Firmamıza ait lojmanlarda oturan personele internet hizmeti verme gündeme geldi ve projenin hayata geçirilmesine karar verildi.
Ethernet bağlantısı yada kablosuz ağ bağlantısı ile internet vermek istemedim. çünkü herhangi bir kullanıcıda çıkan virüs, spam, solucan gibi gibi zararlı kodların diğer kullanıcıları etkileyecek internet çıkışını sağlayan routerı saf dışı bırakabilecek ve bilgi işlemin zaten değerli olan vaktini daha da azaltacaktı. Ayrıca kullanıcıların bilgi gizliliği olmayacaktı.
En problemsiz ve doğru çözümün telekom alt yapısının aynısını kurmak olduğuna karar verdik.Bu çözümde kullanıcılardaki zararlı kodlar kendi ADSL modemini zorlayacak ve sistem geneline çok fazla bir zararı olmayacak. Kullanıcılar Firewall + NAT arkasından internete çıktığından diğer adsl kullanıcılarının PC’lerine sızması daha da zorlaşacak.Altyapı kurulumu yapıldıkdan sonra internet erişimi isteyen personel kendi ADSL modemlerini aldıkdan sonra bilgi işlemden adsl kullanıcı adı ve parolası isteyecekler.Verilen bilgiler doğrultusunda kullanıcı ADSL modemini ayarladıkdan sonra internete çıkabilicek.
Sistemin çalışma prensibi şöyle;
ADSL modem açıldığında PPPOE server arar ve server’ı bulduğunda internete çıkmak için kullanıcı adı ve parolasını bildirir. PPPOE server kendisine gelen hesap açma bilgilerini radius server doğrularsa ADSL modeme havuzdan ip verip internete çıkararır, doğrulayamazsa ip vermez ve kullanıcı da internete çıkamaz.
ADSL altyapısı için gereklilikler;
Servpoet server : Bu ürün kutu olarak satılan 1 U luk bir server olarak geldi ve Türk Telekomda bu serverlardan kullanıyormuş.Biz kullanmadık ama sisteme 1 den fazla radius server tanımlanabiliyor. Sistemin devamlı up olması açısından faydalı bir özellik. Server üzerinde 2 adet Ethernet kartı var. ADSL modemden gelen istekler diğer Ethernet kartı üzerinden Radius server’a gidiyor. Her şey normalse ADSL modemler 1.ethernetden gelip 2. Etherneti takip edip internete çıkıyor.
Log için firewall : Transparent moda çalışan firewall’ın monitoring bacağına Log server dan gelen Ethernet kablosu takılıyor. Böylece ortamdaki tüm data loglanabiliyor.
Radius server : Radius server için toplama 1 U luk bir server kullanıldı. Linux üzerine free-radius server kurulumu yapıldı. Auth. Metot olarak piyasada satılan modemlerin büyük çoğunluğu CHAP (challenge handshake authentication protocol) desteği var. PAP(password authentication protocol) ve CHAP desteği olan modeller de mevcut. Kullanıcı hesapları oluşturulurken ilk önce Free-radius’un olduğu makine üzerinde her kullanıcı için bir Linux hesabı açmamız gerekiyordu. Kurulum yapan fima bu şekilde sadece PAP desteği verebiliyordu. Kullanıcı modemlerinde PAP desteği yoksa yeniden modem almasın sistemi hem CHAP hem de PAP yapacak şekilde kuralım dedik. Bunun üzerine bu makineye free-radius’a ek olarak MYSQL + PHP kuruldu ve kullanıcı hesaplarını internet explorerdan ve uzakdan oluşturur hale geldik.Hangi kullanıcı hangi saatte hangi ip’yi almış ve hangi saatte hangi ip’yi bırakmış onu da görebildik. Radius ayarlarında kullanıcı hesapları için single log on yapabiliyoruz. Yani ilgili kullanıcının ADSL modemi aktifse farklı kullanıcılar aynı hesap bilgilerini kullanarak internete çıkamıyorlar. İlgili kullanıcının adsl modemi kapalı olursa farklı kullanıcılar aynı hesap üzerinden internete çıkabiliyorlar. Radius server, k.adı, mac id ve ip adres bilgilerini tuttuğundan kötü bir senaryoda problem çıkaran kullanıcı yakalanabiliyor.
IP DSLAM : Bizim almış olduğumuz DSLAMlar 24 portlu gruplar halinde satılıyordu ve 1 master 5 slave’e kadar cihaz takılabiliyor. Bizde 96 dahili hat bağlamak için 1 + 3 olarak takıldı. Master cihaz üzerinden slave cihazlarıda yönetebiliyoruz. Konfigürasyon web arabirimi üzerinden yapılıyor. ADSL hatların bant genişlikleri buradan ayarlanıyor. Ayrıca ADSL modemlere adsl sinyali DSLAM üzerinden gönderiliyor.
Telefon Santrali : İlla santral olması şart değil.DSLAM’dan evlere 2 tel gitmesi yetiyor.Bizim lojman tarafında siemens hipath serisi santral olduğu için biz onun üzerinden dsl dağıttık.
Log toplama makinesi : 5651 nolu kanun gereğince internet erişim hizmeti verenler log tutmak zorundalar. İnternet hizmeti para ile veriliyorsa loglar hash li şekilde saklanması gerekiyor. Yani loglar üzerinde oynama yapıldıysa anlaşılabiliyor. Biz firma personeline ücretsiz kullandıracağımızdan loglarıda hash li şekilde saklattırmadık. Logların geriye dönük olarak 6 ay saklanması gerekiyor. Log tutma amaçlı olarak ilk önce Windows üzerinde çalışan kiwi syslog programını kuruldu. Free kullanımda sadece logları göstermeye izin veriyor. Full kullanımda ise dışarıya text atabiliyor. Text atarken dosya boyutu 5 mb ın üstüne çıkınca yeni dosya oluştur. Yada her 2 günde yeni bir text dosyası oluştur diyebiliyorsun. Program ayrıca ODBC üzerinden herhangi bir database’e veri atabiliyor. Mesela SQL üzerine yazdırıp SQL de sch. Task olarak bir script çalıştırıp son 6 ayın öncesini her akşam sildirdikden sonra database’in istediğiniz kısımlarını dışarı atıp yedekleme yapabiliriz. SQL’i önermemin sebebi : 70-80 pc lik bir network de topladığınız logları kontrol etmek istediğinizde çok büyük bir database ile karşı karşıya kalabilirsiniz aradığınızı bulmakda zorlanabilirsiniz. Log dosyasının büyüklüğü içerdeki trafiği de bağlıdır tabiî ki. Deneme amaçlı olarak log topladığımda günde 100 mb gibi bir dosya boyutu çıktı. Kiwi programı lisanslı olmadığından Linux makine kuruldu ve loglar Mysql database’i üzerine konulmaya başlandı. Logları depolamak için 1 TB’lık sata hdd si olan bir makine ayrıldı.
Emniyet bizden dışarıdaki şu ip’ye içeriden kim girmiş bilgisini isterse izleyeceğimiz yol : Önce Log serverdan belirtilen zamanda içerideki hangi ip dışarıdaki ip’ye bağlanmış o bulunacak. Daha sonra radius server’dan belirtilen ip’yi içerideki hangi kullanıcı almış. Eğer kullanıcı ben belirtilen siteye girmedim şeklinde bir itirazda bulunursa (yani başka bir adsl kullanıcısı o kişinin kullanıcı adı ve parolasını belirterek internete çıkdıysa) yine radius serverda kullanıcı adına ek olarak MAC adresi bilgisi de tutulmaktadır.
Yine kanunen kullanıcıların loglarının tutulmasının mahkemelik bir durumda işe yaraması için kullanıcılar için bir ADSL sözleşmesi hazırlanması ve kendilerine imzalattırılması gerekiyor. Sözleşme içeriğinde” internette dolaştığım sitelerin kayıt bilgisinin tutulmasını kabul ediyorum” gibisinden bir ibare de olması gerekmektedir.
Router : Tüm lojmanın internet erişimini üzerinde 2 adet 4’er mbitlik adsl modemin bağlı olduğu load balancer cihazı vasıtası ile dağıttım. Load balancer kullanıcılara daha hızlı internet verilmesi açısından daha iyi bir seçenek. Load balancer’a uydu internet yada yakında çıkacak olan 3G destekli modemleri de bağlayabiliyoruz.
Dikkat edilmesi gereken noktalar :
İşi bir firmaya vermeden önce mutlaka detaylı bir teknik şartname hazırlanmalı şartnameyi kabul eden işi almalı. Söz uçar yazı kalır misali firma ile önceden konuştuğunuz şeyleri sonradan hiç konuşmamış gibi olabiliyorsunuz.
Cihazlarınızı UPS üzerinden beslerseniz sistem sorunsuz çalışıyor. Ya tüm kullanıcılarda sorun olabilir yada hepsi problemsiz olur. Sorunlar genelde merkezi çıkıyor. Sistemde kullanılan serverların biosları elektrik gidip geldiğinde otomatik açılacak şekilde yapılandırma yapıldı. Bu şekilde UPS de de sıkıntı olursa sistem otomatik yeniden açılacak duruma geldi.Binada jenarator mevcutsa ve UPS iniz kaldırabilirse sistem odasındaki klimayı da ups’e bağlayınız. Çünkü genelde klimalar elektrik gidip geldiğinde otomatik açılmıyor.
Not: Gördüğüm kadarıyla kadarıyla Türk telekomunda belli noktalardaki radius server’ı var. Eğer iş yerinizde sınırsız hattınız var evde sınırlı hattınız var ise akşam çıkarken iş yerindeki modemi kapatıp evinizdeki modeme iş yerinizdeki hesap bilgilerini girerek sınırsız internetin keyfini çıkarabilirsiniz.
Türk Telekomdan, sabit hat istemediğimiz halde internete çıkmak istediğimizi belirttik. Fakat Telekom sabit hatsız internet verilemeyeceğini belirtti. Telefon hizmeti verilmeden DSL hizmeti verilebilir. Bu hizmetle Telekomun her ay bizden almış olduğu haracın önüne geçmiş olduk.
Ethernet bağlantısı yada kablosuz ağ bağlantısı ile internet vermek istemedim. çünkü herhangi bir kullanıcıda çıkan virüs, spam, solucan gibi gibi zararlı kodların diğer kullanıcıları etkileyecek internet çıkışını sağlayan routerı saf dışı bırakabilecek ve bilgi işlemin zaten değerli olan vaktini daha da azaltacaktı. Ayrıca kullanıcıların bilgi gizliliği olmayacaktı.
En problemsiz ve doğru çözümün telekom alt yapısının aynısını kurmak olduğuna karar verdik.Bu çözümde kullanıcılardaki zararlı kodlar kendi ADSL modemini zorlayacak ve sistem geneline çok fazla bir zararı olmayacak. Kullanıcılar Firewall + NAT arkasından internete çıktığından diğer adsl kullanıcılarının PC’lerine sızması daha da zorlaşacak.Altyapı kurulumu yapıldıkdan sonra internet erişimi isteyen personel kendi ADSL modemlerini aldıkdan sonra bilgi işlemden adsl kullanıcı adı ve parolası isteyecekler.Verilen bilgiler doğrultusunda kullanıcı ADSL modemini ayarladıkdan sonra internete çıkabilicek.
Sistemin çalışma prensibi şöyle;
ADSL modem açıldığında PPPOE server arar ve server’ı bulduğunda internete çıkmak için kullanıcı adı ve parolasını bildirir. PPPOE server kendisine gelen hesap açma bilgilerini radius server doğrularsa ADSL modeme havuzdan ip verip internete çıkararır, doğrulayamazsa ip vermez ve kullanıcı da internete çıkamaz.
ADSL altyapısı için gereklilikler;
Servpoet server : Bu ürün kutu olarak satılan 1 U luk bir server olarak geldi ve Türk Telekomda bu serverlardan kullanıyormuş.Biz kullanmadık ama sisteme 1 den fazla radius server tanımlanabiliyor. Sistemin devamlı up olması açısından faydalı bir özellik. Server üzerinde 2 adet Ethernet kartı var. ADSL modemden gelen istekler diğer Ethernet kartı üzerinden Radius server’a gidiyor. Her şey normalse ADSL modemler 1.ethernetden gelip 2. Etherneti takip edip internete çıkıyor.
Log için firewall : Transparent moda çalışan firewall’ın monitoring bacağına Log server dan gelen Ethernet kablosu takılıyor. Böylece ortamdaki tüm data loglanabiliyor.
Radius server : Radius server için toplama 1 U luk bir server kullanıldı. Linux üzerine free-radius server kurulumu yapıldı. Auth. Metot olarak piyasada satılan modemlerin büyük çoğunluğu CHAP (challenge handshake authentication protocol) desteği var. PAP(password authentication protocol) ve CHAP desteği olan modeller de mevcut. Kullanıcı hesapları oluşturulurken ilk önce Free-radius’un olduğu makine üzerinde her kullanıcı için bir Linux hesabı açmamız gerekiyordu. Kurulum yapan fima bu şekilde sadece PAP desteği verebiliyordu. Kullanıcı modemlerinde PAP desteği yoksa yeniden modem almasın sistemi hem CHAP hem de PAP yapacak şekilde kuralım dedik. Bunun üzerine bu makineye free-radius’a ek olarak MYSQL + PHP kuruldu ve kullanıcı hesaplarını internet explorerdan ve uzakdan oluşturur hale geldik.Hangi kullanıcı hangi saatte hangi ip’yi almış ve hangi saatte hangi ip’yi bırakmış onu da görebildik. Radius ayarlarında kullanıcı hesapları için single log on yapabiliyoruz. Yani ilgili kullanıcının ADSL modemi aktifse farklı kullanıcılar aynı hesap bilgilerini kullanarak internete çıkamıyorlar. İlgili kullanıcının adsl modemi kapalı olursa farklı kullanıcılar aynı hesap üzerinden internete çıkabiliyorlar. Radius server, k.adı, mac id ve ip adres bilgilerini tuttuğundan kötü bir senaryoda problem çıkaran kullanıcı yakalanabiliyor.
IP DSLAM : Bizim almış olduğumuz DSLAMlar 24 portlu gruplar halinde satılıyordu ve 1 master 5 slave’e kadar cihaz takılabiliyor. Bizde 96 dahili hat bağlamak için 1 + 3 olarak takıldı. Master cihaz üzerinden slave cihazlarıda yönetebiliyoruz. Konfigürasyon web arabirimi üzerinden yapılıyor. ADSL hatların bant genişlikleri buradan ayarlanıyor. Ayrıca ADSL modemlere adsl sinyali DSLAM üzerinden gönderiliyor.
Telefon Santrali : İlla santral olması şart değil.DSLAM’dan evlere 2 tel gitmesi yetiyor.Bizim lojman tarafında siemens hipath serisi santral olduğu için biz onun üzerinden dsl dağıttık.
Log toplama makinesi : 5651 nolu kanun gereğince internet erişim hizmeti verenler log tutmak zorundalar. İnternet hizmeti para ile veriliyorsa loglar hash li şekilde saklanması gerekiyor. Yani loglar üzerinde oynama yapıldıysa anlaşılabiliyor. Biz firma personeline ücretsiz kullandıracağımızdan loglarıda hash li şekilde saklattırmadık. Logların geriye dönük olarak 6 ay saklanması gerekiyor. Log tutma amaçlı olarak ilk önce Windows üzerinde çalışan kiwi syslog programını kuruldu. Free kullanımda sadece logları göstermeye izin veriyor. Full kullanımda ise dışarıya text atabiliyor. Text atarken dosya boyutu 5 mb ın üstüne çıkınca yeni dosya oluştur. Yada her 2 günde yeni bir text dosyası oluştur diyebiliyorsun. Program ayrıca ODBC üzerinden herhangi bir database’e veri atabiliyor. Mesela SQL üzerine yazdırıp SQL de sch. Task olarak bir script çalıştırıp son 6 ayın öncesini her akşam sildirdikden sonra database’in istediğiniz kısımlarını dışarı atıp yedekleme yapabiliriz. SQL’i önermemin sebebi : 70-80 pc lik bir network de topladığınız logları kontrol etmek istediğinizde çok büyük bir database ile karşı karşıya kalabilirsiniz aradığınızı bulmakda zorlanabilirsiniz. Log dosyasının büyüklüğü içerdeki trafiği de bağlıdır tabiî ki. Deneme amaçlı olarak log topladığımda günde 100 mb gibi bir dosya boyutu çıktı. Kiwi programı lisanslı olmadığından Linux makine kuruldu ve loglar Mysql database’i üzerine konulmaya başlandı. Logları depolamak için 1 TB’lık sata hdd si olan bir makine ayrıldı.
