BORSA İSTANBUL A.Ş. Uzaktan Erişim Ağı Site-to-Site VPN Altyapısı Kurulum Kılavuzu Sürüm: 1.1 Tarih: 09.01.2015
Döküman Tarihçesi Sürüm Tarih Değişiklik Özeti 1.0 24/12/2014 İlk Yazım 1.1 09/01/2015 Ekte bulunan başvuru formu ve Şekil-1 güncellendi. İÇİNDEKİLER 1. Amaç ve Kapsam...3 2. Site-to-Site VPN Altyapısı...3 3. Site-to-Site VPN Başvuru Adımları...6 EK : Borsa İstanbul Site-to-Site VPN Başvuru Formu...7 2 / 7
1. Amaç ve Kapsam Borsa İstanbul A.Ş. (BIST) ve üyeleri arasında Uzaktan Erişim Ağı (UEA) üzerinden emir iletiminin güvenli biçimde sağlanması amacı ile mevcut durumda kullanılmakta olan Client-to- Site VPN altyapısına ilave olarak Site-to-Site VPN bağlantısı için gerekli altyapı hazırlanmıştır. Devreye alınan yeni VPN altyapısı ile üyelerimizin emir iletiminde kullanabilecekleri iletişim altyapısı çeşitlendirilmiş olup mevcut yapıya göre aşağıdaki iyileşmelerin sağlanması hedeflenmektedir. Her bir istemci bilgisayar üzerinden ayrı ayrı VPN bağlantısı kurulmasının tek seçenek olmaktan çıkartılması, BIST ve üye tarafından gerçekleştirilen VPN altyapısı izleme, sorun inceleme ve sorun çözme faaliyetlerinde iyileşme sağlanması, Özellikle NASDAQ altyapısı ile gündeme gelecek olan tek istemci bilgisayar üzerinden birden fazla piyasaya bağlantısının desteklenmesi. Üyelerimiz tarafından mevcut durumda kullanılmakta olan Client-to-Site VPN altyapısında herhangi bir değişiklik bulunmamaktadır. Yeni devreye alınan Site-to-Site VPN altyapısı mevcut Client-to-Site VPN altyapısı ile eş zamanlı olarak kullanılabilecektir. Yeni VPN altyapısının kurulması ve kullanılması isteğe bağlı olup, bu konuda herhangi bir zorunluluk bulunmamaktadır. Client-to-Site VPN altyapısına ilave olarak Site-to-Site VPN altyapısını kullanmak isteyen üyelerimizin Site-to-Site VPN Başvuru Adımları bölümünde belirtilen şekilde BIST e başvurması ve sonrasında BIST ile koordineli şekilde gerekli bağlantının hayata geçirilmesi gerekmektedir. İşbu kılavuz zaman içinde güncellenebilecek olup, güncel hali www.borsaistanbul.com/uyeozel web sitemizden yayınlanacaktır. Site-to-Site VPN başvurusunda bulunacak üyelerimizin bu durumu göz önünde bulundurarak başvurularını güncel kılavuz çerçevesinde gerçekleştirmeleri önem arz etmektedir. 2. Site-to-Site VPN Altyapısı Yeni devreye alınan Site-to-Site VPN altyapısının Üye tarafı ve Uzaktan Erişim Ağı (UEA) üzerindeki yansıması Şekil-1 de belirtilmiştir. Söz konusu yapıda mevcut durumda çalışmakta olan ve yeni VPN altyapısının kullanılması ile etkilenmeyecek olan Client-to-Site VPN altyapısı Yeşil, yeni devreye alınanan VPN altyapısı ise Turuncu renk ile belirtilmiştir. Site-to-Site VPN altyapısını kullanmak isteyen üyelerimizin kendi ağlarında gerçekleştirmeleri gereken değişiklikler aşağıda sırası ile belirtilmiştir. 1. Üye tarafında, Site-to-Site VPN bağlantısının sonlandırılacağı yeni cihaz(lar)ın konumlandırılması gerekmektedir. Söz konusu cihaz(lar), Site-to-Site VPN desteğinin olduğu yönlendirici (router) veya güvenlik duvarı (firewall) olabilir. Bahsi geçen yönlendirici cihaz(lar)ın halihazırda üye nin UEA bağlantısı için kullanılmakta olduğu cihaz(lar)dan farklı cihaz(lar) olması gerekmektedir. Yapılan testlerde Cisco ASA ve Checkpoint marka güvenlik duvarı sistemleri ile testler başarılı şekilde gerçekleştirilmiştir. Söz konusu cihaz(lar)ın konumlandırılması gereken ağ lokasyonu ve kullanması gereken IP ler Şekil-1 de belirtilmiştir. 2. Kurulacak olan Site-to-Site VPN tünelleri Üyelerimizin BIST ile arasında mevcut durumda kullanmakta oldukları 2 (iki) adet bağlantı üzerinden gerçekleştirilecektir. İdeal 3 / 7
yapıda sözkonusu hatların yük dengeli olarak kullanılması ve yedeklilik sağlanması amacıyla 2 (iki) farklı VPN sonlandırıcı cihaz kullanılarak 2 (iki) tünelinin kurulması önerilmektedir. Söz konusu VPN bağlantıları Tünel-1 ve Tünel-2 olarak adlandırılmıştır. 3. İdeal yapıda üye tarafında konumlandırılacak VPN sonlandırıcı cihaz(lar)ın 2 (iki) şer ağ bağlantısının olması gerekmektedir (S2S_İstemci_Net, Tünel). Herbir ağ ın detayları aşağıda belirtilmiştir: a. Site-to-Site VPN sonlandırıcı cihaz(lar)ın BIST ile olan VPN bağlantıları Şekil-1 de Tünel-1 ve Tünel-2 olarak adlandırılmıştır. Söz konusu VPN sonlandırıcı cihaz(lar)ın yedekli yapıda kurulacağı değerlendirilerek herbir cihazın dış bağlantı noktalarında kullanılması gereken IP ler aşağıda belirtilmiştir. (Üye IP subnet leri = 172.23.x.y/28, 172.24.x.y/28, 172.25.x.y/28, 172.26.x.y/28) Tünel-1 : 172.24.x.y+10, 172.24.x.y+11, 172.24.x.y+12 Tünel-2 : 172.26.x.y+10, 172.26.x.y+11, 172.26.x.y+12 b. Üye tarafında Site-to-Site VPN altyapısını kullanacak istemci bilgisayarların konumlandırılacağı subnetler Şekil-1 de S2S_İstemci_Net olarak adlandırılmıştır. Söz konusu subnet te kullanılacak IP ler aşağıda listelenmiş olup üye bağlantılarının yedekli ve yük dengeli olarak kullanılması amacıyla hangi IP nin hangi VPN bağlantısında kullanılması gerektiği ayrıca belirtilmiştir. 10.133.x.y/28, 10.134.x.y/28 (Tünel-1) 10.135.x.y/28, 10.136.x.y/28 (Tünel-2) Yukarıda belirtilen IP adreslerinin ilgili Tünel içerisine dahil edilmesi için gerekli VPN tanımlarının Üye tarafındaki VPN sonlandırıcı cihaz(lar) üzerinde yapılması gerekmektedir. 4. Mevcut durumda Pay Piyasası işleyişinde kullanılmakta olan multicast trafiği Şekil-1 de gösterilen Üye Router cihazına kadar taşınmakta ve daha sonra Client-to-Site ile bağlı istemci bilgisayarlara dağıtılmaktadır. Multicast trafiği teknik sebeplerden dolayı VPN tüneli içerisinden taşınamamaktadır. Bu nedenle Site-to-Site VPN üzerinden bağlanan istemci bilgisayarların (S2S_İstemci_Net) multicast trafiğini alabilmeleri için üye tarafında bypass yönteminin kullanılması önerilmektedir (S2S_İstemci_Net nin multicast trafiğini alabileceği şekilde üye router la iletişiminin sağlanması). Pay Piyasası dışındaki piyasaların işleyişinde multicast trafiği kullanılmadığı için söz konusu çalışma diğer piyasalar için gerekli olmayacaktır. NASDAQ projesinin devreye alınması ile birlikte Pay Piyasası için de bu gerekliliğin ortadan kalkması planlanmaktadır. 5. Üye ile BIST arasında kurulacak olan Site-to-Site VPN bağlantılarının detayları Site-to- Site VPN Başvuru Adımları bölümünde belirtilen çerçevede üye ile paylaşılacaktır. 6. Mevcut durumda UEA üzerinden emir iletiminin güvenli şekilde gerçekleşmesi amacıyla yapılan kontrollerden bir tanesi de gönderilen emirlerin BIST piyasa sistemlerine kabulü aşamasında emir gönderimi yapan istemci bilgisayarın IP kontrolünün yapılmasıdır. Bu kapsamda Site-to-Site VPN üzerinden Pay Piyasası na emir gönderen istemci bilgisayarların IP lerinin ve ilgili kullanıcı hesap bilgisinin BIST BT-Destek (btdestek@borsaistanbul.com, +90 212 298 2427/Dahili:1) birimine iletilmesi gerekmektedir. 4 / 7
Tünel - 1 Tünel - 2 192.168.74.0/24 192.168.94.0/24 192.168.84.0/24 Üye Mevcut durumda Client to Site VPN Üzerinden Bağlanan İstemci Bilgisayarlar İnternet Servis Sağlayıcı Borsa İstanbul Ağı Terminals 172.23.x.y/28 172.24.x.y/28 172.25.x.y/28 172.26.x.y/28 ExAPI FixAPI ViopAPI 172.23.x.y+1 172.24.x.y+1 172.25.x.y+1 172.26.x.y+1 Üye Router TT-NET-ATM TT-MPLS SOL-MPLS BIST Router - 1 BIST Router - 2 50 50 50 BIST Piyasa Sistemleri OTAS UEA FW Yeni Eklenen Site to Site VPN Ağı Tünel-1 İstemci_Net 10.133.x.y/28 10.134.x.y/28 Terminals FixAPI ViopAPI 172.24.x.y + 10 172.24.x.y + 11 172.24.x.y + 12 OTAS Uye FW-1 Tünel-2 İstemci_Net 10.135.x.y/28 10.136.x.y/28 Terminals FixAPI ViopAPI OTAS Uye FW-2 172.26.x.y + 10 172.26.x.y + 11 172.26.x.y + 12 Şekil 1 Site-to-Site VPN Altyapısı 5 / 7
3. Site-to-Site VPN Başvuru Adımları Üyelerimizin Site-to-Site VPN altyapısını kullanarak emir iletimi yapabilmeleri için Ek te bulunan Borsa İstanbul Site-to-Site VPN Başvuru Formu nu doldurularak BIST BT-Destek (bt-destek@borsaistanbul.com, +90 212 298 2427/Dahili:1) birimine iletmeleri gerekmektedir. Başvuru nun BIST tarafından değerlendirilmesi ve onaylanması sonrasında BIST tarafından üye ile iletişime geçilerek Site-to-Site VPN bağlantıları gerçekleştirilecektir. 6 / 7
EK : Borsa İstanbul Site-to-Site VPN Başvuru Formu Lütfen Sarı ile işaretli alanları doldurunuz. Üye Bilgileri: Üye Adı : Başvuru Tarihi : Üye Tarafında Teknik Kişi Bilgileri: E-posta : Telefon : Borsa İstanbul Tarafında Teknik İletişim Bilgileri E-posta : bt-destek@borsaistanbul.com Telefon : +90 212 298 2427 / Dahili:1 VPN Tünel Ayrıntıları VPN Sonlandırıcı Cihaz IP leri Borsa İstanbul Tarafı 192.168.84.50 (Tünel-1) 192.168.94.50 (Tünel-2) Üye Tarafı 172.24........ (Tünel-1) 1 172.26........ (Tünel-2) 1 ISAKMP Key Exchange Encryption 3DES AES192 AES256 Hash SHA Diffie-Hellman group 2 ISAKMP SA lifetime 86400 saniye NAT-Traversal No Auto Doğrulama Gizli Anahtar Gizli Anahtar 2 IPsec Encryption 3DES AES192 AES256 Hash SHA IPsec SA lifetime 28800 saniye Tünel İçinden Geçecek IP Subnetleri Başvuru onayından sonra paylaşılacaktır. 10.133........ (Tünel-1) 3 10.134........ (Tünel-1) 3 10.135........ (Tünel-2) 3 10.136........ (Tünel-2) 3 1 Örnek : Üye ye tahsis edilen IP subnet lerinin 172.23.14.112/28, 172.24.14.112/28, 172.25.14.112/28, 172.26.14.112/28 olduğu durumda, VPN Sonlandırıcı Cihaz IP leri : Tünel-1 için 172.24.14.122 Tünel-2 için 172.26.14.122 olarak girilecektir. 2 Gizli Anahtar başvuru formunda belirtilen telefon üzerinden paylaşılacaktır. 3 Örnek : Üye ye tahsis edilen IP subnet lerinin 172.23.14.112/28, 172.24.14.112/28, 172.25.14.112/28, 172.26.14.112/28 olduğu durumda, Tünel içinden geçecek IP subnet leri 10.133.14.112/28, 10.134.14.112/28, 10.135.14.112/28, 10.136.14.112/28 şeklinde girilecektir. 7 / 7