Forum
Bildirimler
Hepsini Temizle
Network Genel
15
Yazılar
4
Üyeler
0
Likes
3,274
Görüntüleme
Konu başlatıcı
Merhaba. Şirketimizde 20 adet Bilgisayar mevcut. 20 Terminalde Sanal Sunucum üzerinde koşan erp yazılımına ulaşıyor. 24 port extreme swich L3 Mevcut. Toplamda 5 bölüm var muhasebe,finans,arge vs.. Ayrıca qnap Yedekleme cihazları mevcut. Terminallerimde comodo bulut tabanlı yazılımı mevcut. Ayrıca network altyapımda
Tek bir blok dan iletişim sağlıyoruz. 192.168.2.0 gibi
Yapıyı şu şekilde değiştirmek sizcede gereklimidir acaba. Bu yapı için neler yapmalıyım. Örnek verecek olursam
Sanal sunucularımı güvene almak için, 5 adet vlan oluşturup , Bu vlan aynı ip bloğunda olacak yada ayrılacak. Vlan lar bir birleriyle konuşmuyacak. Ama her vlan sanal sunucum üzerinden erp yazılımını kullanacak.Bu yapıya FİLE SERVER da dahil olacak. Swich tarafında ayrıca qnap cihazını swich in fiber portuyla bağlı olacak. Burada Sanal Makinem Qnap a erişecek ancak diğer terminaller hiç bir şekilde q nap cihazıma erişemiyecek. Bu yapıya ilave olarak bir adet de RDS Sunucum var bu sanal sunucum da aynı yapı içersinde. Sistemde Sophos güvenlik duvarı var
Sizlere Sormak İstediğim Böyle bir yapı kurmak için Neler yapmalıyım. Nasıl Sanal Makinelerimi yalıta bilirim. Bu arada sanal makinelerimin hepsi aynı Fiber ethernet kartları üzerinden swich bağlı. Rds Sanal makinem için Ayrı bir ethernet üzerindenmi swich bağlamalıyım ki Rds Sunucumdan sql sunucuma atak gelmesin.
RDS sunucu için vpn kullanıyoruz. Two kimlik doğrulama etkin dışarıdaki bağlantılarda. Yorumlarınız bekliyorum. Teşekkür Ederim
Gönderildi : 18/01/2022 12:24
Bence çok karışık olmuş daha basite gerekirse diagramla indirgemek gerekiyor. İnsanlar anlamak için tekrar tekrar okur mu bilemiyorum.
Burada ki olay vlan nasıl yapılacağı değil konumlandırmanın anlaşılmaması.
Bence makaleler ve topoloji örnekleriyle incelemeler yapın idealler konusunda kafanız biraz daha netleşecektir. Örneğin sunucu, storage, nas parkurunuzu ayrı bir omurga sw de toplayın SAN Switch gibi düşünebilirsiniz. Lan network'ü ayrı bir sw de. Bu şekilde vlan'la yalıtmak daha kolay olacaktır hemde bu sadece güvenlik, güvenirlilik konusu değil perf., yedeklilik, FO, müdahale konusu. Mesela fiziksel müdahalelerinizde client'lar gitsede sanallar gitmemeli.
Akabinde lan sw üzerinde departman ve erişecekleri roll bazlı vlan'lar ile yönetirsiniz.
RDS vpn dışında dışarı açmayacağınız için sql için dış tehdit olmayacaktır. Güvenliğin diğer kısmı kullanıcı tarafına bakıyor.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 18/01/2022 12:58
Konu başlatıcı
@ibrahimyildiz Evet haklısın biraz karışık olmuş. Şu anda tek adet l3 swich var elimde.L2 bir swich daha edinip İki siwich fiber le bir birine bağlamalıyım. L2 den bütün terminalleri bağlamam gerekiyor. Ayrıca Burada Vlan oluşturup Bu vlan ları L3 swich de birleştirmem gerekiyor. Sunucum ve nas ve Sophos u L3 swich den bağlayacağız. Terminaller L2 swich den gelecek. Terminal Bağlantılarından saldırı geldiğini varsayıyorum. Sunucuyla iletişimi varken nasıl korunacak peki.L3 swich bunu nasıl engelliyor. Mantığını anlamaya çalışıyorum.
Gönderildi : 18/01/2022 13:15
Konu başlatıcı
Yada şu şekilde özetlesek. Bir adet Dl380 Gen 10 sunucum var. L3 24 port swich var 20 adet de terminal var. bir adet daha swich ekledik bu yapıya L2 Qnap cihazımımı ve sunucuları siz olsanız nasıl bir yapıyla Kurardınız .Teşekkürler
Gönderildi : 18/01/2022 13:18
L2 sw'lerde dikkat edilmesi gereken ürünün özellikleridir bazı ürünlerde maliyet kaygısıyla vlan, stp vs kısıtlı olarak sunuluyor bu L2 mimarisi ile ilgili değil ürün, modeller ile ilgili.
Sorduğun nokta için bu konuları araştırabilirsin.
https://www.beyaz.net/tr/guvenlik/makaleler/seviye_2_layer2_guvenligi_nedir_ve_nasil_saglanir.html
Client ve attack parantezi geniş ne anlaşıldığı önemli, fiziksel katman yalıtımı ile bitmiyor. Daha bunun ap, av, mail vs filtering'i var kobiler için de. Fw zaten varmış.
Son yalın yazdığınız öncekilerde kafayı fazla karıştırdığınızı düşündürüyor.:)
Bu adetli bir yapıda 2. sw gerekli değil normalde maliyet, yeterlilik konusudur fakat şimdi farkettim 20 clientlık ortamda 24 port size yetmez. Diagram çizmediğiniz için bence göremiyorsunuz tam senaryoyu. Önce bunu halledin sonra departman veya diğer ilişkilere göre üzerinde vlan ağacını çalıştığınızda makalelere bakarak yapmanız gerekenler anlaşılacaktır.
Bütün sanallar tek bir sunucuda... bunların routing, policy fw da... qnap'ı da client'ların işi yoksa direkt sunucuya bağlayın, artık bandw. talebiniz envanter ve alımlarınıza bağlı, erişimlerini güvenlik policy makalelerine göre ayarlayın. Client'lar, ap gibi wifi vs sağlayıcılar 24'lük bir sw de toplayın. Sunucu, router, fw bacakları ayrı küçük bir sw de. Diğerindeki vlan grouplar bunda hangi port'lara gideceği daha rahat tanımlanır. L3 elde etmeye çalışın.
Bu yapı küçük ama diag ve programı oluşturduktan sonra fiziki danışmanlık almanız mutlaka hata yapmayı önleyecektir.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 18/01/2022 15:22
Konu başlatıcı
@ibrahimyildiz Teşekkürler elimde şu an 1 adet l3 swich 24 port 1 adet de 48 port 1920s hp swich var bu yapıya göre sizinde de önerilerinizle araştırıyorum vlan yapısını bu konuya hakim değilim. vlan ları oluşturup l3 swich de yapıları nasıl ayrılır araştırıcam kaynak varmıdır bu konuda önere bileceğiniz okuyup tecrübe ve bilgi sahibi ola bileceğim
Gönderildi : 18/01/2022 21:06
Merhaba,
Bu video belki yardımcı olabilir
https://tv.cozumpark.com/video/688/Cisco-Egitim-Serisi-22-Cisco-Virtual-Local-Area-Network-VLAN
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 18/01/2022 21:34
Konu başlatıcı
@ibrahimyildiz Üstadım Burada vlan mantığını anlamaya çalışıyorum.Kusura bakma seni de meşgül ediyorum ama kabaca şöyle özetlesem
Sunucum vlan1 de 192.168.10.2 den başlıyor 6 da bitiyor. qnap da burada fiziksel sunucum lan sophos da farklı netwok de. sanal makinalarım fiber ile swich e bağlı 2 port fiber ethernet ile
vlan 10 192.168.10.10 dan başlıyor 15 bitecek
vlan 20 192.168.10.16 dan başlıyor 20 de bitecek
vlan 30 192.168.10.20 de başlıyor 25 bitecek
Güvenlik duvarı 192.168.10.1 swich e bağlı.
Elimizde 1 adet L3 extreme swich var. 2ci swich 1920s malesef eski bir swich. İdari yapımı tek bir swich üzerinden yapı oluşturacağım.
Terminal sayım 15 Sizin yazdıklarınızdan anladığım kadarıyla Şunları yapmam gerekli
Vlan 10 20 30 oluşturuyorum swich tarafında. Daha sonra bu vlan ları vlan1 ile konuştaracağız. buraya kadar doğrudur umarım.
Bundan sonra neler yapmam gerekli peki. Sanal sucumla iletişim kuracak terminaller. Peki arada iletişim varken attack lara nasıl engel olacağız bunu anlamadım. Burada adımlar konusunda yardımlarınızı bekliyorum. Teşekkürler
Gönderildi : 18/01/2022 22:02
Bundan sonra neler yapmam gerekli peki. Sanal sucumla iletişim kuracak terminaller. Peki arada iletişim varken attack lara nasıl engel olacağız bunu anlamadım. Burada adımlar konusunda yardımlarınızı bekliyorum. Teşekkürler
Vlan ile ağlarınızı ayırdığınızda ağ geçidinizin yetenekleri oranında ağlar arası trafiği yönetmeye başlarsınız. Fikir vermesi açısından kısa bir örnek vereyim.
Sunucu Vlan
1 Adet SQL Server
Muhasebe Vlan
10 Adet istemci
Printer Vlan
10 Adet Printer
Kamera Vlan
50 Adet Kamera
Şimdi örneğimizi inceleyelim. Bu gruplardan sunucuya erişmesi gereken sadece Muhasebe Vlan'ı çünkü muhasebe programı kullanıyor. Diğer Vlanların Sunucu Vlan'ına erişimini kısıtlıyoruz. Ancak Muhasebe Vlan'ının da sunucu tarafına sınırsız erişmesi gerekmiyor. TCP 1433 üzerinden erişimi yeterli olacaktır. Şu anda sunucunuz sadece muhasebe ağından gelecek sql saldırılarına karşı savunmasız olacak diğer networkler zaten risk oluşturmayacak. Ancak ağ geçidinizde bir saldırı tespit sistemi mevcut ise bu durumda sql saldırılarıda tespit edilip gerekli önlemler alınmış olacak. Temel mantık bu şekilde, örneği kendi ihtiyaçlarınıza göre özelleştirebilirsiniz.
İyi çalışmalar.
Gönderildi : 18/01/2022 22:34
Evet doğru yoldasın videolarda vlan vs yaz başka videolar da var mış. Makaleleri felan da var portalda.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 18/01/2022 22:35
Konu başlatıcı
@SerkanAtes Teşekkür ederim Şimdi anladım. Bizde Logo Kullanılıyor. Malesef bütün terminaller kullanıyor. Ama yinede çok makul. Sadece logo yazılımın çalışa bileceği portların geçişine izin verirsek sql sunucu üzerinde diğer saldırılar dan muaf oluruz. Peki Üstadım yapıda 1 dcsunucu ve 1 adet file sunucu da var. terminaller bundan da yararlanıyor. Güvenlik duvarı tarafında ip mac eşleşme çalışıyor.
Gönderildi : 18/01/2022 22:41
https://www.cozumpark.com/community/security-4/510013/
https://www.cozumpark.com/community/windows_server-4/448608/
https://www.cozumpark.com/community/network-4/448782/
https://www.cozumpark.com/community/network-4/512510/
https://www.cozumpark.com/active-directory-guvenligi-icin-10-temel-oneri/
https://www.cozumpark.com/server-2019-active-directory-guvenlik-onerileri/
yani daha bakılabilecek çok şey var.:)
Açıkçası herşeyin temelden tekrar yazılması beklentiniz doğru olmaz web uygulanmış bilgi kaynıyor. Oturup base anlatmak vakit işi Serkan gibi çok adam bulamazsınız her zaman 🙂
Kısaca Fw üzerinde port alias grouplar ile port listelerini rulelayabilirsiniz fakat bunların yoğunluğunun yük oluşturduğunu da bilmeniz gerekir. Örneğin RDS den bahsettiniz client'lar aptal makine gibi birşey olacaksa direk Files. ile konuşması gerekmez RDS üzerinden daha kolay kontrol edebilirsiniz. ACL konusunu öğrenin, yapıyı vlan yapayım derken içinden çıkılmaz hale sokarsanız hem cihaz yedekliliğiniz yok patlarsınız hem de perf. sorunlarıyla uğraşırsınız. Zaten o yüzden de bu projeye adımları öğrenmek için zaman tanımak yada danışmanlık almanız lazım.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 19/01/2022 00:08