Emniyet bizden dışarıdaki şu ip’ye içeriden kim girmiş bilgisini isterse izleyeceğimiz yol : Önce Log serverdan belirtilen zamanda içerideki hangi ip dışarıdaki ip’ye bağlanmış o bulunacak. Daha sonra radius server’dan belirtilen ip’yi içerideki hangi kullanıcı almış. Eğer kullanıcı ben belirtilen siteye girmedim şeklinde bir itirazda bulunursa (yani başka bir adsl kullanıcısı o kişinin kullanıcı adı ve parolasını belirterek internete çıkdıysa) yine radius serverda kullanıcı adına ek olarak MAC adresi bilgisi de tutulmaktadır.
Yine kanunen kullanıcıların loglarının tutulmasının mahkemelik bir durumda işe yaraması için kullanıcılar için bir ADSL sözleşmesi hazırlanması ve kendilerine imzalattırılması gerekiyor. Sözleşme içeriğinde” internette dolaştığım sitelerin kayıt bilgisinin tutulmasını kabul ediyorum” gibisinden bir ibare de olması gerekmektedir.
Router : Tüm lojmanın internet erişimini üzerinde 2 adet 4’er mbitlik adsl modemin bağlı olduğu load balancer cihazı vasıtası ile dağıttım. Load balancer kullanıcılara daha hızlı internet verilmesi açısından daha iyi bir seçenek. Load balancer’a uydu internet yada yakında çıkacak olan 3G destekli modemleri de bağlayabiliyoruz.
Dikkat edilmesi gereken noktalar :
İşi bir firmaya vermeden önce mutlaka detaylı bir teknik şartname hazırlanmalı şartnameyi kabul eden işi almalı. Söz uçar yazı kalır misali firma ile önceden konuştuğunuz şeyleri sonradan hiç konuşmamış gibi olabiliyorsunuz.
Cihazlarınızı UPS üzerinden beslerseniz sistem sorunsuz çalışıyor. Ya tüm kullanıcılarda sorun olabilir yada hepsi problemsiz olur. Sorunlar genelde merkezi çıkıyor. Sistemde kullanılan serverların biosları elektrik gidip geldiğinde otomatik açılacak şekilde yapılandırma yapıldı. Bu şekilde UPS de de sıkıntı olursa sistem otomatik yeniden açılacak duruma geldi.Binada jenarator mevcutsa ve UPS iniz kaldırabilirse sistem odasındaki klimayı da ups’e bağlayınız. Çünkü genelde klimalar elektrik gidip geldiğinde otomatik açılmıyor.
Not: Gördüğüm kadarıyla kadarıyla Türk telekomunda belli noktalardaki radius server’ı var. Eğer iş yerinizde sınırsız hattınız var evde sınırlı hattınız var ise akşam çıkarken iş yerindeki modemi kapatıp evinizdeki modeme iş yerinizdeki hesap bilgilerini girerek sınırsız internetin keyfini çıkarabilirsiniz.
Türk Telekomdan, sabit hat istemediğimiz halde internete çıkmak istediğimizi belirttik. Fakat Telekom sabit hatsız internet verilemeyeceğini belirtti. Telefon hizmeti verilmeden DSL hizmeti verilebilir. Bu hizmetle Telekomun her ay bizden almış olduğu haracın önüne geçmiş olduk.
Powered by ScribeFire.
1 yorum:
Süper bir bilgi, olayı baştan aşağı anlatmışın ama beni herzamanki gibi aşıyor:)
Yorum Gönder