İlginizi Çekebilir
  1. Ana Sayfa
  2. Server 2019
  3. A’dan Z’ye Şirketinizin Web Sitesini Kendi Sunucularınızdan Yayınlayın-1
Trendlerdeki Yazı

A’dan Z’ye Şirketinizin Web Sitesini Kendi Sunucularınızdan Yayınlayın-1

bg

Bu ilk makalemde tüm yönleri ve adımlarıyla kendi sitenizin, bünyenizdeki sunucular üzerinden yayınlanmasını ele alacağım. Öncelikle gereksinimleri gözden geçirelim:

  1. Domain adı alınması (Bu makalede Godaddy kullanıldı)
  2. Kendi bünyenizdeki WEB ve sunucular (Bu makalede Windows Server 2016 kullanıldı, 2012 ve 2019 da aynı şekildedir.)
  3. İnternet bağlantınızda statik IP (Simetrik internet bağlantısı tavsiye edilir, G.SHDSL ya da METRO)
  4. Elbette tüm sisteminizi korumak için yeni nesil güvenlik duvarı (bu makalede kullanıldı)

Sizlerde bir Firewall’unuz olmasa bile, evinizde sanal bir sunucu kurup, Godaddy’den bizim gibi 5-10 TL ye bir test ismi alıp, statik IP’niz var ise bu uygulamayı yapabilirsiniz. Bu arada minik bir tüyo vereyim. Godaddy genelde kampanya yaptığından, Godaddy Promo Code şeklinde aramalar yapıp bulduğunuz uygun Code’ları (.com adı için gibi özel olabiliyor) alan adınızın satın alma aşamasında deneyebilirsiniz. Benim 2 TL ye Domain adı almışlığım vardır ama sonraki yıllardaki alan adının güncellenmesinde yine yüksek fiyatlar çıkabilmektedir.

Domain Adı Yönlendirilmesi:

Domain adımızın alınması aşamada iki alternatifiniz var, eğer sonu .tr ile biten bir domain adı alacaksanız genelde nic.tr sitesinden, diğer domain adlarını ise bir çok alternatifi olan Domain/Hosting firmalarından alabilirsiniz. Biz bu makalemiz için mdemirkaya.xyz adında bir Domain adını bir öğrencim için Godaddy’den aldık. Bu arada meraklı arkadaşlar için açıklayım, makale boyunca IP adresimizi ve sunucu, Domain adlarını gizlemedim. Sebebi bu adresin sadece bu makale için alınmış bir test adresi olması ve sonrasında aynı yerde yayınlanmıyor olacağıdır. Domain adımızı aldıktan sonra bu adrese girmek isteyenleri kendi DNS sunucumuza yönlendirmek için ayarlarını değiştirmemiz gerekiyor. Bunun için DNS bölümüne girelim:

Resim-1

DNS kısmında en alttaki Ana Bilgisayar Adları kısmına giriniz:

Resim-2

Burada EKLE kısmına kendi DNS sunucumuzu eklemek için giriyoruz:

Resim-3

Bu kısımda ns1 ve ns2 isimlerini vererek kendi statik dış IP’mizi giriyoruz. Burası Name sunucuları olduğundan önemlidir ve aslında burada iki tane girilmesinin nedeni bir Name server cevap vermezse diğerini kullanabilmek içindir. Çünkü Name Server cevap vermez ise Web, Mail, Ftp vb. erişimlerin hepsi kesilir.

Resim-4

Resim-5

Her iki name server kaydımızı girdikten sonra görünüm şu hale gelecektir:

Resim-6

Şimdi de yine DNS içinde bulunan Ad sunucuları kısmından sistemin varsayılan ad sunucularını kendimizinkiler ile değiştirelim:

Resim-7

Ad sunucuları ekleme kısmında özel’i seçiyoruz:

Resim-8

Daha önce tanımladığımız kayıtları buraya giriyoruz ve kaydediyoruz:

Resim-9

Böylece aldığımız alan adının DNS çözümlemesini şirketimizin DNS sunucusuna yönlendirmiş oluyoruz. Dış dünyadan bizim sitemize girmek isteyenler öncelikle kendi DNS sunucularına soracaklar, onlar da Godaddy den aldığı bilgiler ışığında bu DNS çözümleme isteklerini bize yönlendirecek. Bu aşamada dış dünyadan gelen bu DNS sorgularını bizim kendimizdeki DNS sunucumuza yönlendirebilmek için port yönlendirmesi yapmamız gerekiyor. Bunun için de DNS sorgularının kullandığı UDP 53. Portu ve hazır yönlendirme yapmışken web sitesi erişimi için gerekli olan http portu TCP 80 ‘i de Fortigate den port yönlendirmesi yapalım.

