5651 için Netw...
 
Bildirimler
Hepsini Temizle

5651 için Network altyapısı değişikliği mi? Donanım Satın Alınması mı uygun?  

Doğan Orhan
(@DoganOrhan)
Üye

Bir kamu kurumu İl Müdürlüğünde bulunmaktayım.


Kurum yapısı


1- İl merkezinde Müdürlük binası  internet çıkışı : 10Mbit Metro ethernet, Kullanıcı sayısı (PC) : 100, Güvenlik Cihazı Labris L4 Loglama dahili yapıyor. (Hiç bir birimde ActiveDirectory  kullanılmıyor.)


2. İl merkezi Ek bina (ana binaya 2-3 km) internet çıkışı 8 Mbit ADSL, (ana binaya Metro ya da GHDSL ile VPN düşünülüyo), Kullanıcı sayısı:100, Güvenlik cihazı Fortigate 300, Loglama harici pc üzerinde yazılımla tutuluyo)


3. İl merkezinde 2 adet farklı birim   internet çıkısı 8 mbit ADSL, kullanıcı sayıları 10-20 arasında, güvenlik cihazı yok


4. 11 adet ilçe merkezi hepsi adsl le bağlı, kullanıcı sayıları 4 tanesinde 10'un üzerinde  diğerleri 10 kullanıcı altı, ve güvenlik cihazı yok.


İlçelerde web tabanlı uygulama yok denecek kadar az. Sadece internet erişimi mail vb. kullanım  mevcut.  


Sorum şu: 


Tüm kurumların logunu 5651'e uygun olarak loglamak istiyorum.


Ufak bir araştırma yaptım Karşıma 2 seçenek çıkıyor.


1- Seçenek: Tüm kurumları VPN le ana binada birleştirip internete çıkarmak,  Merkezde tek cihazla filtreleme ve loglama yapmak. Telekom bu hizmeti veriyor. (ana bina ek bina arası metro), diğer 5 birim 2 mbit GHDSL, kalan 7 birim 1 mbit ghdsl. YAKLAŞIK FİYAT AYLIK 6 bin TL. Yıllık 70 bin TL üzerinde. Burada merkezdeki cihazında güçlendirilmesi gerekecek bir de cihaz maliyeti eklenecek.  


2- Seçenek: Her internet çıkışına cihaz koymak: Merkez Ana binadaki hariç diğer çıkışlar (ilçeler ve merkezdeki ayrı 2 birim)  Fortigate 50 - 60 sınıfındaki cihazlarla rahatlıkla kontrol edilebilir. loglar merkezde fortiaanalyzer de toplanabilir. (Örneği fortigate üzerinden vermem sadece yapısını bildiğim için yoksa cihaz markası ile ilgili bir sınırlama yok )


   Yada güvenlik cihazları ile ADSL üzerinden VPN (ilçelerin yoğun web  uygulama kullanımı yok) ile merkeze bağlamak. (Tabi kullaıcı sayısı göz önüne alınarak ADSL ile bu iş ne kadar yürür denemeden tahmin edemiyorum.) 


3- Seçenek: Sizin başka öneriniz varsa..


 


   Sizden öğrenmek istediğim,


   Yukarıda tarif ettiğim yapıyı 5651'e uygun olarak (içerik fitreleme ve loglama)  en ucuza hangi yolla sağlayabilirim.   


  Saygılarımla.

Alıntı
Topic starter Gönderildi : 07/10/2011 14:14
Harun Aydemir
(@HarunAydemir)
Üye

Merhabalar, 


Gördüğüm kadarıyla köklü bir yapılanmaya gidiyorsunuz. Yaptığınız analiz ve öngördüğünüz seçenekler çok doğru bit tespit olmuş.


İhtiyaçlarınızı karşılamak istediğinizde hangi firmadan destek almak isterseniz isteyin, ilgili firma elindeki güvenlik ürünleriyle ihtiyaçlarınızı karşılayabilecek (ya da kısmen karşılayabilecek) çözümler üretecektir; ancak söz konusu bu iş için size tek bir marka önererek, neler yapacabileceğiniz hakkında kısaca bilgi vereceğim.


Merkezi yönetim ve loglamaya ihtiyacınız olması nedeniyle Watchguard XTM ürünlerine yoğunlaşmanızı öneririm. (Watchguard ürün ve özellikleri için www.watchguard.tk adresinden Türkçe kaynaklara ulaşabilirsiniz.)


Watchguard ile merkezi yönetim, merkezi loglama ve merkezi raporlama yapabilirsiniz.



  • Merkezi yönetim kapsamında, uygun bir sunucu/pc ye yükleyeceğiniz "Watchguard Managment Server" yazılımıyla, 4 UTM cihazına kadar ücretsiz yönetim yapabilirsiniz. Merkezi yönetim yazılımı kendisine ait olmakla birlikte ekstra bir ücret ödemeden kullanabilirsiniz. UTM cihazlarını ayrı ayrı yönetebileceğiniz gibi, hem kendi yazılımıyla hem de web arabirimden yönetmeniz de mümkün.

  • Merkezi loglama ve raporlama özellikleri, yine kendi yazılımı olan "Watchguard Log Server" ve "Watchguard Report Server" yazılımlarıyla ücretsiz olarak yapılabilmektedir. Ücretsiz olmasına rağmen, tanınmış birçok UTM markasından daha sağlıklı loglama yapabilmekte ve 60'dan fazla zengin içeriğe sahip raporlama oluşturabilmektedir. Bunun için yapmanız gereken tek şey uygun bir sunucu/pc konumlandırmanızdır. Konumlandırılan bu cihazın kapasitesi kadar loglama ve raporlama yaptırabilirsiniz. Herhangi bir kısıtlama yoktur. Ek olarak hangi lokasyonda olursa olsun, birden fazla Watchguard'ın loglarını tek bir noktada ücretsiz olarak loglayıp, raporlayabilirsiniz.

  • İsterseniz tüm trafikleri merkezi bir UTM'e aktararak buradan kontrollerinizi (gateway antivirüs, ips/ids, web filtering, spam filtering, application control vb.) yaptırabilirsiniz. Watchguard ile diğer markalardaki ürünlerle (Zyxell, Airties, Draytek vb.) rahatlıkla VPN kurabilirsiniz; ancak kendi ürünlerini kullanmanız durumunda, merkezi yönetim sayesinde "Sürükle Bırak VPN" yapabilirsiniz. Bu özellik sadece Watchguard ürünlerinde mevcuttur.

  • Topolojinizi göz önünde bulundurduğunuz da sizin de belirttiğiniz gibi iki seçenek var. Bunlara 3. seçeneği ben ekleyeceğim. (1) Yıllık internet maliyetleri düşündüğümüzde UTM ürünlerine yapacağınız başlangıç maliyetleri çok daha düşüktür. Böyle bir seçenekte, merkezde aktif/aktif ya da aktif/pasif çalışma yapılmalıdır. Yani yedekli UTM konumlandırmanız daha sağlıklı olur. (2) Merkezi yönetim sayesinde tek bir noktadan tüm ürünlerinizi yönetebilirsiniz. Merkezden kontrol olmamasına rağmen, merkezi yönetim sayesinde ürünler üzerinde harcayacağınız zaman kayıpları da en aza indirilmiş olur; ancak her nokta için ayrı bir UTM ve yıllık lisanslama maliyetleri ortaya çıkar (3) Benin önerim her iki seçeneği de birleştirmektir. Merkez de aktif/aktif ya da aktif/pasif çalışarak (bu üründe yıllık lisanslama yapılacaktır) uç noktalarda lisansı olmayan (yani boş UTM kutusu) ürünler alarak, bu ürünlerin sadece VPN özellikleri kullanmaktır. Böylece her yıl sadece merkezdeki cihazda lisanslama yapılacaktır. Bu yöntemle hem merkezden kontrol, hem merkezi yönetim, hem de merkezi loglama yapılabilecektir.

Çalışmalarınızda başarılar dilerim...

CevapAlıntı
Gönderildi : 07/10/2011 15:05
Ertan ERBEK
(@ertanerbek)
Tecrübeli Üye

Hocam normalde bu tür şeylere cevap yazmak istemiyorum ama gönderdiğiniz özel mesaja itinaden.

 

DrayTek 2710+QuedraLog maliyeti bir seferliğinbe 350 dolar civarı olsa gerek. Gerisinde Adsl kullanırsınız maliyette bununla kalır.

CevapAlıntı
Gönderildi : 10/10/2011 00:50
Paylaş: