Forum
Merhaba Arkadaşlar ,
Şirketlerin iç güvenlik yapılarında genellikle kullanılmakta olan 3-4 tane arka arkaya firewall'ın konumlandırma şekillerine örnek ve faydaları neler sağlar ve nasıl olmalıdır ?
Örnegin dış dünyadan içeri girene kadar fortinet firewall fortinet arkasında juniper firewall onun altında pfsense yada v.b. cihazların olduğu gibi durumlar ve yapılar olmakta.Yani iç dünyadan dış dünyaya çıkana kadar süreçte 3-4 firewall arasından geçerek koruma sağlanmakta.Bu durumda içeriden dışarı dışarıdan içeri geçiş sırasında güvenlik katmanları ve ayarlaması ortalama bir şirket için nasıl olmalıdır yapı normal şirket ihtiyaçları mail,internet kullanımı,vpn yada uzak masaüstü düşünülerek nasıl olmalıdır.Konuyu güvenlik forumunda bulamadım konu hakkında bilgisi olmayan arkadaşlara genelde geçen bu terimler ve yapılar ile ilgili bilgi sağlarken yardımcı olacağını düşünerek böyle bir konu açmak istedim bilgisi olan arkaşların bilgi ve tecrübelerini paylaşmalarını rica ederim.
Merhaba Arkadaşlar ,
Şirketlerin iç güvenlik yapılarında genellikle kullanılmakta olan 3-4 tane arka arkaya firewall'ın konumlandırma şekillerine örnek ve faydaları neler sağlar ve nasıl olmalıdır ?
Örnegin dış dünyadan içeri girene kadar fortinet firewall fortinet arkasında juniper firewall onun altında pfsense yada v.b. cihazların olduğu gibi durumlar ve yapılar olmakta.Yani iç dünyadan dış dünyaya çıkana kadar süreçte 3-4 firewall arasından geçerek koruma sağlanmakta.Bu durumda içeriden dışarı dışarıdan içeri geçiş sırasında güvenlik katmanları ve ayarlaması ortalama bir şirket için nasıl olmalıdır yapı normal şirket ihtiyaçları mail,internet kullanımı,vpn yada uzak masaüstü düşünülerek nasıl olmalıdır.Konuyu güvenlik forumunda bulamadım konu hakkında bilgisi olmayan arkadaşlara genelde geçen bu terimler ve yapılar ile ilgili bilgi sağlarken yardımcı olacağını düşünerek böyle bir konu açmak istedim bilgisi olan arkaşların bilgi ve tecrübelerini paylaşmalarını rica ederim.
Arka arkaya firewall konumlandıran tüm arkadaşlara sesleniyorum. Pazarda Limon satmanız daha mantıklı. Gelelim neden ?
Günümüzde hemen hemen tüm yapılar NAT arkasında çalışmaktadır bunun getirisi ise dışarıdan içeriye siz bir yol açmadı iseniz ya da içerden bir kullanıcı dışarıdan içeri sızılabilecek bir yol açmadı ise ( team viever, logmain vb... ) birisinin sizin yerel ağınıza sızması mümkün değildir. Bu durumda pazardaki limoncu sayısının artması gerekmektedir.
Arka arkaya firewall yapılandırmak sadece sizin işinizi zorlaştıracaktır, sorun durumunda sorunu bulma işi zorlaşacaktır. Yıllardır insanlara garip garip sebeplerle tonlarca paralık cihazlar satıyorlar. Güvenlik yanlış anlaşılıyor ve internetten içeri sızılıyor sanılıyor. Aslında olay tam tersi içerden dışarıya kapı açılıyor. Durum bu olunca yapılması gereken içerden dışarı olan hareketleri kontrol etmektir.
İdda ediyorum herhangi bir DrayTek modem ile yukarıda ard arda firewall cihazı konumlandıran arkadaşlardan daha sıkı ağ güvenliği sağlayabilirim :D.
Ertan Bey ,
Cevabınız için alaycı bir şekildede olsa görüşünüzü belirttiğiniz için teşekkürler.Fakat ben neden böyle alaycı bir şekilde cevap verdiğinizi anlayamadım.
Burada gerek bizler bildiklerimizi netleştirmek gerek bilmediklerimizi ögrenmek ve bu güvenlik forumu altında sıkça rastlanan terimlerden olduğunu düşündüğüm ve bu konuda bilgisi olmayan arkadaşlara yardımcı olmasını düşünerek böyle bir konu açmayı düşündüm.Ben bir güvenlik yazılımı yada güvenlik cihazı satıcısı değilim fakat her cihazın kendine göre artı ve eksileri olmakta cihazlarda birbirlerine göre değişkenlik göstermekte ve içeri saldırı yapan kişinin 1 adet ürünü içeri koyarak aşmasımı daha kolay yoksa ard arda koyulan farklı marka cihazlar ile çalışma sistemleri ve güvenlik sistemleri farklı olan sistemleri aşmasımı daha kolay olacaktır.Bunları dikkate alarak konu ile ilgili bilgisi ve tecrübesi olan kişilerin bilgisi olmayan arkadaşlara muhakkak faydası olacaktır.
Pazarda limon satılması ile ilgili burada bulunan birçok insan bilgi düzeyleri gerek çok iyi gerek çok az ama burada buluşma sebeplerinin bilgilerini ve sorularının rahatça rencide edilmeden yada farklı meslek grupları küçük görülmeden paylaşmalarıdır.Ben değer verdiğim bu forumun böyle olduğuna inanıyorum.Bu cihazları kullanan,kullanmayan yada kullanmayı düşünen kişiler için veya sizin tabiriniz ile pazarda limon satanlar için böyle bir yorum forumumuza yakışmamaktadır.
Cevabınız ve ilginiz tekrar teşekkür ederim.
Ufuk Bey,
Temelde şunu söylesem sanırım neden bu tür bir cevap verdiğimi anlarsınız. Bir dizi UTM ürünün ard arda dizilmesinden bahsediyoruz değilmi ? Bakalım bu UTM lerin arda arda dizilmesi için öğrenilmesi gereken nelere var.
1. OSI katmanlatı
2. IP Clasları
3. NAT sistemi
4. Temel Ağ yapıları ( Layer 1 den Layer 3 kadar olan kısımdır )
5. Gelişmiş ağ yapıları ( Layer 4 ile başlar Layer 7 ile son bulmaz elbette ama son katman bu )
6. Servislerin çalışma mantıkları ( Web Sunucu, DNS Sunucu, FTP Sunucu vs... )
Şimdi yukarıdaki soruyu soran herhangi bir kişinin ilk önce bunları bilmesi lazım ki sonrasında exploit, virüs, malware gibi sistemlerin çalışma mantıklarını incelesin. Şahsım adına ben kendimi yukarıda saydıklarımın 4 ile 5 katmanın arasında geçiş durumunda görüyorum. Elbette bu saydıklarım hali hazırda işin sonu değil bundan sonrasında daha tonla katman var ki hali hazırda buradaki 5 inci kısım ve üstünde insanlar sınıflara ayrılırlar.
Şimdi gelelim Limon meselesine, Limon satmanın ayıp olduğunu yada kötü bir meslek olduğunu sanmıyorum sadece bilgi gerekliliği azdır bu nedenle örnek verdim, al sat basit ticaret kendi adıma yapmayı düşündüğüm ticaret şekillerinden. Alaycı bir tavır değil benim kisi, sinirli bir tavır. Sinirin sebebi yukarıda ki sorudan önce sorulması gereken tonla soru var ama hüp en üstünü sor nasılsa altı gelir. Bunun Türkçe deki kelime karşılığı ise " araştırma yapmamak", burada soru sormak bir arştırma mıdır ? evet araştırmadı ama soru şu şekilde sorulsa doğru bir araştırma sonucu ulaşılmak istenen bir nokta olduğu bizim tarafımızdan anlaşılır ve elimizden ne geliyorsa bilgimiz neye yetiyorsa yardımcı olmaya çalışılır. Bakın aynı soruyu ben sorayım bakalım bir fark olacak mı ?
" Merhaba Arkadaşlar,
Birçok forumda ve araştırma yazılarında arda arda birçok firewall cihazının kullanıldığını okudum. Hali hazırda bu firewall cihazlarının kendi core kısımlarındaki hataları gidermek ya da aplication sistemlerindeki eksikleri birbirlerine gidertmek için yapılıyor gelin görün ki bu kadar güvenlik sonunda idare zorluğundan dolayı güvenliksiz getirecek ve hata tespiti gibi çalışmalarda sorun çıkartacaktır.
İşin temeline gelirsek öğrenmek istediğim bu tür yapıların bana göre olan bu zararlarına karşın ne tür yararları olabilir ?"
İşte bu bu seviyede bir yapı için sorulabilecek sorudur.
Unutmadan, yukarıda bahsi geçen tüm markalar firewall değil UTM üretirler firewall bu cihazların sadece özelliklerinden birisidir.
Ertan Bey ,
Konu ile ilgili verdiğim cevap sinirden diye belirtmişsiniz fakat ben burada insanları sinirlendirecek yada kızdırıcak bir açıklama yada beyan v.b bir kelime yada cümle kurmadım.Amacım önce yazdığım cevabımdada belirtmiş olduğum gibi herkesin fikrini almak.Ortalama olması gerekn diye belirttim ve ortalama çalışan uygulamalara örnek olarak herkesin bilgisini paylaşarak bilgi sahibi olması.Hüp diye araştırmadan soru sorduğumu söylemektesiniz.Fakat ben oturup burada bitirme tezi yazacak bilgim var ise bu kadar detaylı bir konu hakkında oturur a'dan z'ye bilgim dahilinde tüm arkadaşlara faydalı olacak bir şekilde makale yazar herkesinde bilgi sahibi olmasını yardımcı olurum.Sinirlenmenize gerek yok ve bana böyle bir şekilde sinir sebebim şu diyede cevap vermenize gerek yok burası bir paylaşım ve bilinmeyenlerin bilenlerin yardımı ile cevap bulduğu forum.Eğer sinirlendiğiniz bir durum var ise sizi tanımam sizde beni tanımazsınız sinir oluşması için bir durum yok.Sinirlenmeye gerek yok.Ozaman burada herkes acaba karşımda ki ögretmen ögrenci gibi bana kızarmı diye düşünür buda çok hoş değil.
Fark kısmına gelirsek benim sorum ile sizin sorunuz arasında şu kısmı 2 cevabıda karşılaştırın arada farkmı cevabıda bence siz verin.Açmış olduğu konunun başlığında neler sağlar ve nasıl olmalı bulunmakta.
Açmış olduğum konuda hepsinin utm üreticisi olduğunu belirtmişsiniz verdiğiniz cevap'da bilen yada bilmeyenler için faydalı bir bilgi cevabınız için teşekkürler.
Ufuk Bey,
Hala konuyu yanlış anlıyorsunuz. Benim sinirim sizin şahsınıza karşı değil, sektörün geldiği duruma. Sizi kırmak istemem ama sektör öyle bir hal aldaki firmalar kafalarından OSI katmanı üretir insanları yanlış bilgilendirir ve saçma sapan yapılar kuru hale geldiler. Insanlar artık paranoyak olmuş durumda her yerde güvenlik arıyorlar.
Bakın bilgim dahilinde size basit bir bilgi vereyim. Yıllar önce dinlediğim iki konuşma benim hayatıma yön verdiler belki size de ilham kaynağı olurlar.
1. Dünyanın en güvenli bilgisayarı, üretildiği andan itibaren hiç açılmamış ve kullanılmamış ve bir kasada saklanan cihazdır.
2. Dünyanın en sağlam firewallı her yöne tüm port ve nonTCP servislerinin kapatıldığı cihazlardır.
ikisinden ben çok çıkarım yaptım tabi ana ilham kaynağım başka, O dinimle ilgili ve ilk emir OKU!
Teşekkürler cevabınız için.İlham kaynaklarımız aynı.
Amacım basitde olsa bilgisi olmayan yada eksik bir bilgimiz var ise benimde bunu tamamlamak.Bu konuda sektöre yeni başlıyan terim ve uygulamaları bilmeyen kişilere bilgilendirilmesini faydalı olacagını düşünerek konuyu açtım.
Firmaların tutumlarına karşı size sonuna kadar katılıyorum.Bu kadar bilgi karmaşası varken dediğiniz gibi heryerde güvenlik aranıyor ve paranoya artıyor.
Bu sebeple kavram ve yapıyı herkes bilgisi dahilinde paylaşırsa ve yorum yaparsa karmaşık terimler olmadan mümkün olan en sade hali ile ve yaşanılan tecrübelerle; İnsanlarda türkiyede bilişime genelde ayrılan sınırlı bütçeye karşı bu tarz sistem ve uygulamaları alırken bilgi sahibi olmaları ve yatırım yaparken ihtiyaçlarını daha doğru belirlemelerine yardımcı olmaktır amacım.
Cevap ve ilginiz için teşekkürler.