Firewall Port Yönlendirme

Fortigate de Policy & Objects kısmında Virtual Ips bölümünde New Virtual IP deyip aşağıdaki ayarlara göre DNS port yönlendirmesini yapalım. Burada 10.0.15.101 IP si benim kendi DNS sunucumun local IP’si. Siz de kendi DNS sunucu IP’nizi yazmalısınız ve Interface kısmından internet erişiminizin olduğu interface’i seçmelisiniz. External IP Address kısmında bir IP bloğunuz var ve özel bir IP ye gelen yönlendirmeleri yapmak istiyorsunuz buraya o IP’yi yazmalısınız. Eğer tek IP’niz var ise bu IP’yi kullanmak istiyorsanız o zaman bu bölümü 0.0.0.0 bırakınız. Aşağıda port kısımlarının yazıldığı kısımda ise External Service Port dışarıdan kullanıcıların geldiği porttur. Map To Port kısmında ise içeride hangi porta yönlendirileceğidir.

 

Bu arada aklıma gelmişken kesinlikle uzak masa üstü bağlantı portunu (TCP 3389) orijinal olarak kullanmayınız. Birçok saldırının hedefi durumunda olursunuz. Bunun yerine External Port da 9890 gibi bilinmedik Port kullanıp alt kısımda Map To Port kısmında 3389 yazabilirsiniz. Böylece dışarıdan bağlananlar sadece bağlanacakları IP’nin sonuna :9890 yazıp yine bağlanabilirler.

Resim-10

Şimdi de web erişimi için http portu olan TCP 80’inci portu web sunucumuza doğru yönlendirelim. Siz yine benim web sunucumun 10.0.15.102 IP si yerine kendi web sunucunuzun IP sini girmelisiniz. Bu arada elbette DNS ve WEB sunucu aynı sunucu da olabilir ama genelde birden fazla yoğun çalışan rolü aynı sunucuya vermenizi tavsiye etmeyiz.

Resim-11

Şimdi de dışarıdan gelen erişimlerin bu Port yönlendirmelerini kullanarak içeri girmelerini sağlayacak kuralı yazalım.

Ipv4 Policy bölümünde New Policy deyip aşağıdaki gibi doldurunuz. Dışarıdan sunucumuza gelecek saldırıları durdurmak için de IPS de tanımlı olan Protect Http Server profilini seçiyoruz. Burada yine bir noktaya dikkat edelim. Bu IPS imzaları Default ayarlarında bırakılırsa bağlantıların ve cihazın performansı düşük olur. Çünkü gelen her bağlantıyı cihaz tüm işletim sistemlerinde, tüm web uygulamalarına göre, tüm seviyelerdeki binlerce saldırı imzasıyla karşılaştırır. Oysa bizim işletim sistemimiz Windows Server ve kullanıyoruz. Bir sonraki ekranda bu profesyonel dokunuşu da yapalım.

Resim-12

Şimdi kullandığımız IPS profilini kendi sistemimiz için özelleştirip, performansı artıralım. Öncelikle Security Profiles içinde Intrusion Prevention’a giriyoruz. Sağ üst köşeden protect_http_server’ı seçiyoruz.

Resim-13

Şimdi de Protocol: http yazan kısmı seçip, Edit Filter diyoruz:

Resim-14

Açılan imzalar şu andaki kontrol ettiği imzalardır. Burada Add Filter deyip kendi sistemimiz için gerekli olan imzaları seçerek özelleştireceğiz. Benim Demo için kullandığım ve aslında güncelleştirmeleri yapılmayan bu Fortigate’de 2389 adet http için imza yer alıyor. Bu güncel cihazlarda çok daha fazladır. Yani gelen her bağlantıyı 2389 imza ile karşılaştırıp öyle erişim izni veriyor demek.

Resim-15

Haydi özelleştirelim bakalım ne kadara düşecek:

Resim-16

Gördüğünüz gibi güzel bir özelleştirme yaptık ve iyi bir sonuç elde ettik. Apply deyip artık gönül rahatlığıyla kullanabiliriz:

Resim-17

Makalemizin ilk bölümünün sonuna geldik. Sonraki bölümde DNS ve WEB sunucularının kurulup ayarlarının yapılmasına değineceğim.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

TAGs: , , IIS, Fortigate, , Name server, DNS, WEB, .

Yorum Yap

Yazar Hakkında

Hacettepe ve Marmara Üniversitelerinden mezun oldum. Sonrasında Microsoft ve Cisco eğitimleri vermeye başladım. Türk Telekomda Ağ güvenliği ekibinde Kıdemlı takım liderliği , Çözüm Bilgisayarda Kurumsal bölüm müdürlüğü yaptım. Halende Neafor Bilişimde iş geliştirme müdürü olarak görev yapıyorum ve akşam ve hafta sonu sınıflarında Microsoft ve Cisco Eğitimleri vermeye devam ediyorum.

Yorum Yap

Yorumlar (2)

  1. 2 hafta önce

    Cok yararli oldu.Elinize saglik Sinan Hocam.

  2. Çok yararlı bir makale hocam elinize sağlık başarılarınızın devamını dilerim