[Linux-sunucu] Re: PfSense ile https kontrolü?
Selamlar, elbette hiyerarşik bir yapı ve tek bir noktadan ağ kaynaklarının kullanılması adına mysql, ldap gibi çözümler oldukça iş görüyor. Fakat DHCP üzerinden IP dağıtırken, DHCP sunucusunda tüm IP'leri MAC'a tanımlı yapıp, DHCP ile verilen IP adresi dışında IP'lerin erişimini kesip ve bir php sayfasında Ad Soyad IP MAC tablosu tutup hangi IP adresi hangi MAC ile hangi kullanıcıda bildikten sonra tüm iptables snort ve benzeri işlemlerinizi IP üzerinden halledebilirsiniz. Biraz yorucu olur ama IP'leri eğer MAC üzerinden veriyorsanız güvenebilirsiniz. Benim DHCP sunucumda açık bir scope yok. Kullanıcıya bilgisayar veriyorsak ya da laptop gibi donanımlarını network'e dahil ediyorsak MAC adresini DHCP'den ekleyip IP sabitleyip o IP için iptables ve Snort'ta izin veriyorum oluyor bitiyor. Gerisi ve tüm traffic block zaten :) Saygılar Ozgur 4 Ağustos 2013 18:34 tarihinde Aytekin Aygün aytekinay...@gmail.com yazdı: 4 Ağustos 2013 12:06 tarihinde Mucibirahman İLBUGA mucip.ilb...@gmail.com yazdı: 04-08-2013 11:48 tarihinde, Aytekin Aygün yazdı: Zaten zurnanin zirt dediği yer burasi. Bunu yapmak için ya SSL sertifika yöntemini kullanacaksiniz yada clientlara proxy gireceksiniz. Selamlar, Aslında aklıma şu geldi: Tüm 443 portunu yasaklasak. Sadece banka veya diğer ihtiyaç duyulan adreslerin IP'lerini girsek. Yani şu IP'ler değilse yasakla şeklinde yazsak... Bankalar haricinde 443 kullanan çok yer var mı?Ne kadar fazla olabilir ki?... Merhaba, Bunu da kullananlar var ve kontrolün tamamen elinizde olması açısından olabilir. Ama bu sefer de whitelist için IP blokları ile uğraşacaksınız. Bir süre sonra taşlar yerine oturmaya başlar elbette ama o süre ihtiyaçlarınız doğrultusunda bitmeyebilirde. Aslında tüm bu yöntemler ile bir şekilde (snort'u bu amaçla kullanmadım) sonuçlar alıp, yolumuza devam edebiliyoruz. Fakat sonra işler karışmaya başlıyor. Onu burdan blokla, bunu şurdan filtrele derken ipin ucu yönetimsel olarak karışıyor. Bu konunun teknik olabilirliliklerini tartışırken ideal olanı da atlamamak lazım. Ben istiyorum ki; yetki gruplarımı oluşturayım, yasaklayacağım grubun yasaklı domain listesine facebook.com'u ekleyeyim, http - https - vs. düşünmeyeyim. Geriye dönüp baktığımda kime ne yetki vermişim hemen görebileyim. Kullanıcı yetkilendirmesi için de IP'lerin peşinden koşmaktan bıkmış biri olarak geldiğim nokta; dansguardian-squid-iptables-ldap ile yapıyı kurup clientlere proxy girmek ve kullanıcıları user/password mantığında internete eriştirmek. Bir süredir kullanıyorum ve işler şimdilik yolunda. Mucip bey size önerim, bir kullanıcıda testlerinizi yapın derim. Takıldığınız yerde yardımcı olmaya çalışırız. -- Saygılar, Aytekin Aygün ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- Ozgur ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Selamlar, Hazır konu açılmışken iptables ile rakamsal domain isteklerini engellemek mümkün mü? Örneğin https://212.145.100.10 veya http://8.8.8.8 gibi sadece rakamlardan oluşan istekleri engellemek mümkün mü? Squid ile yapabiliyoruz ancak iptables ile böyle birşey mümkün mü bilmiyorum. Ozgur 5 Ağustos 2013 11:08 tarihinde Ozgur okara...@member.fsf.org yazdı: Selamlar, elbette hiyerarşik bir yapı ve tek bir noktadan ağ kaynaklarının kullanılması adına mysql, ldap gibi çözümler oldukça iş görüyor. Fakat DHCP üzerinden IP dağıtırken, DHCP sunucusunda tüm IP'leri MAC'a tanımlı yapıp, DHCP ile verilen IP adresi dışında IP'lerin erişimini kesip ve bir php sayfasında Ad Soyad IP MAC tablosu tutup hangi IP adresi hangi MAC ile hangi kullanıcıda bildikten sonra tüm iptables snort ve benzeri işlemlerinizi IP üzerinden halledebilirsiniz. Biraz yorucu olur ama IP'leri eğer MAC üzerinden veriyorsanız güvenebilirsiniz. Benim DHCP sunucumda açık bir scope yok. Kullanıcıya bilgisayar veriyorsak ya da laptop gibi donanımlarını network'e dahil ediyorsak MAC adresini DHCP'den ekleyip IP sabitleyip o IP için iptables ve Snort'ta izin veriyorum oluyor bitiyor. Gerisi ve tüm traffic block zaten :) Saygılar Ozgur 4 Ağustos 2013 18:34 tarihinde Aytekin Aygün aytekinay...@gmail.comyazdı: 4 Ağustos 2013 12:06 tarihinde Mucibirahman İLBUGA mucip.ilb...@gmail.com yazdı: 04-08-2013 11:48 tarihinde, Aytekin Aygün yazdı: Zaten zurnanin zirt dediği yer burasi. Bunu yapmak için ya SSL sertifika yöntemini kullanacaksiniz yada clientlara proxy gireceksiniz. Selamlar, Aslında aklıma şu geldi: Tüm 443 portunu yasaklasak. Sadece banka veya diğer ihtiyaç duyulan adreslerin IP'lerini girsek. Yani şu IP'ler değilse yasakla şeklinde yazsak... Bankalar haricinde 443 kullanan çok yer var mı?Ne kadar fazla olabilir ki?... Merhaba, Bunu da kullananlar var ve kontrolün tamamen elinizde olması açısından olabilir. Ama bu sefer de whitelist için IP blokları ile uğraşacaksınız. Bir süre sonra taşlar yerine oturmaya başlar elbette ama o süre ihtiyaçlarınız doğrultusunda bitmeyebilirde. Aslında tüm bu yöntemler ile bir şekilde (snort'u bu amaçla kullanmadım) sonuçlar alıp, yolumuza devam edebiliyoruz. Fakat sonra işler karışmaya başlıyor. Onu burdan blokla, bunu şurdan filtrele derken ipin ucu yönetimsel olarak karışıyor. Bu konunun teknik olabilirliliklerini tartışırken ideal olanı da atlamamak lazım. Ben istiyorum ki; yetki gruplarımı oluşturayım, yasaklayacağım grubun yasaklı domain listesine facebook.com'u ekleyeyim, http - https - vs. düşünmeyeyim. Geriye dönüp baktığımda kime ne yetki vermişim hemen görebileyim. Kullanıcı yetkilendirmesi için de IP'lerin peşinden koşmaktan bıkmış biri olarak geldiğim nokta; dansguardian-squid-iptables-ldap ile yapıyı kurup clientlere proxy girmek ve kullanıcıları user/password mantığında internete eriştirmek. Bir süredir kullanıyorum ve işler şimdilik yolunda. Mucip bey size önerim, bir kullanıcıda testlerinizi yapın derim. Takıldığınız yerde yardımcı olmaya çalışırız. -- Saygılar, Aytekin Aygün ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- Ozgur -- Ozgur ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Merhaba ; https bilmem ama http için yapılabilir. Iptables'ın string modulu var. http://wiztelsys.com/Article_iptables_bob2.html buradaki örnekleri bir inceleyin. 5 Ağustos 2013 15:00 tarihinde Ozgur okara...@member.fsf.org yazdı: Selamlar, Hazır konu açılmışken iptables ile rakamsal domain isteklerini engellemek mümkün mü? Örneğin https://212.145.100.10 veya http://8.8.8.8 gibi sadece rakamlardan oluşan istekleri engellemek mümkün mü? Squid ile yapabiliyoruz ancak iptables ile böyle birşey mümkün mü bilmiyorum. Ozgur 5 Ağustos 2013 11:08 tarihinde Ozgur okara...@member.fsf.org yazdı: Selamlar, elbette hiyerarşik bir yapı ve tek bir noktadan ağ kaynaklarının kullanılması adına mysql, ldap gibi çözümler oldukça iş görüyor. Fakat DHCP üzerinden IP dağıtırken, DHCP sunucusunda tüm IP'leri MAC'a tanımlı yapıp, DHCP ile verilen IP adresi dışında IP'lerin erişimini kesip ve bir php sayfasında Ad Soyad IP MAC tablosu tutup hangi IP adresi hangi MAC ile hangi kullanıcıda bildikten sonra tüm iptables snort ve benzeri işlemlerinizi IP üzerinden halledebilirsiniz. Biraz yorucu olur ama IP'leri eğer MAC üzerinden veriyorsanız güvenebilirsiniz. Benim DHCP sunucumda açık bir scope yok. Kullanıcıya bilgisayar veriyorsak ya da laptop gibi donanımlarını network'e dahil ediyorsak MAC adresini DHCP'den ekleyip IP sabitleyip o IP için iptables ve Snort'ta izin veriyorum oluyor bitiyor. Gerisi ve tüm traffic block zaten :) Saygılar Ozgur 4 Ağustos 2013 18:34 tarihinde Aytekin Aygün aytekinay...@gmail.comyazdı: 4 Ağustos 2013 12:06 tarihinde Mucibirahman İLBUGA mucip.ilb...@gmail.com yazdı: 04-08-2013 11:48 tarihinde, Aytekin Aygün yazdı: Zaten zurnanin zirt dediği yer burasi. Bunu yapmak için ya SSL sertifika yöntemini kullanacaksiniz yada clientlara proxy gireceksiniz. Selamlar, Aslında aklıma şu geldi: Tüm 443 portunu yasaklasak. Sadece banka veya diğer ihtiyaç duyulan adreslerin IP'lerini girsek. Yani şu IP'ler değilse yasakla şeklinde yazsak... Bankalar haricinde 443 kullanan çok yer var mı?Ne kadar fazla olabilir ki?... Merhaba, Bunu da kullananlar var ve kontrolün tamamen elinizde olması açısından olabilir. Ama bu sefer de whitelist için IP blokları ile uğraşacaksınız. Bir süre sonra taşlar yerine oturmaya başlar elbette ama o süre ihtiyaçlarınız doğrultusunda bitmeyebilirde. Aslında tüm bu yöntemler ile bir şekilde (snort'u bu amaçla kullanmadım) sonuçlar alıp, yolumuza devam edebiliyoruz. Fakat sonra işler karışmaya başlıyor. Onu burdan blokla, bunu şurdan filtrele derken ipin ucu yönetimsel olarak karışıyor. Bu konunun teknik olabilirliliklerini tartışırken ideal olanı da atlamamak lazım. Ben istiyorum ki; yetki gruplarımı oluşturayım, yasaklayacağım grubun yasaklı domain listesine facebook.com'u ekleyeyim, http - https - vs. düşünmeyeyim. Geriye dönüp baktığımda kime ne yetki vermişim hemen görebileyim. Kullanıcı yetkilendirmesi için de IP'lerin peşinden koşmaktan bıkmış biri olarak geldiğim nokta; dansguardian-squid-iptables-ldap ile yapıyı kurup clientlere proxy girmek ve kullanıcıları user/password mantığında internete eriştirmek. Bir süredir kullanıyorum ve işler şimdilik yolunda. Mucip bey size önerim, bir kullanıcıda testlerinizi yapın derim. Takıldığınız yerde yardımcı olmaya çalışırız. -- Saygılar, Aytekin Aygün ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- Ozgur -- Ozgur ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Selamlar, bence inline transparent degil bridge mod olup olmadigi onemli diye dusunuyorum. 4 Ağustos 2013 03:56 tarihinde M.Atıf CEYLAN meh...@atifceylan.com yazdı: Hocam inline modda mi? Transparent modda mi? Yurdum Yazılım Ozgur okara...@member.fsf.org wrote: Tekrar selamlar, hiç gateway üzerinde tcpdump -i eth1 port 443 ile trafiği izleyip bridge moddaki snort üzerinde tail -f /var/log/barnyard2/barnyard2.log yazarak logları incelediniz mi? HTTPS ile kurulan facebook bağlantıları gateway ve snort makinesinden nasıl geçiyor? En azından iptables -I FORWARD -m string --string 'facebook.com' --algo bm -j DROP kuralını çalıştırıp HTTP veya HTTPS bağlantı kurmayı ve iptables loglarını gözlemlediniz mi? Ozgur ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- Ozgur ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
4 Ağustos 2013 04:19 tarihinde Mucibirahman İLBUGA mucip.ilb...@gmail.comyazdı: 03-08-2013 22:25 tarihinde, Hasan Akgöz yazdı: Mucib bey; Squid kurup bir inceleme yaptım . SSL trafiği proxy üzerinden geçerken CONNECT metodunu kullanıyor. Şöyle bir acl yazınca istenen ssl tabanlı bir site bloke ediliebilir. Squid kullanıyorsanız yapınızda bir denermisiniz. acl yasak dstdomain .facebook.com .twitter.com http_access deny CONNECT yasak Düğüm noktasi burasi zaten... Merhabalar, PFSense ile zaten Squid ve squid filter kullanıyorum. Ancak Bu dediğiniz kuralı nasıl denerim hiç fikrim yok... Merhaba, Zaten zurnanin zirt dediği yer burasi. Bunu yapmak için ya SSL sertifika yöntemini kullanacaksiniz yada clientlara proxy gireceksiniz. ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
04-08-2013 11:48 tarihinde, Aytekin Aygün yazdı: Zaten zurnanin zirt dediği yer burasi. Bunu yapmak için ya SSL sertifika yöntemini kullanacaksiniz yada clientlara proxy gireceksiniz. Selamlar, Aslında aklıma şu geldi: Tüm 443 portunu yasaklasak. Sadece banka veya diğer ihtiyaç duyulan adreslerin IP'lerini girsek. Yani şu IP'ler değilse yasakla şeklinde yazsak... Bankalar haricinde 443 kullanan çok yer var mı?Ne kadar fazla olabilir ki?... -- Kolay gelsin, Mucip:) ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Selamlar, sorun tam olarak https://www.facebook.com adresini engellemek mi? Ozgur 4 Ağu 2013 14:07 tarihinde Mucibirahman İLBUGA mucip.ilb...@gmail.com yazdı: 04-08-2013 11:48 tarihinde, Aytekin Aygün yazdı: Zaten zurnanin zirt dediği yer burasi. Bunu yapmak için ya SSL sertifika yöntemini kullanacaksiniz yada clientlara proxy gireceksiniz. Selamlar, Aslında aklıma şu geldi: Tüm 443 portunu yasaklasak. Sadece banka veya diğer ihtiyaç duyulan adreslerin IP'lerini girsek. Yani şu IP'ler değilse yasakla şeklinde yazsak... Bankalar haricinde 443 kullanan çok yer var mı?Ne kadar fazla olabilir ki?... -- Kolay gelsin, Mucip:) ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
04-08-2013 12:10 tarihinde, Ozgur yazdı: sorun tam olarak https://www.facebook.com adresini engellemek mi? Selamlar, Facebook, twitter gibi iş yerinde çok zaman alan uygulamaları engellemek. Bir de normalde dosya indirmeyi (download) engellemiştik sözde ama millet bazen https adreslerden dosya da indirebiliyor?!... :( Bu https iş yeri için başa bela yani... :) -- Kolay gelsin, Mucip:) ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Selamlar, iste bu asamada snort cozum olmuyor mu? Ne gibi bir sorun yasaniyor? Ben daha once kurdugum bir network'te gateway ile router arasina snort kurup rule'a facebook, youtube, twitter engeli koydugumda https'de olsa engelliyordu. Normalde de engellemesi lazim mantiken, degil mi? 4 Ağustos 2013 14:19 tarihinde Mucibirahman İLBUGA mucip.ilb...@gmail.comyazdı: 04-08-2013 12:10 tarihinde, Ozgur yazdı: sorun tam olarak https://www.facebook.com adresini engellemek mi? Selamlar, Facebook, twitter gibi iş yerinde çok zaman alan uygulamaları engellemek. Bir de normalde dosya indirmeyi (download) engellemiştik sözde ama millet bazen https adreslerden dosya da indirebiliyor?!... :( Bu https iş yeri için başa bela yani... :) -- Kolay gelsin, Mucip:) ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- Ozgur ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
