100+ Kurumsal Müşteri
15+ Yıl Deneyim
7/24 Destek
Sertifikalı Uzmanlar
Güçlü İş Ortakları
Blog / Sızma Testleri

Network Penetrasyon Testi: Kapsamlı Güvenlik Denetimi Rehberi

📅 9 Haziran 2026 ✏️ Güncelleme: 9 Haziran 2026 👤 İnvekor Siber Güvenlik Ekibi ⏱️ Okuma süresi: 13 dk
Network Penetrasyon Testi: Kapsamlı Güvenlik Denetimi Rehberi
⚡ HIZLI ÖZET

Network penetrasyon testi, bir kurumun ağ altyapısının gerçek bir saldırgan gözüyle sistematik olarak test edildiği, güvenlik açıklarının tespit ve istismar edildiği kapsamlı bir siber güvenlik denetimidir. Yönlendiriciler, anahtarlar, güvenlik duvarları, kablosuz ağlar ve sunucu sistemlerinin tümü kontrollü bir saldırı senaryosu altında değerlendirilir.

Türkiye'de 2026 itibarıyla finansal kurumlar için zorunlu hale gelen testler, ortalama 7-14 gün sürer ve OWASP, PTES, NIST gibi uluslararası metodolojilere uygun yürütülür. Deneyimlerimizde kurumların %73'ünde kritik ağ seviyesi açıklar tespit edilmektedir.

📑 Bu Rehberde Neler Var?

  1. Network Penetrasyon Testi Nedir?
  2. Network Pentest Metodolojisi ve Aşamaları
  3. İç Ağ ve Dış Ağ Pentest Farkları
  4. Kullanılan Araçlar ve Teknikler
  5. Yasal ve Etik Çerçeve
  6. Ne Sıklıkla Yapılmalı ve Maliyeti Nedir?
  7. Test Sonrası Yapılması Gerekenler
  8. Sıkça Sorulan Sorular
Geçtiğimiz yıl danışmanlık verdiğimiz bir üretim şirketinde yaşanan olay hâlâ akıllarda: Saldırganlar VLAN yapılandırmasındaki tek bir hatadan yararlanarak yönetim ağına sızdı ve tüm üretim hattını 48 saat durdurdu. Maliyet? 2.3 milyon TL'nin üzerinde. Network penetrasyon testi tam da bu tür senaryolara karşı erken uyarı sisteminizdir. Sahada 15 yıldır yüzlerce ağ altyapısını test ederken gördük ki, en savunmalı görünen ortamlarda bile kritik güvenlik açıkları gizleniyor. Peki network pentest tam olarak nedir ve kuruluşunuz neden buna ihtiyaç duyar?

Network Penetrasyon Testi Nedir?

Network Penetrasyon Testi, bir organizasyonun ağ altyapısının (switch, router, firewall, IPS/IDS, kablosuz ağlar, sunucular) gerçek bir siber saldırgan bakış açısıyla test edildiği, güvenlik zafiyetlerinin tespit ve kontrollü şekilde istismar edildiği metodolojik bir süreçtir.

Klasik bir güvenlik taramasından farkı, yalnızca zafiyet listelemekle kalmayıp bu açıkları gerçekten kullanarak ağ içinde ne kadar ilerlenebileceğini göstermesidir. Müşterilerimizde en sık karşılaştığımız yanlış algı şu: "Güvenlik duvarımız var, güvendeyiz." Oysa test ettiğimiz kurumların %68'inde güvenlik duvarı arkasındaki iç ağ segmentlerinde kritik zafiyetler buluyoruz. Çünkü saldırganlar çoğu zaman çevre savunmalarını değil, yanlış yapılandırılmış bir VLAN, zayıf şifreli yönetim arayüzü veya güncel olmayan ağ cihazını hedef alır.

Modern network pentest üç ana katmanı kapsar: fiziksel ağ erişimi (ofise giriş, kabloya erişim), kablosuz ağ güvenliği (Wi-Fi şifreleme, rogue AP tespiti) ve uygulama/servis katmanı (açık portlar, servis zafiyetleri). Her katman farklı teknikler ve araçlarla test edilir. Daha detaylı bilgi için sızma testleri hizmetlerimize göz atabilirsiniz.

