MikroTik Cihaz Modu: Güvenlik ve Operasyon Rehberi
Özet
Cihaz modu, RouterOS’un riskli alt sistemler için “özellik kapısı”dır. Bu rehber nasıl çalıştığını, neden var olduğunu, versiyonlar arası değişiklikleri ve otomasyon ile MKController adaptasyonunu nasıl sorunsuz tutacağınızı açıklar.
MikroTik Cihaz Modu: Güvenlik ve Operasyon Rehberi
Cihaz-modu nedir (ve ne değildir)
MikroTik RouterOS geçmişte kim doğruladıysa güvenilir kabul edilirdi. Bu yaklaşım artık geçerli değil.
Cihaz modu, kim giriş yaparsa yapsın işletim sisteminin neler yapabileceğine karar veren kalıcı bir güvenlik durumudur. Kullanıcı izinlerinin “altında” yer alır. Yani tam yönetici bile cihaz modu politikası izin vermedikçe yüksek riskli araçları açamaz.
Cihaz modu, Güvenli Moddan farklıdır. Güvenli Mod, değişiklik yaparken kilitlenmeyi önler. Cihaz modu ise yeniden başlatma ve güncellemeler sonrası devam eden uzun süreli bir yetki politikasını ifade eder.
MikroTik neden cihaz modunu getirdi
Kısaca: Saldırganlar kenar yönlendiricileri internet ölçeğinde silaha çevirmeyi öğrendi.
Bunun en önemli tetikleyicisi, Mēris botnet dönemiydi. Ele geçirilen yönlendiriciler, ağ mühendislerine özgü ama ele geçirilince ölçeklenince yıkıcı olan özellikler kötüye kullanılarak trafik üreticisi ve röle olarak kullanıldı.
Sıkça kötüye kullanılan özellikler:
- SOCKS proxy: saldırı trafiği tünellemek için kullanıldı.
- Bandwidth-test: trafik şiddetlendirme için suistimal edildi.
- Scheduler + fetch: kalıcılık ve kötü amaçlı içerik iletimi için araçlar.
Cihaz modu, platform seviyesinde asgari ayrıcalık ilkesini dayatır. “Uzaktan ele geçirme”yi kârsız hale getirir. Kimlik bilgileri çalınabilir ama en riskli anahtarlar fiziksel doğrulama olmadan açılamaz.
Fiziksel onay el sıkışması
Tanımlayıcı kural fiziksel erişim doğrulamasıdır.
Kısıtlı bir özelliği nodan yese geçirmek isterseniz, RouterOS isteği kabul eder ama beklemede bırakır. Çoğunlukla butona basma veya soğuk yeniden başlatma (güç döngüsü) ile yerelden onaylamanız gerekir, bu süre ayarlanabilir.
Bu nedenle güvenlik sınırı yalnızca şifreniz değildir; şifreniz ve kutuya dokunabilen biri olduğuna dair kanıttır.
İpucu: Cihaz modu değişikliklerini “değişiklik kontrolü” gibi ele alın. Eğer cihaz uzaktaysa, gereken güç döngüsünü nasıl yapacağınızı planlayın (akıllı PDU, yönetilen PoE, yerinde müdahale).
Cihaz modunun güvenlik yığını içindeki yeri
Pratik bir zihinsel model:
- Kullanıcı grupları: “Bu kullanıcı neye tıklayıp yazabilir.”
- Firewall: “Hangi trafik servisleri erişebilir.”
- Cihaz modu: “İşletim sisteminin neyi çalıştırmasına izin verilir.”
Yani hayır, cihaz modu firewall’ı değiştirmez. Başka bir şey ters gittiğinde son savunma hattıdır.
Modlar, bayraklar ve gerçek hayatta engellenenler
Cihaz modu /system/device-mode altında yapılandırılır. İçeride, alt sistemleri kontrol eden boolean bayraklardır.
Gerçek operasyonlarda sık karşılaşılan bayrak örnekleri:
fetch:/tool/fetchve buna bağlı otomasyonları engeller.scheduler:/system/schedulerve zamanlanmış betikleri engeller.socks: SOCKS proxy açmayı engeller.bandwidth-testvetraffic-gen: BTest ve trafik üretim araçlarını engeller.container: RouterOS konteynerlerini açıkça etkinleştirilmediği sürece engeller.partitionsverouterboard: düşük seviye depolama ve açılış ayarlarını engeller.install-any-version/allowed-versions: eski açıklarını geri getiren sürüm düşürmeyi sınırlar.
RouterOS versiyonuna bağlı olarak, MikroTik önceden tanımlanmış modlar getirmiştir (örneğin home, basic, advanced ve belirli donanım sınıfları için rose). İsimler değil, davranış önemlidir. Yeni cihaz varsayılanta daha kısıtlayıcı bir modla gelir ve buna uygun planlama gerekir.
Teknik Evrim ve Sürüm Notları Analizi
Cihaz modunun gelişimi doğrusal olmayıp konteyner bazlı kontrollere başlayıp sistem geneline yayılan bir güvenlik çerçevesi haline gelmiştir.
Aşama 1: Konteyner Güvenliği (RouterOS v7.4beta - v7.12)
Cihaz modunun ilk ortaya çıkışı RouterOS v7.4beta’da konteyner (Docker uyumlu ortamlar) desteği ile bağlantılıdır. MikroTik üçüncü taraf ikili dosya çalıştırmanın RouterOS için yüksek risk taşıdığını gördü. Böylece konteyner paketi /system/device-mode/update container=yes ile etkinleştirme ve buton onayıyla kullanıldı. Bu dönemde cihaz modu daha çok “konteyner güvenlik anahtarı” olarak algılandı.
Aşama 2: Güvenlik Temeli (v7.13 ve v6.49.8)
Uzun vadeli destek için MikroTik, cihaz modunun bazı özelliklerini v6 serisine 6.49.8 sürümünde geriye taşıdı ve allowed-versions özelliğini v7.13.1 sürümünde getirdi. Allowed-versions (örneğin 7.13+, 6.49.8+) daha eski güvenlik yamalarından önceki sürümlere düşürmeyi engeller. Bu, Chimay-Red (CVE-2017-20149) gibi açıkların kullanıldığı “geri alma saldırılarını” engellemeye yarar.
Aşama 3: Versiyon 7.17 Devrimi
2025 başında çıkan 7.17 sürümü bu yapının en genişletilmiş halidir. Donanım seviyesine ve ortam beklentisine göre cihazları kategorize eden önceden tanımlı “modlar” kavramını getirdi.
| Mod Adı | Donanım Seviyesi | Güvenlik Tutumu | Temel Kısıtlamalar (Varsayılan) |
|---|---|---|---|
| Advanced | CCR, 1100, Üst Düzey | İzin Verici | container, traffic-gen, install-any-version |
| Home | hAP, cAP, SOHO | Katı | scheduler, fetch, socks, bandwidth-test, sniffer |
| Basic | Standart RB, Switch’ler | Dengeli | socks, bandwidth-test, proxy, zerotier |
| Rose | RDS, Outdoor Wireless | Özel Kullanım | Advanced ile aynı, container=yes¹ |
¹ v7.17’ye geçerken “enterprise” modu “advanced” olarak adlandırıldı.1 Var olan sistemlerde MikroTik, yükseltilen cihazları donanım profiline en uygun modda bırakmaya çalıştı.1 Ancak bu trafik-gen (/tool flood-ping için) ve repartition gibi özelliklerin “advanced” modda bile devre dışı kalmasına yol açtı.10
Aşama 4: Otomasyon ve İyileştirme (v7.19 - v7.22)
Son RouterOS dalı, fiziksel erişim gereksiniminin neden olduğu “otomasyon çıkmazını” çözmeke odaklandı. 7.19.4 sürümü, RDS cihazlarda fabrika konteyner kurulumunu destekleyen rose modunu getirdi.1
7.22rc3 sürümü (Şubat 2026) büyük ölçekli tedarik için dönüm noktası oldu. Cihaz modunun Netinstall ve FlashFig ile “mod betiği” aracılığıyla yapılandırılmasına izin verdi.16 Bu sayede ISP’ler, fiziksel buton basma gereksinimini binlerce cihazda aşarak ilk görüntü flaşında güvenlik durumunu belirleyebilir.17 Ayrıca 7.22rc3, toplulukta SSH anahtarlarıyla uzaktan mod değişikliği spekülasyonlarına yol açan authorized-public-key-hash özelliğini kaldırdı.16
“Flagged” durumu ve deneme sayacı
Cihaz modu sadece statik bayraklar değildir.
RouterOS, sistem dosyası değiştirme veya kalıcılığa yönelik şüpheli betik davranışı gibi durumları algıladığında cihazı flagged olarak işaretleyebilir. Flagged durumunda daha katı bir güvenli mod uygulanabilir, kısıtlı araçlar devre dışı bırakılır.
Ayrıca cihaz-modu değişiklikleri için başarısız deneme sayacı vardır. Fiziksel onay olmadan sürekli değişiklik denenirse, sayaç fiziksel yeniden başlatmaya kadar güncellemeleri kilitleyebilir.
Operasyonel anlamda; beklenmeyen deneme sayıları görünce önce inceleyin. Sadece “çalışması için” daha fazla özellik açmayın.
Tedarik zorluğu: otomasyon çıkmazı
ISP’ler ve büyük filolar sıfır dokunuşlu tedarik sever. Cihaz modu bunu zorlaştırabilir.
Klasik çıkmaz:
- Yönlendirici kısıtlayıcı modda başlar.
- İlk açılış betiği config veya sertifika indirmek için
/tool/fetchister. - Fetch cihaz modu tarafından engellenir.
- Başlangıç başarısız olur, uzaktan düzeltmek mümkün olmaz.
Bazı ekipler her cihazı kutudan çıkarıp elle açıp tekrar kutular. Bu ölçeklenemez.
Yeni tedarik akışları cihaz modunun imaging sırasında ayarlanmasına izin veriyor (örneğin Netinstall/FlashFig “mod betikleri”). Yük yönetiyorsanız bu süreci planlayın.
Uyarı: Standart
/system/reset-configurationbirçok modelde cihaz modunu sıfırlamayabilir. “Sıfırla = fabrika” varsayıyorsanız sürprizlere hazır olun.
Gerekli bir özelliği güvenle açmak (CLI örneği)
Kilitli bir özelliği açarken öngörülebilir prosedür izleyin.
- Mevcut durumu kontrol edin
/system/device-mode/print- Değişikliği zaman aşımı ile isteyin
/system/device-mode/update fetch=yes activation-timeout=10m- Fiziksel onayı gerçekleştirin
- Mod/Sıfırla butonuna bir kez basın (model bağlı olarak), ya da
- Cihazı güç döngüsünden geçirin (soğuk yeniden başlatma).
- Doğrulayın
/system/device-mode/printSüre aşılırsa, RouterOS bekleyen değişikliği iptal eder ve eski politikayı korur.
Risk tabanlı açma: hızlı karar matrisi
| Özellik | Tipik meşru ihtiyaç | Ana risk | Daha güvenli yaklaşım |
|---|---|---|---|
fetch | konfigürasyon çekme, sertifika yenileme | uzaktan kötü amaçlı içerik iletimi | sadece bilinen HTTPS uç noktalarına izin ver; çıkışı kısıtla |
scheduler | yedekleme ve bakım işleri | kalıcılık | betikleri minimal tut; beklenmeyen işleri izle |
socks | dahili tünelleme | botnet rölesi | yalnızca yönetim VLAN’ına bağla; firewall ile kısıtla |
traffic-gen / bandwidth-test | hat testleri | DoS/gürültü artırımı | sadece bakım penceresinde aç |
container | router’da servis çalıştırma | uzun süreli kalıcılık | özel sunucular tercih et; depolama ve firewall’u sertleştir |
MKController adaptasyonu üzerindeki etkisi (Cihaz Modu kapalı)
MKController, öngörülebilir yönetim erişimine bağımlıdır. Cihaz modu adaptasyon sırasında “görünmez el freni” olabilir.
Cihaz modu gerekli eylemi engellerse (örneğin hizmet açmak, betik çalıştırmak, kuruluma ait araç izni), adaptasyon takılır. Belirtiler genellikle “cihaz erişilebilir ama görevler başarısız” şeklindedir.
Bu yüzden sorun giderme rehberi Device-Mode disabled maddesini özellikle vurgular: cihaz modu gerekli yetenekleri engelliyorsa, cihaz MKController’da tam olarak yönetilmeden önce planlı fiziksel onay gerekir. Detay: https://mkcontroller.com/docs/management/troubleshooting/troubleshooting/#4-device-mode-disabled
Pratik öneri: Ölçekli dağıtımlarda staging kontrol listesine cihaz modu politikası ekleyin. Hangi bayrakların izinli olacağını belirleyin. Fiziksel onayın nasıl yapılacağını belgeleyin. Bu destek işlerini azaltır.
MKController’ın avantajı: Cihaz adopt edildikten sonra MKController, envanter, erişim yönetimi ve operasyon görünürlüğünü merkezileştirerek tekrar eden girişleri ve manuel kontrolleri azaltır. Böylece cihaz moduna sadece gerçek ve gerekçeli ihtiyaç olduğunda müdahale edilir.
Standartlaştırabileceğiniz yükseltme sonrası kontrol listesi
RouterOS yükseltmelerinden sonra veya yeni donanım aldığınızda kullanın:
- Mevcut modun politika ile uyumunu doğrulayın.
- Bağlı olduğunuz araçları valid edin (
fetch,schedulerkullanılabilirliği vs.). - Mevzuatlı ortamda iseniz allowed versions politikasını kontrol edin.
- Anormallik için attempt-count ve
flaggeddurumunu inceleyin. - Fiziksel onay gerektiren site ve süreçleri belgeleyin.
Cihaz modu için resmi temel dokümanlar MikroTik’te mevcuttur: https://help.mikrotik.com/docs/spaces/ROS/pages/93749258/Device-mode
MKController Hakkında
Umarız yukarıdaki bilgiler MikroTik ve İnternet evreninizde yol gösterebilir! 🚀
İster konfigürasyonları ince ayarlıyor olun ister ağ kaosunu düzenlemeye çalışıyor olun, MKController hayatınızı kolaylaştırmak için burada.
Merkezi bulut yönetimi, otomatik güvenlik güncellemeleri ve herkesin kullanabileceği bir gösterge paneliyle operasyonunuzu yükseltmek için ihtiyacınız olan her şeye sahibiz.
👉 Ücretsiz 3 günlük denemenizi hemen başlatın: mkcontroller.com — ve zahmetsiz ağ kontrolünün ne demek olduğunu görün.