04-08-2013 12:39 tarihinde, Ozgur yazdı: iste bu asamada snort cozum olmuyor mu? Ne gibi bir sorun yasaniyor? Ben daha once kurdugum bir network'te gateway ile router arasina snort kurup rule'a facebook, youtube, twitter engeli koydugumda https'de olsa engelliyordu. Normalde de engellemesi lazim mantiken, degil mi? Merhabalar, Snort ile ilgili pek bilgim/deneyimim yok... :( Ama şimdiye kadar mesajlardan anladığım kadarı ile https üzerinden gidildiğinde şifreli gittiğinden içerik nasıl sorgulanacak ki?... -- Kolay gelsin, Mucip:) ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Selam, snort'u bir kenara bırakacak olursak iptables ile aşağıdaki kural facebook'u https üzerinden engellemiyor mu? iptables -N Facebook iptables -A Facebook -d www.facebook.com -p tcp -m tcp --dport 443 -j DROP iptables -A Facebook -d facebook.com -p tcp -m tcp --dport 443 -j DROP iptables -A Facebook -j RETURN iptables -I FORWARD -j Facebook iptables -I OUTPUT -j Facebook Pekip iptables 443 portu yani https üzerinden geçen www.facebook.compaketini nasıl DROP'luyor? Ozgur 4 Ağustos 2013 14:44 tarihinde Mucibirahman İLBUGA mucip.ilb...@gmail.comyazdı: 04-08-2013 12:39 tarihinde, Ozgur yazdı: iste bu asamada snort cozum olmuyor mu? Ne gibi bir sorun yasaniyor? Ben daha once kurdugum bir network'te gateway ile router arasina snort kurup rule'a facebook, youtube, twitter engeli koydugumda https'de olsa engelliyordu. Normalde de engellemesi lazim mantiken, degil mi? Merhabalar, Snort ile ilgili pek bilgim/deneyimim yok... :( Ama şimdiye kadar mesajlardan anladığım kadarı ile https üzerinden gidildiğinde şifreli gittiğinden içerik nasıl sorgulanacak ki?... -- Kolay gelsin, Mucip:) ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- Ozgur ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Selamlar, ayrıca Snort ile (IDS mod değil IPS inline modda) aşağıdaki şekilde rule eklediğinizde yine facebook youtube trafiğini engellemiyor mu? Nereden biliyor facebook ve youtube trafiğini? drop tcp any any - any any (content:www.youtube.com; msg:youtube block; sid:999; rev:1;) drop tcp any any - any any (content:www.facebook.com; msg:facebook block ; sid:9991112; rev:1;) Not: Snort DAQ ve NFQ modda koşacak, iptables ile FORWARD kuyruğu Snort'a yönlenecek. $ snort -D -d --daq nfq -Q -c /etc/snort/snort.conf $ iptables -A FORWARD -j NFQUEUE Ozgur 4 Ağustos 2013 14:48 tarihinde Ozgur okara...@member.fsf.org yazdı: Selam, snort'u bir kenara bırakacak olursak iptables ile aşağıdaki kural facebook'u https üzerinden engellemiyor mu? iptables -N Facebook iptables -A Facebook -d www.facebook.com -p tcp -m tcp --dport 443 -j DROP iptables -A Facebook -d facebook.com -p tcp -m tcp --dport 443 -j DROP iptables -A Facebook -j RETURN iptables -I FORWARD -j Facebook iptables -I OUTPUT -j Facebook Pekip iptables 443 portu yani https üzerinden geçen www.facebook.compaketini nasıl DROP'luyor? Ozgur 4 Ağustos 2013 14:44 tarihinde Mucibirahman İLBUGA mucip.ilb...@gmail.com yazdı: 04-08-2013 12:39 tarihinde, Ozgur yazdı: iste bu asamada snort cozum olmuyor mu? Ne gibi bir sorun yasaniyor? Ben daha once kurdugum bir network'te gateway ile router arasina snort kurup rule'a facebook, youtube, twitter engeli koydugumda https'de olsa engelliyordu. Normalde de engellemesi lazim mantiken, degil mi? Merhabalar, Snort ile ilgili pek bilgim/deneyimim yok... :( Ama şimdiye kadar mesajlardan anladığım kadarı ile https üzerinden gidildiğinde şifreli gittiğinden içerik nasıl sorgulanacak ki?... -- Kolay gelsin, Mucip:) ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- Ozgur -- Ozgur ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Tekrar selamlar, son olarak gateway Linux sunucunuz üzerinde tcpdump ile facebook https paketlerinin nasıl geçtiğine baktınız mı? ~# tcpdump -i eth0 port 443 | grep facebook 14:56:43.602094 IP channelproxy-shv-06-ash2.facebook.com.https ozgur.fb.local.51131: Flags [P.], seq 3248937036:3248937074, ack 3728180706, win 85, length 38 14:56:43.795971 IP ozgur.fb.local.50281 channel-ecmp-06-frc1.facebook.com.https: Flags [P.], seq 482994252:482995270, ack 3836405732, win 16102, length 1018 14:56:43.810705 IP ozgur2.fb.admin.51131 channelproxy-shv-06-ash2.facebook.com.https: Flags [.], ack 38, win 4051, length 0 14:56:43.880137 IP ozgur2.fb.admin.40147 edge-z-m-shv-03-frc1.facebook.com.https: Flags [S], seq 2444388741, win 14600, options [mss 1460,sackOK,TS val 4494983 ecr 0,nop,wscale 6], length 0 Gecen paketler https olsa da sonuc yukaridaki gibi. Ozgur 4 Ağustos 2013 14:52 tarihinde Ozgur okara...@member.fsf.org yazdı: Selamlar, ayrıca Snort ile (IDS mod değil IPS inline modda) aşağıdaki şekilde rule eklediğinizde yine facebook youtube trafiğini engellemiyor mu? Nereden biliyor facebook ve youtube trafiğini? drop tcp any any - any any (content:www.youtube.com; msg:youtube block; sid:999; rev:1;) drop tcp any any - any any (content:www.facebook.com; msg:facebook block ; sid:9991112; rev:1;) Not: Snort DAQ ve NFQ modda koşacak, iptables ile FORWARD kuyruğu Snort'a yönlenecek. $ snort -D -d --daq nfq -Q -c /etc/snort/snort.conf $ iptables -A FORWARD -j NFQUEUE Ozgur 4 Ağustos 2013 14:48 tarihinde Ozgur okara...@member.fsf.org yazdı: Selam, snort'u bir kenara bırakacak olursak iptables ile aşağıdaki kural facebook'u https üzerinden engellemiyor mu? iptables -N Facebook iptables -A Facebook -d www.facebook.com -p tcp -m tcp --dport 443 -j DROP iptables -A Facebook -d facebook.com -p tcp -m tcp --dport 443 -j DROP iptables -A Facebook -j RETURN iptables -I FORWARD -j Facebook iptables -I OUTPUT -j Facebook Pekip iptables 443 portu yani https üzerinden geçen www.facebook.compaketini nasıl DROP'luyor? Ozgur 4 Ağustos 2013 14:44 tarihinde Mucibirahman İLBUGA mucip.ilb...@gmail.com yazdı: 04-08-2013 12:39 tarihinde, Ozgur yazdı: iste bu asamada snort cozum olmuyor mu? Ne gibi bir sorun yasaniyor? Ben daha once kurdugum bir network'te gateway ile router arasina snort kurup rule'a facebook, youtube, twitter engeli koydugumda https'de olsa engelliyordu. Normalde de engellemesi lazim mantiken, degil mi? Merhabalar, Snort ile ilgili pek bilgim/deneyimim yok... :( Ama şimdiye kadar mesajlardan anladığım kadarı ile https üzerinden gidildiğinde şifreli gittiğinden içerik nasıl sorgulanacak ki?... -- Kolay gelsin, Mucip:) ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- Ozgur -- Ozgur -- Ozgur ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Dns cozumlemesi ile oluyor. -d parametresi ip parametresi alir. Fakat bu domain yazma olayi kural her calistiginda dns e soruyor ve clientlarda ayni yerden dns sorguluyor ve ayni ip araligini aliyorsa ise yarar. Tabi soyle bir durum var. Facebook gibi binlerce ip kullananlar name serverlarinda gelen sorgulara random cevap donuyorlar. Ornegin telekom dns sunucularindan biri ttl sonrasi yaptigi sorgudan 1.2.3.4 ip bilgisini alirken digeri 3.2.1.0 ip aliyor. Boylelikle genis bir dns load balancing networku olusuyor. Eger client ile gateway ayni ip sorgularsa sorun kalmaz. Ya da kullanicilar host dosyalarina sizin dns cozumlemesinden elde edeceginiz ip disinda bisey yazarak erisebilirler. Eger iptables kurali eklerken domaini ip adresine donusturuyorsa durum daha da vahim. iptables ciktisinda domain name gorunuyorsa ilk soyledigim gecerlidir. Yurdum Yazılım Ozgur okara...@member.fsf.org wrote: ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Tekrar selamlar, tamam da zaten iptables ile 53 isteklerini de lokal DNS sunucunuz harici disariya kapatmiyor musunuz? Yani lokal kullanicilar istedigi sekilde DNS ekleyebiliyor mu? LAN üzerinde DNS sunucusu var ve sadece DNS sunucusu dns istekleri gönderebiliyor, iç kullanıcılar DNS olarak lokal DNS'i kullanmak zorunda aksine snort ile IP istekleri engelli olduğu için http://1.2.3.4 gibi bir adres çalışmayacaktır. Ozgur 4 Ağustos 2013 15:37 tarihinde M.Atıf CEYLAN meh...@atifceylan.com yazdı: Dns cozumlemesi ile oluyor. -d parametresi ip parametresi alir. Fakat bu domain yazma olayi kural her calistiginda dns e soruyor ve clientlarda ayni yerden dns sorguluyor ve ayni ip araligini aliyorsa ise yarar. Tabi soyle bir durum var. Facebook gibi binlerce ip kullananlar name serverlarinda gelen sorgulara random cevap donuyorlar. Ornegin telekom dns sunucularindan biri ttl sonrasi yaptigi sorgudan 1.2.3.4 ip bilgisini alirken digeri 3.2.1.0 ip aliyor. Boylelikle genis bir dns load balancing networku olusuyor. Eger client ile gateway ayni ip sorgularsa sorun kalmaz. Ya da kullanicilar host dosyalarina sizin dns cozumlemesinden elde edeceginiz ip disinda bisey yazarak erisebilirler. Eger iptables kurali eklerken domaini ip adresine donusturuyorsa durum daha da vahim. iptables ciktisinda domain name gorunuyorsa ilk soyledigim gecerlidir. Yurdum Yazılım Ozgur okara...@member.fsf.org wrote: Selam, snort'u bir kenara bırakacak olursak iptables ile aşağıdaki kural facebook'u https üzerinden engellemiyor mu? iptables -N Facebook iptables -A Facebook -d www.facebook.com -p tcp -m tcp --dport 443 -j DROP iptables -A Facebook -d facebook.com -p tcp -m tcp --dport 443 -j DROP iptables -A Facebook -j RETURN iptables -I FORWARD -j Facebook iptables -I OUTPUT -j Facebook Pekip iptables 443 portu yani https üzerinden geçen www.facebook.compaketini nasıl DROP'luyor? Ozgur 4 Ağustos 2013 14:44 tarihinde Mucibirahman İLBUGA mucip.ilb...@gmail.com yazdı: 04-08-2013 12:39 tarihinde, Ozgur yazdı: iste bu asamada snort cozum olmuyor mu? Ne gibi bir sorun yasaniyor? Ben daha once kurdugum bir network'te gateway ile router arasina snort kurup rule'a facebook, youtube, twitter engeli koydugumda https'de olsa engelliyordu. Normalde de engellemesi lazim mantiken, degil mi? Merhabalar, Snort ile ilgili pek bilgim/deneyimim yok... :( Ama şimdiye kadar mesajlardan anladığım kadarı ile https üzerinden gidildiğinde şifreli gittiğinden içerik nasıl sorgulanacak ki?... -- Kolay gelsin, Mucip:) ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- Ozgur ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- Ozgur ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
4 Ağustos 2013 12:06 tarihinde Mucibirahman İLBUGA mucip.ilb...@gmail.comyazdı: 04-08-2013 11:48 tarihinde, Aytekin Aygün yazdı: Zaten zurnanin zirt dediği yer burasi. Bunu yapmak için ya SSL sertifika yöntemini kullanacaksiniz yada clientlara proxy gireceksiniz. Selamlar, Aslında aklıma şu geldi: Tüm 443 portunu yasaklasak. Sadece banka veya diğer ihtiyaç duyulan adreslerin IP'lerini girsek. Yani şu IP'ler değilse yasakla şeklinde yazsak... Bankalar haricinde 443 kullanan çok yer var mı?Ne kadar fazla olabilir ki?... Merhaba, Bunu da kullananlar var ve kontrolün tamamen elinizde olması açısından olabilir. Ama bu sefer de whitelist için IP blokları ile uğraşacaksınız. Bir süre sonra taşlar yerine oturmaya başlar elbette ama o süre ihtiyaçlarınız doğrultusunda bitmeyebilirde. Aslında tüm bu yöntemler ile bir şekilde (snort'u bu amaçla kullanmadım) sonuçlar alıp, yolumuza devam edebiliyoruz. Fakat sonra işler karışmaya başlıyor. Onu burdan blokla, bunu şurdan filtrele derken ipin ucu yönetimsel olarak karışıyor. Bu konunun teknik olabilirliliklerini tartışırken ideal olanı da atlamamak lazım. Ben istiyorum ki; yetki gruplarımı oluşturayım, yasaklayacağım grubun yasaklı domain listesine facebook.com'u ekleyeyim, http - https - vs. düşünmeyeyim. Geriye dönüp baktığımda kime ne yetki vermişim hemen görebileyim. Kullanıcı yetkilendirmesi için de IP'lerin peşinden koşmaktan bıkmış biri olarak geldiğim nokta; dansguardian-squid-iptables-ldap ile yapıyı kurup clientlere proxy girmek ve kullanıcıları user/password mantığında internete eriştirmek. Bir süredir kullanıyorum ve işler şimdilik yolunda. Mucip bey size önerim, bir kullanıcıda testlerinizi yapın derim. Takıldığınız yerde yardımcı olmaya çalışırız. -- Saygılar, Aytekin Aygün ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Selam, tam olarak sorun nedir? Facebook ve youtube engellemek mi? Aslında çözüm gayet basit, Layer 2'de bridge koşan ve inside modda çalışan bir Snort kurun ve rule yazarak facebook youtube gibi trafikleri engelleyin. HTTP olsun HTTPS olsun başka şeyler olsun kökten çözebilirsiniz. Biraz rule'lar ile uğraşmanız gerekecek. Saygılarımla, Ozgur 3 Ağustos 2013 05:41 tarihinde Aytekin Aygün aytekinay...@gmail.com yazdı: 2 Ağustos 2013 23:15 tarihinde Hasan Akgöz hasanak...@mail.ru yazdı: Transparan proxy kullanmak her zaman daha iyi bir çözümdür. Kullanıcı tarafında manual olarak ya da dhcp yoluyla proxy dağıtmak bence ek bir yük. Zaten tüm trafiğin yönetimi transparan proxy kullandığınız için sizde bulunuyor. Yapmanız gereken squid + ssl bump ikilisini kullanarak ssl trafiğini yönetmek. Aksi halde siz kullanıcıların browser'larına proxy girseniz bile https trafiğini squid anlamlandıramayacağı için herhangi bir filitreye takılmayacaktır. Zaten squid'in işi https değildir pfsense'in hiç değildir. Squid bir http proxy serverdır. ssl bump veya ssl strip gibi uygulamaların yardımıyla squid ile ssl trafiğini yönetebilirsiniz. squid 3 ile ssl desteği geldi .Dikkat etmeniz gereken ikinci nokta openssl ile oluturulan sertifikayı kullanıcı tarafında trusted root ca authorities olarak eklemek aksi halde https ile facebook'a girerken browser'lar uyarı vermeye başlar. Çünkü ssl trafiğini yönetebilmek için bir nevi MITM ( Man-in-the-middle ) methodu kullanıyorsuz. Eğer pfsense'i xyz yerleri bloke etmek,vpn yapmak amacıyla kullanıyorsanız sizin için verimli olmayacaktır. Pfsense yerine herhangi bir gnu/linux dağıtımı + iptables daha verimli ve esnek olacaktır. Örneğin facebook ip aralığını bloke etmek istiyorsunuz. Bunun için facebook'un as number'ını elde etmeniz yeterlidir. Ekstra facebook x ip adresini bile eklese sizin bunu takip etmeniz gerekmez. whois tool'u ile şöyle bir arama yapıp ; Önceki e-postamda ifade ettiğim gibi admini olduğunuz networkün yapısına göre seçimler değişebilir. Evet en iyi yöntem gibi görünüyor ama 500 kullanıcılı bir ağda ben bir yılda pes ettim. Olanlar neler: * Browserlar (sizin de değindiğiniz gibi) her https trafiğinde sertifika hatası veriyor, bas bas bağırıyor. * Kullanıcı soluğu sizin kapınızda alıyor ve beni neden yasakladınız diye haykırıyor. * Yönetici beni de mi blokluyorsunuz diyor. * İE'nin sertifika hata sayfasında devam et (önerilmez) seçeneğini tıklayıp sorun çözmüş görünüyorsunuz ve izah etmeye çalışıyorsunuz. * Kullanıcı ikinci kez tekrar geliyor. Bu sorun yine oldu diyor. Her seferinde buraya mı tıklayacam diyor. bankaya da mı yasak koydunuz diyor. * Yönetici , yine ne yaptınız, çözemediniz mi şu sorunu diyor. * Bu arada bankaların IP bloklarını sisteme işleyerek bu saçma diyalogları bir nebze azaltmaya çalışıyorsunuz. * Çalan her telefonu default olarak devam et (önerilmez) e tıklayın diye açmaya başlıyorsunuz. * Hotmail ve gittigidiyor'un sayfaları bazen şaftı kaymış şekilde geliyor, bazen gelmiyor. * MSN kafasına göre takılıyor. Dün çalışıyordu, bugün çalışmıyor, yarın ne olacağı belli değil. * Sonra siz Yaşar, Ne Yaşar Ne Yaşamaz'ın admin versiyonu olarak buluyorsunuz kendinizi. Kullanıcı profiliniz size bunları yaşatmayacak ise, tamam, eyvallah... -- Saygılar, Aytekin Aygün ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- Ozgur ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
On 08/03/2013 11:12 AM, Ozgur wrote: HTTP olsun HTTPS olsun başka şeyler olsun kökten çözebilirsiniz. Biraz rule'lar ile uğraşmanız gerekecek. Hocam Https inspection kismini nasil halledebiliyoruz? Biraz detay verebilir misiniz? -- M.Atıf CEYLAN Yurdum Yazılım ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Snort`un gozunu seveyim cok basarili. 2013/8/3 M.Atıf CEYLAN meh...@atifceylan.com On 08/03/2013 11:12 AM, Ozgur wrote: HTTP olsun HTTPS olsun başka şeyler olsun kökten çözebilirsiniz. Biraz rule'lar ile uğraşmanız gerekecek. Hocam Https inspection kismini nasil halledebiliyoruz? Biraz detay verebilir misiniz? -- M.Atıf CEYLAN Yurdum Yazılım ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- Zekeriya Akyildiz +7 778 957 30 97 skype: zekeriyaakyildiz ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
On 08/03/2013 12:02 PM, Zekeriya Akyıldız wrote: Snort`un gozunu seveyim cok basarili. 2013/8/3 M.Atıf CEYLAN meh...@atifceylan.com mailto:meh...@atifceylan.com On 08/03/2013 11:12 AM, Ozgur wrote: HTTP olsun HTTPS olsun başka şeyler olsun kökten çözebilirsiniz. Biraz rule'lar ile uğraşmanız gerekecek. Hocam Https inspection kismini nasil halledebiliyoruz? Biraz detay verebilir misiniz? -- M.Atıf CEYLAN Yurdum Yazılım -- Zekeriya Akyildiz +7 778 957 30 97 skype: zekeriyaakyildiz Hocam gozunu bizde sevelim de su https inspection kisminda ben takildim. Bunu man-in-the-middle olarak nasil yapabiliyor? Biri izah ederse sevinirim. Ozgur Bey olabildigini soyledi ama nasil oldugunu izah edebilirse cok memnun olurum. -- M.Atıf CEYLAN Yurdum Yazılım ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
On 08/03/13 12:14, M.Atıf CEYLAN wrote: Hocam gozunu bizde sevelim de su https inspection kisminda ben takildim. Bunu man-in-the-middle olarak nasil yapabiliyor? Biri izah ederse sevinirim. Ozgur Bey olabildigini soyledi ama nasil oldugunu izah edebilirse cok memnun olurum. MITM yapmadan domain tabanli https bloklamak mumkun. SNI sayesinde https istegi yapildiginda domain onden cleartext olarak gidiyor. (sanirim son on senedir falan, cok eski browserlar desteklemiyor). https://en.wikipedia.org/wiki/Server_Name_Indication bunu ozgur bey'in dedigi gibi snort'un pattern matching ozellikleriyle birlestirirseniz https'de mitm yapmadan domain tabanli engelleme yapabilirsiniz. iyi calismalar, burak ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Hocam bu tls kullanilirsa boyle. TLS icin genel bir durum bu. Apache kullananlar icin mod_ssl yerine gnutls kullanmalari durumunda gecerli olabilir. Ama buyuk bir cogunluk http uzerinde tls pek kullanmaz. Daha cok hosting firmalari IP harcamamak icin kullanirlar. On 08/03/2013 01:34 PM, Burak Arslan wrote: On 08/03/13 12:14, M.Atıf CEYLAN wrote: Hocam gozunu bizde sevelim de su https inspection kisminda ben takildim. Bunu man-in-the-middle olarak nasil yapabiliyor? Biri izah ederse sevinirim. Ozgur Bey olabildigini soyledi ama nasil oldugunu izah edebilirse cok memnun olurum. MITM yapmadan domain tabanli https bloklamak mumkun. SNI sayesinde https istegi yapildiginda domain onden cleartext olarak gidiyor. (sanirim son on senedir falan, cok eski browserlar desteklemiyor). https://en.wikipedia.org/wiki/Server_Name_Indication bunu ozgur bey'in dedigi gibi snort'un pattern matching ozellikleriyle birlestirirseniz https'de mitm yapmadan domain tabanli engelleme yapabilirsiniz. iyi calismalar, burak ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu -- M.Atıf CEYLAN Yurdum Yazılım ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
On 08/03/2013 01:16 PM, Ozgur wrote: Selamlar, çok zor değil ki öncelikle Snort bridge modda inline kurun ve ardından paketlerin Snort üzerinden geçtiğinden emin olun. Daha sonra facebook.com http://facebook.com 'a girin ve girerken trafiği sniff ederek nasıl bir paketin geçtiğine bakın sonra hem ip hem dns hem de domain üzerinden snort'a rule ekleyin tamamdır. Örnek olarak: http://asimjaweesh.wordpress.com/2013/02/08/using-snort-to-detect-unauthorized-requests-to-facebook/ Burada bir örneği var. Şu anda elimde Snort Inline makine yapı yok copy etmek için ama Snort'a bridge modda TCP üzerinden geçen bağlantılarda şu domain şu ip şu port şu dns gibi çeşitli kombinasyonlarda geçişe izin vermeyin dediğinizde geçmesinin imkanı yok. Daha değil https paketi, https'i göndereceği hedefi dns'den çözümlerken bile block koyabiliyorsunuz. Her zaman yöntem şu; olmasını istemediğin trafiği kendin üret, o esnada sniff et ve oluşan trafiğe göre rule yazarak dropla. Saygılarımla, Ozgur Bu soylediklerinizin inspection kısmı plaintext trafik icin gecerli. Diğer türlü siz snortun olduğu makine üzerinde SSL sonlandırmanız lazım. Ve oluşturacağınız self-signed sertifikayı içerideki kullanıcıya göndermeniz lazım. Zaten tüm çözümler bu şekilde. Böyle olduktan sonra başka sorunlar doğuyor. Her bilgisayara tursted root CA eklemeniz lazım. SSL trafiği dinleyerek analiz edebilmesi için ya dünyanın tüm fırınlarındaki ekmekleri tüketmeniz lazım, ya da SSL'in artık güvenirliğini yitirmiş olması lazım. Madem anlık SSL decrypt edilebiliyor neden SSL kullanıyoruz? Bize gelmeden önceki router'dan bir amca data sniff ederek de bizim verilerimize ulaşabiliyor demektir. -- M.Atıf CEYLAN Yurdum Yazılım ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Halen temel sorunumuz uzerine konusuyoruz. Https nasil inspect edilir? Bu sorunu Mucip bey halen cozemedi. Plain kismini squid ile engelliyor zaten. Https kisminda da root sertifika tanimlamadan yapmanin yolunun olup olmadigini ogrenmek istedi. Bu kismi cozunce rule yazariz :) Yurdum Yazılım Zekeriya Akyıldız zekeriya.akyil...@gmail.com wrote: ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
