Forum

https facebook
 
Bildirimler
Hepsini Temizle

https facebook

47 Yazılar
11 Üyeler
0 Reactions
1,582 Görüntüleme
(@TuncayBAS)
Gönderiler: 139
Estimable Member
 

Yapılması gereken TMG de olduğu gibi SSL Inpect i açmak. Onuda zaten Protection Profile da Protocol Recognition bölümünden hallediyoruz.

 
Gönderildi : 22/06/2010 11:37

(@HakanYesilbayrak)
Gönderiler: 29
Trusted Member
Konu başlatıcı
 

bağlanıp bakacak varmı bu fortiye

 
Gönderildi : 25/06/2010 19:36

(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member
 

Merhaba ,

Bu tarz istek ve bildirimlerin talebi formumuzda  yasaktır.

Teşekkürler.

 
Gönderildi : 25/06/2010 19:41

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Savaş bey forti konusunda danışmanlık yapıyor kendisi ile profesyonel olarak görüşebilirsiniz

http://www.f1teknoloji.net/

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 26/06/2010 00:32

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Fortide nasıl yapılıyor bilmemde,

 

Genel olarak HTTPS trafikleri taranamaz yapıdadırlar, yani trafik bir şekilde başlar ise kesmenin yolu olmasa gerek. Eğer trafik başldığında kesemiyorsak bir şekilde bu tarafiğin başlamasına engel olmamız lazım. IDS ve IPS yapılarında SSL, ve Secure bağlantılar yapan bir çok sistem için güvenlik önlemleri var ama https bağlantı yapılacak bir FQDN adına ilişkin bir imza olmasa gerek. HTTPS bağlantılarında ağa kapatmak olmaz. Bankası var, mail sitesi var.

O zaman bu tür bir bağlantıyı iki yolla keseriz, bir facebook.com alan adının sorgusunu kesebiliriz ki, cihazın FQDN adlarına ilişkin kural yazması lazım profesyonel routerlar bunu desteklemez gibi me geliyor neme lazım DNS poisoning filan oluşur, e o zaman en mantıklı yol IP bazında kesmek olacaktır. nslookup ile isimleri sorgulatıp, bu IP adreslerıne gıdısı kapatmak yeterlı olsa gerek. Tabi proxy çıkışlarınıda kapatmak lazım ki gidilen yer başka IP gösterilip aslında facebook da cocukluk arkadaşları aranmasın.

 
Gönderildi : 26/06/2010 05:00

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 

merhaba
fortigate http ve https trafiğinde uygunsuz kategorileri engelleyebilir,bunun yanı sıra v4 ile gelen application controller ile de uygulama bazında engelleme yapabilirsiniz,cihazda localde oluşturulacak bir tanımla bile dışarıdaki servisleri çalıştırmadan facebook geçen tüm https erişimleri kesebileceğinizi bilmenizde fayda var.
selamlar

 
Gönderildi : 30/06/2010 17:50

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 

şirketimizden Kemal Bey size müdahele ettiğini ve sorunuzu çözdüğünüzü söyledi.
konu ile ilgili bilgilendirirmisiniz ?
selamlar

 
Gönderildi : 30/06/2010 17:51

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

merhaba
fortigate http ve https trafiğinde uygunsuz kategorileri engelleyebilir,bunun yanı sıra v4 ile gelen application controller ile de uygulama bazında engelleme yapabilirsiniz,cihazda localde oluşturulacak bir tanımla bile dışarıdaki servisleri çalıştırmadan facebook geçen tüm https erişimleri kesebileceğinizi bilmenizde fayda var.
selamlar

 Sanırım bunu HTTPS trafiği için gönderilen ilk istekte kesiyor, peki ben facebook.com adresine IP adresi ile gidersem ve HTTPS trafiğini başlatırsam bu durumda ne yapabilir, yoksa https içeriğinimi tarıyor bu cihaz ?

 
Gönderildi : 30/06/2010 18:52

(@sarp.agim)
Gönderiler: 109
Estimable Member
 

Bazı arkadaşların belirttiği gibi fazla detaya inmeye gerek yok.

 

SSL inspect ile ilgili ufak çaplı bir araştırma ile sorunun çözülecektir.

 

Saygılarımla

 
Gönderildi : 30/06/2010 20:59

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 


merhaba
fortigate http ve https trafiğinde uygunsuz kategorileri engelleyebilir,bunun yanı sıra v4 ile gelen application controller ile de uygulama bazında engelleme yapabilirsiniz,cihazda localde oluşturulacak bir tanımla bile dışarıdaki servisleri çalıştırmadan facebook geçen tüm https erişimleri kesebileceğinizi bilmenizde fayda var.
selamlar


 Sanırım bunu HTTPS trafiği için gönderilen ilk istekte kesiyor, peki ben facebook.com adresine IP adresi ile gidersem ve HTTPS trafiğini başlatırsam bu durumda ne yapabilir, yoksa https içeriğinimi tarıyor bu cihaz ?



https trafiğini taradığı için ip olarakta gitseniz kesecektir.selamlar

 
Gönderildi : 30/06/2010 21:09

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Sarp Bey, şimdi sizin için bu işler kolay tabi ki. Tabi biz öğrenmeye çalışıyoruz, aslında konu hakkında ki bilgilerinizi bizimle paylaşsanız güzel olurdu.

