YoY (Year-over-Year) nedir?

YoY (Year-over-Year), yıl bazında karşılaştırma metriğidir. Geçen yılın aynı dönemine göre yüzdelik değişim oranını gösterir. Örneğin bu yıl Ocak ayı satışları geçen yıl Ocak ayına göre %15 YoY büyüme gösterdi demek, %15 artış olduğu anlamına gelir.

k/M/B kısaltmaları ne anlama gelir?

k/M/B sayı kısaltmalarıdır: k=bin (1k=1.000), M=milyon (1M=1.000.000), B=milyar (1B=1.000.000.000). Örnekler: 100k = 100.000 TL, 1.5M = 1.500.000 TL, 2.3B = 2.300.000.000 TL

MAPE (Mean Absolute Percentage Error), ortalama mutlak yüzde hata anlamına gelir. Tahmin doğruluk metriği olarak kullanılır ve modelin ne kadar doğru tahmin yaptığını ölçer.

ROI (Return on Investment) nedir?

ROI (Return on Investment), yatırım getirisi anlamına gelir. Yapılan yatırımdan elde edilen kazancın yatırım maliyetine oranıdır. ROI = (Kazanç - Yatırım Maliyeti) / Yatırım Maliyeti × 100 formülü ile hesaplanır.

EBITDA (Earnings Before Interest, Taxes, Depreciation, and Amortization), faiz, vergi, amortisman öncesi kazanç anlamına gelir. Şirketin operasyonel karlılığını gösteren finansal metriktir.

MRR (Monthly Recurring Revenue) nedir?

MRR (Monthly Recurring Revenue), aylık tekrarlayan gelir anlamına gelir. Abonelik bazlı işletmelerde öngörülebilir aylık geliri ifade eder.

CAC (Customer Acquisition Cost) nedir?

CAC (Customer Acquisition Cost), müşteri edinme maliyeti anlamına gelir. Yeni bir müşteri kazanmak için harcanan ortalama maliyettir.

Churn Rate (Müşteri Kaybı Oranı), belirli dönemde kaybedilen müşteri yüzdesidir. Müşteri sadakati ve iş sürekliliği göstergesi olarak kullanılır.

SIEM sistemi neden gereklidir?

SIEM sistemi, günümüzün karmaşık siber tehdit ortamında kuruluşların güvenlik durumlarını merkezi olarak izlemelerini sağlar. Binlerce farklı sistemden gelen logları korelasyon yaparak anlamlı güvenlik uyarılarına dönüştürür ve tehditleri erken tespit ederek büyük güvenlik ihlallerini önler.

SIEM kurulumu ne kadar sürer?

SIEM kurulumu kuruluşun büyüklüğüne göre 2-12 ay arasında değişir. Küçük kuruluşlarda temel kurulum 2-4 hafta, orta ölçekli şirketlerde 2-4 ay, büyük enterprise ortamlarda ise 6-12 ay sürebilir.

Cloud SIEM vs On-Premise SIEM hangisi daha iyi?

Cloud SIEM daha hızlı deployment, düşük başlangıç maliyeti ve otomatik ölçeklendirme avantajları sunar. On-Premise SIEM ise daha fazla kontrol, veri egemenliği ve customization imkanı sağlar. Hibrit yaklaşım çoğu kuruluş için optimal çözümdür.

SIEM için minimum teknik gereksinimler nelerdir?

Küçük-orta ölçekli SIEM için minimum 16GB RAM, 8 CPU core, 500GB storage gerekir. Büyük ortamlarda ise 64GB+ RAM, 16+ CPU core ve TB'larca storage kapasitesi gerekebilir.

SIEM false positive oranını nasıl azaltabilirim?

False positive azaltmak için düzenli tuning, whitelist kullanımı, korelasyon kurallarının optimizasyonu ve machine learning tabanlı analizler gerekir. Başlangıçta %30-50 olan false positive oranı, iyi tuning ile %5-10'a kadar düşürülebilir.

Hangi log kaynaklarını SIEM'e entegre etmeliyim?

Öncelik sırasına göre: Firewall, Domain Controller, Email Security, Web Proxy, Antivirus, IDS/IPS, VPN, Database sunucuları, kritik uygulamalar ve network cihazları entegre edilmelidir.

SIEM için SOC ekibi zorunlu mudur?

SIEM'in etkili olması için mutlaka analiz edecek ve müdahale edecek uzman ekip gerekir. Kendi SOC ekibiniz yoksa Managed SIEM hizmeti alabilir veya güvenlik konsültanlarından destek alabilirsiniz.

SIEM ROI'si nasıl hesaplanır?

SIEM ROI hesaplanırken önlenen güvenlik ihlali maliyetleri, uyumluluk ihlal cezalarından kaçınma, operasyonel verimlilik artışı ve sigorta prim indirimleri dikkate alınır. Ortalama 18-24 ayda kendini amorti eder.

NovatekCloud nedir ve ne tür hizmetler sunuyorsunuz?

NovatekCloud, 23+ yıllık deneyime sahip Novatek Bilgisayar Sistemleri'nin kurumsal düzeyde yönetilen bulut hizmetleri markasıdır. Sanal sunucu, yedekleme ve felaket kurtarma, siber güvenlik, uç nokta güvenliği, log yönetimi, e-posta altyapısı ve KVKK & ISO27001 danışmanlığı gibi geniş kapsamlı IT çözümleri sunuyoruz.

KVKK ve ISO27001 uyumluluğu neden önemlidir?

KVKK (Kişisel Verilerin Korunması Kanunu), Türkiye'de kişisel verilerin işlenmesi ve korunmasını düzenleyen yasadır. ISO27001 ise uluslararası bilgi güvenliği yönetim standardıdır. Her iki uyumluluk da yasal yükümlülükleri karşılamanız, müşteri güveni kazanmanız ve veri güvenliği risklerini minimize etmeniz için kritik öneme sahiptir.

Teknik destek nasıl çalışıyor? 7/24 destek var mı?

Evet! Tüm müşterilerimize 7/24 kesintisiz teknik destek ve sistem izleme hizmeti sunuyoruz. Acil durumlarda anında müdahale ediyoruz. Destek ekibimize telefon, e-posta veya web üzerinden ulaşabilirsiniz. Uzman ekibimiz Türkçe ve İngilizce dillerinde hizmet vermektedir.

Sanal sunucu hizmetleriniz nelerdir ve nasıl ölçeklenir?

NovatekCloud sanal sunucu hizmetleri, ihtiyaçlarınıza göre esnek ve ölçeklenebilir bulut altyapısı sunar. Windows ve Linux tabanlı sunucular, yüksek performanslı donanım, otomatik yedekleme, güvenlik duvarı ve DDoS koruması ile birlikte gelir. İşletmeniz büyüdükçe CPU, RAM ve depolama kapasitesini anında artırabilirsiniz.

Ücretsiz sistem denetimi nasıl alınır ve ne kadar sürer?

Web sitemizden ücretsiz sistem denetimi formunu doldurarak başvurabilirsiniz (sadece 2 dakika sürer). Uzmanlarımız 24 saat içinde sizinle iletişime geçerek IT altyapınızı uzaktan güvenli bir şekilde analiz eder. Denetim süreci 3-5 iş günü sürer ve tamamen ücretsizdir.

Verilerimizin güvenliği nasıl sağlanıyor?

Verilerinizin güvenliği en büyük önceliğimizdir. TIER III sertifikalı veri merkezlerinde barındırılan altyapımız, ISO27001 standartlarına uygun güvenlik protokolleri ile korunur. Çok katmanlı güvenlik duvarı, DDoS koruması, şifreli veri transferi (SSL/TLS), günlük yedekleme, uç nokta güvenliği ve 7/24 güvenlik izleme sistemleri kullanırız.

Fiyatlandırma nasıl çalışıyor? Sözleşme süreleri nedir?

Fiyatlandırmamız esnek ve şeffaftır. İhtiyacınıza göre özelleştirilebilir paketler sunuyoruz: Basic (küçük işletmeler), Professional (orta ölçekli şirketler) ve Corporate (büyük kurumlar). Aylık veya yıllık ödeme seçenekleri mevcuttur (yıllık ödemelerde %20 indirim).

Mevcut sistemimizi NovatekCloud'a nasıl taşıyabiliriz?

Mevcut IT altyapınızı NovatekCloud'a taşıma süreci tamamen uzman ekibimiz tarafından yönetilir ve kesintisiz gerçekleşir. Önce mevcut sistemlerinizi analiz eder, migration planı hazırlarız. Ardından verilerinizi güvenli bir şekilde aktarır, test eder ve canlıya alırız. Tüm süreç boyunca 7/24 destek sağlarız.

MFA (Multi-Factor Authentication - Çok Faktörlü Kimlik Doğrulama), kullanıcı hesaplarını korumak için şifre ile birlikte en az bir ek doğrulama yöntemi gerektiren güvenlik sistemidir. SMS kodu, authenticator uygulaması veya biyometrik veriler gibi ikinci bir faktör kullanarak hesap güvenliğini önemli ölçüde artırır.

