Forum

Switch ve vlan Konf...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Switch ve vlan Konfigürasyonu

15 Yazılar
4 Üyeler
0 Likes
1,195 Görüntüleme
Engin YOLDAŞ
(@enginyoldas)
Gönderiler: 48
Trusted Member
Konu başlatıcı
 

Merhaba. Şirketimizde 20 adet Bilgisayar mevcut. 20 Terminalde Sanal Sunucum üzerinde koşan erp yazılımına ulaşıyor. 24 port extreme swich L3 Mevcut. Toplamda 5 bölüm var muhasebe,finans,arge vs.. Ayrıca qnap Yedekleme cihazları mevcut. Terminallerimde comodo bulut tabanlı yazılımı mevcut. Ayrıca network altyapımda 

Tek bir blok dan iletişim sağlıyoruz. 192.168.2.0 gibi

   Yapıyı şu şekilde değiştirmek sizcede gereklimidir acaba. Bu yapı için neler yapmalıyım. Örnek verecek olursam

   Sanal sunucularımı güvene almak için, 5 adet vlan oluşturup , Bu vlan aynı ip bloğunda olacak yada ayrılacak. Vlan lar bir birleriyle konuşmuyacak. Ama her vlan sanal sunucum üzerinden erp yazılımını kullanacak.Bu yapıya FİLE SERVER da dahil olacak. Swich tarafında ayrıca qnap cihazını swich in fiber portuyla bağlı olacak. Burada Sanal Makinem Qnap a erişecek ancak diğer terminaller hiç bir şekilde q nap cihazıma erişemiyecek. Bu yapıya ilave olarak bir adet de RDS Sunucum var bu sanal sunucum da aynı yapı içersinde. Sistemde Sophos güvenlik duvarı var

 

  Sizlere Sormak İstediğim Böyle bir yapı kurmak için Neler yapmalıyım. Nasıl Sanal Makinelerimi yalıta bilirim. Bu arada sanal makinelerimin hepsi aynı Fiber ethernet kartları üzerinden swich bağlı. Rds Sanal makinem için Ayrı bir ethernet üzerindenmi swich bağlamalıyım ki Rds Sunucumdan sql sunucuma atak gelmesin.

RDS sunucu için vpn kullanıyoruz. Two kimlik doğrulama etkin dışarıdaki bağlantılarda. Yorumlarınız bekliyorum. Teşekkür Ederim

 
Gönderildi : 18/01/2022 12:24

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 3665
Üye
 

Bence çok karışık olmuş daha basite gerekirse diagramla indirgemek gerekiyor. İnsanlar anlamak için tekrar tekrar okur mu bilemiyorum.
Burada ki olay vlan nasıl yapılacağı değil konumlandırmanın anlaşılmaması.
Bence makaleler ve topoloji örnekleriyle incelemeler yapın idealler konusunda kafanız biraz daha netleşecektir. Örneğin sunucu, storage, nas parkurunuzu ayrı bir omurga sw de toplayın SAN Switch gibi düşünebilirsiniz. Lan network'ü ayrı bir sw de. Bu şekilde vlan'la yalıtmak daha kolay olacaktır hemde bu sadece güvenlik, güvenirlilik konusu değil perf., yedeklilik, FO, müdahale konusu. Mesela fiziksel müdahalelerinizde client'lar gitsede sanallar gitmemeli.
Akabinde lan sw üzerinde departman ve erişecekleri roll bazlı vlan'lar ile yönetirsiniz.

RDS vpn dışında dışarı açmayacağınız için sql için dış tehdit olmayacaktır. Güvenliğin diğer kısmı kullanıcı tarafına bakıyor. 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 18/01/2022 12:58

Engin YOLDAŞ
(@enginyoldas)
Gönderiler: 48
Trusted Member
Konu başlatıcı
 

@ibrahimyildiz Evet haklısın biraz karışık olmuş. Şu anda tek adet l3 swich var elimde.L2 bir swich daha edinip İki siwich fiber le bir birine bağlamalıyım. L2 den bütün terminalleri bağlamam gerekiyor. Ayrıca Burada Vlan oluşturup Bu vlan ları L3 swich de birleştirmem gerekiyor. Sunucum ve nas ve Sophos u L3 swich den bağlayacağız. Terminaller L2 swich den gelecek. Terminal Bağlantılarından saldırı geldiğini varsayıyorum. Sunucuyla iletişimi varken nasıl korunacak peki.L3 swich bunu nasıl engelliyor. Mantığını anlamaya çalışıyorum. 

 
Gönderildi : 18/01/2022 13:15

Engin YOLDAŞ
(@enginyoldas)
Gönderiler: 48
Trusted Member
Konu başlatıcı
 

Yada şu şekilde özetlesek. Bir adet Dl380 Gen 10 sunucum var. L3 24 port swich var 20 adet de terminal var. bir adet daha swich ekledik bu yapıya L2 Qnap cihazımımı ve sunucuları siz olsanız nasıl bir yapıyla Kurardınız .Teşekkürler

 
Gönderildi : 18/01/2022 13:18

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 3665
Üye
 

L2 sw'lerde dikkat edilmesi gereken ürünün özellikleridir bazı ürünlerde maliyet kaygısıyla vlan, stp vs kısıtlı olarak sunuluyor bu L2 mimarisi ile ilgili değil ürün, modeller ile ilgili.
Sorduğun nokta için bu konuları araştırabilirsin.
https://www.beyaz.net/tr/guvenlik/makaleler/seviye_2_layer2_guvenligi_nedir_ve_nasil_saglanir.html

Client ve attack parantezi geniş ne anlaşıldığı önemli, fiziksel katman yalıtımı ile bitmiyor. Daha bunun ap, av, mail vs filtering'i var kobiler için de. Fw zaten varmış.

Son yalın yazdığınız öncekilerde kafayı fazla karıştırdığınızı düşündürüyor.:)
Bu adetli bir yapıda 2. sw gerekli değil normalde maliyet, yeterlilik konusudur fakat şimdi farkettim 20 clientlık ortamda 24 port size yetmez. Diagram çizmediğiniz için bence göremiyorsunuz tam senaryoyu. Önce bunu halledin sonra departman veya diğer ilişkilere göre üzerinde vlan ağacını çalıştığınızda makalelere bakarak yapmanız gerekenler anlaşılacaktır.
Bütün sanallar tek bir sunucuda... bunların routing, policy fw da... qnap'ı da client'ların işi yoksa direkt sunucuya bağlayın, artık bandw. talebiniz envanter ve alımlarınıza bağlı, erişimlerini güvenlik policy makalelerine göre ayarlayın. Client'lar, ap gibi wifi vs sağlayıcılar 24'lük bir sw de toplayın. Sunucu, router, fw bacakları ayrı küçük bir sw de. Diğerindeki vlan grouplar bunda hangi port'lara gideceği daha rahat tanımlanır. L3 elde etmeye çalışın.
Bu yapı küçük ama diag ve programı oluşturduktan sonra fiziki danışmanlık almanız mutlaka hata yapmayı önleyecektir.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 18/01/2022 15:22

Engin YOLDAŞ
(@enginyoldas)
Gönderiler: 48
Trusted Member
Konu başlatıcı
 

@ibrahimyildiz  Teşekkürler elimde şu an 1 adet l3 swich 24 port 1 adet de 48 port 1920s hp swich var bu yapıya göre sizinde de önerilerinizle araştırıyorum vlan yapısını bu konuya hakim değilim. vlan ları oluşturup l3 swich de yapıları nasıl ayrılır araştırıcam kaynak varmıdır bu konuda önere bileceğiniz okuyup tecrübe ve bilgi sahibi ola bileceğim

 
Gönderildi : 18/01/2022 21:06

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 31984
Illustrious Member Yönetici
 

Merhaba,

Bu video belki yardımcı olabilir

https://tv.cozumpark.com/video/688/Cisco-Egitim-Serisi-22-Cisco-Virtual-Local-Area-Network-VLAN

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 18/01/2022 21:34

Engin YOLDAŞ
(@enginyoldas)
Gönderiler: 48
Trusted Member
Konu başlatıcı
 

@ibrahimyildiz Üstadım Burada vlan mantığını anlamaya çalışıyorum.Kusura bakma  seni de meşgül ediyorum ama kabaca şöyle özetlesem

Sunucum vlan1 de 192.168.10.2 den başlıyor 6 da bitiyor. qnap da burada fiziksel sunucum lan sophos da farklı netwok de. sanal makinalarım fiber ile swich e bağlı 2 port fiber ethernet ile

vlan 10 192.168.10.10 dan başlıyor 15 bitecek

vlan 20 192.168.10.16 dan başlıyor 20 de bitecek

vlan 30 192.168.10.20 de başlıyor 25 bitecek

Güvenlik duvarı 192.168.10.1 swich e bağlı.

Elimizde 1 adet L3 extreme swich var. 2ci swich 1920s malesef eski bir swich. İdari yapımı tek bir swich üzerinden yapı oluşturacağım.

Terminal sayım 15 Sizin yazdıklarınızdan anladığım kadarıyla Şunları yapmam gerekli 

Vlan 10 20 30 oluşturuyorum swich tarafında. Daha sonra bu vlan ları vlan1 ile konuştaracağız. buraya kadar doğrudur umarım.

Bundan sonra neler yapmam gerekli peki. Sanal sucumla iletişim kuracak terminaller. Peki arada iletişim varken attack lara nasıl engel olacağız bunu anlamadım. Burada adımlar konusunda yardımlarınızı bekliyorum. Teşekkürler

 
Gönderildi : 18/01/2022 22:02

Engin YOLDAŞ
(@enginyoldas)
Gönderiler: 48
Trusted Member
Konu başlatıcı
 

@hakanuzuner teşekkürler izliyorum şu anda

 
Gönderildi : 18/01/2022 22:04

Serkan Ateş
(@serkanates)
Gönderiler: 1137
Estimable Member
 
Gönderen: @enginyoldas

Bundan sonra neler yapmam gerekli peki. Sanal sucumla iletişim kuracak terminaller. Peki arada iletişim varken attack lara nasıl engel olacağız bunu anlamadım. Burada adımlar konusunda yardımlarınızı bekliyorum. Teşekkürler

Vlan ile ağlarınızı ayırdığınızda ağ geçidinizin yetenekleri oranında ağlar arası trafiği yönetmeye başlarsınız. Fikir vermesi açısından kısa bir örnek vereyim.

Sunucu Vlan
1 Adet SQL Server

Muhasebe Vlan
10 Adet istemci

Printer Vlan
10 Adet Printer

Kamera Vlan
50 Adet Kamera

Şimdi örneğimizi inceleyelim. Bu gruplardan sunucuya erişmesi gereken sadece Muhasebe Vlan'ı çünkü muhasebe programı kullanıyor. Diğer Vlanların Sunucu Vlan'ına erişimini kısıtlıyoruz. Ancak Muhasebe Vlan'ının da sunucu tarafına sınırsız erişmesi gerekmiyor. TCP 1433 üzerinden erişimi yeterli olacaktır. Şu anda sunucunuz sadece muhasebe ağından gelecek sql saldırılarına karşı savunmasız olacak diğer networkler zaten risk oluşturmayacak. Ancak ağ geçidinizde bir saldırı tespit sistemi mevcut ise bu durumda sql saldırılarıda tespit edilip gerekli önlemler alınmış olacak. Temel mantık bu şekilde, örneği kendi ihtiyaçlarınıza göre özelleştirebilirsiniz.

İyi çalışmalar.

 
Gönderildi : 18/01/2022 22:34

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 3665
Üye
 

Evet doğru yoldasın videolarda vlan vs yaz başka videolar da var mış. Makaleleri felan da var portalda.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 18/01/2022 22:35

Engin YOLDAŞ
(@enginyoldas)
Gönderiler: 48
Trusted Member
Konu başlatıcı
 

@SerkanAtes Teşekkür ederim Şimdi anladım. Bizde Logo Kullanılıyor. Malesef bütün terminaller kullanıyor. Ama yinede çok makul. Sadece logo yazılımın çalışa bileceği portların geçişine izin verirsek sql sunucu üzerinde diğer saldırılar dan muaf oluruz. Peki Üstadım yapıda 1 dcsunucu ve 1 adet file sunucu da var. terminaller bundan da yararlanıyor. Güvenlik duvarı tarafında ip mac eşleşme çalışıyor.

 
Gönderildi : 18/01/2022 22:41

Engin YOLDAŞ
(@enginyoldas)
Gönderiler: 48
Trusted Member
Konu başlatıcı
 

@ibrahimyildiz Teşekkür 

 
Gönderildi : 18/01/2022 22:42

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 3665
Üye
 

https://www.cozumpark.com/community/security-4/510013/
https://www.cozumpark.com/community/windows_server-4/448608/
https://www.cozumpark.com/community/network-4/448782/
https://www.cozumpark.com/community/network-4/512510/
https://www.cozumpark.com/active-directory-guvenligi-icin-10-temel-oneri/
https://www.cozumpark.com/server-2019-active-directory-guvenlik-onerileri/

yani daha bakılabilecek çok şey var.:)
Açıkçası herşeyin temelden tekrar yazılması beklentiniz doğru olmaz web uygulanmış bilgi kaynıyor. Oturup base anlatmak vakit işi Serkan gibi çok adam bulamazsınız her zaman 🙂
Kısaca Fw üzerinde port alias grouplar ile port listelerini rulelayabilirsiniz fakat bunların yoğunluğunun yük oluşturduğunu da bilmeniz gerekir. Örneğin RDS den bahsettiniz client'lar aptal makine gibi birşey olacaksa direk Files. ile konuşması gerekmez RDS üzerinden daha kolay kontrol edebilirsiniz. ACL konusunu öğrenin, yapıyı vlan yapayım derken içinden çıkılmaz hale sokarsanız hem cihaz yedekliliğiniz yok patlarsınız hem de perf. sorunlarıyla uğraşırsınız. Zaten o yüzden de bu projeye adımları öğrenmek için zaman tanımak yada danışmanlık almanız lazım.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 19/01/2022 00:08

Engin YOLDAŞ
(@enginyoldas)
Gönderiler: 48
Trusted Member
Konu başlatıcı
 

@ibrahimyildiz Teşekkür 

 
Gönderildi : 20/01/2022 01:03

Paylaş: