pfSense Türevi OPNsesnse Sistemim 5651 Nolu Yasaya Uygun Mu?

Merhaba

Bazı firmalar hatta uzmanlar yok SMTP trafiğide izlenmeli gibi şeyler söylüyorlar ancak bu şart değil, eğer mail sistemi ile ilgili bir sorun olur ve dava açılır ise tabiki yararlı olur ama 5651 içerisinde temelde internete çıkan cihazların IP - Kimlik eşleştirilmesi istenmektedir.

Eğer siz network üzerinden internete çıkan her bir IP nin hangi makineye ki o makinenin de kime ait olduğunu kanıtlayabiliyorsanız tamamdır. Ama sizin bu bigileri dijital olarak imzalamanız gerekli ki sizin veri tabanının da değiştirilmeyeceğine dair garanti yoktu çünkü.

Merhaba ;

Yeterli olabilir yaptıklarınız ama kesinlikle imzalı olmalı. Logun değişemediğini garanti etmelisiniz.  Bir de genelde savcılıktan gelen yazılarda bu siteye kim girmiş veya bu yorumu kim yapmış şeklinde geliyor yazılar. Bunları ispat edebiliyor olduktan sonra problem yok. 

merhaba,

Hakan hoca ve İlhan bey'in belirttiği gibi, ilgili logların zaman damgası ile imzalanarak saklanması gerekmekte.

http://www.resmigazete.gov.tr/eskiler/2017/04/20170411-3.htm  ( bkz. madde 5-e )

tavsiyem, captive portal db bilgilerini düzenleyip ( user/mac vb. ), saklanabilir, dhcp ve squid logları içinde benzer bir yöntem uygulamalısınız.

kullanıcı sayısı fazla olduğundan, log dosyalarından sadece ihtiyacınız olan sütunları seçmeniz, faydanıza olacaktır.

Tekrar merhaba.

Öncelikle cevaplamalarınız için teşekkür ederim, sistemimi biraz değiştirmeye karar verdim:

İnternet erişim kayıtları için transparan vekil sunucu yerine güvenlik duvarı kurallarının günlük tutma seçeneğini kullanıyorum. Gün sonunda oluşacak olan günlük dosyamı bir php işlemi ile 3 sütunlu hale getirip imzalatacağım. Bu sütunlar "tarih/zaman; T.C kimlik no; hedef IP adresi" şeklinde olacak.

Sistemde erişim engellenmesi için OpenDNS aile korumalı DNS adresi zorlanacak ve sadece web erişimi için 53, 80 ve 443 portları açık olacak.

Bilgi ve geri dönüş için teşekkürler.

belirttiğiniz yöntemde bir çözüm, ancak dezavantajları mevcut.

firewall logları, sistem gün içinde herhangi bir sebepten yeniden başlatıldığı takdirde temizlenecektir, elinizde günün kaydı kalmayabilir.

bu yüzden bir db,pcap veya txt'te düzenli olarak kayıt tutmanız daha sağlıklı olabilir.

cp ve dhcp tarafını doğru yapılandırmazsanız, oluşturduğunuz raporlar tutarlı olmayacaktır.

sütunlara kaynak adresi eklemelisiniz.

Tekrar Merhaba, konunun ilk yazısından bu zamana sistemimde bayağı bir değişiklik yaptım.

Öncelikle OPNSense' nin birkaç eksiği nedeniyle PfSense' ye geçiş yapmış bulunmaktayım. Bunun temel nedeni OPNSensede radius server özelliğinin bulunmaması idi.

Şu anda PfSense üzerinde;

• MAC adreslerini T.C. kimlik no ile bağdaştırmak ve kullanıcı kontrolü için Captive Portal,
• Log dosyalarını otomatik imzalatma işlemleri için Cron,
• Webde içerik filtreleme adına OpenDNS firmasının Aile sunucularını Captive Portal işlemi ile birlikte kullanabilmek için DNS Resolver yerine DNS Forwarder,
• Captive Portalda oturum bilgilerini tutma için FreeRADIUS,
• Firewall' dan gelen logları günlük olarak döndürmek için Syslog-ng paketlerini aktif olarak kullanmaktayım.

PfSense kurulu cihazımın yanında birde sanal sunucu kiraladım, bu sunucuda FreeRADIUS SQL tabloları tutuluyor. Ve imzalanacak olan log dosyam buraya upload edilip imzalanıyor, ardından PfSense kurulu cihazımın harddiskine kayıt ediliyor.

Örnek log kaydı kesiti: (Örnek T.C. No: 11111111111 Örnek MAC adresi: ab:cd:ef:ab:cd:ef)

Nov 8 00:10:12 localhost filterlog: 124,,,1509035694,re2,match,pass,in,4,0x0,,64,47392,0,DF,6,tcp,60,172.31.160.152,216.58.206.170,36032,443,0,S,2332582224,,14600,,mss;sackOK;TS;nop;wscale
Nov 8 00:10:13 localhost dhcpd: reuse_lease: lease age 293 (secs) under 25% threshold, reply with unaltered, existing lease for 172.22.248.184
Nov 8 00:10:13 localhost dhcpd: DHCPREQUEST for 172.22.248.184 (172.16.0.1) from ab:cd:ef:ab:cd:ef (omergnsvr) via re2
Nov 8 00:10:13 localhost dhcpd: DHCPACK on 172.22.248.184 to ab:cd:ef:ab:cd:ef (omergnsvr) via re2
Nov 8 00:10:14 localhost filterlog: 105,,,1509035764,re2,match,pass,in,4,0x0,,64,11916,0,DF,17,udp,68,172.21.114.18,172.16.0.1,1384,53,48
Nov 8 00:10:14 localhost filterlog: 124,,,1509035694,re2,match,pass,in,4,0x0,,64,63130,0,DF,6,tcp,60,172.21.114.18,157.240.20.10,45287,443,0,S,1547311759,,65535,,mss;sackOK;TS;nop;wscale
Nov 8 00:10:14 localhost filterlog: 105,,,1509035764,re2,match,pass,in,4,0x0,,64,55675,0,DF,17,udp,64,172.31.160.152,172.16.0.1,64898,53,44
Nov 8 00:10:14 localhost filterlog: 105,,,1509035764,re2,match,pass,in,4,0x0,,64,55681,0,DF,17,udp,70,172.31.160.152,172.16.0.1,64998,53,50
Nov 8 00:10:14 localhost filterlog: 124,,,1509035694,re2,match,pass,in,4,0x0,,64,21003,0,DF,6,tcp,60,172.31.160.152,157.240.20.15,42787,443,0,S,3594029955,,14600,,mss;sackOK;TS;nop;wscale
Nov 8 00:10:15 localhost filterlog: 124,,,1509035694,re2,match,pass,in,4,0x0,,64,38081,0,DF,6,tcp,60,172.31.160.152,174.129.250.248,60037,443,0,S,1819430220,,14600,,mss;sackOK;TS;nop;wscale
Nov 8 00:33:06 localhost filterlog: 124,,,1509035694,re2,match,pass,in,4,0x0,,64,33495,0,DF,6,tcp,64,172.27.140.158,104.103.237.143,49375,443,0,S,1164317691,,65535,,mss;nop;wscale;nop;nop;TS;sackOK;eol
Nov 8 00:33:06 localhost logportalauth[44078]: Zone: captiveportal - USER LOGIN: 11111111111, ab:cd:ef:ab:cd:ef, 172.18.100.208
Nov 8 00:33:07 localhost filterlog: 105,,,1509035764,re2,match,pass,in,4,0x0,,64,16443,0,none,17,udp,56,172.25.101.144,172.16.0.1,61441,53,36

Yukarıdaki örnek kesitte DHCP ve Captive Portal harici diğer satırlar firewall loglarıdır, bu arada sadece 80, 443 ve 53 portarı açık.

Merhaba, bir upload işlemi olduğu için arada verinin değiştirilmediğinin garantisi yok gibi ama?

Geri dönüşünüz için teşekkürler, böyle bir ihtimali hiç düşünmemiştim. Bu işlem ne kadar sorun çıkartabilir? Şimdi konsol üzerinden zaman damgası uygulayabilmek için java çalıştırabilen bir sistem gerekli, PfSense üzerine de ek paket kurulamıyor. Buna başka nasıl bir çözüm üretilebilir. Mesela burada log dosyasının kopyası karşıya yüklenip orada sadece zaman damgası dosyası oluşturuluyor ve hemen indirilip arşivleniyor.

Bir önceki yazıda anlatmayı unuttuğum bir nokta da, işlemlerin en sonunda imza dosyası ve log dosyası bir arşiv içinde pfsense cihazı üzerinde tutuluyor.

tekrar merhaba,

opnsense, yeni bir fork, her ihtiyaca cevap veremeyebiliyor.

tercihiniz pfsense olunca, taleplerinizin hemen hemen hepsi, portalda veya arama motorlarında mevcut aslında.

open source dahilinde, 5651 için pfsense gibi birden fazla çözüme sahip olan firewall çözümü bulunmuyor.

static ip adreslerini düzenli olarak kayıt altına almanızı, ek olarak cp,dhcp,static,url erişimlerini ayrı ayrı dosyalarda tutarak, imzalamanızı öneririm.

inceleme ve raporlama sürecinde faydanıza olacaktır.

tam bu başlıkla değil ama konuyla alakalı bir sorum olacak.

ben sistemdeki tüm kullanıcalara mac bazlı elle ip veriyorum. ben sisteme giriş yapmadığım sürece kimse ağa bağlanamıyor.

yine de log tutmam gerekiyor mu? sonuçta ip ve macler sürekli sabit.

Evet, çünkü bunu siz sözlü beyan ediyorsunuz ama bunu loglu yani dijital olarak kanıtlanması gerekli.

kötü oldu bu 🙁

pfsense'de stabil bir çözüm yok gibi. şimdi tekrar uğraşacağız demek.

Yani bu tür konuları yazıp insanları tartıştırmak istemiyorum ama open source her zaman çok emek ister, bazen paket alıp parasını vermek en kolay. Tabi şimdi güvenlikçiler gelecek yok hocam kaynak kodu nedir vs, onlarda haklı ama işte olan biz sistemcilere oluyor arada 🙂

Selamlar ;

Pfsense üzerinde 5651 için log ve imza  çözümlerinin yoğun olarak kullanıldığını  biliyorum ancak Hakan Bey'inde belirttiği gibi açık kaynak biraz hatta bayağı emek isteyebiliyor ancak ben olsam  yerinizde Pfsense ile  birlikte Logsign in ücretsiz  çözümü logsign focus ürününü kullanırdım.

kötü oldu bu 🙁

pfsense'de stabil bir çözüm yok gibi. şimdi tekrar uğraşacağız demek.

bu konuda sonuna kadar haklısınız. ancak küçük işletmelerde işin için para girince çözüm mecburen opensource oluyor.

logsign i deneyecektim ama minumum gereksinimlere -32gb ram- ulaşamadım 🙂 

kötü oldu bu 🙁

pfsense'de stabil bir çözüm yok gibi. şimdi tekrar uğraşacağız demek.

pfsense tarafında 5651 çözümlerden hangilerini test ettiniz ?

taleplere karşılık çözüm konumlandırırken, open source veya ticari farketmeksizin tecrübe/bilgi yok ise, başarızlık kaçınılmaz olacaktır.

referans adreste addon kullanmaksızın, static adreslerin dışarıya aktarılması mevcut.

sadece adreste belirtilen samba yerine, ftp ile saatlik dosyalarınızı transfer ederek, timestamp uygulayabilirsiniz.

https://forum.pfsense.org/index.php?topic=54119.0

Selamlar ;

32 gb gibi bir gereksinim mevcut değil logsign focus ücretsiz versiyon 16 gb ram ile de  çalışabilmekte çok eski versiyonlarda  sanalda  8 gb ram de  yeterli  oluyordu ki portaldaki logsign makalesi de 8 gb ram ile  kurulum yapılıyordu diye  hatırlıyorum. Yazılım opensource  tamam da  donanım open source olamıyor maalesef  🙂 artık bi zahmet  ram yatırımı yapsınlar 

bu konuda sonuna kadar haklısınız. ancak küçük işletmelerde işin için para girince çözüm mecburen opensource oluyor.

logsign i deneyecektim ama minumum gereksinimlere -32gb ram- ulaşamadım 🙂