[Linux-sunucu] Re: pfSense ve Citrix Xen

[M.Atıf CEYLAN]

Evet bu dediğiniz doğru bunu önlemek için ben captive portal 
kullanıyorum. Giriş sayfasında da yaptığınız işlemler loglanıyor bilgisi 
veriyorum. Kullanıcı bunu bilerek giriyor ve zaten logunda da ne 
yaptığını görüyorum. Bu da rızası dahilinde oludğu için sorun olmak bir 
yana olası yasal sorunların çözümüne de katkı sağlıyor.

On 17-04-2014 17:50, hakan akin wrote:
Konu bu iken ufak bir girdi yapayım müsadenizle.
Man in the middle attack;
Aslında bir hacking olayıdır. Squid 3 ile marcello bu olayı PfSense 
ile kullanıcılara sunmuş durumda.
Mantık açısından kullanışlı ancak yasal açıdan sizlere sorun 
çıkartabilecek bir özelliği kullanmış olabilirsiniz.
Örnek vermek gerekirse bir kullanıcınızın internet hesabının 
hacklendiğini düşünün ve buradan büyük bir mebla para akışı olsun.
Konu savcılığa intikal ettiğinde kullanıcınızın internet hizmeti 
aldığı noktalardan birisi de sizsiniz ve malesef savcı ve 
bilirkişi(bazen bilmez kişi)  ile muhatap olcaksınız.
Siz aslında kullanıcının şifreli gitmesi gereken bir bilgiyi açıyor ve 
tekrar şifreliyorsunuz. Dolayısı ile istendiği taktirde kullanıcınızın 
banka hesap bilgilerini kolaylıkla elde edebilirsiniz. Bu da sizi 
şüpheli konumuna düşürür ki bunu kimse istemez. Bu açıdan ben ssl 
inspection olayının kullanılması taraftarı değilim.
Mucip Bey bu açıdan olayı tekrar değerlendiriniz derim.

----- Original Message -----

From: meh...@atifceylan.com

Sent: 04/17/14 04:32 PM

To: linux-sunucu@liste.linux.org.tr

Subject: [Linux-sunucu] Re: pfSense ve Citrix Xen

On 17-04-2014 14:11, Mucibirahman İLBUĞA wrote:
> 16-04-2014 16:15, "M.Atıf CEYLAN" yazmış:
>
> Selamlar,
> Şiir gibi yazmışsınız... :)
>
>> Ben olsam şöyle yapardım.
>> squid 80 için transparent kullanır ve
> BU aşağıdaki kısmı anlamadım. Nasıl yapılacak? Normalde 443'ü
> engelleyebilirim. Ama bu dediğiniz farklı bir şey sanki?...
Transparent proxy yaparsanız https dinleyemezsiniz ama non-transparent
yani intercepted yani sonlandırılmış proxy olarak kullanırsanız ssl
pfsense üzerinde sonlanır ve arkadaki clientlar için yeni bir ssl trafik
oluşturularak data aktarılır. Tabi burada client'ların göreceği sizin
sertifikanız olur. Ancak amacınıza ulaşmış ve https networkünüzde
mucip-in-the-middle olursunuz.
>> farklı bir instance'da da 443 için sonlandırma yapardım.
> Bu kısımda anlaşılamadı. 443 sonlanınca HTTPS trafiği neredenakacak?
> Squid HTTPS izleyemiyor diye biliyorum?...
Transparent modda evet dinleyemiyor.
>> Banka gibi özel yerler için de https trafiği squid'e sokmazdım.
>> Böylece https trafiği de dinlerdim.
> Bu sertifika işi zaten başlı başına derin konu. Aslında bu konuda bir
> kaynak olabilse ne hoş olur?.. :)
>> İmkan varsa self signed sertifikamı da client'lara eklerdim.
> BUna benzer bir yapıyı facebook için kullanıyorum. Facebook IP'lerini
> bir liste haline getirdim ve O IP'lere geliş/gidişi engelledim. Bir
> süredir idare ediyor... :)
Facebuk tls kullanıdığı için tüm trafik kriptolu gitmediğinden url
filtreleme yapılabilir.
>> Default kullanılabilecek proxy/vpn portlarını doğrudan engeller ve
>> ufak bir google araştırması ile de kendime proxy/vpn block list
>> oluştururdum. Hatta dışa giden tüm UDP isteklerine mani olurdum ki
>> trojan bulaşmış bir zombi benim networkümden dışarı çıkamasın.
> Bu nereden veriliyor? Faydası nedir? Ne işe yarar?
Firewall->rules içerisinden
>> Rule'lara rate ve state limitleri eklerdim.
> PfSense üzerine DNS sunucu mu kurulacak? Olabiliyor mu?...
Evet paketlerde tinydns ve bind dns var. Cache dns olarak kullanabilir
ve içerideki makineleriniz için recursive sorgulara açabilirsiniz.
>
>> Bununla da kalmaz tüm dns sorgularına kendim cevap verir ve onu da
>> telekomdan alırdım ki yasaklı sitelere de kimse giremesin.
> Bu zaten malum... :)
>> Tabi hazır squid varken squidguard black listi de aktif ederdim.
>> Sonra da oturup kulaklarımın çınlamasını dinlerdim.


--
M.Atıf CEYLAN
Yurdum Yazılım
_______________________________________________
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu



_______________________________________________
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu


--
M.Atıf CEYLAN
Yurdum Yazılım
_______________________________________________
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu