Forum
Bildirimler
Hepsini Temizle
Network Genel
8
Yazılar
3
Üyeler
0
Likes
657
Görüntüleme
Konu başlatıcı
Merhaba,
Aklıma takılan bir soru var ve herhangi bir fikir gelmiyor. Değerli fikirlerinizi paylaşırsanız sevinirim.
Merkez şube ile uç şubeler arasında noktadan noktaya metroethernet devresi var. Tüm internet çıkışları merkezden yapılıyor. Merkezdeki kullanıcılar mac adreslerine göre firewall'da yönetiliyor. Şubeler ile merkez arasındaki network layer3 seviyesinde kurulduğundan şubelerdeki kullanıcıların mac adreslerini merkezde göremiyoruz dolayısıyla buna göre herhangi bir policy yazamıyoruz. Merkezde fortinet kullanılıyor. Farklı networklerdeki şubelerin internet kısıtlamaları merkezden nasıl yapılabilir?
Gönderildi : 12/03/2015 14:36
mac adreslerini alamıyor olmanız normal, router veya vlan arkasına bu bilgi taşınmaz çünkü
fortigate tarafındaki kurallarınızı mac bazlı yerine kullanıcı bazlı olarak değiştirmenizi tavsiye ederim
hatta ortamda active directory varsa bununla entegre edebilirsiniz.
http://docs-legacy.fortinet.com/cb/html/index.html#page/FOS_Cookbook/Authentication/cb_auth_id.html
Gönderildi : 12/03/2015 14:40
Konu başlatıcı
Cevap için teşekkürler Vasvi Bey. Peki şubelerin olmadığını varsayarsak Firewall ile aynı LAN altındaki clientlar için kural oluştururken kullanıcı bazlı mı , mac bazlı kural mı oluşturmalı. Tavsiyeniz nedir?
Ayrıca şubedeki router arkasına layer2 bir cihaz koyarak, aynı layer2 cihazdan merkezdeki firewall önüne koyup merkez şube arasında tünel oluşturarak mac'leri almak ve mac'e göre kural oluşturnmak ne kadar mantıklı? Tünel içinde tünel mantıklı değil ama layer3 yapının değişmemesi gerekiyor.
Gönderildi : 12/03/2015 18:43
Merhaba;
TTVPN ve MPLS hizmeti genelde Layer3 routing ile çalışıyorsa mac adresi gelmez layer 3 olduğu için de uzaktaki kullanıcı merkezdeki bir cihazı ağ geçidi olarak yazamaz
Ama yanlış anlamadım ise siz noktadan noktaya dediniz farklı kurulum olmuş olabilir ama genelde noktadan noktaya olan bölgelerde ağ geçidi merkezdeki firewall yada switch olmakta ağ geçidi firewall olan yerlerde mac ile yönetme rahatlıkla yapılabiliyor.
Bunu yapamıyorsanız hocamın da söylediği gibi AD ile yapabilirsiniz.
Gönderildi : 12/03/2015 20:09
ben kişisel tercih olarak kullanıcıları baz almaktan yanayım
yer/bolum/bilgisayar değiştiren kullanıcıları takip etmek zorunda kalmıyorum boylelikle
internete girmek istediginde kullanıcı parola soran bir ekran geliyor buradan kullanıcı kendi bilgilerini girerek herhangi bir bir bilgisayardan benim tanımladığım haklar ile internete erişebiliyor.
şubelerinizi aynı subnette çalıştırma şansınız var ise (route etmeden ) yine sizin bahsettiğiniz sekilde mac adres bazlı kurallar olusturabilirsiniz
fakat bu durumda broadcastlar tum subelere ulasacak subelerin broadcastlari da diger subeler ve merkeze ulasacaktır.
Gönderildi : 12/03/2015 20:54
Konu başlatıcı
Aynen Vasvi Bey. Broadcast trafiğinin önüne geçmek için farklı networklerde routing yapılmış. kişisel tercihiniz olarak bahsettiğiniz işlemi fortigate üzerinde mi yapıyorsunuz yoksa ayrıca aktif dizin yapısı mı oluşturuyorsunuz?
Gönderildi : 13/03/2015 01:19
Merhaba mantıklı olanda o zaten ama log alacaksanız 5651 yasası gereğince paketin içinde mac adresi olmayacak bu konuda ne düşünüyorsunuz.DHCP logları ayrıca mı imzalacaktınız
Gönderildi : 13/03/2015 09:54
Aynen Vasvi Bey. Broadcast trafiğinin önüne geçmek için farklı networklerde routing yapılmış. kişisel tercihiniz olarak bahsettiğiniz işlemi fortigate üzerinde mi yapıyorsunuz yoksa ayrıca aktif dizin yapısı mı oluşturuyorsunuz?
kullanıcı yetkilendirme işlemini fortigate üzerinde yapıyoruz ama kullanıcıları AD uzerinden yetkilendiriyoruz genelde
Active directory kimlik veritabanı olarak ideal bir yapı bence , üzerinden bir cok cihaz/yazılım vs authenticate olabiliyor
firewall tarafında bir defa kuralları oluşturup geri kalan işlemleri AD tarafında kullanıcı ac kapa ilgili gruba dahil et şeklinde yapabiliyorsunuz.
iyi çalışmalar
Gönderildi : 13/03/2015 11:45
