Anasayfa » Forum

DMZ Kullanımı
 

[Çözüldü] DMZ Kullanımı  

  RSS
Berk_YILDIZ
(@berk_yildiz)
Üye

Merhabalar,

Wetransfer tarzı Linux üzerine kurulan bir dosya paylaşım sunucusuna dışarıdan secure ftp yada https olarak erişim vereceğim. DMZ ile ayrı bir zone oluşturup dışarıdan ve içeriden kurallar yazarak izole etmek arasında bir fark var mıdır? Özellikle DMZ diyorlar fakat fortigate in videolarını incelediğimde herhangi bir interface e ip adresi ve isim olarak dmz vererek wan to dmz ve lan to dmz şeklinde kurallar yazıp geçiyorlar dolayısıyla herhangi bir fark göremedim siz ne düşünüyorsunuz?

Teşekkürler.

Alıntı
Gönderildi : 15/08/2019 15:29
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Network konusunda uzman arkadaşlarım yardımcı olacaktır ancak eski bir CCNA olarak özetlemek gerekir ise;

DMZ aslında kurumsal bir farkındalık içindir, yani nasıl RDP yi dış dünyaya açmak yerine insanlar VPN kullanıyor ve daha kurumsal, güvenlik bir erişim alt yapısı sağlıyorlar ise DMZ de aslında bir takım dışa açık sistemlerin iç network sızıntılarına neden olmasını engellemek içindir.

Misal bir web server doğrudan 80 nolu port ile dış dünyaya açılır ve web server üzerindeki OS kaynaklı veya uygulama kaynaklı bir zafiyet nedeni ile tüm local ağa ulaşılmış olur.

Ancak bu makine internal network yerine DMZ de olur ise bu durumda o makine ele geçirilse bile iç network e geçmek için yine iyi, kötü bir firewall kural setinden geçer. Özetle gerçekten External 10.10.10.x gibi, DMZ 172.16.0.0 gibi internal 192.168.16.0 gibi ayırmak ve buna göre konumlandırmak tavsiye edilir.

Tabiki günümüzde eskisi gibi fiziksel makineler yok, yani eskiden gerçekten web server' ı alıp firewall' un DMZ bacağına veya o bacağa bağlı switch e takardık şimdi vlan ve switch topolojiniz ile bunu düzgün yapılandırmanız gerekli. Bunun da yine en iyi yöntemlerinden birisi DMZ için ayrı sanallaştırma alt yapısı kullanmanız, bu sayede gerçekten sanal makineleri de fiziksel olarak ayırmış olursunuz. Tabiki bunu ek kaynak ve lisans gibi maliyetleri olacaktır.

Dediğim gibi konusunda daha uzman olan arkadaşlarım yardımcı olacaktır.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 15/08/2019 15:43
Berk_YILDIZ
(@berk_yildiz)
Üye

Bilgi için teşekkürler Hakan hocam,

Sanallaştırma tarafından da bahsetmişsiniz anladığım kadarıyla bir sunuyu dmz portuna bağlayıp wan to dmz, lan to dmz kurallar yazmakla firewall da ayrı bir vlan interface oluşturup vmware da virtual port group larla bunu destekleyerek sonrasında firewall da dışarıdan ilgili vlan interface ve içeriden ilgili vlan interface kurallar oluşturmak arasında bir fark yoktur diye düşünüyorum bu yüzden sorma gereği duydum?

Teşekkürler.

CevapAlıntı
Gönderildi : 15/08/2019 15:54
Tayfun DEĞER
(@tayfundeger)
Saygın Üye Forum Yöneticisi
Gönderen: @berk_yildiz

Bilgi için teşekkürler Hakan hocam,

Sanallaştırma tarafından da bahsetmişsiniz anladığım kadarıyla bir sunuyu dmz portuna bağlayıp wan to dmz, lan to dmz kurallar yazmakla firewall da ayrı bir vlan interface oluşturup vmware da virtual port group larla bunu destekleyerek sonrasında firewall da dışarıdan ilgili vlan interface ve içeriden ilgili vlan interface kurallar oluşturmak arasında bir fark yoktur diye düşünüyorum bu yüzden sorma gereği duydum?

Teşekkürler.

Merhaba,

Aynen belirtmiş olduğunuz şekilde portgroup'lar oluşturabilir ve bunlara ilgili VLAN'ları tag'leyerek kullanabilirsiniz.

Tayfun DEĞER
Cisco Champions, vExpert, VCP4/5/6, VCP5-DT, VCP-Cloud
https://www.tayfundeger.com

CevapAlıntı
Gönderildi : 15/08/2019 16:23
Mustafa Demiroz
(@MustafaDemiroz)
Üye

Bu konu efsanedir.

genelde katmanli yapilar bu sekilde kurulur.

sebebi soyle;

dmz = sadece internetten inbound yonunde trafigi kabul eden zone, kesinlikle inside a erisimi olmaz.

zararli geldiginde burda ki kaynaklara bulasabilir. Genelde av ips vs ile saglam sekilde korunur.

inside= internetten trafik kabul etmez, ihtiyac halinde (db vs) dmz den trafik kabul edilir. Sadece ilgili port ile.

eskiden dmz real ip inside private ip olurdu. Lakin guncel baktigimizda webapp sunucularin burda bulunmasi, db vs ise inside bulunmasi onemli. Bunlari dmz, inside gibi ayirmak ise sadece bir mahlas ve kolay yonetilebilirlikten ibaret.

fortide interfaceleri lan wan dmz olarak ayirdiginizda bu zonelara ozel ozellikler acilir mesela wanda interface ozel bandwith tanimlayabilirsin. Ayri ayri monitor edip trafigi izleyebilirsin.

CevapAlıntı
Gönderildi : 15/08/2019 16:59
Berk_YILDIZ
(@berk_yildiz)
Üye

Mustafa hocam ve Tayfun hocam bilgi için teşekkürler.

Özellikle anlamak istediğim konu bu iş için özellikle firewall ın DMZ portunu mu kullanmak gerekir.

Yani herhangi bir interface isim verip (mesela DMZ) inbound ve outbound yönünde kuralları yazsam yada ayrı bir vlan olarak izole etsem aynı şey midir?

Teşekkürler.

 

CevapAlıntı
Gönderildi : 16/08/2019 08:57
Tayfun DEĞER
(@tayfundeger)
Saygın Üye Forum Yöneticisi

@berk_yildiz

Merhaba,

Mimarisel bir karar bu kesin net veya şu doğrudur bu yanlıştır diyemeyiz ki. Belirtmiş olduğunuz şekilde yapılabilir.

Tayfun DEĞER
Cisco Champions, vExpert, VCP4/5/6, VCP5-DT, VCP-Cloud
https://www.tayfundeger.com

CevapAlıntı
Gönderildi : 16/08/2019 11:42
Mustafa Demiroz
(@MustafaDemiroz)
Üye

Kesinlikle, herhangi bir port kullanilabilir. Bu mimarisel bir durum

CevapAlıntı
Gönderildi : 16/08/2019 22:54
Berk_YILDIZ
(@berk_yildiz)
Üye

Bilgi için teşekkürler,

Herhangi bir interface düzenlediğimizde Tags in altında bulunan rollerde LAN, WAN ve DMZ bulunmaktadır.

Bunlarla ilgili detaylara nasıl ulaşabilirim? Yani bir sunucuyu DMZ alacaksam rol kısmında DMZ yerine WAN seçersem artısı yada eksisi ne olur?

CevapAlıntı
Gönderildi : 20/08/2019 15:01
Mustafa Demiroz
(@MustafaDemiroz)
Üye

aslinda soyle, sen dmz yada lan sectiginde, cli danda yapabilecegin, baz seyler guiden yapilabilir olur. Lakin bir listesi yok. Ama sonuc olarak hepsi ayni.

CevapAlıntı
Gönderildi : 21/08/2019 11:45
Berk_YILDIZ
(@berk_yildiz)
Üye

@MustafaDemiroz

Teşekkürler Mustafa hocam

CevapAlıntı
Gönderildi : 21/08/2019 12:45
Paylaş:

Lütfen Giriş yap yada Kayıt ol