İç Ağ Sızma Testi (Internal Penetration Test)
Nisan 9, 2026
Siber güvenlik stratejileri genellikle dış dünyadan gelen saldırıları engellemeye odaklanan “kale duvarı” mantığı üzerine kuruludur. Ancak günümüzde siber saldırganlar, sadece dışarıdan sızmakla kalmayıp; çalınmış kimlik bilgileri, sosyal mühendislik, zararlı yazılımlar veya kötü niyetli iç tehditler (insider threats) aracılığıyla doğrudan kurumun kalbine, yani iç ağına ulaşabilmektedir.
İç Ağ Sızma Testi (Internal Penetration Test), bir saldırganın kurumun yerel ağına (LAN/WLAN) bir şekilde erişim sağladığı varsayımı (Assume Breach) üzerine kurgulanan en kritik denetim mekanizmasıdır. 2026 yılı itibarıyla, “Sıfır Güven” (Zero Trust) mimarilerinin yükselişine rağmen, birçok kurumun iç ağı hala bir kez girildiğinde her yere erişilebilen “yumuşak bir karın” niteliğindedir. Bu makale, iç ağ sızma testinin teknik aşamalarını, metodolojisini ve kurumsal veri güvenliği üzerindeki hayati önemini analiz etmektedir.
Konunun Temel Açıklaması
İç ağ sızma testi, kurumun dış savunma hatlarının (Firewall, WAF, IPS) bir şekilde aşıldığı veya bir saldırganın fiziksel/mantıksal olarak ağın içine dahil olduğu senaryoyu simüle eder. Dış ağ testleri “kaleye girmeyi” hedeflerken, iç ağ testleri “kale içindeki kritik hazinelere, yani verilere ulaşmayı” hedefler.
Bu testin temel amacı; ağ segmentasyonunun başarısını, Active Directory yapılandırmasındaki hataları, yetki yükseltme (Privilege Escalation) imkanlarını ve ağ içindeki yatay hareket (Lateral Movement) potansiyelini ortaya çıkarmaktır. Kurumsal perspektifte bu test, sadece teknik bir kontrol değil; bir fidye yazılımının (Ransomware) tüm şirketi ne kadar sürede felç edebileceğini gösteren bir risk analizidir.
İç Ağ Sızma Testi Nasıl Yapılır? (Teknik Aşamalar)
Profesyonel bir iç ağ pentest operasyonu, rastgele saldırılar yerine doğrusal ve disiplinli bir metodoloji izler:
1. Keşif ve Pasif Dinleme (Reconnaissance)
Saldırgan (veya test uzmanı) ağa dahil olduğu an, ortamı gürültü çıkarmadan tanımaya başlar.
Ağ Trafiği Analizi: Wireshark veya TCPDump gibi araçlarla ağ trafiği dinlenerek (Sniffing), şifrelenmemiş protokoller (HTTP, FTP, Telnet) ve hassas veriler aranır.
LLMNR ve NBT-NS Zehirleme: Ağdaki isim çözümleme istekleri Responder gibi araçlarla yakalanarak kullanıcı parolalarının özetleri (hashes) ele geçirilmeye çalışılır.
2. Aktif Tarama ve Zafiyet Analizi
Keşfedilen sistemlerdeki açık kapılar ve servisler belirlenir.
Servis Keşfi: Nmap kullanılarak ağdaki tüm IP blokları taranır; açık portlar ve çalışan servis versiyonları haritalandırılır.
Zafiyet Taraması: Nessus veya OpenVAS gibi araçlarla, sistemlerdeki yama eksiklikleri (örneğin hala kapatılmamış EternalBlue veya PrintNightmare açıkları) tespit edilir.
3. Yetki Yükseltme (Privilege Escalation)
Saldırganın ağdaki düşük yetkili bir kullanıcı hesabından, sistemin “Tanrısı” sayılan Domain Admin yetkisine ulaşma sürecidir.
Yerel Yetki Yükseltme: Hatalı servis izinleri, kernel açıkları veya unutulmuş yapılandırma dosyaları kullanılarak “SYSTEM” yetkisi alınır.
Active Directory Saldırıları: Kerberoasting veya AS-REP Roasting gibi tekniklerle servis hesaplarının şifreleri çevrimdışı (offline) kırılmaya çalışılır.
4. Yatayda Hareket (Lateral Movement)
Bir sistemden diğerine, genellikle kritik sunuculara (Dosya Sunucuları, Veritabanları) geçiş yapma sürecidir.
Pass-the-Hash (PtH): Saldırgan, kullanıcının açık parolasını bilmese bile ele geçirdiği NTLM hash bilgisini kullanarak ağdaki diğer sunucularda oturum açabilir.
Bilet Çalma (Pass-the-Ticket): Kerberos biletleri çalınarak ağ içinde kimlik doğrulaması aşılır.
5. Veri Sızdırma ve Kalıcılık (Exfiltration & Persistence)
Kritik Veri Erişimi: İnsan kaynakları dosyaları, finansal tablolar veya kaynak kodlar gibi “hazine” niteliğindeki verilere yetkisiz erişim simüle edilir.
Arka Kapılar (Backdoors): Saldırganın sistemden atılsa bile tekrar nasıl içeri sızabileceğini gösteren yöntemler test edilir.
Riskler ve Kurumsal Etkileri
İç ağdaki zafiyetler, kurumlar için dış ağdan gelen saldırılardan çok daha yıkıcı etkiler yaratır:
Ransomware Felaketi: İç ağda serbestçe hareket edebilen bir fidye yazılımı, tüm dijital altyapıyı saatler içinde şifreleyerek iş sürekliliğini bitirebilir.
KVKK ve Veri İhlali: Müşteri veritabanına içeriden erişilmesi, kurumun teknik tedbir yükümlülüğünü (KVKK Madde 12) ihlal ettiğinin kanıtıdır.
İç Tehditlerin Boyutu: Kötü niyetli bir çalışanın verebileceği maddi ve manevi zararın sınırı yoktur.
Önleme ve Güvenlik Önlemleri
İç ağ sızma testi raporundan elde edilen bulgularla kurumun “Siber Bağışıklığı” şu adımlarla güçlendirilmelidir:
Ağ Segmentasyonu (VLAN): Ağın farklı bölümlere ayrılması, saldırganın yanal hareketini fiziksel olarak zorlaştırır.
Ayrıcalıklı Hesap Yönetimi (PAM): Domain Admin yetkilerinin kullanımı sınırlandırılmalı ve sadece güvenli “Admin Workstation”lar kullanılmalıdır.
EDR ve Log İzleme (SIEM): Ağ içindeki anormal hareketleri (gece yarısı yapılan toplu dosya transferleri vb.) anlık tespit eden sistemler kurulmalıdır.
En Az Yetki İlkesi (Least Privilege): Her kullanıcıya sadece işini yapabileceği kadar, minimum yetki tanımlanmalıdır.