Forum

Load Balancer / Por...
 
Bildirimler
Hepsini Temizle

Load Balancer / Port Yönlendirme / Köprüleme

4 Yazılar
2 Üyeler
0 Reactions
1,045 Görüntüleme
(@SemihTUNALI)
Gönderiler: 32
Trusted Member
Konu başlatıcı
 

Selam,

Load Balancer ya da Port Yönlendirme gerekiyor.

Ama bildiğiniz üzere, bu gibi durumlarda yönlendirme sonucu client ip yerine Load Balancer ya da Port Yönlendirici bilgisayarın ip si elde edilmekte.

Bunun için HTTP nin X Forwarded For etiketine Client ın ipsi eklenebiliyor.

Ama ben Port Yönlendirici ya da Load Balancer yapan bilgisayara herhangi bir SSL sertifikası tanımlamak istemiyorum. Güvenlik nedeniyle tabii ki.

Dolayısı ile, HTTP nin X Forwarded For etiketine bir bilgi eklenemiyor çünkü SSL ile açılamadığından şifreli.

Bir uzman önerisine ihtiyacım var, desteğinizi esirgemeyiniz lüften.

Teşekkür ederim.

 
Gönderildi : 26/01/2018 23:15

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Merhaba,

NLB bir cihaz değil mi siz bir bilgisayar mı kullanıyorsunuz bu iş için?

Port Yönlendirici ya da Load Balancer yapan bilgisayara herhangi bir SSL sertifikası tanımlamak istemiyorum

Bu tanım yanlış, burada herhangi bir güvenlik açığı olamz tam tersi bu kabul görmüş bir standarttır.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 27/01/2018 01:14

(@SemihTUNALI)
Gönderiler: 32
Trusted Member
Konu başlatıcı
 

Merhaba,

NLB bir cihaz değil mi siz bir bilgisayar mı kullanıyorsunuz bu iş için?

Port Yönlendirici ya da Load Balancer yapan bilgisayara herhangi bir SSL sertifikası tanımlamak istemiyorum

Bu tanım yanlış, burada herhangi bir güvenlik açığı olamz tam tersi bu kabul görmüş bir standarttır.

Merhabalar,

Bazı konularda size katılmadığımı, aynı görüşte olmadığımı söylemek isterim. Sorun aktarımı sağlayan "şey" in formu, biçimi ya da şekli değil, bu bir cihaz olabilir, bir gömülü sistem ya da bir yazılım. İşin nasıl yapıldığından bağımsız bir şekilde, buradaki sorun, bu cihazları kullanırken SSL sertifikası yüklememek. Ortak kullanılan bir sistemde neden SSL sertifikası tanımlansın, hele ki, bir senaryoya hikayeye göre yüzbinlerce kişinin taleplerinin taşındığı bir bilgisayar ya da yönlendirici ya da sizin tabirinizle cihazda ?

Bu cihaz sizin mülkiyetinizde değil, uzaktaki tanımadığınız bir balancer ise, tüm http paketler dinlenebilir demek değil midir ? Bu bir risk değil midir ? Bu risk için bir güvenlik önlemi alınması gerekmez midir ? Sizin hatalı yanlış tanım addettiğiniz husus, localde aynı kişiye aynı güvenlik standartlarına sahip sistemler için geçerlidir. Serverlar ile balancer aynı yerde ise, balancer a güvenmiyorsun da, server niye orada diyebildiğiz durumlarda misal.

Bu bir standart olabilir sizin düşüncenize göre. Ama mülkiyeti ayrı kişilerde olan ve aynı localde olmayan durumlarda olsa olsa bir zaafiyet standardı addedilebilir belki.

www.citrix.com/blogs/2016/04/25/how-to-enable-client-ip-in-tcpip-option-of-netscaler/ makalesini okumanızı tavsiye ederim.

Burada HTTP de olduğu gibi TCP / IP için client ip değeri için özel bir başlık tanımlaması yapmışlar. Niye yapmışlar, port yönlendirme / köprü ya da balancer hizmetini kullanacak, ama SSL sertifikasını düğün davetiyesi gibi her yere dağıtmak istemeyen kişiler için yapmışlar herhalde.

Belki sizin tabirinizle standartın dışına çıkmışlar.

Bu arada, bir custom load balancer yazılımı üzerinde araştırma yapıyorum. Dolayısı ile, bu işi yapan gömülü sistemlere / cihazlara da bir program yükleniyor değil mi ?

Kısacası yukarıdaki linkteki makale gibi özel bir çözüm gerekmekte.

Saygılar...

 
Gönderildi : 27/01/2018 01:58

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Merhaba,

Öncelikle bana katılmak zorunda değilsiniz tabik, günün sonunda burada kimse otorite değil, ama burada zaten ortak noktada bulunmamamız çok normal. Çünkü sizin senaryo son yazdığınız bilgilerden sonra bende daha çok oturdu. Yani aslında soruyu şöyle sorsaydınız benim cevabım ( müşterilerim çok iyi bilir) çok farklı olur;

Benim bir platformum var, hosting firmasında ve onların NLB cihazına benim örneğin yıldız veya bu sistemim için kullandığım sertifikanın private key' ini vermelimiyim?

Cevap tabiki hayır, neden müşterilerim bilir diyorum bırakın hosting firmasına, örnek müşterime X bir yazılım firması geliyor diyor ki sizin sisteme bağlanacağız vs bize yıldız sertifikası verin, bana geliyor konu hayatta olmaz kimdir onlar nerede kullanacaklar vs diyorum.

Özetle hosting firması ve parasal işler veya sizin için kritik bir sistem ise tabiki vermeyin ama madem ticaretini yapıyorsun bu durumda alırsın bir NLB cihazı kendin koyarsın olur biter.

Benim standart dediğim konu şirket içi senaryo, bakınız tüm şirket için NLB kullanımlarında bu bir standarttır.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 27/01/2018 14:40

Paylaş: