Forum

pfSense Türevi...
 
Bildirimler
Hepsini Temizle

pfSense Türevi OPNsesnse Sistemim 5651 Nolu Yasaya Uygun Mu?

24 Yazılar
7 Üyeler
0 Reactions
4,424 Görüntüleme
(@alikosen)
Gönderiler: 6
Active Member
Konu başlatıcı
 

Merhaba, 1000 kişilik öğrenci yurdumuz için pfSense ve m0n0wall' ın baz alınarak oluşturulduğu(fork) OPNsense ile 5651 nolu yasaya uygun olacak şekilde bir sistem kurduk. Sistemimizde;

  • MAC adreslerini T.C. kimlik no ile bağdaştırmak için captive portal,
  • Hangi MAC adresli cihazın ağa ne zaman bağlandığını öğrenmek için DHCPv4 sunucu,
  • HTTP trafiğini izlemek için transparan proxy bulunmakta.

Bunlardan başka herhangi bir işlem, logların imzalanması veya günlük olarak başka bir sisteme aktarılması söz konusu değil. Acaba burada yaptığımız işlemler yeterli mi? Yeterli değil ise neler yapabiliriz?

Teşekkürler

 
Gönderildi : 16/09/2017 14:56

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33291
Illustrious Member Yönetici
 

Merhaba

Bazı firmalar hatta uzmanlar yok SMTP trafiğide izlenmeli gibi şeyler söylüyorlar ancak bu şart değil, eğer mail sistemi ile ilgili bir sorun olur ve dava açılır ise tabiki yararlı olur ama 5651 içerisinde temelde internete çıkan cihazların IP - Kimlik eşleştirilmesi istenmektedir.

Eğer siz network üzerinden internete çıkan her bir IP nin hangi makineye ki o makinenin de kime ait olduğunu kanıtlayabiliyorsanız tamamdır. Ama sizin bu bigileri dijital olarak imzalamanız gerekli ki sizin veri tabanının da değiştirilmeyeceğine dair garanti yoktu çünkü.

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 17/09/2017 19:45

(@ilhancicek)
Gönderiler: 180
Estimable Member
 

Merhaba ;

Yeterli olabilir yaptıklarınız ama kesinlikle imzalı olmalı. Logun değişemediğini garanti etmelisiniz.  Bir de genelde savcılıktan gelen yazılarda bu siteye kim girmiş veya bu yorumu kim yapmış şeklinde geliyor yazılar. Bunları ispat edebiliyor olduktan sonra problem yok. 

 

 
Gönderildi : 18/09/2017 01:13

(@turancoskun)
Gönderiler: 4100
Üye
 

merhaba,

Hakan hoca ve İlhan bey'in belirttiği gibi, ilgili logların zaman damgası ile imzalanarak saklanması gerekmekte.

http://www.resmigazete.gov.tr/eskiler/2017/04/20170411-3.htm  ( bkz. madde 5-e )

tavsiyem, captive portal db bilgilerini düzenleyip ( user/mac vb. ), saklanabilir, dhcp ve squid logları içinde benzer bir yöntem uygulamalısınız.

kullanıcı sayısı fazla olduğundan, log dosyalarından sadece ihtiyacınız olan sütunları seçmeniz, faydanıza olacaktır.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 19/09/2017 03:39

(@alikosen)
Gönderiler: 6
Active Member
Konu başlatıcı
 

Tekrar merhaba.

Öncelikle cevaplamalarınız için teşekkür ederim, sistemimi biraz değiştirmeye karar verdim:

İnternet erişim kayıtları için transparan vekil sunucu yerine güvenlik duvarı kurallarının günlük tutma seçeneğini kullanıyorum. Gün sonunda oluşacak olan günlük dosyamı bir php işlemi ile 3 sütunlu hale getirip imzalatacağım. Bu sütunlar "tarih/zaman; T.C kimlik no; hedef IP adresi" şeklinde olacak.

