CDN arkasındaki gerçek sunucu IP’sini gizlemek için DNS, firewall, e-posta ve sunucu erişim ayarlarında dikkat edilmesi gereken pratik adımları öğrenin.
CDN kullanmak yalnızca sayfa hızını artırmak için değil, gerçek sunucu IP adresini doğrudan internete göstermemek için de önemlidir. Ancak CDN’i aktif etmek tek başına yeterli değildir. DNS kayıtları, e-posta yapılandırması, eski alt alan adları ve sunucu güvenlik duvarı doğru ayarlanmadığında saldırganlar origin IP bilgisini kolayca tespit edebilir. Bu nedenle süreç, CDN panelinde bir alan adı eklemekten daha kapsamlı ele alınmalıdır.
Bir web sitesinin gerçek IP adresi görünür durumdaysa, trafik CDN üzerinden geçse bile doğrudan sunucuya istek gönderilebilir. Bu durum DDoS saldırıları, kaba kuvvet denemeleri, zafiyet taramaları ve kaynak tüketimi açısından risk oluşturur. Özellikle kurumsal sitelerde, e-ticaret projelerinde ve yoğun trafik alan yayınlarda origin IP’nin korunması süreklilik açısından kritik bir gereksinimdir.
CDN katmanı; önbellekleme, SSL sonlandırma, bot filtreleme ve WAF gibi güvenlik avantajları sağlar. Fakat gerçek IP dışarı sızarsa bu katman kısmen devre dışı bırakılmış olur. Sağlam bir hosting altyapısı seçmek kadar, bu altyapıya doğrudan erişimi sınırlandırmak da önemlidir.
En sık yapılan hata, ana alan adı CDN arkasındayken bazı alt alan adlarının doğrudan sunucu IP’sine yönlendirilmesidir. Örneğin ftp, mail, cpanel, webmail, dev veya test gibi kayıtlar yanlışlıkla A kaydı olarak origin IP’yi gösterebilir.
IPv6 kayıtları da unutulmamalıdır. Pek çok ekip IPv4 adresini gizlerken AAAA kaydında gerçek sunucuyu açık bırakır. Bu küçük ayrıntı, tüm koruma planını boşa çıkarabilir.
Origin IP’yi gizlemenin en etkili adımlarından biri, web sunucusuna sadece CDN sağlayıcısının IP aralıklarından gelen trafiğe izin vermektir. Böylece gerçek IP bir şekilde öğrenilse bile 80 ve 443 portlarına doğrudan erişim engellenir.
Bu işlem yapılırken CDN sağlayıcısının güncel IP listesi dikkate alınmalıdır. IP aralıkları zamanla değişebileceği için yapılandırmanın düzenli kontrol edilmesi gerekir. Aksi halde meşru ziyaretçiler CDN üzerinden gelirken bağlantı sorunları yaşayabilir.
Paylaşımlı hosting kullanıyorsanız bu kuralları doğrudan yönetemeyebilirsiniz. Bu durumda sağlayıcınızdan CDN uyumlu güvenlik duvarı desteği talep etmek veya yönetilebilir VPS/bulut sunucu seçeneklerini değerlendirmek daha doğru olabilir.
Web sitesi ile e-posta hizmeti aynı sunucuda barındırılıyorsa, MX kayıtları veya mail alt alan adları gerçek IP’yi açığa çıkarabilir. Bu nedenle web trafiği CDN arkasına alınırken e-posta altyapısı ayrıca planlanmalıdır.
Kurumsal kullanımda e-posta için ayrı bir servis tercih etmek genellikle daha güvenlidir. Böylece web sunucusunun IP adresi, mail başlıkları veya DNS kayıtları üzerinden kolayca ilişkilendirilemez. SPF, DKIM ve DMARC kayıtları da bu ayrımı destekleyecek şekilde düzenlenmelidir.
Gerçek IP daha önce internette yayınlandıysa, bazı üçüncü taraf veritabanlarında geçmiş DNS kayıtları bulunabilir. Mevcut kayıtları düzeltmek şarttır; ancak geçmişte sızmış IP’nin tamamen görünmez hale gelmesi her zaman mümkün değildir. Bu nedenle en güvenli yaklaşım, gerekirse origin sunucunun IP adresini değiştirmek ve yeni IP’yi baştan doğru kurallarla korumaktır.
IP değişikliği yaparken SSL sertifikası, CDN bağlantısı, lisanslı yazılımlar, API izin listeleri ve ödeme sistemleri gibi IP’ye bağlı çalışan entegrasyonlar kontrol edilmelidir. Plansız değişiklik, kısa süreli erişim kesintilerine neden olabilir.
CDN arkasında çalışırken ziyaretçi IP’si çoğu zaman CDN IP’si olarak görünebilir. Log analizi, güvenlik eklentileri ve oran sınırlama kuralları için gerçek istemci IP’sinin doğru başlıktan okunması gerekir. Aksi halde tüm kullanıcılar tek bir IP’den geliyormuş gibi algılanabilir.
Ayrıca uygulama içinde doğrudan origin IP’ye yönlenen medya, dosya veya API adresleri bulunmamalıdır. WordPress sitelerinde tema ayarları, eski görsel URL’leri, özel CDN eklentileri ve sabit yazılmış bağlantılar düzenli olarak kontrol edilmelidir.
Bu hatalar genellikle kurulumun hızlı tamamlanmak istenmesinden kaynaklanır. Oysa doğru yapılandırılmış bir CDN mimarisi, performans kadar güvenlik ve operasyonel süreklilik sağlar. Alan adı kayıtları, firewall politikaları ve sunucu erişim kuralları birlikte ele alındığında gerçek IP’nin açığa çıkma ihtimali belirgin şekilde azalır. Özellikle kritik projelerde hosting seçimi yapılırken CDN uyumluluğu, IP değiştirme esnekliği, güvenlik duvarı yönetimi ve teknik destek kalitesi aynı anda değerlendirilmelidir.