Forum

Switch ve vlan Konf...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Switch ve vlan Konfigürasyonu

Engin YOLDAŞ
(@enginyoldas)
Üye

Merhaba. Şirketimizde 20 adet Bilgisayar mevcut. 20 Terminalde Sanal Sunucum üzerinde koşan erp yazılımına ulaşıyor. 24 port extreme swich L3 Mevcut. Toplamda 5 bölüm var muhasebe,finans,arge vs.. Ayrıca qnap Yedekleme cihazları mevcut. Terminallerimde comodo bulut tabanlı yazılımı mevcut. Ayrıca network altyapımda 

Tek bir blok dan iletişim sağlıyoruz. 192.168.2.0 gibi

   Yapıyı şu şekilde değiştirmek sizcede gereklimidir acaba. Bu yapı için neler yapmalıyım. Örnek verecek olursam

   Sanal sunucularımı güvene almak için, 5 adet vlan oluşturup , Bu vlan aynı ip bloğunda olacak yada ayrılacak. Vlan lar bir birleriyle konuşmuyacak. Ama her vlan sanal sunucum üzerinden erp yazılımını kullanacak.Bu yapıya FİLE SERVER da dahil olacak. Swich tarafında ayrıca qnap cihazını swich in fiber portuyla bağlı olacak. Burada Sanal Makinem Qnap a erişecek ancak diğer terminaller hiç bir şekilde q nap cihazıma erişemiyecek. Bu yapıya ilave olarak bir adet de RDS Sunucum var bu sanal sunucum da aynı yapı içersinde. Sistemde Sophos güvenlik duvarı var

 

  Sizlere Sormak İstediğim Böyle bir yapı kurmak için Neler yapmalıyım. Nasıl Sanal Makinelerimi yalıta bilirim. Bu arada sanal makinelerimin hepsi aynı Fiber ethernet kartları üzerinden swich bağlı. Rds Sanal makinem için Ayrı bir ethernet üzerindenmi swich bağlamalıyım ki Rds Sunucumdan sql sunucuma atak gelmesin.

RDS sunucu için vpn kullanıyoruz. Two kimlik doğrulama etkin dışarıdaki bağlantılarda. Yorumlarınız bekliyorum. Teşekkür Ederim

Alıntı
Konu başlatıcı Gönderildi : 18/01/2022 12:24

ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye Forum Yöneticisi

Bence çok karışık olmuş daha basite gerekirse diagramla indirgemek gerekiyor. İnsanlar anlamak için tekrar tekrar okur mu bilemiyorum.
Burada ki olay vlan nasıl yapılacağı değil konumlandırmanın anlaşılmaması.
Bence makaleler ve topoloji örnekleriyle incelemeler yapın idealler konusunda kafanız biraz daha netleşecektir. Örneğin sunucu, storage, nas parkurunuzu ayrı bir omurga sw de toplayın SAN Switch gibi düşünebilirsiniz. Lan network'ü ayrı bir sw de. Bu şekilde vlan'la yalıtmak daha kolay olacaktır hemde bu sadece güvenlik, güvenirlilik konusu değil perf., yedeklilik, FO, müdahale konusu. Mesela fiziksel müdahalelerinizde client'lar gitsede sanallar gitmemeli.
Akabinde lan sw üzerinde departman ve erişecekleri roll bazlı vlan'lar ile yönetirsiniz.

RDS vpn dışında dışarı açmayacağınız için sql için dış tehdit olmayacaktır. Güvenliğin diğer kısmı kullanıcı tarafına bakıyor. 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 18/01/2022 12:58

Engin YOLDAŞ
(@enginyoldas)
Üye

@ibrahimyildiz Evet haklısın biraz karışık olmuş. Şu anda tek adet l3 swich var elimde.L2 bir swich daha edinip İki siwich fiber le bir birine bağlamalıyım. L2 den bütün terminalleri bağlamam gerekiyor. Ayrıca Burada Vlan oluşturup Bu vlan ları L3 swich de birleştirmem gerekiyor. Sunucum ve nas ve Sophos u L3 swich den bağlayacağız. Terminaller L2 swich den gelecek. Terminal Bağlantılarından saldırı geldiğini varsayıyorum. Sunucuyla iletişimi varken nasıl korunacak peki.L3 swich bunu nasıl engelliyor. Mantığını anlamaya çalışıyorum. 