Sistemde erişim engellenmesi için OpenDNS aile korumalı DNS adresi zorlanacak ve sadece web erişimi için 53, 80 ve 443 portları açık olacak.

 
Gönderildi : 15/10/2017 14:41

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33291
Illustrious Member Yönetici
 

Bilgi ve geri dönüş için teşekkürler.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 15/10/2017 16:08

(@turancoskun)
Gönderiler: 4100
Üye
 

belirttiğiniz yöntemde bir çözüm, ancak dezavantajları mevcut.

firewall logları, sistem gün içinde herhangi bir sebepten yeniden başlatıldığı takdirde temizlenecektir, elinizde günün kaydı kalmayabilir.

bu yüzden bir db,pcap veya txt'te düzenli olarak kayıt tutmanız daha sağlıklı olabilir.

cp ve dhcp tarafını doğru yapılandırmazsanız, oluşturduğunuz raporlar tutarlı olmayacaktır.

sütunlara kaynak adresi eklemelisiniz.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 16/10/2017 01:54

(@alikosen)
Gönderiler: 6
Active Member
Konu başlatıcı
 

Tekrar Merhaba, konunun ilk yazısından bu zamana sistemimde bayağı bir değişiklik yaptım.

Öncelikle OPNSense' nin birkaç eksiği nedeniyle PfSense' ye geçiş yapmış bulunmaktayım. Bunun temel nedeni OPNSensede radius server özelliğinin bulunmaması idi.

Şu anda PfSense üzerinde;

  • MAC adreslerini T.C. kimlik no ile bağdaştırmak ve kullanıcı kontrolü için Captive Portal,
  • Log dosyalarını otomatik imzalatma işlemleri için Cron,
  • Webde içerik filtreleme adına OpenDNS firmasının Aile sunucularını Captive Portal işlemi ile birlikte kullanabilmek için DNS Resolver yerine DNS Forwarder,
  • Captive Portalda oturum bilgilerini tutma için FreeRADIUS,
  • Firewall' dan gelen logları günlük olarak döndürmek için Syslog-ng paketlerini aktif olarak kullanmaktayım.

 

PfSense kurulu cihazımın yanında birde sanal sunucu kiraladım, bu sunucuda FreeRADIUS SQL tabloları tutuluyor. Ve imzalanacak olan log dosyam buraya upload edilip imzalanıyor, ardından PfSense kurulu cihazımın harddiskine kayıt ediliyor.

Örnek log kaydı kesiti: (Örnek T.C. No: 11111111111 Örnek MAC adresi: ab:cd:ef:ab:cd:ef)

