Forum

DC Sunucusunun Netw...
 
Bildirimler
Hepsini Temizle

[Çözüldü] DC Sunucusunun Networktaki Konumu ve ilk yapılması gerekenler Hk

Seckin Cizer
(@seckincizer)
Üye

Merhaba

Active Directory için gerekli olan sunucu lisans vb gibi alım işlemlerini yaptık.

Şu şekilde olacak.

  • Vmware üzerinde Win Srv 2022 ile DC kuracagız.
  • Slave Vmware üzerine ise Win Srv 2022 ile ADC kuracağız.(Ana DC çökme vb ihtimallerine karşı) Bunları birbirine belirli periyotta replike ettireceğiz.

 

Yakın zamanda bir UTM FW aldık ve vlan yapılandırılmalarına başladık.50 pc yi vlana aldım.

  • Aynı zamanda bu UTM FW'nin bir portunu yönetilebilir bir switche bağlayıp ,bu switch'in arkasına da iç network sunucularını koymak istiyorum. Böylelikle içerden DMZ e karşı İps veya başka tür saldırı gibi durumları da bu UTM FW araya girmiş olacak. Sizce yaklaşımım doğru mu  veya farklı bir öneriniz olur mu

 

  • DC sunucusu iç networkte terminallerle aynı Vlan'da mı olmalı ? Yoksa farklı bir vlandamı olmalı?

Güvenlik açısından Data katmanından bir saldırı ihtimaline karşı sanırım farklı bir vlanda olmalı ? Ama farklı bir vlan'da olursa terminaller buraya erişirken bir routing'e maruz kalıp erişecekler , bu  terminallerin  DC'ye Login olurken/işlem yaparken vb yavaşlığa sebep olur mu ?

  • İlk başta hem DC yi hem de ADC 'yi yapılandırıp replike çalıştığını görmek istiyorum. İzlediğim sıralama doğru mu

Ve ilk kurulumda dikkat edilmesi gerekenler konusunda bir öneriniz olur mu ?

Yorumlarınızı rica ediyorum.

Konu Network ve güvenliği de içerdiği için yanlış yerde başlık açmış isem özür dilerim. Ana konu DC olduğu için buraya yazdım.

Teşekkürler.

Saygılarımla

 

Alıntı
Konu başlatıcı Gönderildi : 30/04/2022 18:33

Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba,

Adımlar doğru, DC veya diğer sunucular client vlan' dan ayrı olmalı ama gerekli portları tabi açmayı unutma.

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 30/04/2022 19:19

Seckin Cizer
(@seckincizer)
Üye

Merhaba Hakan Bey

Bilgilendirme için çok teşekkür ederim.

Saygılarımla

CevapAlıntı
Konu başlatıcı Gönderildi : 01/05/2022 11:06

Serkan Ateş
(@SerkanAtes)
Üye

İlk olarak network topolojinizi oluşturup yapılandırın. Sadece sunucular için değil, ihtiyaçlarınıza göre (printer, ip camera, server, admin, finance etc.) vlanlarınızı oluşturun. Anladığım kadarı ile vlanlarınızı switch üzerinde sonlandırmışsınız. Backbone switchiniz ne bilmiyoruz ancak vlanlarınızı firewall üzerine alıp ağlar arası trafiği buradan da yönetebilirsiniz. Bu şekilde ağlar arasında UTM cihazınızın sağladığı fonksiyonları (AV, DLP, APC) kullanabilirsiniz. Geçişte daha az problemle uğraşmak adına, Vlanlar arası trafiği ilk etapta genel olarak ayırıp vlanlar arasında ihtiyaç olan trafiğe tam izin verin. Örneğin, kamera vlanına erişim olacak vlanları belirleyin, sadece bu vlanlara izin verin, ancak ip veya port bazlı bir kısıtlamaya gitmeyin. Aynı kural diğer vlanlar içinde geçerli. Yapınız kararlı hale geldikten sonra trafik loglarını inceleyip ilgili kurallarınızı sadece ihtiyaç olan port ve iplere kısıtlayarak daha güvenli hale getirin. İlk kurulumda dikkat edilmesi gerekenler nedir şeklinde sorunuz olmuş. Açıkcası kurulum işin en kolay kısmı, ilk etapta yapınızı oluşturun. Domainizdeki organizational unitleri ve hiyerarşinize göre domain yapınızı tasarlayıp, yapmak istediğiniz erişimleri ve kısıtlamaları planlayın. Firewall'da olduğu gibi burada da aşama aşama ilerlemek faydalı olacaktır. Bir kerede mükemmel senaryoya ulaşmaya çalışmadan, parçalayarak kademeli yönetmek avantaj sağlayacaktır. Vlanlar arası routing nedeniyle performans sorunu yaşarmıyım şeklinde sorunuz olmuş. Eğer seçtiğiniz ürünler ihtiyaçlarınız için yeterli kapasitede ise hiçbir problem yaşamamalısınız. Aslında bu sorunuz satın alma öncesinde incelenip cevaplanmış olmalı.

Kolay gelsin.

CevapAlıntı
Gönderildi : 01/05/2022 16:05

Seckin Cizer
(@seckincizer)
Üye

Merhaba Serkan Bey

Cevabınız için çok teşekkür ederim.

NG FW cihazını ilk aldıgımızda bir topoloji çizip Vlanları oluşturdum.200 terminalimiz var. 50 terminali Vlana aldım , Birim birim devam ediyorum.

Vlanları Routing yaptığımız yer , NG FW cihazımız. AV, DLP, APC, İps ,attack defence ,apt defence vb Layer 7 e kadar desteği var.

Vlanları tam olarak dediğiniz gibi yapıyorum. Örneğin Kamera vlanına erişmeyecek Edge Switch var ise burada hiç tanımlama yapmıyorum ,erişecek yer var ise burayı dahil ediyorum.

Servis veya port bazlı kısıtlama yapıyorum. Hatta içerden DMZ bölgesine İps kontrolunude aktif ettim.

Ekte topolojiyi yolladım. Siyah ve Kırmızı alanlar mevcut durum. Mavi alan ise arzu ettiğim yaklaşım.

İNtranetteki sunucularımız şu an direkt layer 2 SW 'e baglı. Arada bir kontrol yok.Bu yüzden  NG FW 'den bir bacak çıkıp yeni alacagımız Core Switche takıp intranet sunucularını oraya taşımayı planlıyorum.

(En uçtaki Linux Firewalı belirli bir süre sonra iptal edeceğim.)

Bu ekteki tablo ile yaklaşımınızı ögrenme şansım var mı

Teşekkürler.

senaryo

 

 

CevapAlıntı
Konu başlatıcı Gönderildi : 01/05/2022 17:09

Paylaş: