Load Balancer / Port Yönlendirme / Köprüleme

Merhaba,

NLB bir cihaz değil mi siz bir bilgisayar mı kullanıyorsunuz bu iş için?

Port Yönlendirici ya da Load Balancer yapan bilgisayara herhangi bir SSL sertifikası tanımlamak istemiyorum

Bu tanım yanlış, burada herhangi bir güvenlik açığı olamz tam tersi bu kabul görmüş bir standarttır.

Merhaba,

NLB bir cihaz değil mi siz bir bilgisayar mı kullanıyorsunuz bu iş için?

Port Yönlendirici ya da Load Balancer yapan bilgisayara herhangi bir SSL sertifikası tanımlamak istemiyorum

Bu tanım yanlış, burada herhangi bir güvenlik açığı olamz tam tersi bu kabul görmüş bir standarttır.

Merhabalar,

Bazı konularda size katılmadığımı, aynı görüşte olmadığımı söylemek isterim. Sorun aktarımı sağlayan "şey" in formu, biçimi ya da şekli değil, bu bir cihaz olabilir, bir gömülü sistem ya da bir yazılım. İşin nasıl yapıldığından bağımsız bir şekilde, buradaki sorun, bu cihazları kullanırken SSL sertifikası yüklememek. Ortak kullanılan bir sistemde neden SSL sertifikası tanımlansın, hele ki, bir senaryoya hikayeye göre yüzbinlerce kişinin taleplerinin taşındığı bir bilgisayar ya da yönlendirici ya da sizin tabirinizle cihazda ?

Bu cihaz sizin mülkiyetinizde değil, uzaktaki tanımadığınız bir balancer ise, tüm http paketler dinlenebilir demek değil midir ? Bu bir risk değil midir ? Bu risk için bir güvenlik önlemi alınması gerekmez midir ? Sizin hatalı yanlış tanım addettiğiniz husus, localde aynı kişiye aynı güvenlik standartlarına sahip sistemler için geçerlidir. Serverlar ile balancer aynı yerde ise, balancer a güvenmiyorsun da, server niye orada diyebildiğiz durumlarda misal.

Bu bir standart olabilir sizin düşüncenize göre. Ama mülkiyeti ayrı kişilerde olan ve aynı localde olmayan durumlarda olsa olsa bir zaafiyet standardı addedilebilir belki.

www.citrix.com/blogs/2016/04/25/how-to-enable-client-ip-in-tcpip-option-of-netscaler/ makalesini okumanızı tavsiye ederim.

Burada HTTP de olduğu gibi TCP / IP için client ip değeri için özel bir başlık tanımlaması yapmışlar. Niye yapmışlar, port yönlendirme / köprü ya da balancer hizmetini kullanacak, ama SSL sertifikasını düğün davetiyesi gibi her yere dağıtmak istemeyen kişiler için yapmışlar herhalde.

Belki sizin tabirinizle standartın dışına çıkmışlar.

Bu arada, bir custom load balancer yazılımı üzerinde araştırma yapıyorum. Dolayısı ile, bu işi yapan gömülü sistemlere / cihazlara da bir program yükleniyor değil mi ?

Kısacası yukarıdaki linkteki makale gibi özel bir çözüm gerekmekte.

Saygılar...

Merhaba,

Öncelikle bana katılmak zorunda değilsiniz tabik, günün sonunda burada kimse otorite değil, ama burada zaten ortak noktada bulunmamamız çok normal. Çünkü sizin senaryo son yazdığınız bilgilerden sonra bende daha çok oturdu. Yani aslında soruyu şöyle sorsaydınız benim cevabım ( müşterilerim çok iyi bilir) çok farklı olur;

Benim bir platformum var, hosting firmasında ve onların NLB cihazına benim örneğin yıldız veya bu sistemim için kullandığım sertifikanın private key' ini vermelimiyim?

Cevap tabiki hayır, neden müşterilerim bilir diyorum bırakın hosting firmasına, örnek müşterime X bir yazılım firması geliyor diyor ki sizin sisteme bağlanacağız vs bize yıldız sertifikası verin, bana geliyor konu hayatta olmaz kimdir onlar nerede kullanacaklar vs diyorum.

Özetle hosting firması ve parasal işler veya sizin için kritik bir sistem ise tabiki vermeyin ama madem ticaretini yapıyorsun bu durumda alırsın bir NLB cihazı kendin koyarsın olur biter.

Benim standart dediğim konu şirket içi senaryo, bakınız tüm şirket için NLB kullanımlarında bu bir standarttır.