Coslat ile Sertifikasız HTTPs Filtreleme
Bu makalemizde Coslat ile HTTPs sitelerin sertifika yüklemesi yapılmadan nasıl filtreleneceğinden bahsedeceğiz.
Öncelikli olarak HTTPs trafiğin çalışma prensibini, HTTP paketlerinin sunucu ve istemci tarafında güvenilir sertifika ile şifrelenerek iletilmesi şeklinde özetleyebiliriz. Bu iletişim 443 potundan sağlanmaktadır. Burada gönderilen ve alınan veriler iki taraflı olarak SSL sertifikası ile şifrelendiği için verinin gizliliği sağlanmış ve geçen trafiğin görülmesi engellenmiş olur.
SSL sertifikası bağlanılmak istenen sunucunun kimliğini doğrulamak ve verilerin güvenli bir şekilde iletilmesi için kullanılır. Bağlantının güvenli bir şekilde sağlanması için iki tarafta da kullanılan sertifikaların güvenilir bir sertifika otoritesi tarafından sağlanmış olması ve sunucu tarafında kullanılan bu güvenilir sertifikanın istemci tarafında güvenilir sertifikalarda yüklü olması gerekmektedir.
HTTPs trafiğin çalışma prensibinden kısaca bahsettikten sonra bu şirelenmiş trafiği firewall üzerinde nasıl engellenebileceğimizden bahsedelim.
Genel olarak HTTPS sitelerin filtrelenmesi için kullanılan yöntem sertifika değişimidir. Burada istemci ile sunucu arasındaki trafik şifreli olduğu için öncelikli olarak firewall üzerinde bu trafik filtreleme servisine aktarılır ve istemciye gerçek gitmek istediği sunucu sertifikası yerine firewallun kendi sertifikası gönderilir. Bu sayede trafik ilk olarak firewall üzerinde açılmış olur ve istemcinin gitmek istediği içeriğin tespiti sağlanabilir. Daha sonra firewall istemci adına sunucu ile şifreli bağlantıyı kendisi gerçekleştirir ve istemciye gelen veriyi kendi sertifikası ile şifreleyerek geri gönderir.
Bu yöntemin sağlıklı çalışabilmesi ve sertifika problemleri yaşanmaması için firewall sertifikasının içeride bulunan tüm istemcilere (Mobil de dahil olmak kaydı ile) güvenilir sertifika olarak yüklenmesi gerekmektedir.
İçeride Active Directory yapısı kullanılıyorsa, AD üzerinden bu sertifika istemcilere gönderilebilir. Pratikte bu yöntem kolay gibi gözükse de uygulamada bazı aksaklıklar çıkabilmektedir. Birde AD yapısı yoksa istemcilere bu sertifikanın tek tek yüklenmesi gerekmektedir. Buda istemci sayının çok olduğu yapılarda uygulama zorluğu yaşanmasına sebep olmaktadır.
Sertifika değişimi yöntemi COSLAT üzerinde kullanılabileceği gibi COSLAT üzerinde var olan Filtreme Servisi ile sertifika yüklemesine ihtiyaç olmadan transparan modda da HTTPS filtreleme yapılabilmektedir. Bu sayede istemcilere sertifika yüklemesine gerek kalmamaktadır.
Makalemizin devamında COSLAT üzerinde sertifika yüklemesine ihtiyaç kalmadan Filtreleme Servisi ile nasıl yapabileceğimize bakacağız.
COSLAT Filtreleme Servisi
Servisin Aktif Edilmesi
İlk olarak servisler altında Servisler > Filtreleme Servisi servisine geliyoruz.
Filtrelme servisini, hangi arabirimde etkinleştirilmek isteniyorsa loopback ile birlikte Servis sekmesinde seçilir. Genel olarak Filtreleme servisi yerel ağdan internet ortamına giden trafiği filtrelediği için yerel arayüzler seçilmelidir.
Transparan modda filtreleme yapacağımız için Transparan HTTP Vekil Sunucu istenilen yerel arayüzde aktif edilir.
HTTPS filtrelemenin aktif edilmesi için ise SSL Filtreleme altında var olan SSL Filtreleme’yi Etkinleştir işretlenir ve ayarlar kaydedilip Değişiklikleri Uygula butonuna basılır.
Sitelerin Engellenmesi
Engellemek istediğimiz siteleri COSLAT üzerinde kategori edilmiş gruplar üzerinden engelleyebileceğimiz gibi el ile de ekleyebilirsiniz. Burada kategoriler düzenli olarak otomatik bir şekilde COSLAT sunucularından güncellenmektedir.
Kendiniz için engellenecek kategorileri belirleyebileceğiniz site listeleri oluşturabilirsiniz. Bu listelerini farklı istemci gruplarına atayabilir ve grup bazlı engellemeler yapabilirisiniz.
Bu örneğimizde biz varsayılan (Default) listeyi kullanacağız.
Site sitelerini düzenlemek için Filtreleme servisi içerisinde Erişim Kont. -> Site Listesi sekmesine gelinir.
Listede var olan Default liste, üzerine çift tıklayarak veya sağ tarafta var olan kalem işareti ile düzenlenir.
Açılan sayfada engellemek istenilen site kategorileri, Engelli bölümünde Kategoriler kısmından seçilip Move to “Deny” list butonu ile sağ tarafa alınır.
Ayrıca liste haricinde manuel site engellemesi yapabilmek için aynı bölümde var olan Yapılandırma kısmına alt alta domain adı (youtube.com) şeklinde yazabilir.
Tüm kategorileri engelleyip sadece istisna belirterek, belirli kategorilere izin verebilir veya bir kategori içerisinden açılmasını istediğiniz bir siteyi de tüm kategoriye izin vermeden istisnalara ekleyerek açabilirsiniz.
Aynı sayfada İstisna bölümünde Yapılandırma kısmında engellediğiniz kategori içerisinde, izin vermek istediğiniz domainler (coslat.com) alt alta yazabilir.
Engelleme ve istisnaları ayarladıktan sonra sayfa altından kaydedip sonrasında çıkan Değişiklikleri Uygula butonu ile uygulanır.
Gerçek Zamanlı İzleme
Engelleme sonrasında istemcilerin hangi sitelere gittiklerini ve hangi engellere takıldıklarını gerçek zamanlı izleme ile takip edebililirsiniz. Bu sayede bir istemcinin açamadığı bir sayfa olması durumunda hangi site listesine takıldığını ve açmak istediği siteleri de görebilirsiniz.
Ayrıca bu sayfadan kaynak ip adresi yazarak istemci ip adresine göre de trafiği gözlemleyebilirsiniz.
Bu yöntemde sertifika değişimi yapılmadığı için HTTPs sitelerde engellenen istemcilerin karşısına bir engelledi sayfası çıkmayacaktır. İstemciler sadece sayfaları açamayacaklardır.
Sonuç olarak bir çok web sitesinin artık HTTPs ile çalıştığı düşünüldüğünde HTTPs filtrelemenin ne kadar önemli olduğu bir geçektir. Bu yüzden filtreleme servislerinin artık HTTPs filtrelemeyi en sağlıklı ve en kolay bir şekilde yapması gerekmektedir.
COSLAT Filtreleme servisi sayesinde sertifika sorunları ile uğraşmadan HTTPs sitelerin nasıl bloklandığını görmüş olduk.
Tebrikler, güzel iş, elinize sağlık.
pfsensente e2guardian ile aynısı yapılabilmekte.
Coslat üzerindede kullanılan program e2guardian bence arayüzü biraz farklı