 
Gönderildi : 30/06/2010 21:20

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

merhaba
fortigate http ve https trafiğinde uygunsuz kategorileri engelleyebilir,bunun yanı sıra v4 ile gelen application controller ile de uygulama bazında engelleme yapabilirsiniz,cihazda localde oluşturulacak bir tanımla bile dışarıdaki servisleri çalıştırmadan facebook geçen tüm https erişimleri kesebileceğinizi bilmenizde fayda var.
selamlar

 Sanırım bunu HTTPS trafiği için gönderilen ilk istekte kesiyor, peki ben facebook.com adresine IP adresi ile gidersem ve HTTPS trafiğini başlatırsam bu durumda ne yapabilir, yoksa https içeriğinimi tarıyor bu cihaz ?

https trafiğini taradığı için ip olarakta gitseniz kesecektir.selamlar

 

Savaş Bey, yapıyı kurarken; HTTPS trafiği içinde facebook yakalar isen  kesmi diyorsunuz yoksa HTTPS trafinğini mi kesiyorsunuz. Sonuçta ben IP yazdığımda ve HTTPS trafiğini başlattığımda trafik bir kez sertfikalı hale gelir ise o andan sonrasını hiç bir cihazın görememesi lazım. Yok eğer görüyor ise bankalarda ve HTTPS trafikli sistemlerin hiçbirisinde güvenlik kalmamış demektir.

 

Eğer ben IP ile facebook adresine gider isem benim gönderdiğim paket içerisinde facebook.com ibarisi olmayacaktır, ilk paketten sonra sertifikalı yapıye geçer isem ondan sonrasında data içeriği okunamaz diye biliyorum, ama kesin çözüm olarak facebook ıplerini versem ve bu ıplere HTTPS reguest Vx leri kes dersem zaten IP istinaden bir HTTPS isteği yapamıyacağım için datamı HTTP ile açık göndermem lazım, bunuda her şekilde keserim gibime geliyor.

 

Konu ile ilgilendiğiniz için teşekkürler.

 
Gönderildi : 30/06/2010 21:44

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 




fortiguard web filtering bir hizmettir ve bu hizmette hangi ip adresi hangi category ait bilinmektedir.dolayısı ile siz fortiguard web filteringi aktif ettiğiniz anda ve categorylerden personel releationship i engellediğiniz zaman sizin facebook veya siberalem gibi kişisel tanışma sitelerine yapacağınız istek önce fortigate e gelecek bu isteği fortigate sorgulayacak ve izinli categoride ise izin verecek.


bankalardaki https trafiğinin içine baktığına dair ben bir şey söylemedim , şayet öyle olsa çok kişinin canı yanardı,https trafiğini fortigate dışında websense ilede denetim altına alabilirsiniz.denetimden kastım incelemek değil !!!. https olarak gidilecek sayfalar categori bazında izinli ise pass et değilse engelle diye.

 
Gönderildi : 01/07/2010 12:14

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Şimdi daha anlaşılır oldu, teşekkürler Savaş Bey. Yazılanlardan sanki HTTPS içeriği incelenebiliyormuş gibi bir hava çıktı. Elbette web content hizmeti ile rahatlıkla kesilebilir.

 

Teşekkürler.

 
Gönderildi : 01/07/2010 12:25

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

güzel paylaşım oldu bu post..

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 01/07/2010 13:16

(@savasdemir)
Gönderiler: 1870
Illustrious Member
 

bu posta emeği geçen herkese teşekkürler

 
Gönderildi : 01/07/2010 13:46

(@sarp.agim)
Gönderiler: 109
Estimable Member
 

Savaş beyin bahsettiği  Websense konusu ile ilgili herhangi bir konuda yardıma ihtiyacı olan kişi hiç çekinmeden bana danışabilir.

Websense sertifikasyonuna sahip değilim ama çalıştığım yer gerekse pozisyonum gereği uzmanlığım Websense üzerinedir. WSS   WSG gibi konularda Türkiyenin her yerinde danışmanlık hizmeti veriyorum zaten.

Bilginize ve Saygılarımla

 
Gönderildi : 02/07/2010 12:55

(@oguzp)
Gönderiler: 38
Trusted Member
 

Bir de ek olarak HTTPS trafiğinin içeriğini de Man In The Middle (Ortadaki Kişi diye çevireyim) yöntemi kullanarak inceleyen/filtreleyen cihazlar var (örneğin Cisco Ironport).

Mesela banka ile HTTPS bağlantı kurmak istediğinizde aslında bu cihaz ile kuruyorsunuz bağlantıyı, o da banka ile HTTPS bağlantı kurup sizin isteğinizi iletiyor, ortadaki kişi oluyor yani cihaz. İki taraftaki iletişim de HTTPS olduğu için güvenlik de geçerli kalıyor.

 

 

 

 
Gönderildi : 04/07/2010 01:26

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

TMG de aynı özelliği sunuyor.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 04/07/2010 01:38

Sayfa 2 / 3
Paylaş: