Konu bu iken ufak bir girdi yapayım müsadenizle. Man in the middle attack; Aslında bir hacking olayıdır. Squid 3 ile marcello bu olayı PfSense ile kullanıcılara sunmuş durumda. Mantık açısından kullanışlı ancak yasal açıdan sizlere sorun çıkartabilecek bir özelliği kullanmış olabilirsiniz. Örnek vermek gerekirse bir kullanıcınızın internet hesabının hacklendiğini düşünün ve buradan büyük bir mebla para akışı olsun. Konu savcılığa intikal ettiğinde kullanıcınızın internet hizmeti aldığı noktalardan birisi de sizsiniz ve malesef savcı ve bilirkişi(bazen bilmez kişi) ile muhatap olcaksınız. Siz aslında kullanıcının şifreli gitmesi gereken bir bilgiyi açıyor ve tekrar şifreliyorsunuz. Dolayısı ile istendiği taktirde kullanıcınızın banka hesap bilgilerini kolaylıkla elde edebilirsiniz. Bu da sizi şüpheli konumuna düşürür ki bunu kimse istemez. Bu açıdan ben ssl inspection olayının kullanılması taraftarı değilim.
Mucip Bey bu açıdan olayı tekrar değerlendiriniz derim. ----- Original Message ----- From: [email protected] Sent: 04/17/14 04:32 PM To: [email protected] Subject: [Linux-sunucu] Re: pfSense ve Citrix Xen On 17-04-2014 14:11, Mucibirahman İLBUĞA wrote: > 16-04-2014 16:15, "M.Atıf CEYLAN" yazmış: > > Selamlar, > Şiir gibi yazmışsınız... :) > >> Ben olsam şöyle yapardım. >> squid 80 için transparent kullanır ve > BU aşağıdaki kısmı anlamadım. Nasıl yapılacak? Normalde 443'ü > engelleyebilirim. Ama bu dediğiniz farklı bir şey sanki?... Transparent proxy yaparsanız https dinleyemezsiniz ama non-transparent yani intercepted yani sonlandırılmış proxy olarak kullanırsanız ssl pfsense üzerinde sonlanır ve arkadaki clientlar için yeni bir ssl trafik oluşturularak data aktarılır. Tabi burada client'ların göreceği sizin sertifikanız olur. Ancak amacınıza ulaşmış ve https networkünüzde mucip-in-the-middle olursunuz. >> farklı bir instance'da da 443 için sonlandırma yapardım. > Bu kısımda anlaşılamadı. 443 sonlanınca HTTPS trafiği neredenakacak? > Squid HTTPS izleyemiyor diye biliyorum?... Transparent modda evet dinleyemiyor. >> Banka gibi özel yerler için de https trafiği squid'e sokmazdım. >> Böylece https trafiği de dinlerdim. > Bu sertifika işi zaten başlı başına derin konu. Aslında bu konuda bir > kaynak olabilse ne hoş olur?.. :) >> İmkan varsa self signed sertifikamı da client'lara eklerdim. > BUna benzer bir yapıyı facebook için kullanıyorum. Facebook IP'lerini > bir liste haline getirdim ve O IP'lere geliş/gidişi engelledim. Bir > süredir idare ediyor... :) Facebuk tls kullanıdığı için tüm trafik kriptolu gitmediğinden url filtreleme yapılabilir. >> Default kullanılabilecek proxy/vpn portlarını doğrudan engeller ve >> ufak bir google araştırması ile de kendime proxy/vpn block list >> oluştururdum. Hatta dışa giden tüm UDP isteklerine mani olurdum ki >> trojan bulaşmış bir zombi benim networkümden dışarı çıkamasın. > Bu nereden veriliyor? Faydası nedir? Ne işe yarar? Firewall->rules içerisinden >> Rule'lara rate ve state limitleri eklerd im. > PfSense üzerine DNS sunucu mu kurulacak? Olabiliyor mu?... Evet paketlerde tinydns ve bind dns var. Cache dns olarak kullanabilir ve içerideki makineleriniz için recursive sorgulara açabilirsiniz. > >> Bununla da kalmaz tüm dns sorgularına kendim cevap verir ve onu da >> telekomdan alırdım ki yasaklı sitelere de kimse giremesin. > Bu zaten malum... :) >> Tabi hazır squid varken squidguard black listi de aktif ederdim. >> Sonra da oturup kulaklarımın çınlamasını dinlerdim. -- M.Atıf CEYLAN Yurdum Yazılım _______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinf o/linux-sunucu
_______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
