Cloudflare Origin IP Gizleme: Gerçek Güvenlik Yöntemleri

Cloudflare origin IP gizleme konusu, birçok sistem yöneticisinin “yaptım oldu” dediği ama production’da en çok açık bırakılan güvenlik noktalarından biridir.

Cloudflare kullanıyor olmak tek başına origin IP’nin gizlendiği anlamına gelmez. Yanlış yapılandırılmış sistemlerde origin IP hâlâ farklı kanallardan ortaya çıkabilir ve saldırganlar doğrudan sunucuya erişebilir.

Bu yazıda Cloudflare origin IP gizleme sürecini gerçek production senaryoları üzerinden anlatıyorum.

---

Cloudflare Origin IP Gizleme Nedir?

Cloudflare origin IP gizleme, sunucunun gerçek IP adresini dış dünyadan saklayarak tüm trafiği Cloudflare üzerinden yönlendirme işlemidir.

Amaç şudur:

• Origin sunucuyu doğrudan erişime kapatmak
• DDoS ve brute-force saldırılarını azaltmak
• Gerçek IP sızıntısını engellemek

---

En Büyük Hata: Sadece DNS Üzerinden Güvenlik Sağlamak

Birçok sistemde Cloudflare aktif edildiğinde sadece DNS yönlendirmesi yapılır ve güvenliğin tamamlandığı düşünülür.

Gerçekte ise:

Origin sunucu firewall ile kilitlenmediyse Cloudflare hiçbir şey korumaz.

Saldırgan şu yöntemlerle origin IP bulabilir:

• Eski DNS kayıtları
• Mail server (MX record)
• Subdomain sızıntıları
• Direkt IP taraması
• Log / header sızıntıları

---

Origin IP Sızıntısının En Yaygın Sebebi: Firewall Eksikliği

Origin sunucu sadece Cloudflare IP’lerine açık olmalıdır.

Örnek doğru yaklaşım:

ufw default deny incoming
ufw allow from 173.245.48.0/20 to any port 443

Bu yapı olmadan Cloudflare kullanmak sadece “maskedir”.

---

Cloudflare Known Bots Yanılgısı

Cloudflare’de cf.client.bot kullanımı önemli bir güvenlik katmanıdır ama tek başına yeterli değildir.

Çünkü:

• Tüm botlar anında doğrulanmaz
• Bazı Googlebot IP’leri gecikmeli tanınır
• Saldırganlar spoof denemesi yapabilir

Bu yüzden güvenlik tek katmana bırakılmamalıdır.

---

Gerçek Güvenlik: ASN + Firewall Kombinasyonu

Production ortamlarında en stabil çözüm:

• Cloudflare proxy aktif
• Origin firewall sadece Cloudflare IP’lerine açık
• Google botları ASN ile doğrulanıyor (AS15169)

Bu yapı sayesinde:

• Origin IP direkt erişime kapanır
• Bot spoofing engellenir
• Search Console sorunları oluşmaz

---

Origin IP Gizleme Yeterli Değil, Süreklilik Gerektirir

Cloudflare origin IP gizleme bir “kur ve unut” sistemi değildir.

Düzenli olarak kontrol edilmesi gereken noktalar:

• Yeni subdomain sızıntıları
• DNS geçmişi
• Mail server routing
• Açık port taramaları
• WAF bypass denemeleri

---

Monitoring Olmadan Güvenlik Eksik Kalır

Birçok saldırı sistem yöneticisi fark etmeden başlar.

Bu yüzden log tarafı kritik:

• Cloudflare firewall logs
• Origin access logs
• Failed request pattern’leri
• Direct IP hit denemeleri

---

Sonuç

Cloudflare origin IP gizleme doğru yapılmadığında sistem sadece “gizlenmiş gibi” görünür.

Gerçek güvenlik için:

• Firewall zorunlu
• DNS sızıntıları kontrol edilmeli
• Bot doğrulama katmanı eklenmeli
• Monitoring aktif olmalı

Unutulmaması gereken en önemli nokta şudur:

Cloudflare bir güvenlik duvarı değil, bir güvenlik katmanıdır.

Doğru kullanılmadığında hiçbir şey korumaz.