CevapAlıntı
Konu başlatıcı Gönderildi : 18/01/2022 13:15

Engin YOLDAŞ
(@enginyoldas)
Üye

Yada şu şekilde özetlesek. Bir adet Dl380 Gen 10 sunucum var. L3 24 port swich var 20 adet de terminal var. bir adet daha swich ekledik bu yapıya L2 Qnap cihazımımı ve sunucuları siz olsanız nasıl bir yapıyla Kurardınız .Teşekkürler

CevapAlıntı
Konu başlatıcı Gönderildi : 18/01/2022 13:18

ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye Forum Yöneticisi

L2 sw'lerde dikkat edilmesi gereken ürünün özellikleridir bazı ürünlerde maliyet kaygısıyla vlan, stp vs kısıtlı olarak sunuluyor bu L2 mimarisi ile ilgili değil ürün, modeller ile ilgili.
Sorduğun nokta için bu konuları araştırabilirsin.
https://www.beyaz.net/tr/guvenlik/makaleler/seviye_2_layer2_guvenligi_nedir_ve_nasil_saglanir.html

Client ve attack parantezi geniş ne anlaşıldığı önemli, fiziksel katman yalıtımı ile bitmiyor. Daha bunun ap, av, mail vs filtering'i var kobiler için de. Fw zaten varmış.

Son yalın yazdığınız öncekilerde kafayı fazla karıştırdığınızı düşündürüyor.:)
Bu adetli bir yapıda 2. sw gerekli değil normalde maliyet, yeterlilik konusudur fakat şimdi farkettim 20 clientlık ortamda 24 port size yetmez. Diagram çizmediğiniz için bence göremiyorsunuz tam senaryoyu. Önce bunu halledin sonra departman veya diğer ilişkilere göre üzerinde vlan ağacını çalıştığınızda makalelere bakarak yapmanız gerekenler anlaşılacaktır.
Bütün sanallar tek bir sunucuda... bunların routing, policy fw da... qnap'ı da client'ların işi yoksa direkt sunucuya bağlayın, artık bandw. talebiniz envanter ve alımlarınıza bağlı, erişimlerini güvenlik policy makalelerine göre ayarlayın. Client'lar, ap gibi wifi vs sağlayıcılar 24'lük bir sw de toplayın. Sunucu, router, fw bacakları ayrı küçük bir sw de. Diğerindeki vlan grouplar bunda hangi port'lara gideceği daha rahat tanımlanır. L3 elde etmeye çalışın.
Bu yapı küçük ama diag ve programı oluşturduktan sonra fiziki danışmanlık almanız mutlaka hata yapmayı önleyecektir.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 18/01/2022 15:22

Engin YOLDAŞ
(@enginyoldas)
Üye

@ibrahimyildiz  Teşekkürler elimde şu an 1 adet l3 swich 24 port 1 adet de 48 port 1920s hp swich var bu yapıya göre sizinde de önerilerinizle araştırıyorum vlan yapısını bu konuya hakim değilim. vlan ları oluşturup l3 swich de yapıları nasıl ayrılır araştırıcam kaynak varmıdır bu konuda önere bileceğiniz okuyup tecrübe ve bilgi sahibi ola bileceğim

CevapAlıntı
Konu başlatıcı Gönderildi : 18/01/2022 21:06

Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba,

Bu video belki yardımcı olabilir

https://tv.cozumpark.com/video/688/Cisco-Egitim-Serisi-22-Cisco-Virtual-Local-Area-Network-VLAN

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 18/01/2022 21:34

Engin YOLDAŞ
(@enginyoldas)
Üye

@ibrahimyildiz Üstadım Burada vlan mantığını anlamaya çalışıyorum.Kusura bakma  seni de meşgül ediyorum ama kabaca şöyle özetlesem

Sunucum vlan1 de 192.168.10.2 den başlıyor 6 da bitiyor. qnap da burada fiziksel sunucum lan sophos da farklı netwok de. sanal makinalarım fiber ile swich e bağlı 2 port fiber ethernet ile

vlan 10 192.168.10.10 dan başlıyor 15 bitecek

vlan 20 192.168.10.16 dan başlıyor 20 de bitecek

vlan 30 192.168.10.20 de başlıyor 25 bitecek

Güvenlik duvarı 192.168.10.1 swich e bağlı.

Elimizde 1 adet L3 extreme swich var. 2ci swich 1920s malesef eski bir swich. İdari yapımı tek bir swich üzerinden yapı oluşturacağım.

Terminal sayım 15 Sizin yazdıklarınızdan anladığım kadarıyla Şunları yapmam gerekli 

Vlan 10 20 30 oluşturuyorum swich tarafında. Daha sonra bu vlan ları vlan1 ile konuştaracağız. buraya kadar doğrudur umarım.

Bundan sonra neler yapmam gerekli peki. Sanal sucumla iletişim kuracak terminaller. Peki arada iletişim varken attack lara nasıl engel olacağız bunu anlamadım. Burada adımlar konusunda yardımlarınızı bekliyorum. Teşekkürler

CevapAlıntı
Konu başlatıcı Gönderildi : 18/01/2022 22:02

Engin YOLDAŞ
(@enginyoldas)
Üye

@hakanuzuner teşekkürler izliyorum şu anda

CevapAlıntı
Konu başlatıcı Gönderildi : 18/01/2022 22:04

Serkan Ateş
(@SerkanAtes)
Üye
Gönderen: @enginyoldas

Bundan sonra neler yapmam gerekli peki. Sanal sucumla iletişim kuracak terminaller. Peki arada iletişim varken attack lara nasıl engel olacağız bunu anlamadım. Burada adımlar konusunda yardımlarınızı bekliyorum. Teşekkürler

Vlan ile ağlarınızı ayırdığınızda ağ geçidinizin yetenekleri oranında ağlar arası trafiği yönetmeye başlarsınız. Fikir vermesi açısından kısa bir örnek vereyim.

Sunucu Vlan
1 Adet SQL Server

Muhasebe Vlan
10 Adet istemci

Printer Vlan
10 Adet Printer

Kamera Vlan
50 Adet Kamera

Şimdi örneğimizi inceleyelim. Bu gruplardan sunucuya erişmesi gereken sadece Muhasebe Vlan'ı çünkü muhasebe programı kullanıyor. Diğer Vlanların Sunucu Vlan'ına erişimini kısıtlıyoruz. Ancak Muhasebe Vlan'ının da sunucu tarafına sınırsız erişmesi gerekmiyor. TCP 1433 üzerinden erişimi yeterli olacaktır. Şu anda sunucunuz sadece muhasebe ağından gelecek sql saldırılarına karşı savunmasız olacak diğer networkler zaten risk oluşturmayacak. Ancak ağ geçidinizde bir saldırı tespit sistemi mevcut ise bu durumda sql saldırılarıda tespit edilip gerekli önlemler alınmış olacak. Temel mantık bu şekilde, örneği kendi ihtiyaçlarınıza göre özelleştirebilirsiniz.

İyi çalışmalar.

CevapAlıntı
Gönderildi : 18/01/2022 22:34

ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye Forum Yöneticisi

Evet doğru yoldasın videolarda vlan vs yaz başka videolar da var mış. Makaleleri felan da var portalda.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 18/01/2022 22:35

Engin YOLDAŞ
(@enginyoldas)
Üye

@SerkanAtes Teşekkür ederim Şimdi anladım. Bizde Logo Kullanılıyor. Malesef bütün terminaller kullanıyor. Ama yinede çok makul. Sadece logo yazılımın çalışa bileceği portların geçişine izin verirsek sql sunucu üzerinde diğer saldırılar dan muaf oluruz. Peki Üstadım yapıda 1 dcsunucu ve 1 adet file sunucu da var. terminaller bundan da yararlanıyor. Güvenlik duvarı tarafında ip mac eşleşme çalışıyor.

CevapAlıntı
Konu başlatıcı Gönderildi : 18/01/2022 22:41

Engin YOLDAŞ
(@enginyoldas)
Üye

@ibrahimyildiz Teşekkür 

CevapAlıntı
Konu başlatıcı Gönderildi : 18/01/2022 22:42

ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye Forum Yöneticisi

https://www.cozumpark.com/community/security-4/510013/
https://www.cozumpark.com/community/windows_server-4/448608/
https://www.cozumpark.com/community/network-4/448782/
https://www.cozumpark.com/community/network-4/512510/
https://www.cozumpark.com/active-directory-guvenligi-icin-10-temel-oneri/
https://www.cozumpark.com/server-2019-active-directory-guvenlik-onerileri/

yani daha bakılabilecek çok şey var.:)
Açıkçası herşeyin temelden tekrar yazılması beklentiniz doğru olmaz web uygulanmış bilgi kaynıyor. Oturup base anlatmak vakit işi Serkan gibi çok adam bulamazsınız her zaman 🙂
Kısaca Fw üzerinde port alias grouplar ile port listelerini rulelayabilirsiniz fakat bunların yoğunluğunun yük oluşturduğunu da bilmeniz gerekir. Örneğin RDS den bahsettiniz client'lar aptal makine gibi birşey olacaksa direk Files. ile konuşması gerekmez RDS üzerinden daha kolay kontrol edebilirsiniz. ACL konusunu öğrenin, yapıyı vlan yapayım derken içinden çıkılmaz hale sokarsanız hem cihaz yedekliliğiniz yok patlarsınız hem de perf. sorunlarıyla uğraşırsınız. Zaten o yüzden de bu projeye adımları öğrenmek için zaman tanımak yada danışmanlık almanız lazım.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 19/01/2022 00:08

Engin YOLDAŞ
(@enginyoldas)
Üye

@ibrahimyildiz Teşekkür 

CevapAlıntı
Konu başlatıcı Gönderildi : 20/01/2022 01:03

Paylaş: