📖 Rehber BungeeCord Güvenliği: Backend Koruma ve BungeeGuard Kurulumu

BungeeCord/Velocity Güvenliği: Backend'i Koruma Rehberi

BungeeCord veya Velocity tabanlı bir Minecraft ağı kurduğunuzda güvenlik, kurulumdaki en kritik adımlardan biridir. Yanlış yapılandırılmış bir proxy ağında saldırganlar, doğrudan backend sunuculara bağlanarak herhangi bir oyuncunun kimliğine bürünebilir — adminler dahil. Bu rehberde proxy ağının nasıl güvenli hale getirileceğini katman katman anlatıyorum.

Temel Tehdit: Backend'e Doğrudan Bağlantı

BungeeCord mimarisinde backend sunucular online-mode=false ile çalışır. Bu, Mojang kimlik doğrulaması yapılmadan bağlantı kabul edildiği anlamına gelir. Eğer backend portları internete açıksa, bir saldırgan herhangi bir kullanıcı adıyla — admin dahil — bağlanabilir:

# Saldırgan, backend'e doğrudan bağlanır
/connect sunucu_ip:25567 --username=AdminHesabi

Bu, tüm sunucunuzu birkaç dakikada tehlikeye atar.

Katman 1: Güvenlik Duvarı ile Port Kilitleme

En temel ve mutlaka yapılması gereken adım: backend portlarını yalnızca proxy sunucusuna açmak.

Tüm sunucular aynı VPS üzerindeyse:

# Backend portlarını dışarıya tamamen kapat
sudo ufw deny 25566/tcp
sudo ufw deny 25567/tcp
sudo ufw deny 25568/tcp

# Yalnızca localhost erişimine izin ver
sudo ufw allow from 127.0.0.1 to any port 25566

Farklı VPS'lerdeyse:

# Yalnızca proxy IP'sinden erişime izin ver
sudo ufw allow from PROXY_IP to any port 25567
sudo ufw deny 25567/tcp

Bu tek adım, saldırıların büyük çoğunluğunu engeller.

Katman 2: Velocity Modern Forwarding

Velocity kullanıyorsanız player-info-forwarding-mode = "modern" ayarını ve backend'de forwarding secret'ı mutlaka etkinleştirin. Modern forwarding, şifreli HMAC token'larıyla oyuncu bilgisini doğrular; token olmadan bağlantılar reddedilir.

Bu koruma yalnızca güvenilir bir kaynak (Velocity) aracılığıyla gelen bağlantılara izin verir; diğer tüm bağlantı girişimleri hata mesajıyla sonlanır.

Katman 3: BungeeGuard (BungeeCord için)

BungeeCord kullanıyorsanız BungeeGuard pluginini kullanın. Velocity'nin modern forwarding'ine benzer bir koruma sağlar.

Kurulum:

• BungeeGuard'ı BungeeCord plugins klasörüne kopyalayın
  
• BungeeGuard'ı her backend sunucunun plugins klasörüne de kopyalayın
  
• BungeeCord'da plugins/BungeeGuard/config.yml açın ve token oluşturun
  
• Backend sunucuların BungeeGuard config dosyasına aynı token'ı girin
  
• Tüm sunucuları yeniden başlatın
  

# BungeeGuard config.yml
token: "guclu-ve-rastgele-bir-token-buraya-en-az-32-karakter"

Token rastgele, uzun (32+ karakter) bir string olmalıdır. Şifre oluşturucuyla rastgele değer üretin.

Katman 4: IPWhitelist

Backend'e yalnızca belirli IP'lerden bağlantıya izin veren IPWhitelist plugini, güvenlik duvarı korumasının ek bir yazılım katmanıdır. Güvenlik duvarı atlanırsa bu katman devreye girer.

DDoS Koruması

Proxy sunucu doğrudan internete açık olduğundan DDoS saldırılarına en çok maruz kalan noktadır:

• OVH Shield, Path.net veya TCPShield gibi Minecraft'a özel DDoS koruma hizmetleri kullanın
  
• TCPShield, trafiği kendi ağından geçirerek DDoS'u filtreler; gerçek IP'nizi gizler
  
• Proxy IP'si sızdırılırsa TCPShield arkasında bile doğrudan saldırı gelebilir; IP'yi gizli tutun
  

Güvenlik Kontrol Listesi

• Backend portları güvenlik duvarıyla kilitlendi mi?
  
• Velocity modern forwarding VEYA BungeeGuard aktif mi?
  
• Proxy sunucu DDoS korumasına sahip mi?
  
• Backend sunucularda online-mode=false, proxy'de online-mode=true mi?
  
• Forwarding secret güçlü ve gizli mi?
  
• Backend sunucuların IP'si kamuya açık kaynaklarda görünmüyor mu?
  

Sonuç

Proxy ağı güvenliği birkaç katmandan oluşur: güvenlik duvarı, forwarding doğrulama ve DDoS koruması. Bu katmanların hepsini uygulamak, profesyonel bir Minecraft ağı için zorunludur. Güvenliği ihmal eden sunucular çok kısa sürede ciddi saldırılara maruz kalır.