MFA Nasıl Çalışır?

MFA şu adımlarla çalışır: 1) Kullanıcı normal şifresini girer, 2) Sistem ikinci bir doğrulama ister (örneğin SMS kodu), 3) Kullanıcı ikinci faktörü sağlar, 4) Her iki doğrulama başarılı olursa giriş yapılır.

MFA'nın Üç Faktörü Nelerdir?

MFA'nın üç faktörü: 1) Bildiğiniz bir şey (şifre, PIN kodu), 2) Sahip olduğunuz bir şey (telefon, güvenlik anahtarı, token), 3) Olduğunuz bir şey (parmak izi, yüz tanıma, retina taraması).

Neden MFA Kullanmalıyız?

MFA kullanmak, hesap güvenliğinizi %99.9 oranında artırır. Şifreniz çalınsa bile, ikinci faktör olmadan hesabınıza erişilemez. Özellikle e-posta, banka ve sosyal medya hesapları için kritik öneme sahiptir.

MFA Örnekleri Nelerdir?

Yaygın MFA örnekleri: Google Authenticator ile giriş, bankacılık uygulamalarında SMS onayı, iPhone'da Face ID + şifre kombinasyonu, Windows Hello ile yüz tanıma sistemi.

KVKK (Kişisel Verilerin Korunması Kanunu), Türkiye'de kişisel verilerin işlenmesi ve korunmasına ilişkin temel hak ve özgürlükleri düzenleyen kanundur. 7 Nisan 2016 tarihinde yürürlüğe giren KVKK, AB'nin GDPR mevzuatına benzer şekilde kişisel veri güvenliğini sağlar.

KVKK'ya Kimler Tabidir?

KVKK, Türkiye'de faaliyet gösteren tüm gerçek ve tüzel kişileri kapsar. Şirketler, dernekler, vakıflar, kamu kurumları ve kişisel veri işleyen tüm kuruluşlar KVKK'ya tabidir.

KVKK Cezaları Nelerdir?

KVKK ihlalleri için idari para cezaları: 5.000 TL ile 1.000.000 TL arasında değişir. Ağır ihlaller durumunda veri işleme faaliyetinin durdurulması ve verilerin imhası istenebilir.

KVKK Uyumluluğu Nasıl Sağlanır?

KVKK uyumluluğu için: Veri envanteri oluşturun, aydınlatma metinlerini hazırlayın, teknik ve idari tedbirleri alın, veri güvenlik politikalarını oluşturun, personeli eğitin ve düzenli denetimler yapın.

ISO27001, organizasyonların bilgi güvenliği yönetim sistemlerini (ISMS) kurmak, uygulamak, sürdürmek ve sürekli iyileştirmek için uluslararası standarttır. Bilgi varlıklarının gizlilik, bütünlük ve erişilebilirlik özelliklerini korumayı amaçlar.

ISO27001 Sertifikası Nasıl Alınır?

ISO27001 sertifikası almak için: Risk değerlendirmesi yapın, ISMS politikası oluşturun, kontrolleri uygulayın, personeli eğitin, iç denetim gerçekleştirin ve akredite edilmiş bir kuruluş tarafından belgelendirme denetimi yaptırın.

ISO27001'in Faydaları Nelerdir?

ISO27001 faydaları: Bilgi güvenliği risklerini azaltır, müşteri güvenini artırır, rekabet avantajı sağlar, yasal uyumluluğu destekler, operasyonel verimliliği artırır ve iş sürekliligini güvence altına alır.

Siber Güvenlik Nedir?

Siber güvenlik, bilgi sistemlerini, ağları ve dijital varlıkları siber tehditlere karşı koruyan teknoloji, süreç ve politikaların bütünüdür. Veri hırsızlığı, ransomware, phishing gibi saldırılardan korunmayı sağlar.

Siber Güvenlik Türleri Nelerdir?

Ana siber güvenlik türleri: Ağ güvenliği, uygulama güvenliği, endpoint güvenliği, veri güvenliği, kimlik ve erişim yönetimi, bulut güvenliği ve operasyonel güvenlik olarak sıralanır.

En Yaygın Siber Tehditler Nelerdir?

Yaygın siber tehditler: Ransomware saldırıları, phishing e-postaları, malware, DDoS saldırıları, sosyal mühendislik, insider threats ve sıfır gün açıkları şeklinde sıralanabilir.

Şirketler Siber Güvenliği Nasıl Sağlar?

Kurumsal siber güvenlik için: Güvenlik duvarı kurun, antivirus yazılımları kullanın, düzenli güvenlik güncellemeleri yapın, personeli eğitin, yedekleme stratejisi oluşturun ve incident response planı hazırlayın.

Bulut Güvenliği Nedir?

Bulut güvenliği, bulut bilişim ortamlarında veri, uygulama ve altyapıyı koruyan güvenlik önlemlerinin tamamıdır. Paylaşımlı sorumluk modelinde hem bulut sağlayıcısı hem de müşteri güvenlikten sorumludur.

Bulut Güvenliği Nasıl Sağlanır?

Bulut güvenliği için: Şifreleme kullanın, erişim kontrolleri uygulayın, düzenli güvenlik denetimleri yapın, backup stratejisi oluşturun, güvenlik izleme araçları kurun ve uyumluluk gereksinimlerini karşılayın.

Veeam, sanal ve fiziksel ortamlar için yedekleme, kurtarma ve veri yönetimi çözümleri sunan lider yazılım firmasıdır. VMware, Hyper-V, AWS, Azure gibi platformlarda veri koruması sağlar.

Veeam'ın Avantajları Nelerdir?

Veeam avantajları: Hızlı yedekleme ve kurtarma, düşük RPO/RTO değerleri, kolay yönetim arayüzü, VMware entegrasyonu, ransomware koruması ve hibrit bulut desteği sunar.

SIEM (Security Information and Event Management), ağ cihazları, sunucular, uygulamalar ve güvenlik sistemlerinden gelen güvenlik verilerini gerçek zamanlı olarak toplayan, analiz eden ve korelasyon yapan güvenlik yönetim sistemidir. Siber tehditleri erken tespit etmek ve güvenlik olaylarına hızla müdahale etmek için kullanılır.

SIEM Nasıl Çalışır?

SIEM sistemi şu adımlarla çalışır: 1) Veri Toplama - Tüm IT sistemlerinden log verilerini toplar, 2) Normalizasyon - Farklı formattaki verileri standartlaştırır, 3) Korelasyon - Veriler arasında ilişki kurarak anormallikleri tespit eder, 4) Alarm - Şüpheli aktiviteler için uyarı verir, 5) Raporlama - Detaylı güvenlik raporları oluşturur.

SIEM'in Ana Bileşenleri Nelerdir?

SIEM'in ana bileşenleri: Log Toplama (Log Collection), Veri Normalizasyonu (Data Normalization), Korelasyon Motoru (Correlation Engine), Olay Yönetimi (Event Management), Dashboard ve Raporlama, Uyarı Sistemi (Alerting) ve Forensik Analiz araçlarıdır.

SIEM'in Faydaları Nelerdir?

SIEM'in faydaları: Gerçek zamanlı tehdit tespiti, merkezi güvenlik izleme, uyumluluk raporlaması, olay müdahale sürelerini kısaltma, false positive oranını azaltma, forensik analiz imkanı ve güvenlik ekiplerinin verimliliğini artırma şeklinde sıralanabilir.

Popüler SIEM Çözümleri Nelerdir?

Popüler SIEM çözümleri: Splunk Enterprise Security, IBM QRadar, Microsoft Sentinel (Azure), LogRhythm, ArcSight ESM, Elastic Security, SolarWinds Security Event Manager ve AlienVault OSSIM (Open Source) olarak sıralanır.

SIEM ve SOC Arasındaki Fark Nedir?

SIEM bir teknoloji/yazılımdır, SOC (Security Operations Center) ise SIEM ve diğer güvenlik araçlarını kullanan güvenlik operasyon merkezidir. SOC, SIEM'den gelen uyarıları analiz eden, araştıran ve müdahale eden insan ekipleridir.

SIEM Kurulumunda Dikkat Edilecek Hususlar Nelerdir?

SIEM kurulumunda dikkat edilecek hususlar: Veri kaynaklarını belirleme, ağ kapasitesini planlama, doğru korelasyon kuralları oluşturma, false positive oranını minimize etme, kullanıcı eğitimi, sürekli güncelleme ve optimizasyon yapma, yedekleme stratejisi oluşturma.

Cisco Ağ Güvenliği

Cisco FTD/ASA Sertifika Süresi Dolması Nedeniyle Sistem Yükseltme Engelini Çözme Rehberi

Cisco FTD/ASA güvenlik duvarlarında "Certificate DefaultWebserverCertificate expired" hatası nedeniyle sistem yükseltme engelini çözme için kapsamlı operasyon rehberi. High Availability ortamlar için detaylı adım adım kılavuz.

19 Ocak 2025

25 dakika okuma

NovatekCloud Güvenlik Uzmanları

Cisco FTD, ASA, Certificate Management

Sorun Nedir ve Neden Oluşur?

Certificate DefaultWebserverCertificate expired ... cannot trigger upgrade

FDM (local management) modunda System Upgrade ekranında bu hata ile karşılaştığınızda, yeni sertifika oluştursanız bile Upgrade butonu pasif kalır.

Kök Neden Analizi

Sertifika Kontrol Mekanizması

FDM, yükseltmeyi başlatmadan HTTPS yönetim sertifikasının geçerli olmasını şart koşar.

UUID Objesi Kalıcılığı

7.3/7.4.x bazı build'lerde eski "DefaultWebserverCertificate" objesi expired görünmeye devam eder.

Web Servisi Reload

Nginx servisinde sertifika dosyası doğru dizinde değilse veya servis reload edilmemişse yeni cert devreye girmez.

HA Senkronizasyon

Active/Standby'da iki tarafta da tutarlı yenileme yapılmadıysa yine blok oluşur.

Başlamadan Önce: Yedekler ve Ön Koşullar

⚠️ KRİTİK UYARI

Bu işlemler sistem kesintisine neden olabilir. Mutlaka bakım penceresi planlayın ve tüm yedekleri alın.

1

Konfigürasyon Yedekleri

> show failover

> show failover state

> show version

> show clock

Running-config, HA durum fotoğrafı ve sistem bilgilerini kaydedin.

2

Sertifika Dosyaları Yedeği (Root'ta)

> expert

$ sudo su -

# mkdir -p /var/tmp/cert-backup

# cp -a /isan/apache/conf/server.* /var/tmp/cert-backup/

# cp -a /ngfw/var/common/DefaultWebServer* /var/tmp/cert-backup/

Standby'da çalışın, sonra Active'e uygulayın.

3

Upgrade Paketi Hazırlığı

Yükleyeceğiniz upgrade paketi (.tar/.pkg) dosyasının mevcut ve doğrulanmış olduğundan emin olun.

Paket önceden sisteme yüklenmiş ve hazır durumda olmalıdır.

Sertifika Durumunu Kontrol Etme

A

GUI Yöntemi (Tercih Edilen)

Objects → Certificates: Issuer, Valid Until, In Use sütunlarını kontrol edin

System → HTTPS Certificate: "Use as HTTPS" atanmış mı kontrol edin

İpucu

Expired sertifikaları kırmızı renkte göreceksiniz.

B

CLI Yöntemi (Root'ta)

# Mevcut dosyaları listele

ls -l /isan/apache/conf/server.* 2>/dev/null

ls -l /ngfw/var/common/DefaultWebServer* 2>/dev/null

# Sertifika detaylarını kontrol et

openssl x509 -in /path/to/certificate.crt \

-noout -subject -issuer -dates

Dikkat

Hangi dosyanın aktif kullanıldığını "Not After" tarihine bakarak tespit edin.

Çözümün Ana Adımları

Operasyon Rehberi Özeti

Bu rehber, süresi dolmuş sertifika nedeniyle sistem yükseltme engelini çözmek için adım adım prosedürü içerir. GUI ve CLI komutlarıyla birlikte her adım detaylı olarak açıklanmıştır.

1

Yeni Internal CA Oluştur

NGFW-Default-InternalCA adında yeni Certificate Authority oluşturun (gerekirse).

5-10 yıl geçerlilik süresi

2

Yeni Web Sertifikası

Internal CA ile imzalanmış yeni DefaultWebserverCertificate oluşturun.

"Use as HTTPS" aktif edin

3

Eski Sertifikayı Sil

Expired eski DefaultWebserverCertificate objesini GUI'den tamamen silin.

KRİTİK ADIM - Atlamayın!

Sağlık Kontrolleri

Zaman/NTP Kontrolü

> show clock

Sistem saati doğru değilse NTP'yi düzeltin. Yanlış saat "expired" algısı yaratır.

Web Servisi Kontrolü

grep -R "ssl_certificate" /etc /ngfw /isan

grep -R "SSLCertificateFile" /etc /ngfw

Nginx/Apache'nin hangi sertifika dosyasını kullandığını kontrol edin.

Dışarıdan Doğrulama

openssl s_client -connect <FDM-IP>:443 \

-showcerts | openssl x509 -noout -dates

"Not After" yeni tarih, Issuer = NGFW-Default-InternalCA olmalı.

⚠️ EN KRİTİK ADIM

Objects → Certificates bölümünde expired görünen eski "DefaultWebserverCertificate" objesini mutlaka DELETE edin. Bu adımı atlarsanız upgrade devam etmez!

Deploy işlemini yapmayı unutmayın. Bu, upgrade kontrolünün eski UUID'ye bakmasını engeller.

4

Yeni DefaultWebserverCertificate Oluşturma

Internal CA ile imzalanan yeni web server sertifikasını oluşturun ve HTTPS için aktif edin.

GUI Üzerinden Sertifika Oluşturma

1

Objects → Certificates → Add

Sertifika oluşturma menüsüne gidin

2

Internal Certificate Seçin

Certificate türü olarak "Internal Certificate" seçin

3

Sertifika Bilgileri

Name: DefaultWebserverCertificate

Signing CA: NGFW-Default-InternalCA

Validity: 3-5 yıl

4

✅ Use as HTTPS Server Certificate

Bu seçeneği mutlaka işaretleyin!

Subject Bilgileri Örneği

Country (C): TR

State (ST): Istanbul

City (L): Istanbul

Organization (O): NovatekCloud

Org Unit (OU): Security

Common Name (CN): firewall.company.com

Not

Common Name (CN) alanına FDM'ye erişmek için kullandığınız IP adresini veya hostname'i yazın.

Save ve Deploy

Sertifikayı oluşturduktan sonra mutlaka Save yapın ve ardından Deploy işlemini gerçekleştirin.

Deploy işlemi genellikle 30-60 saniye sürer

5

Eski Sertifikayı Silme

Süresi dolmuş eski DefaultWebserverCertificate objesini sistemden tamamen kaldırın.

⚠️ KRİTİK ADIM - ATLAMAYINIZ!

Bu adım upgrade engelini kaldırmak için mutlaka gereklidir. Eski sertifika objesi silinmezse sistem yükseltmesi çalışmaz.

Yeni sertifika oluşturmuş olsanız bile, eski obje kalırsa upgrade kontrolü hala eski UUID'ye bakar!

Silme Adımları

1

Objects → Certificates'a gidin

Sertifika listesi sayfasını açın

2

Expired sertifikayı bulun

"Valid Until" sütununda kırmızı görünen eski DefaultWebserverCertificate

3

DELETE butonuna tıklayın

Sertifika satırındaki silme butonunu kullanın

4

Deploy işlemini yapın

Değişikliklerin sisteme uygulanması için mutlaka deploy edin

Doğrulama

✅ Başarılı Silme İşaretleri

• Certificates listesinde expired sertifika görünmüyor
• Deploy işlemi hata vermeden tamamlandı
• System Upgrade sayfasında hata mesajı kalkmalı

⚠️ Hala Hata Alıyorsanız

• Web tarayıcısının cache'ini temizleyin
• FDM'den çıkış yapıp tekrar girin
• 5-10 dakika bekleyip tekrar kontrol edin

6

Web Servisini Yenileme ve Doğrulama

Nginx/Apache web servisinin yeni sertifikayı kullanmasını sağlayın.

Servis Yenileme

# Nginx servisini yeniden başlat

nginx -s reload 2>/dev/null ||

/usr/sbin/nginx -s reload 2>/dev/null ||

kill -HUP $(pgrep nginx 2>/dev/null)

# Alternatif: Sistem reboot (Standby'da güvenli)

reboot

Not

HA ortamında Standby node'da reboot yapabilirsiniz, Active'de sadece nginx reload tercih edin.

Son Doğrulama Testleri

🔍 Tarayıcı Testi

FDM'ye tarayıcıdan bağlanın:

• Sertifika Issuer: NGFW-Default-InternalCA
• Not After: 2029/2030 (gelecek tarih)
• Bağlantı kurulabilir

✅ System Upgrade Kontrolü

System Upgrade sayfasını kontrol edin:

• "Certificate expired" hatası kalkmalı
• Upgrade butonu aktif olmalı
• Deploy işlemi tamamlanmış olmalı

High Availability (HA) Ortamda Uygulama

HA Workflow Stratejisi

High Availability ortamında sertifika yenileme işlemi dikkatli bir sıralama gerektirir. Kesinti minimize etmek için önce Standby node'da işlemleri tamamlayın, ardından Active node'a geçin.

A

Phase A: Standby Node İşlemleri

1. Standby Node'u Belirleyin

> show failover

> show failover state

Hangi node'un Standby olduğunu doğrulayın.

2. Sertifika İşlemlerini Yapın

• Yeni Internal CA oluşturun (gerekirse)
• Yeni DefaultWebserverCertificate oluşturun
• Eski sertifikayı silin
• Deploy işlemini tamamlayın

3. Web Servisini Yenileyin

nginx -s reload

# veya güvenli reboot

reboot

Standby'da reboot yapmak güvenlidir.

B

Phase B: Active Node İşlemleri

1. Aynı İşlemleri Tekrarlayın

Standby'da yaptığınız tüm sertifika işlemlerini Active node'da da yapın:

• Internal CA (aynı isimle)
• Yeni web server sertifikası
• Eski sertifika silme

2. Web Servisi (Dikkatli)

# Sadece reload (reboot değil)

nginx -s reload

Active'de reboot yerine sadece reload tercih edin.

3. Senkronizasyonu Doğrulayın

> show failover

# Her iki node da "Standby Ready" olmalı

Deploy Sırası (Kritik!)

1

Active Node'dan Deploy

İlk deploy işlemini mutlaka Active node'dan başlatın.

2

Deploy Tamamlanmasını Bekleyin

İlk deploy bitene kadar bekleyin (30-60 saniye).

3

Standby Node'da Deploy

Ardından Standby node'da deploy işlemini yapın.

Sistem Yükseltme Süreci

Upgrade Süreci (7.4.3-315)

Sertifika sorununu çözdükten sonra güvenlik duvarının sistem yükseltmesini doğru sırayla gerçekleştirin. Kesintisiz geçiş için plan takip edin.

Yükseltme Öncesi Kontroller

Sertifika Hatası Kaldırıldı

System Upgrade sayfasında "certificate expired" hatası görünmüyor.

Upgrade Paketi Hazır

7.4.3-315 paketi sisteme yüklenmiş ve doğrulanmış.

HA Durumu Stabil

Both units: "Standby Ready"

Yükseltme Sırası

1

Standby Node Upgrade

Device → Updates → System Upgrade

Upgrade Now (Standby node)

2

Failover İşlemi

Standby upgrade bittikten sonra:

Switch Active Unit

Trafik yeni sürümdeki node'a geçer

3

Eski Active Upgrade

Şimdi Standby olan eski Active node'u upgrade edin:

Upgrade Now (Old Active)

Son Doğrulama Kontrolleri

HA Durumu

> show failover

> show version

"Standby Ready" ve sürümler eşit olmalı.

Failover Testi

Manuel failover testi yapın:

• Akış kesintisiz mi?
• Her iki node çalışıyor mu?
• Sertifikalar her iki tarafta da güncel mi?

Performans

Sistem performansını kontrol edin:

• CPU, Memory kullanımı normal
• Log akışında hata yok
• Web arayüzü erişilebilir

Sonrasında Yapılması Gerekenler

İçerik Güncellemeleri

VDB (Vulnerability Database) Güncelleme

Updates → VDB → Download Latest

Güvenlik açığı veritabanını güncel tutun

SRU/IPS Rules Güncelleme

Updates → SRU → Apply Latest Rules

Intrusion Prevention System kuralları

GeoDB Güncelleme

Updates → GeoDB → Update Geographic Database

Coğrafi konum filtreleme veritabanı

Sertifika İlişkili Görevler

AnyConnect Sertifikaları

VPN kullanıyorsanız, yeni Internal CA ile client sertifikalarını yenileyin

Remote Access → SSL VPN → Client Certificate

SSL Decryption Sertifikaları

SSL Decryption kullanıyorsanız, CA sertifikalarını kontrol edin

Policies → SSL Decryption → Certificate

Sertifika Expiry Monitoring

Gelecekteki süresi dolma tarihlerini takip edin

Objects → Certificates → Valid Until sütunu

Yaygın Sorunlar ve Çözümleri

Sorun: Upgrade hala çalışmıyor

Olası Nedenler ve Çözümler:

Eski sertifika hala mevcut

Objects → Certificates'dan eski objeleri tamamen silin ve deploy edin

Web servis reload edilmedi

nginx -s reload veya sistemi reboot edin

Yanlış sistem saati

show clock ile kontrol edin, NTP'yi düzeltin

Cache sorunu

Tarayıcı cache'i temizleyin, FDM'den çıkış yapıp girin

Sorun: HA senkronizasyon hatası

Çözüm Adımları:

# HA durumunu kontrol et

> show failover

> show failover state

# Manuel senkronizasyon

> failover reload-standby

Her iki node'da da aynı sertifika işlemlerinin yapıldığından emin olun.

Sorun: Deploy işlemi başarısız

Kontrol Listesi:

• Sistem kaynakları yeterli mi? (disk, memory)
• Başka bir deploy işlemi çalışıyor mu?
• HA ortamında her iki node da erişilebilir mi?
• Network bağlantısı stabil mi?

En İyi Uygulamalar

Önleyici Tedbirler

Sertifika Expiry Takibi

Aylık sertifika durum kontrolleri yapın. 3 ay öncesinden yenileme planlayın.

Uzun Validity Period

Internal CA'yı 10 yıl, web server sertifikalarını 5 yıl geçerlilik ile oluşturun.

Otomatik Yenileme

Mümkünse certificate auto-renewal özelliklerini aktif edin.

Bakım Sırasında

Bakım Penceresi

Sertifika yenileme işlemlerini planlı bakım pencerelerinde yapın.

Tam Yedekleme

İşlem öncesi running-config, startup-config ve cert dosyalarını yedekleyin.

Rollback Planı

Geri alma prosedürünü önceden hazırlayın ve test edin.

Öğrenilen Dersler

Kritik Hatalar

• Eski sertifika objesini silmemek upgrade'i engeller
• HA ortamında yanlış deploy sırası senkronizasyon bozar
• Web servis reload edilmezse yeni sertifika devreye girmez
• Sistem saati yanlışsa sertifika expired görünür

Başarı Faktörleri

• Standby node'dan başlamak kesinti minimizesi sağlar
• Uzun geçerlilik süreli sertifikalar sorun riskini azaltır
• Düzenli kontroller proaktif bakımı mümkün kılar
• Tam yedekleme güvenli rollback imkanı verir

Bu operasyon rehberi gerçek projede yaşanan sorunlar ve çözümler temelinde hazırlanmıştır. Kendi ortamınıza uyarlayarak kullanabilirsiniz.

🎉 Operasyon Başarıyla Tamamlandı!

Cisco FTD/ASA güvenlik duvarınızda sertifika süresi dolması nedeniyle oluşan sistem yükseltme engeli başarıyla çözüldü. Sistem artık yeni sürüme yükseltilebilir durumda.

Gerçekleştirilen İşlemler

Internal CA Oluşturuldu

NGFW-Default-InternalCA 10 yıl geçerlilik ile

Web Server Sertifikası

DefaultWebserverCertificate yenilendi

Eski Sertifika Silindi

Expired obje tamamen kaldırıldı

Sistem Yükseltildi

7.4.3-315 sürümüne geçildi

Teknik Özet ve Doğrulama

Mevcut Durum

Sertifika Durumu

• DefaultWebserverCertificate: Aktif ve geçerli
• Issuer: NGFW-Default-InternalCA
• Valid Until: 2029+ tarihi
• Use as HTTPS: ✅ Aktif

HA Durumu

This host: Primary

Other host: Secondary

Status: Standby Ready

Version: 7.4.3-315

Sistem Sağlığı

Servis Durumu

• Web Management: ✅ Online
• HTTPS Certificate: ✅ Valid
• System Upgrade: ✅ Available
• Failover: ✅ Ready

Öneriler

• VDB/SRU güncellemelerini yapın
• Failover testini gerçekleştirin
• Sertifika expiry monitoring kurun

Sonraki Adımlar

Düzenli Bakım

• Aylık sertifika durum kontrolleri
• Çeyreklik failover testleri
• Güvenlik güncellemelerini takip

Güvenlik Politikaları

• SSL Decryption sertifikalarını kontrol edin
• VPN client sertifikalarını yenileyin
• Certificate renewal policy oluşturun

İzleme ve Raporlama

• Certificate expiry monitoring kurun
• Automated alerts yapılandırın
• Operasyon raporunu arşivleyin

Profesyonel Destek İhtiyacınız Var Mı?

NovatekCloud olarak Cisco güvenlik duvarı yönetimi, sertifika yenileme ve sistem yükseltme konularında 23+ yıllık deneyimimizle yanınızdayız.

Yönetilen Güvenlik Hizmetleri

• 7/24 Cisco FTD/ASA yönetimi
• Proaktif sertifika yenileme
• Planlı sistem yükseltmeleri
• HA ortam bakımı
• Güvenlik politika optimizasyonu

Eğitim ve Danışmanlık

• Cisco güvenlik duvarı eğitimleri
• Sertifika yönetimi best practices
• HA configuration danışmanlığı
• Troubleshooting workshops
• Operasyon dokümantasyonu

+90 (212) 356 75 77 backofis@novatek.com.tr www.novatekcloud.com

#CiscoFTD #CiscoASA #CertificateManagement #SystemUpgrade #HighAvailability #NetworkSecurity #NovatekCloud