3 Ağustos 2013 19:25 tarihinde M.Atıf CEYLAN meh...@atifceylan.com yazdı: Halen temel sorunumuz uzerine konusuyoruz. Https nasil inspect edilir? Bu sorunu Mucip bey halen cozemedi. Plain kismini squid ile engelliyor zaten. Https kisminda da root sertifika tanimlamadan yapmanin yolunun olup olmadigini ogrenmek istedi. Bu kismi cozunce rule yazariz :) Daha doğrusu, https://facebook.com için IP bloğunu bulup firewall'a kural yazmanın dışında daha kolay -yönetilebilir- yöntemi sormuştu. Client'lere proxy kullandırmak IP blokları ile uğraşmaktan daha kolaydır sanırım. Tartışma buraya kadar gelmiş iken bir süredir düşündüğüm ama test için zaman bulamadığım bir yöntemi de paylaşayım: Trafik ard arda iki proxyden geçse, öndeki bridge ve transparan olsa ve trafiği ikinci proxy'e clientların proxy yapılandırmasındaki gibi gönderse amacımıza ulaşabilir miyiz? Başarıya ulaşırsa da nerede patlama durumu olabilir? -- Saygılar, Aytekin Aygün ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Sadece asamayi cogaltmis olursunuz. Yurdum Yazılım Aytekin Aygün aytekinay...@gmail.com wrote: ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Tekrar selamlar, hiç gateway üzerinde tcpdump -i eth1 port 443 ile trafiği izleyip bridge moddaki snort üzerinde tail -f /var/log/barnyard2/barnyard2.log yazarak logları incelediniz mi? HTTPS ile kurulan facebook bağlantıları gateway ve snort makinesinden nasıl geçiyor? En azından iptables -I FORWARD -m string --string 'facebook.com' --algo bm -j DROP kuralını çalıştırıp HTTP veya HTTPS bağlantı kurmayı ve iptables loglarını gözlemlediniz mi? Ozgur ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
3 Ağustos 2013 20:33 tarihinde M.Atıf CEYLAN meh...@atifceylan.com yazdı: Sadece asamayi cogaltmis olursunuz. Amaç, clientlara proxy girmeden proxy ile bağlantı kurulduğunda elde edilen avantajlardan yararlanmaksa, teknik olarak sorun çıkmayacaksa, seçenek olarak tercih edilebilir. -- Saygılar, Aytekin Aygün ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Merhaba aytekin bey; Tabiki yapıya göre ihtiyaçlar değişebilir . Sizin yapınızda mutlaka bir DC vardır. Squid'i dc'ye tanıtıp orada gruplar oluşturup muhasebe,ik vb.. gibi grublara göre kurallar yazılabilir ya da şirket içi bölümlerin network subnet'leri farklı ise yine istediğiniz gibi kural yazabilirsiniz. Hatta band genişiliğini bile farklı verebilirsiniz. Yönetici şu hız da girsin x adamlar şu hız da. Bunlar farklı konular gerçi. Başka türlü ssl trafiğini filitrelemek ssl'in yapısından dolayı çok güç olacaktır. Bahsettiğiniz sorunlar her şirkette rastlanan sorunlar yani size özel değil kuralları oturtana kadar en az 1 hafta başınız ağrır. Büyük ihtimalle oradaki işletim sistemlerini de siz kuruyorsunuzdur bir cert. eklemek çok güç olmasa gerek :). Mucib bey; Squid kurup bir inceleme yaptım . SSL trafiği proxy üzerinden geçerken CONNECT metodunu kullanıyor. Şöyle bir acl yazınca istenen ssl tabanlı bir site bloke ediliebilir. Squid kullanıyorsanız yapınızda bir denermisiniz. acl yasak dstdomain .facebook.com .twitter.com http_access deny CONNECT yasak 3 Ağustos 2013 03:41 tarihinde Aytekin Aygün aytekinay...@gmail.com yazdı: 2 Ağustos 2013 23:15 tarihinde Hasan Akgöz hasanak...@mail.ru yazdı: Transparan proxy kullanmak her zaman daha iyi bir çözümdür. Kullanıcı tarafında manual olarak ya da dhcp yoluyla proxy dağıtmak bence ek bir yük. Zaten tüm trafiğin yönetimi transparan proxy kullandığınız için sizde bulunuyor. Yapmanız gereken squid + ssl bump ikilisini kullanarak ssl trafiğini yönetmek. Aksi halde siz kullanıcıların browser'larına proxy girseniz bile https trafiğini squid anlamlandıramayacağı için herhangi bir filitreye takılmayacaktır. Zaten squid'in işi https değildir pfsense'in hiç değildir. Squid bir http proxy serverdır. ssl bump veya ssl strip gibi uygulamaların yardımıyla squid ile ssl trafiğini yönetebilirsiniz. squid 3 ile ssl desteği geldi .Dikkat etmeniz gereken ikinci nokta openssl ile oluturulan sertifikayı kullanıcı tarafında trusted root ca authorities olarak eklemek aksi halde https ile facebook'a girerken browser'lar uyarı vermeye başlar. Çünkü ssl trafiğini yönetebilmek için bir nevi MITM ( Man-in-the-middle ) methodu kullanıyorsuz. Eğer pfsense'i xyz yerleri bloke etmek,vpn yapmak amacıyla kullanıyorsanız sizin için verimli olmayacaktır. Pfsense yerine herhangi bir gnu/linux dağıtımı + iptables daha verimli ve esnek olacaktır. Örneğin facebook ip aralığını bloke etmek istiyorsunuz. Bunun için facebook'un as number'ını elde etmeniz yeterlidir. Ekstra facebook x ip adresini bile eklese sizin bunu takip etmeniz gerekmez. whois tool'u ile şöyle bir arama yapıp ; Önceki e-postamda ifade ettiğim gibi admini olduğunuz networkün yapısına göre seçimler değişebilir. Evet en iyi yöntem gibi görünüyor ama 500 kullanıcılı bir ağda ben bir yılda pes ettim. Olanlar neler: * Browserlar (sizin de değindiğiniz gibi) her https trafiğinde sertifika hatası veriyor, bas bas bağırıyor. * Kullanıcı soluğu sizin kapınızda alıyor ve beni neden yasakladınız diye haykırıyor. * Yönetici beni de mi blokluyorsunuz diyor. * İE'nin sertifika hata sayfasında devam et (önerilmez) seçeneğini tıklayıp sorun çözmüş görünüyorsunuz ve izah etmeye çalışıyorsunuz. * Kullanıcı ikinci kez tekrar geliyor. Bu sorun yine oldu diyor. Her seferinde buraya mı tıklayacam diyor. bankaya da mı yasak koydunuz diyor. * Yönetici , yine ne yaptınız, çözemediniz mi şu sorunu diyor. * Bu arada bankaların IP bloklarını sisteme işleyerek bu saçma diyalogları bir nebze azaltmaya çalışıyorsunuz. * Çalan her telefonu default olarak devam et (önerilmez) e tıklayın diye açmaya başlıyorsunuz. * Hotmail ve gittigidiyor'un sayfaları bazen şaftı kaymış şekilde geliyor, bazen gelmiyor. * MSN kafasına göre takılıyor. Dün çalışıyordu, bugün çalışmıyor, yarın ne olacağı belli değil. * Sonra siz Yaşar, Ne Yaşar Ne Yaşamaz'ın admin versiyonu olarak buluyorsunuz kendinizi. Kullanıcı profiliniz size bunları yaşatmayacak ise, tamam, eyvallah... -- Saygılar, Aytekin Aygün ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Merhaba atıf hocam; Konu dağılıyor gerçi ama ssl'e güveniyoruz diyelim ya peki certificate authorities'lerine nasıl güvenicez ? comodo vb.. vakalar mevcut. 3 Ağustos 2013 15:14 tarihinde M.Atıf CEYLAN meh...@atifceylan.comyazdı: On 08/03/2013 01:16 PM, Ozgur wrote: Selamlar, çok zor değil ki öncelikle Snort bridge modda inline kurun ve ardından paketlerin Snort üzerinden geçtiğinden emin olun. Daha sonra facebook.com'a girin ve girerken trafiği sniff ederek nasıl bir paketin geçtiğine bakın sonra hem ip hem dns hem de domain üzerinden snort'a rule ekleyin tamamdır. Örnek olarak: http://asimjaweesh.wordpress.com/2013/02/08/using-snort-to-detect-unauthorized-requests-to-facebook/ Burada bir örneği var. Şu anda elimde Snort Inline makine yapı yok copy etmek için ama Snort'a bridge modda TCP üzerinden geçen bağlantılarda şu domain şu ip şu port şu dns gibi çeşitli kombinasyonlarda geçişe izin vermeyin dediğinizde geçmesinin imkanı yok. Daha değil https paketi, https'i göndereceği hedefi dns'den çözümlerken bile block koyabiliyorsunuz. Her zaman yöntem şu; olmasını istemediğin trafiği kendin üret, o esnada sniff et ve oluşan trafiğe göre rule yazarak dropla. Saygılarımla, Ozgur Bu soylediklerinizin inspection kısmı plaintext trafik icin gecerli. Diğer türlü siz snortun olduğu makine üzerinde SSL sonlandırmanız lazım. Ve oluşturacağınız self-signed sertifikayı içerideki kullanıcıya göndermeniz lazım. Zaten tüm çözümler bu şekilde. Böyle olduktan sonra başka sorunlar doğuyor. Her bilgisayara tursted root CA eklemeniz lazım. SSL trafiği dinleyerek analiz edebilmesi için ya dünyanın tüm fırınlarındaki ekmekleri tüketmeniz lazım, ya da SSL'in artık güvenirliğini yitirmiş olması lazım. Madem anlık SSL decrypt edilebiliyor neden SSL kullanıyoruz? Bize gelmeden önceki router'dan bir amca data sniff ederek de bizim verilerimize ulaşabiliyor demektir. -- M.Atıf CEYLAN Yurdum Yazılım ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
On 08/03/13 14:58, M.Atıf CEYLAN wrote: Hocam bu tls kullanilirsa boyle. TLS icin genel bir durum bu. tamam, facebook da tls kullaniyor zaten. $ echo | openssl s_client -connect facebook.com:443 21 | grep Protocol Protocol : TLSv1.2 isterseniz handshake'in icinde sni nasil gidiyor onu da gorebilirsiniz. $ openssl s_client -connect facebook.com:443 -servername facebook.com -debug bu komutun trafigini wireshark'tan izlerseniz size openssl'in gosterdigi hexdump'taki verinin ne anlama geldigini de gayet guzel gosterir. ama snort kurali yazmak icin protokole o kadar hakim olmaniza gerek yok. iyi calismalar, burak ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Merhaba, isabet oldu, bende aynı sirundan muzdaribim, arkadaşlar varmı basit bir yolu? Muharrem Turan 2 Ağu 2013 02:43 tarihinde Mucibirahman İLBUGA mucip.ilb...@gmail.com yazdı: Merhabalar, PfSense ile daha önce https üzerinden facebook , twitter gibi siteleri engelleyen oldu mu? Gugıllayınca bu sitelerin IP'lerini engellemek gibi bir seçenek öne çıkıyor ancak zahmetli ve sürekli kontrol edilmesi gereken bir yöntem bence. :( Hani daha kolayı olsa... Şam'da Kaysı tadında... :) -- Kolay gelsin, Mucip:) ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Hocam inline modda mi? Transparent modda mi? Yurdum Yazılım Ozgur okara...@member.fsf.org wrote: ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
03-08-2013 19:25 tarihinde, M.Atıf CEYLAN yazdı: Halen temel sorunumuz uzerine konusuyoruz. Https nasil inspect edilir? Bu sorunu Mucip bey halen cozemedi. Plain kismini squid ile engelliyor zaten. Https kisminda da root sertifika tanimlamadan yapmanin yolunun olup olmadigini ogrenmek istedi. Bu kismi cozunce rule yazariz :) Selamlar, IP bazlı kısıtlama ile çözülüyor. Şimdilik kimse giriş yapamıyor. :) Ama elbette bir kaç zaman sonra IP'ler değiştiğinde/değişirse ne olur bilinmez... :) -- Kolay gelsin, Mucip:) ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
03-08-2013 22:25 tarihinde, Hasan Akgöz yazdı: Mucib bey; Squid kurup bir inceleme yaptım . SSL trafiği proxy üzerinden geçerken CONNECT metodunu kullanıyor. Şöyle bir acl yazınca istenen ssl tabanlı bir site bloke ediliebilir. Squid kullanıyorsanız yapınızda bir denermisiniz. acl yasak dstdomain .facebook.com http://facebook.com .twitter.com http://twitter.com http_access deny CONNECT yasak Merhabalar, PFSense ile zaten Squid ve squid filter kullanıyorum. Ancak Bu dediğiniz kuralı nasıl denerim hiç fikrim yok... -- Kolay gelsin, Mucip:) ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
ben yapmıştım ama dediğiniz gibi ip bloğunu engelledim. https trafiğini tamamen kesemiyorsunuz (bankacılık vs. işlemleri yüzünden) tanımladığım alias şöyle ve işe yarıyor. alias nameSosyalNetwork/name address199.59.148.0/22 173.252.64.0/18 69.171.224.0/19 74.119.76.0/22 204.15.20.0/22 66.220.144.0/20 69.63.176.0/20 173.252.64.0/18 31.13.24.0/21 31.13.64.0/19 31.13.64.0/24 31.13.69.0/24 31.13.70.0/24 31.13.71.0/24 31.13.72.0/24 31.13.73.0/24 31.13.75.0/24 31.13.76.0/24 31.13.77.0/24 31.13.78.0/24 31.13.79.0/24 31.13.80.0/24 66.220.144.0/20 66.220.144.0/21 66.220.149.11/16 66.220.152.0/21 66.220.158.11/16 66.220.158.11/24 69.63.176.0/21 69.63.176.0/24 69.63.184.0/21 69.171.224.0/20 69.171.224.37/16 69.171.229.11/16 69.171.239.0/24 69.171.240.0/20 69.171.242.11/16 69.171.255.0/24 173.252.64.0/19 173.252.70.0/24 173.252.96.0/19 204.15.20.0/22/address descr![CDATA[Sosyal Paylasim Siteleri Https Engelleme Kurali]]/descr typenetwork/type detail![CDATA[Twitter Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu||Facebook Ip Blogu]]/detail /alias 2 Ağustos 2013 02:43 tarihinde Mucibirahman İLBUGA mucip.ilb...@gmail.comyazdı: Merhabalar, PfSense ile daha önce https üzerinden facebook , twitter gibi siteleri engelleyen oldu mu? Gugıllayınca bu sitelerin IP'lerini engellemek gibi bir seçenek öne çıkıyor ancak zahmetli ve sürekli kontrol edilmesi gereken bir yöntem bence. :( Hani daha kolayı olsa... Şam'da Kaysı tadında... :) -- Kolay gelsin, Mucip:) ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
02-08-2013 13:13, Aytekin Aygün yazmış: Merhaba, Selamlar, https konusunda geldiğim en son nokta browser'a proxy girmek. Tabi bu her network için en uygun seçenek olmayabilir ama kurumsal yapılarda şu anda en iyisi bu gibi. 20 makina için sorun olmaz. Çözüm olacaksa 15 dakikalık bir tur yapmış olurum sadec... :) İçerik filtrelemede facebook demek yetiyor o zaman. Bir de domain dışında hedefi IP adresi olan erişim engellenir ise tunnelleme konusu da büyük ölçüde çözülüyor. Kastettiğiniz squid filter değil mi?... Tabi bu sefer de, windows'un sistemdeki proxy'i algılayamayıp updatelerini yapabilmesi için update server IP listelerinin peşine düşmek gibi işlerle uğraşmak zorunda kalıyorsunuz ki bu işçiliği yeğlerim;) Çözüm olacaksa sorun değil... :) Yalnız anlayamadığım: Transparan'ı kaldırınca ne tür bir fark oluyor ki?... İstemci yine https portunu kullanmıyor mu? Ya da o https dese bile http üzerinden mi gidiyor?! Bu durumda banka veya butarz yerlerde sorun olmuyor mu?... -- Kolay gelsin, Mucip:) ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
02-08-2013 14:15 tarihinde, ilker AYDIN yazdı: Anlatılmak istenilen şu; firewal üzerinden tüm internet çıkışı kesilir. heryer herkes tüm port çıkışı kapatılır. sadece firewall nete çıkabilir. firewall a da sadece localdekiler 3128 den ulaşabilir. Bu durumda kullanıcı nete erişim için ip domain yada herhangi bir port kullanamaz. sadece 192.168.1.1:3128 izinli olacak. yani siz hangi portu kullanarak çıkma istersenin isteyin proxy ipsi ve portundan çıkarsınız. Sonrasında 2 ana secenek var. 1 client üzerine proxy zorlaması yapmak, ve tüm clientların otomatik proxy algıla seclili olduğuna emin olmak. ve özellikle windoslarda WinHTTP Web Proxy Otomatik Bulma Hizmeti sevisinin çalıştığından emin olmak gerekli. 2 yada clientlara giderek hepsine tek tek internet ayarında proxy kullan dedikten sonra firewall ip si yada domani yazıp portu girmek 192.168.1.1:3128 gibi Buradan devam edersek 1 secenek içinde 2 alt secenek vardır. 1a Dhcp ile proxy zorlamak, 1b sahte (yada sanal) DNS ile proxy zorlama yada her ikisi. Aslına network windowsladan oluşuyorsa (A.D. varsa) bir 3. secenekte olur , işlem gayet basit olacaktır. Gayet iyi anlatılmış. Yani; proxy kullanarak https trafiğini de squid üzerinden geçirebiliyorsunuz. Transparan'da bunu yapamazsınız. Ayrıca yetkilendirmeyi user/pass şeklinde yapabilme şansınız da olacaktır. Avantajlarından biri de (bazen dezavantaj) internet erişimi yapacak tüm programlara proxy girmek gerekecek. Bu kontrolün tamamen sizde olması tarafında avantaj, yapılandırma sürecindeki iş yükü, vs. açısından dezavantaj olacaktır. Ama ultrasurf için hiç birşey yapmasanız da sadece proxy ayarı eksikliği bile erişimi engelleyecek, bloke olan kullanıcıda hmmm... admin bu açığı kapatmış herhalde.. duygusu yaratacaktır. (Öyle umuyorum diyelim :) ) Not: Hedefi IP adresi olan (domain olmayan) trafiği engellemek ultrasurf gibi tunelleme yazılımlarını blokluyor(du). (son versiyonlarını test etmedim) -- Saygılar, Aytekin Aygün ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
2 Ağustos 2013 15:24 tarihinde Mucibirahman İLBUĞA mucip.ilb...@gmail.comyazdı: Yakın zamanda trasnparan'ı kaldırmayı planlıyorum o zaman. Ancak güvenlik duvarının arkasında qmail-toaster posta sunucumuz var. Onda bir değişiklik gerekecek mi acaba?... Posta sunucunuza proxy girmeyin. Firewal'da da posta sunucunuzun IP'sine istediğiniz ölçüde izin verin. Yani bu yapıda, kaynağı/hedefi şu portu bu olana proxy kullandırmadan izin vermek mümkün. Defaultta tüm erişim kapalı ve proxy'e zorluyorsunuz ama özel bazı erişimlere istediğiniz izinleri verebilirsiniz. Yazdıklarınızdan anladığım, olabildiğince güvenlik ve kontrol için transparent kullanmamak gerekiyor... Transparan yapıda https'de whitelist modeli yaparsanız benzer noktaya gelirsiniz aslında ama yönetmenin zorlukları daha fazla gibi. Bu sefer de facebook açmak için IP listeleriyle boğuşacaksınız. :) -- Saygılar, Aytekin Aygün ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
Ek olarak, anahtar kelimeler vereyim. WCCP, WPAD, proxy.pac 2013/8/2 ilker AYDIN ilker_ay...@hotmail.com Anlatılmak istenilen şu; firewal üzerinden tüm internet çıkışı kesilir. heryer herkes tüm port çıkışı kapatılır. sadece firewall nete çıkabilir. firewall a da sadece localdekiler 3128 den ulaşabilir. Bu durumda kullanıcı nete erişim için ip domain yada herhangi bir port kullanamaz. sadece 192.168.1.1:3128 izinli olacak. yani siz hangi portu kullanarak çıkma istersenin isteyin proxy ipsi ve portundan çıkarsınız. Sonrasında 2 ana secenek var. 1 client üzerine proxy zorlaması yapmak, ve tüm clientların otomatik proxy algıla seclili olduğuna emin olmak. ve özellikle windoslarda WinHTTP Web Proxy Otomatik Bulma Hizmeti sevisinin çalıştığından emin olmak gerekli. 2 yada clientlara giderek hepsine tek tek internet ayarında proxy kullan dedikten sonra firewall ip si yada domani yazıp portu girmek 192.168.1.1:3128 gibi Buradan devam edersek 1 secenek içinde 2 alt secenek vardır. 1a Dhcp ile proxy zorlamak, 1b sahte (yada sanal) DNS ile proxy zorlama yada her ikisi. Aslına network windowsladan oluşuyorsa (A.D. varsa) bir 3. secenekte olur , işlem gayet basit olacaktır. 02.08.2013 13:24 tarihinde, Mucibirahman İLBUĞA yazdı: 02-08-2013 13:13, Aytekin Aygün yazmış: Merhaba, Selamlar, https konusunda geldiğim en son nokta browser'a proxy girmek. Tabi bu her network için en uygun seçenek olmayabilir ama kurumsal yapılarda şu anda en iyisi bu gibi. 20 makina için sorun olmaz. Çözüm olacaksa 15 dakikalık bir tur yapmış olurum sadec... :) İçerik filtrelemede facebook demek yetiyor o zaman. Bir de domain dışında hedefi IP adresi olan erişim engellenir ise tunnelleme konusu da büyük ölçüde çözülüyor. Kastettiğiniz squid filter değil mi?... Tabi bu sefer de, windows'un sistemdeki proxy'i algılayamayıp updatelerini yapabilmesi için update server IP listelerinin peşine düşmek gibi işlerle uğraşmak zorunda kalıyorsunuz ki bu işçiliği yeğlerim;) Çözüm olacaksa sorun değil... :) Yalnız anlayamadığım: Transparan'ı kaldırınca ne tür bir fark oluyor ki?... İstemci yine https portunu kullanmıyor mu? Ya da o https dese bile http üzerinden mi gidiyor?! Bu durumda banka veya butarz yerlerde sorun olmuyor mu?... ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: PfSense ile https kontrolü?
2 Ağustos 2013 23:15 tarihinde Hasan Akgöz hasanak...@mail.ru yazdı: Transparan proxy kullanmak her zaman daha iyi bir çözümdür. Kullanıcı tarafında manual olarak ya da dhcp yoluyla proxy dağıtmak bence ek bir yük. Zaten tüm trafiğin yönetimi transparan proxy kullandığınız için sizde bulunuyor. Yapmanız gereken squid + ssl bump ikilisini kullanarak ssl trafiğini yönetmek. Aksi halde siz kullanıcıların browser'larına proxy girseniz bile https trafiğini squid anlamlandıramayacağı için herhangi bir filitreye takılmayacaktır. Zaten squid'in işi https değildir pfsense'in hiç değildir. Squid bir http proxy serverdır. ssl bump veya ssl strip gibi uygulamaların yardımıyla squid ile ssl trafiğini yönetebilirsiniz. squid 3 ile ssl desteği geldi .Dikkat etmeniz gereken ikinci nokta openssl ile oluturulan sertifikayı kullanıcı tarafında trusted root ca authorities olarak eklemek aksi halde https ile facebook'a girerken browser'lar uyarı vermeye başlar. Çünkü ssl trafiğini yönetebilmek için bir nevi MITM ( Man-in-the-middle ) methodu kullanıyorsuz. Eğer pfsense'i xyz yerleri bloke etmek,vpn yapmak amacıyla kullanıyorsanız sizin için verimli olmayacaktır. Pfsense yerine herhangi bir gnu/linux dağıtımı + iptables daha verimli ve esnek olacaktır. Örneğin facebook ip aralığını bloke etmek istiyorsunuz. Bunun için facebook'un as number'ını elde etmeniz yeterlidir. Ekstra facebook x ip adresini bile eklese sizin bunu takip etmeniz gerekmez. whois tool'u ile şöyle bir arama yapıp ; Önceki e-postamda ifade ettiğim gibi admini olduğunuz networkün yapısına göre seçimler değişebilir. Evet en iyi yöntem gibi görünüyor ama 500 kullanıcılı bir ağda ben bir yılda pes ettim. Olanlar neler: * Browserlar (sizin de değindiğiniz gibi) her https trafiğinde sertifika hatası veriyor, bas bas bağırıyor. * Kullanıcı soluğu sizin kapınızda alıyor ve beni neden yasakladınız diye haykırıyor. * Yönetici beni de mi blokluyorsunuz diyor. * İE'nin sertifika hata sayfasında devam et (önerilmez) seçeneğini tıklayıp sorun çözmüş görünüyorsunuz ve izah etmeye çalışıyorsunuz. * Kullanıcı ikinci kez tekrar geliyor. Bu sorun yine oldu diyor. Her seferinde buraya mı tıklayacam diyor. bankaya da mı yasak koydunuz diyor. * Yönetici , yine ne yaptınız, çözemediniz mi şu sorunu diyor. * Bu arada bankaların IP bloklarını sisteme işleyerek bu saçma diyalogları bir nebze azaltmaya çalışıyorsunuz. * Çalan her telefonu default olarak devam et (önerilmez) e tıklayın diye açmaya başlıyorsunuz. * Hotmail ve gittigidiyor'un sayfaları bazen şaftı kaymış şekilde geliyor, bazen gelmiyor. * MSN kafasına göre takılıyor. Dün çalışıyordu, bugün çalışmıyor, yarın ne olacağı belli değil. * Sonra siz Yaşar, Ne Yaşar Ne Yaşamaz'ın admin versiyonu olarak buluyorsunuz kendinizi. Kullanıcı profiliniz size bunları yaşatmayacak ise, tamam, eyvallah... -- Saygılar, Aytekin Aygün ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