Network Pentest Metodolojisi ve Aşamaları

Başarılı bir network penetrasyon testi rastgele tarama yapmaktan çok daha fazlasıdır. 15 yıllık deneyimimizde PTES (Penetration Testing Execution Standard) ve OWASP Testing Guide metodolojilerini temel alarak geliştirdiğimiz süreç, beş ana aşamadan oluşur.

  1. Keşif ve Bilgi Toplama Pasif ve aktif yöntemlerle hedef ağın haritası çıkarılır. DNS kayıtları, IP blokları, dış servisler, e-posta sunucuları tespit edilir. Gerçek projelerde bu aşama tek başına 1-2 gün sürebilir.
  2. Tarama ve Zafiyet Analizi Nmap, Nessus, OpenVAS gibi araçlarla ağ içindeki tüm cihazlar, açık portlar ve çalışan servisler belirlenir. Hangi işletim sistemleri kullanılıyor, hangi yamalar eksik, hangi protokoller zayıf?
  3. İstismar (Exploitation) Tespit edilen zafiyetler Metasploit, custom exploit'lar ve manuel tekniklerle kontrollü şekilde istismar edilir. Amaç sisteme erişim sağlamak ve lateral movement (yanal hareket) olasılığını kanıtlamak.
  4. Post-Exploitation İlk erişim sonrası ne kadar derine inilebilir? Yetki yükseltme, kalıcılık kurma, hassas veri erişimi, domain admin hesaplarına ulaşma senaryoları test edilir. Sahada gördüğümüz kritik bulgular genelde bu aşamada ortaya çıkar.
  5. Raporlama ve Düzeltme Önerileri Tüm bulgular teknik detay, risk seviyesi, kanıt ekran görüntüleri ve somut düzeltme adımlarıyla raporlanır. Yönetici özeti CEO/CTO'ya, teknik detaylar IT ekibine sunulur.

Her aşamada yasal sınırları ve test kapsamını korumak kritiktir. Müşterilerimize SIEM ve log yönetimi hizmetlerimizle test sırasındaki tüm aktivitelerin izlenebilir olduğunu da gösteriyoruz.

İç Ağ ve Dış Ağ Pentest Farkları

Network penetrasyon testleri temel olarak iki perspektiften yürütülür: dış ağ (external) ve iç ağ (internal). Dış ağ testi, internetin dışından bir saldırganın bakış açısını simüle eder. Güvenlik duvarı, VPN gateway, dışarıya açık web sunucuları ve e-posta sistemleri hedef alınır. Genelde daha kısıtlı erişim ve sınırlı saldırı yüzeyi vardır.

ÖzellikDış Ağ Pentestİç Ağ Pentest
Başlangıç Noktasıİnternet (uzak saldırgan)Şirket ağı içi (kötü niyetli çalışan/USB/phishing)
Erişim SeviyesiSınırlı (yalnızca dışarıya açık servisler)Geniş (tüm iç sistemler görünür)
Ana HedeflerFirewall bypass, VPN zafiyeti, DMZ sunucularıDomain Controller, file server, VLAN atlaması, kritik veritabanları
Tipik Süre5-7 gün7-14 gün
Risk SeviyesiOrta-YüksekYüksek-Kritik

Deneyimlerimizde iç ağ testleri çok daha fazla kritik bulgu üretir. Çünkü şirketler çoğunlukla dış savunmalarına yatırım yapar ama iç ağı "güvenli alan" olarak varsayar. Oysa gerçek saldırılar (ransomware, APT) çoğunlukla içeriden başlar: bir phishing e-postası, USB bellek veya tedarikçi ağından sıçrama. Bu yüzden her iki test türünü de yıllık güvenlik programınıza dahil etmenizi öneririz. Ayrıntılı bilgi için zafiyet yönetimi sayfamızı inceleyebilirsiniz.

Kullanılan Araçlar ve Teknikler

Profesyonel network pentest, açık kaynak ve ticari araçların birleşimiyle yürütülür. Her araç farklı bir amaca hizmet eder ve deneyimli bir test uzmanı hangisini ne zaman kullanacağını bilir. Sahada en sık başvurduğumuz araçlar şunlardır:

  • Nmap: Ağ tarama ve port keşfi için altın standart. Script engine (NSE) ile zafiyet tespiti de yapılır.
  • Metasploit Framework: Binlerce exploit modülü içeren, post-exploitation ve pivoting için vazgeçilmez platform.
  • Burp Suite / OWASP ZAP: Web uygulamaları ve API'lere yönelik testlerde kullanılır.
  • Wireshark / tcpdump: Ağ trafiği analizi, şifresiz veri yakalama, protokol inceleme.
  • Nessus / OpenVAS: Otomatik zafiyet tarayıcıları; geniş ağlarda hızlı tarama için kullanılır.
  • Responder / Impacket: Windows ağlarında LLMNR/NBT-NS poisoning ve SMB saldırıları için özel araçlar.
  • Aircrack-ng: Kablosuz ağ güvenlik testleri (WPA/WPA2 kırma, evil twin saldırıları).

Ancak araçlar tek başına yeterli değil. Müşterilerimizle paylaştığımız en önemli bilgi şu: Gerçek bir test uzmanı, araçların çıktılarını yorumlayabilen, false positive ayıklayabilen ve manuel tekniklerle derinlemesine inceleme yapabilen kişidir. Örneğin bir Nessus taraması 300 zafiyet raporlayabilir ama bunların %40'ı yanlış pozitif olabilir. İşte asıl değer, bu bulguları doğrulamak ve iş etkisini belirlemekte yatar. Güvenlik danışmanlığı hizmetlerimizle ekiplerinizi bu konuda eğitiyoruz.

Yasal ve Etik Çerçeve

⚠️ Yasal Sorumluluk ve İzinler

Network penetrasyon testi, yazılı izin olmadan yapıldığında Türk Ceza Kanunu 243-244. maddeleri (bilişim sistemlerine girme, verileri engelleme) kapsamında suç teşkil eder. Test öncesi mutlaka detaylı bir SoW (Statement of Work) ve NDA imzalanmalı, test kapsamı, IP aralıkları, izin verilen/yasaklanan teknikler açıkça belirtilmelidir.

Sahada karşılaştığımız en yaygın sorun, test kapsamının net olmamasıdır. Örneğin müşteri "tüm ağımızı test edin" der ama bir bulut hizmeti veya üçüncü taraf tedarikçi sistemi test kapsamına dahil edilmeden başlarız, sonra yasal sorun çıkar. Bu yüzden bizim yaklaşımımız her zaman şöyledir: Test öncesi kapsamlı bir scoping toplantısı yapılır, IP/domain listesi onaylanır, test saatleri ve iletişim protokolü belirlenir.

Ayrıca etik pentest kurallarına uyum şarttır: Müşteri verisini asla dışarı çıkarmamak, test sonrası tüm erişim izlerini temizlemek, bulguları yalnızca yetkili kişilerle paylaşmak. Uluslararası sertifikalar (OSCP, CEH, GPEN) ve ISO 27001 belgeli süreçlerimiz, bu standartlara uyduğumuzu teyit eder. Daha fazla bilgi için ISO 27001 danışmanlığı hizmetlerimizi inceleyebilirsiniz.

Ne Sıklıkla Yapılmalı ve Maliyeti Nedir?

Yılda 2×Önerilen minimum test sıklığıPCI-DSS & ISO 27001
7-14 günOrtalama test süresiinvekor.com.tr proje verileri
50-200K TLKurumsal ağ pentest bütçe aralığıTürkiye 2026 pazar ortalaması
%73İlk testte kritik bulgu oranıinvekor.com.tr 2025-26 rapor

Network pentest sıklığı, sektör ve regülasyon gereksinimlerine bağlıdır. Finansal kuruluşlar için PCI-DSS ve BDDK yönetmelikleri yılda en az iki kez test zorunlu tutar. Diğer sektörlerde yılda bir kapsamlı test + büyük değişiklik sonrası (yeni veri merkezi, bulut migrasyonu, birleşme) ek test yapmak mantıklıdır.

Maliyet, ağın büyüklüğü (cihaz/IP sayısı), test kapsamı (iç+dış, kablosuz dahil mi?) ve test süresiyle belirlenir. Küçük-orta ölçekli işletmeler 35-75K TL, büyük kurumsal ağlar 100-250K TL bütçe ayırmalıdır. Deneyimlerimizde şunu gördük: İlk testte tespit edilen kritik zafiyetleri kapatıp ikinci testte yeniden kontrol eden firmalar, uzun vadede siber sigorta primlerinde %20-30 indirim elde edebiliyor. Test bir maliyet değil, potansiyel ihlal maliyetine karşı sigortadır. Siber güvenlik yol haritası hizmetimizle bütçenizi optimize edebilirsiniz.

Test Sonrası Yapılması Gerekenler

💡 Pentest Sonrası İyileştirme Döngüsü

Test raporu geldiğinde iş bitmez, asıl iş başlar. Bulguları önceliklendirin (CVSS skoruna göre), düzeltme planı yapın, yamaları uygulayın ve mutlaka re-test (doğrulama testi) yaptırın. Aksi halde bulgular raporun tozlu rafına gömülür.

Sahada en büyük sorunlardan biri, test raporlarının IT ekibine iletilip unutulmasıdır. Başarılı bir düzeltme süreci şu adımları içermelidir: 1) Yönetim sunumu ve risk değerlendirme toplantısı (C-level katılımı şart), 2) Kritik bulguların 7-14 gün içinde, yüksek seviye bulguların 30 gün içinde kapatılması, 3) Orta ve düşük bulguların üç aylık roadmap'e alınması, 4) Düzeltmelerin bağımsız re-test ile doğrulanması.

Ayrıca test süreci boyunca öğrenilen dersleri kurum kültürüne işlemek önemli. Örneğin test sırasında weak password bulgusu çıktıysa, siber güvenlik farkındalık eğitimleriyle tüm çalışanlara güçlü parola politikası anlatılmalı. Network segmentasyon eksikliği bulunduysa, mimari gözden geçirme ve VLAN tasarımı projesi başlatılmalı. Pentest sadece zafiyet listesi değil, stratejik iyileştirme fırsatıdır.

Sıkça Sorulan Sorular (SSS)

Network penetrasyon testi ne kadar sürer?

Orta ölçekli bir kurumsal ağ için 7-14 gün sürer. Büyük, çok lokasyonlu ağlarda 3-4 haftaya çıkabilir.

Pentest sırasında iş sürekliliği etkilenir mi?

Profesyonel testler kontrollü yapılır ve iş süreçlerini aksatmaz. Ancak kritik sistemler için bakım penceresi planlanabilir.

Hangi sektörlerde zorunludur?

Finansal kuruluşlar (BDDK), ödeme sistemleri (PCI-DSS), kamu kurumları (Cumhurbaşkanlığı Genelgesi 2019/12) için düzenli pentest zorunludur.

İç ağ testi dış ağ testinden neden daha önemlidir?

Çünkü saldırganlar genelde içeriden başlar (phishing, USB). İç ağda lateral movement ve kritik veri erişimi riski çok daha yüksektir.

Test raporu hangi standartlara uygun olmalı?

PTES, OWASP, NIST SP 800-115 gibi uluslararası metodolojilere uygun, CVSS skorlamalı, kanıtlarla desteklenmiş raporlar tercih edilmelidir.

Sonuç: Network Güvenliğinizi Saldırgan Gözüyle Test Edin

Network penetrasyon testi, kuruluşunuzun ağ altyapısını gerçek dünya tehditlerine karşı ölçmenin en etkili yoludur. Güvenlik duvarı ve antivirüs yeterli değil; zayıf yapılandırmalar, unutulmuş servisler, yamalanmamış sistemler her gün fidye yazılımı ve veri ihlallerine kapı açıyor. 15 yıllık deneyimimizde şunu net gördük: Proaktif test yapan, bulguları hızla kapatan ve sürekli iyileştirme döngüsü kuran firmalar, siber saldırılara en hazırlıklı olanlardır.

Kendi ağınızın güvenlik durumunu merak ediyorsanız, invekor.com.tr olarak size özel kapsamlı bir network penetrasyon testi planlayabiliriz. Metodolojimiz uluslararası standartlara uygun, ekibimiz sertifikalı ve deneyimli, raporlarımız somut adımlarla dolu. Hemen sızma testleri sayfamızdan detaylı bilgi alın veya bizimle iletişime geçerek ücretsiz ön değerlendirme talep edin. Ağınızı test etmeden önce saldırganlar test etmesin.

Sisteminizin Güvenliğini Şansa Bırakmayın

Detaylı bir analiz ve özel teklif için uzmanlarımızla iletişime geçin. 24 saat içinde size dönüş yapalım.

Bu Rehber Hakkında: Bu içerik İnvekor Bilgi Teknolojileri uzmanları tarafından hazırlanmıştır. Ekibimiz uluslararası metodolojilere uygun kurumsal IT ve siber güvenlik hizmetleri sunar. İçerik en son 9 Haziran 2026 tarihinde güncellenmiştir.