek bir genel IP adresi tahsis etmiş. Açıklama: Yönlendirici PAT (NAT'ın port tabanlı biçimi) kullanır. 50 cihazın her bağlantısı, genel IP üzerinde farklı bir kaynak port numarasına eşlenir. Dış sunuculara hepsi aynı genel IP'den çıkmış gibi görünür; dönen cevaplar port-IP çeviri tablosu sayesinde doğru cihaza ulaştırılır. Tek genel adresle 50 cihaz sorunsuz internete erişir.
📌 Örnek 2: Şirketin DMZ bölgesindeki bir web sunucusuna (iç adres 192.168.10.5) internetten erişilmesi isteniyor. Açıklama: Yönetici, genel IP'nin 443 (HTTPS) portuna gelen trafiği iç sunucunun 192.168.10.5:443 adresine yönlendiren bir 'port forwarding' (statik NAT/DNAT) kuralı tanımlar. Ziyaretçiler genel adrese bağlanır, NAT bunu iç sunucuya çevirir. Diğer iç cihazlar dışarıya kapalı kalırken yalnızca bu tek servis denetimli biçimde yayınlanmış olur.
📌 Örnek 3: Bir güvenlik denetiminde, 'NAT kullandığımız için ek bir güvenlik duvarına gerek yok' iddiası ortaya atılıyor. Açıklama: Bu hatalı bir varsayımdır. NAT topolojiyi gizler ve istek dışı içeri-bağlantıları zorlaştırır ama uygulama katmanı saldırılarını (oltalama, zararlı yazılım indirme, içeriden başlatılan zararlı bağlantılar) ve içeri açılan port-yönlendirme kurallarını denetlemez. Denetçi, NAT'a ek olarak durum-bilgili (stateful) bir güvenlik duvarı ve erişim kuralları kurulmasını önerir.
Özet

• NAT, paketin IP adresini yönlendirici üzerinde yeniden yazarak özel adresleri tek genel adres arkasında gizler. • PAT (port tabanlı NAT) port numaralarıyla ayırt ederek birçok cihazın tek genel IP'yi paylaşmasını sağlar. • Faydaları: IPv4 adres tasarrufu, iç ağ topolojisinin gizlenmesi, istenmeyen içeri-bağlantıların varsayılan engellenmesi. • NAT bir güvenlik duvarı yerine geçmez; gerçek erişim denetimi için ayrı bir firewall şarttır.

✅ Mini-Test (3)
1.NAT'ın en yaygın kullanım amacı aşağıdakilerden hangisidir?
2.Birden çok iç cihazın aynı genel IP adresini farklı port numaralarıyla ayırt edilerek paylaşmasını sağlayan NAT türü hangisidir?
3.NAT kullanmak, ayrı bir güvenlik duvarına olan ihtiyacı tamamen ortadan kaldırır.
← Tüm sözlük terimleri · Farkındalık eğitimi