Censys’te Organizasyon Sınırı: ASN ve Netblock ile Doğru Yerden Başlamak

yazar

Önceki yazılarda sorgu mantığını, savunma bakışıyla dork örneklerini ve sertifika üzerinden görünür olan isimleri konuşmuştuk. Bu bölümde aynı çizgiyi ölçek tarafına taşıyorum: Tek bir domain ile uğraşmak yerine, internette kurumunuzu hangi ağ parçasının temsil ettiğine odaklanmak.

Kısaca: Censys’te “biz kimiz?” sorusunun cevabı bazen DNS’ten çok yönlendirme tablosunda saklıdır.

1. Neden domain yetmiyor?

Domain tabanlı arama öğrenmek kolaydır ve çoğu zaman işe yarar. Ama kurumsal gerçeklik şöyledir:

  • Birden fazla marka / alt şirket aynı altyapıyı paylaşabilir.
  • Eski sistemler farklı domain desenleriyle yaşar.
  • Bazı servisler doğrudan IP üzerinden konuşur; kullanıcı yüzü DNS’te görünmez.
  • CDN ve barındırma paylaşımı, “bu IP bize mi ait?” sorusunu kirletir.

Savunma ekibi için hedef net olmalı: Yetkim olan adres alanını (netblock) ve o alanın internetteki kimliğini (ASN) doğru tanımlamak. Geri kalanı filtre ve doğrulama işi.

2. ASN ve netblock: kavramları yanlış romantize etmeyelim

ASN (Autonomous System Number) kabaca “bizim trafiğimiz için yönlendirme politikasının toplu etiketi” gibidir. Netblock ise o sistemin içinde konuşlandırdığınız IP aralığıdır.

Censys tarafında güç şurada: IP üzerinde gördüğünüz servisleri, “rastgele internet” yerine kendi topolojinizin parçası mı diye okuyabilmek için önce sınırı netleştirmek.

Burada yapmaya çalıştığım şey teknik bir dokümantasyon dersi değil; envanterle arama motorunu aynı dile getirmek.

3. Sorgu kurarken: önce sınır, sonra servis

Serinin başında söylediğim kural burada daha da kritik hale geliyor: Önce gürültüyü kes.

Pratik akış:

  1. İç kaynaklardan (IPAM, bulut paneli, eski Excel, ağ ekibi notu — gerçek hayat budur) netblock ve mümkünse ASN’i çıkarın.
  2. Censys’te o sınıra göre dar bir ilk pas atın.
  3. Sonuçlar hâlâ dağınıksa servis türü veya port ile ikinci daraltmayı yapın.
  4. “Şüpheli” satırlar için aynı kaydı DNS, sertifika ve iç envanter ile üç köşeli doğrulayın.

Bu döngüyü atlarsanız, Censys sizi “her şey açık” paniğine sokar. Oysa savunmada panik değil, önceliklendirme üretmek istersiniz.

4. Paylaşımlı altyapı: en sık tuzak

Bir IP adresi üzerinde başka organizasyonlara ait virtual host’lar görmek mümkündür. Bu, platformun hatası değil; internetin çalışma biçimi.

Savunmacı okuma:

  • Aynı IP’de “bizim domain” ile aynı anda “bizde olmayan” bir isim görürseniz, ilk refleks suçlama değil“bu IP gerçekten bize mi exclusive?” sorusu olmalıdır.
  • CDN ve reverse proxy senaryolarında “IP bize ait” ≠ “o IP üzerindeki tüm hostlar bize ait” ayrımını içselleştirin.

Bu yüzden ASN/netblock yaklaşımı “sihirli filtre” değil; doğru ölçekte başlayıp yine de doğrulama yapmak demektir.

5. Çıktıları rapora çevirmek: tek cümlelik disiplin

Bulgu yazarken şu kalıbı seviyorum:

Hangi adres alanında, hangi servisin, hangi kanıtla, hangi iş etkisine karşılık geldiği.

Örnek yapı (iç dokümana):

  • Kapsam: netblock X / ASN Y
  • Gözlem: ör. belirli portta beklenmedik ürün imzası
  • Kanıt: Censys’te görülen banner / sertifika alanı (kısa alıntı)
  • Doğrulama: iç DNS veya sahiplenen ekip
  • Öncelik: prod mu, legacy mi, müşteri verisi var mı

Bu disiplin, Censys’i “merak aracı” olmaktan çıkarıp operasyon aracı yapar.

6. Etik ve yetki (kısa ama net)

Kendi organizasyonunuz veya üzerinde çalışma yetkisi olduğu sınırlar içinde bu yaklaşım rutindir. Başkasının altyapısında “geniş keşif” yapmak ile sözleşme kapsamındaki müşteri varlığı arasında hukuki ve etik fark vardır. Yazı serisinin çizgisini bilerek tekrar ediyorum: amacımız saldırı senaryosu üretmek değil; görünürlüğü düzeltmek.

7. Küçük ödev

Bu yazıyı kapatmadan önce, kendi sınırınızda şunu deneyin:

  1. En az bir netblock ve mümkünse bir ASN yazın (kağıda bile olur).
  2. Censys’te bu sınır için tek sayfayı geçmeyecek kadar dar bir pas tanımlayın.
  3. Listeden 5 kayıt seçin ve her biri için: “Beklenen servis mi, sahipsiz mi, paylaşımlı mı?” diye etiketleyin.

Üç etiketten biri bile şaşırtıcıysa, kazanç zaten başlamıştır: harita güncellenmiştir.

Özet: Domain ile başlamak öğrenmek için iyidir; kurumsal savunmada ise doğru ölçek genellikle netblock ve ASN’dir. Censys’i bu sınırla beslediğinizde liste küçülmez diye korkmayın; liste anlamlı hale gelir.

Bir sonraki yazıda, bu sınırı tanımladıktan sonra çıkan sonuçlarda banner ve servis imzası okuma ile gürültüyü nasıl daha da kırdığımızı anlatmayı planlıyorum — yine savunma masasında işe yarayan dilde.

Yorum yapın