Nov 8 00:10:12 localhost filterlog: 124,,,1509035694,re2,match,pass,in,4,0x0,,64,47392,0,DF,6,tcp,60,172.31.160.152,216.58.206.170,36032,443,0,S,2332582224,,14600,,mss;sackOK;TS;nop;wscale
Nov 8 00:10:13 localhost dhcpd: reuse_lease: lease age 293 (secs) under 25% threshold, reply with unaltered, existing lease for 172.22.248.184
Nov 8 00:10:13 localhost dhcpd: DHCPREQUEST for 172.22.248.184 (172.16.0.1) from ab:cd:ef:ab:cd:ef (omergnsvr) via re2
Nov 8 00:10:13 localhost dhcpd: DHCPACK on 172.22.248.184 to ab:cd:ef:ab:cd:ef (omergnsvr) via re2
Nov 8 00:10:14 localhost filterlog: 105,,,1509035764,re2,match,pass,in,4,0x0,,64,11916,0,DF,17,udp,68,172.21.114.18,172.16.0.1,1384,53,48
Nov 8 00:10:14 localhost filterlog: 124,,,1509035694,re2,match,pass,in,4,0x0,,64,63130,0,DF,6,tcp,60,172.21.114.18,157.240.20.10,45287,443,0,S,1547311759,,65535,,mss;sackOK;TS;nop;wscale
Nov 8 00:10:14 localhost filterlog: 105,,,1509035764,re2,match,pass,in,4,0x0,,64,55675,0,DF,17,udp,64,172.31.160.152,172.16.0.1,64898,53,44
Nov 8 00:10:14 localhost filterlog: 105,,,1509035764,re2,match,pass,in,4,0x0,,64,55681,0,DF,17,udp,70,172.31.160.152,172.16.0.1,64998,53,50
Nov 8 00:10:14 localhost filterlog: 124,,,1509035694,re2,match,pass,in,4,0x0,,64,21003,0,DF,6,tcp,60,172.31.160.152,157.240.20.15,42787,443,0,S,3594029955,,14600,,mss;sackOK;TS;nop;wscale
Nov 8 00:10:15 localhost filterlog: 124,,,1509035694,re2,match,pass,in,4,0x0,,64,38081,0,DF,6,tcp,60,172.31.160.152,174.129.250.248,60037,443,0,S,1819430220,,14600,,mss;sackOK;TS;nop;wscale
Nov 8 00:33:06 localhost filterlog: 124,,,1509035694,re2,match,pass,in,4,0x0,,64,33495,0,DF,6,tcp,64,172.27.140.158,104.103.237.143,49375,443,0,S,1164317691,,65535,,mss;nop;wscale;nop;nop;TS;sackOK;eol
Nov 8 00:33:06 localhost logportalauth[44078]: Zone: captiveportal - USER LOGIN: 11111111111, ab:cd:ef:ab:cd:ef, 172.18.100.208
Nov 8 00:33:07 localhost filterlog: 105,,,1509035764,re2,match,pass,in,4,0x0,,64,16443,0,none,17,udp,56,172.25.101.144,172.16.0.1,61441,53,36

Yukarıdaki örnek kesitte DHCP ve Captive Portal harici diğer satırlar firewall loglarıdır, bu arada sadece 80, 443 ve 53 portarı açık.

 
Gönderildi : 11/11/2017 16:57

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33291
Illustrious Member Yönetici
 

Merhaba, bir upload işlemi olduğu için arada verinin değiştirilmediğinin garantisi yok gibi ama?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 11/11/2017 20:36

(@alikosen)
Gönderiler: 6
Active Member
Konu başlatıcı
 

Geri dönüşünüz için teşekkürler, böyle bir ihtimali hiç düşünmemiştim. Bu işlem ne kadar sorun çıkartabilir? Şimdi konsol üzerinden zaman damgası uygulayabilmek için java çalıştırabilen bir sistem gerekli, PfSense üzerine de ek paket kurulamıyor. Buna başka nasıl bir çözüm üretilebilir. Mesela burada log dosyasının kopyası karşıya yüklenip orada sadece zaman damgası dosyası oluşturuluyor ve hemen indirilip arşivleniyor.

Bir önceki yazıda anlatmayı unuttuğum bir nokta da, işlemlerin en sonunda imza dosyası ve log dosyası bir arşiv içinde pfsense cihazı üzerinde tutuluyor.

 
Gönderildi : 12/11/2017 01:40

(@turancoskun)
Gönderiler: 4100
Üye
 

tekrar merhaba,

opnsense, yeni bir fork, her ihtiyaca cevap veremeyebiliyor.

tercihiniz pfsense olunca, taleplerinizin hemen hemen hepsi, portalda veya arama motorlarında mevcut aslında.

open source dahilinde, 5651 için pfsense gibi birden fazla çözüme sahip olan firewall çözümü bulunmuyor.

static ip adreslerini düzenli olarak kayıt altına almanızı, ek olarak cp,dhcp,static,url erişimlerini ayrı ayrı dosyalarda tutarak, imzalamanızı öneririm.

inceleme ve raporlama sürecinde faydanıza olacaktır.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 12/11/2017 03:03

(@KayhanKayrakli)
Gönderiler: 13
Active Member
 

tam bu başlıkla değil ama konuyla alakalı bir sorum olacak.

ben sistemdeki tüm kullanıcalara mac bazlı elle ip veriyorum. ben sisteme giriş yapmadığım sürece kimse ağa bağlanamıyor.

yine de log tutmam gerekiyor mu? sonuçta ip ve macler sürekli sabit.

 
Gönderildi : 08/01/2018 18:22

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33291
Illustrious Member Yönetici
 

Evet, çünkü bunu siz sözlü beyan ediyorsunuz ama bunu loglu yani dijital olarak kanıtlanması gerekli.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 08/01/2018 20:51

(@KayhanKayrakli)
Gönderiler: 13
Active Member
 

kötü oldu bu 🙁

pfsense'de stabil bir çözüm yok gibi. şimdi tekrar uğraşacağız demek.

 
Gönderildi : 08/01/2018 21:00

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33291
Illustrious Member Yönetici
 

Yani bu tür konuları yazıp insanları tartıştırmak istemiyorum ama open source her zaman çok emek ister, bazen paket alıp parasını vermek en kolay. Tabi şimdi güvenlikçiler gelecek yok hocam kaynak kodu nedir vs, onlarda haklı ama işte olan biz sistemcilere oluyor arada 🙂

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 09/01/2018 00:51

(@cumhuraltan)
Gönderiler: 704
Üye
 

Selamlar ;

 

Pfsense üzerinde 5651 için log ve imza  çözümlerinin yoğun olarak kullanıldığını  biliyorum ancak Hakan Bey'inde belirttiği gibi açık kaynak biraz hatta bayağı emek isteyebiliyor ancak ben olsam  yerinizde Pfsense ile  birlikte Logsign in ücretsiz  çözümü logsign focus ürününü kullanırdım.

kötü oldu bu 🙁

pfsense'de stabil bir çözüm yok gibi. şimdi tekrar uğraşacağız demek.

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

 
Gönderildi : 09/01/2018 03:49

(@KayhanKayrakli)
Gönderiler: 13
Active Member
 

bu konuda sonuna kadar haklısınız. ancak küçük işletmelerde işin için para girince çözüm mecburen opensource oluyor.

logsign i deneyecektim ama minumum gereksinimlere -32gb ram- ulaşamadım 🙂 

 
Gönderildi : 09/01/2018 19:45

(@turancoskun)
Gönderiler: 4100
Üye
 

kötü oldu bu 🙁

pfsense'de stabil bir çözüm yok gibi. şimdi tekrar uğraşacağız demek.

pfsense tarafında 5651 çözümlerden hangilerini test ettiniz ?

taleplere karşılık çözüm konumlandırırken, open source veya ticari farketmeksizin tecrübe/bilgi yok ise, başarızlık kaçınılmaz olacaktır.

referans adreste addon kullanmaksızın, static adreslerin dışarıya aktarılması mevcut.

sadece adreste belirtilen samba yerine, ftp ile saatlik dosyalarınızı transfer ederek, timestamp uygulayabilirsiniz.

https://forum.pfsense.org/index.php?topic=54119.0

 

 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 10/01/2018 02:52

(@cumhuraltan)
Gönderiler: 704
Üye
 

Selamlar ;

 

32 gb gibi bir gereksinim mevcut değil logsign focus ücretsiz versiyon 16 gb ram ile de  çalışabilmekte çok eski versiyonlarda  sanalda  8 gb ram de  yeterli  oluyordu ki portaldaki logsign makalesi de 8 gb ram ile  kurulum yapılıyordu diye  hatırlıyorum. Yazılım opensource  tamam da  donanım open source olamıyor maalesef  🙂 artık bi zahmet  ram yatırımı yapsınlar 

 

bu konuda sonuna kadar haklısınız. ancak küçük işletmelerde işin için para girince çözüm mecburen opensource oluyor.

logsign i deneyecektim ama minumum gereksinimlere -32gb ram- ulaşamadım 🙂 

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

 
Gönderildi : 10/01/2018 03:04

Sayfa 1 / 2
Paylaş: