Zoque.Forum - View Single Post

komplike · 30.06.2006

Yanlış anlamadıysam TR'deki bir makinaya Firewall kurup Almanya'daki makinanı korumak istiyorsun?

Şöyle düşün; korumak istediğin bir ev var. Eve alarm sistemi ve/veya özel kilit sistemleri takmak yerine sen ön bahçeye bir bekçi kulübesi koyuyorsun ve "insanlar buradan geçsin, kulübedeki de kontrol etsin" diyorsun. Ama ev hala korumasız, arka taraftan da eve girilebilir. Şu anki mantığın aynen bu

Yani hiçbir koruma sağlamaz sana.

Firewall, korumaya aldığı makinaların tümünün önünde olmalıdır. Tüm giriş ve çıkışlar Firewall üzerinden yapılmalıdır. Dolayısıyla senin fiziki olarak aynı mekanda bulunan ve ağ giriş çıkışı itibariyle de sadece Firewall'u kullandığın bir sisteme ihtiyacın var.

Ayrıca "TR de bulunan bi sunucu dns isteklerini cevaplayacagından telekomun yurtdısı cıkışlarının rutin sorunlarından etkilenmez" demişsin fakat senin en son ulaşmaya çalışacağın makina Almanya'da ve her türlü yurtdışı sorunundan gene etkilenirsin. Çünkü yurtdışı bağlantı sorunlarında tek etkilenen DNS sunucuları olmuyor, tüm bağlantı da uçabiliyor Telekom sağolsun

Dedicated makinaya tam erişiminin olduğunu varsayıyorum, en iyi çözüm o makina üzerine bir Firewall yazılımı kurmak ve gerekli ayarlarını yapmak olacaktır. Mesela kendi IP adresini statik yaparak makinadaki yönetim programlarına sadece o IP'den ulaşılabilmesini sağlayabilirsin. Bunun dışında (aslında herkesin her şekilde yapması gereken bir şey bu) kullanmadığın Port'ları kapatman ve bazı genel bilinen Port'ları (SSH, SQL, vb.) da başka değerlerle değiştirmen güzel bir çözüm olabilir.

Bir de günlük olarak makinaya yapılan bağlantıların dökümünü mail ile alıp, muhtemel saldırı kaynağı görünümlü IP'leri (SSH'a root* ile yüzlerce kez bağlanmaya çalışmak ve başarısız olmak gibi) mevcut Firewall yazılımında bloklayabilirsin.

Bir başka çözüm, 3-4 tane dedicated makina kiralayarak SQL, File, mail sunucularına ayrı birer makina tahsis edebilir ve bunları dışarı kullanımına kapayabilirsin. Bu makinalara sadece, dışarıya açtığın web sunucusu vasıtasıyla içeriden ulaşırsın. Böylece önemli verilerin en yüksek seviyede güvenli olur, datacenter'ın yerel ağında.

* Sunucuya dışarıdan asla ve asla root bağlantı hakkı vermemek lazım! Her zaman için yetkisiz bir kullanıcı hesabı açıp ve ilk olarak onunla girip sonradan root olmak en güzel yöntemdir.

30.06.2006	#2 (permalink)
komplike Üyelik Tarihi: 17.04.2003 Yer: İstanbul Yaş: 24 Mesaj: 190	Re: iki uzak sunucu arası güvenlik... Yanlış anlamadıysam TR'deki bir makinaya Firewall kurup Almanya'daki makinanı korumak istiyorsun? Şöyle düşün; korumak istediğin bir ev var. Eve alarm sistemi ve/veya özel kilit sistemleri takmak yerine sen ön bahçeye bir bekçi kulübesi koyuyorsun ve "insanlar buradan geçsin, kulübedeki de kontrol etsin" diyorsun. Ama ev hala korumasız, arka taraftan da eve girilebilir. Şu anki mantığın aynen bu Yani hiçbir koruma sağlamaz sana. Firewall, korumaya aldığı makinaların tümünün önünde olmalıdır. Tüm giriş ve çıkışlar Firewall üzerinden yapılmalıdır. Dolayısıyla senin fiziki olarak aynı mekanda bulunan ve ağ giriş çıkışı itibariyle de sadece Firewall'u kullandığın bir sisteme ihtiyacın var. Ayrıca "TR de bulunan bi sunucu dns isteklerini cevaplayacagından telekomun yurtdısı cıkışlarının rutin sorunlarından etkilenmez" demişsin fakat senin en son ulaşmaya çalışacağın makina Almanya'da ve her türlü yurtdışı sorunundan gene etkilenirsin. Çünkü yurtdışı bağlantı sorunlarında tek etkilenen DNS sunucuları olmuyor, tüm bağlantı da uçabiliyor Telekom sağolsun Dedicated makinaya tam erişiminin olduğunu varsayıyorum, en iyi çözüm o makina üzerine bir Firewall yazılımı kurmak ve gerekli ayarlarını yapmak olacaktır. Mesela kendi IP adresini statik yaparak makinadaki yönetim programlarına sadece o IP'den ulaşılabilmesini sağlayabilirsin. Bunun dışında (aslında herkesin her şekilde yapması gereken bir şey bu) kullanmadığın Port'ları kapatman ve bazı genel bilinen Port'ları (SSH, SQL, vb.) da başka değerlerle değiştirmen güzel bir çözüm olabilir. Bir de günlük olarak makinaya yapılan bağlantıların dökümünü mail ile alıp, muhtemel saldırı kaynağı görünümlü IP'leri (SSH'a root* ile yüzlerce kez bağlanmaya çalışmak ve başarısız olmak gibi) mevcut Firewall yazılımında bloklayabilirsin. Bir başka çözüm, 3-4 tane dedicated makina kiralayarak SQL, File, mail sunucularına ayrı birer makina tahsis edebilir ve bunları dışarı kullanımına kapayabilirsin. Bu makinalara sadece, dışarıya açtığın web sunucusu vasıtasıyla içeriden ulaşırsın. Böylece önemli verilerin en yüksek seviyede güvenli olur, datacenter'ın yerel ağında. * Sunucuya dışarıdan asla ve asla root bağlantı hakkı vermemek lazım! Her zaman için yetkisiz bir kullanıcı hesabı açıp ve ilk olarak onunla girip sonradan root olmak en güzel yöntemdir. __________________ ... Some will win, some will lose Some were born to sing the blues ...

Sponsorlu Bağlantılar
Zoque.Forum Advertisement