Vakti zamanında ip adresinden bloklamak için 200’e yakın ipye bağlantı yaptığını bulup bloklamıştım ama yetmedi:). Dolayısıyla bu işin ip bloklayarak olmayacağına bir iki gün kaybederek öğrendim.

Açık kod saldırı tespit ve engelleme sistemi Snort’un e-posta listelerinde de geçen gün Ultrasurf konusu açılmıştı. Birileri de hemen bir iki imza yazıp gönderdi listeye.  Malesef ki imzalar tamamen ip adreslerine yapılan bağlantıları izlemeye ve dns isteklerini yakalamaya yönelikti. Her iki imza da gerçekte bloklama işine yaramıyor. Snort kurallarını inceleyerke neden işe yaramayacağına bakalım

İlk Snort kuralı;

# Rule by SERPRO-Recife Security Team
alert udp $HOME_NET any -> $EXTERNAL_NET  53 (msg:”Possible External Ultrasurf  DNS Query”; content:”|00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00|”; classtype: policy-violation;threshold:type limit, track by_src,count 1, seconds5; sid: 1000059; rev:2; )

Bu kural Ultrasurf dns isteklerini yakalaybilse de alakasız dns isteklerini de yakalıyor. Yani false positive oranı çok yüksek bir kural, dolayısıyla engelleme için kullanılamaz.

İkinci Snort kuralı;

# IP POOL by Augusto Ferronato

var ULTRASURF_POOL
[205.196.136.9,210.21.31.114,118.171.251.158,202.75.48.227,61.197.186.36,202.99.10.38,131.107.100.158,66.249.93.102,218.169.186.93,203.13.134.161,59.117.240.222,72.246.89.133,114.45.22.115,
198.22.236.38,70.85.195.236,220.138.148.35,59.117.240.222,118.161.206.194,67.137.230.73,220.136.233.18,
208.96.32.3,65.49.14.12,61.197.186.36,64.62.138.28,195.39.222.218,202.67.56.65,65.49.14.12,114.44.44.158,
210.208.94.226,203.30.164.150,64.38.220.186,202.99.10.38,219.85.5.60]

alert tcp $HOME_NET any -> $ULTRASURF_POOL 443 (msg:”Ultrasurf
Connection Detected”; flow:established;classtype:policy-violation;
sid:5000000; rev:3;)

Bu da kısaca yukarıda belirtilen ip adreslerine yapılan 443 TCP bağlantılarını gördüğünde uyarı veren kural ve false positive çok yatkın zira aralarında gerçek sitelere ait ip adresleri de geçiyor. Ek olarak bunları bloklamaya başladığınızda Ultrasurf anında başka ip adreslerine bağlantı kurarak sizi uğraşlarınızla başbaşa bırakacaktır.

Peki nasıl bloklama yapacağım? Piyasada network seviyesinde sağlıklı bloklama yapabilen ticari IPS ürünleri olduğunu biliyoruz.

Bloklama konusunda en iyi ve en kesin yöntemi Squid ile anlatmıştım ama herkes Squid kullanmadığı için çoğu ortama uymuyor. Ben de bir arkadaş için alternatif yöntemler düşünürken aklıma aşağıda anlatacağım bloklama yöntemi geldi.

Firewall ile Ultrasurf bloklama;

Ultrasurf’ün bir özelliği de eğer bloklama yoksa proxy bağlantılarını hep aynı ip adresi üzerinden yapması. Eğer bu ip adresini bulabilirsem(Ultrasurf çalıştırıp 443. portu dinlemek ve sonrasında Explorer üzerinden internette gezinmek ip adresini bulmaya yetecektir.) sonra kullandığım güvenlik duvarından bu ip adresine giden paketlerin bandwidth değerini 5-6 Kb’e ayarlarsam hem ultrasurf ilgili ip adresine ulaşabileceği için ip adresi değiştirmeyecektir hem de Ultrasurf kullanan kişi bağlantının yavaşlığından dolayı Ultrasurf kullanmaktan vazgeçecektir:)

Yukardaki senaryoyu anlatan Packet Filter Güvenlik Duvarı Kuralı

ext_if=”vic0″
int_if=”vic2″

…
altq on $int_if cbq bandwidth 1Mb queue {ultrasurf, others}
queue ultrasurf bandwidth 6Kb
queue others bandwidth 994Kb cbq(default)
nat on $ext_if from !($ext_if) ($ext_if:0)
pass in quick on $int_if proto tcp from any to  65.49.2.113 port 443 queue ultrasurf
….

Diğer bir yöntem de yukarıdaki Snort kuralını aktif ederek hangi ip adreslerinin Ultrasurf kullandığını belirlemek ve ilgili ip adreslerinin sahiplerini uyarmak. Yukardaki ip adresleri eğer engelleme yapılmazsa Ultrasurf 9.4 versiyonunun default olarak ilk denediği ip adresleridir.

Bu işe kesin çözüm için yapılması gereken:

443. TCP portunu dinleyerel TLS1 bağlantılarında server hello mesajı içerisinde sertifika bilgisini aramaktır. Ultrasurf TLS bağlantısı  kuruyor gözükse de sunucu tarafı hello mesajında sertifika göndermiyor IPS ile bu alanı kontrol edip sertifika alanı boş olan TLS paketlerini bloklamak kesin çözüm olacaktır.

The post Ultrasurf Bloklama-II(Snort, OpenBSD PF) first appeared on Complexity is the enemy of Security.

Hafta sonu eğitiminde internette Snort kurulu ve 8000. port üzerinden hizmet veren bir web sayfasina bağlanmam gerekti fakat üniversitenin güvenlik duvarı belirli portlar haricinde tüm portlara yasaklanmış gözüküyordu. İşte o anda aklıma Ultrasurf geldi ve şöyle düşündüm .  Ultrasurf sonuçta bir proxy ve ben bu proxyden -eğer bilerek kapatılmadıysa- 80 ve 443 harici diğer portlara da ulaşabilirim. Düşüncemi hemen uygulamaya geçirdim ve gerçekten de Ultrasurf kullanarak 1024 üzerin portlarda çalışan uygulamalara bağlanabileceğimi gördüm.

Böylece güvenlik duvarı tarafından engellenen tüm portlar* basit bir yazılımla kolaylıkla aşılabiliyor.

Aşağıdaki görüntü Ultrasurf üzerinden internetteki bir sistemin 2000.portuna yapılan bağlantıyı gösteriyor.

Sunucuda tcpdump çalıştırarak buı porta hangi ip adreslerinden gelindiğine bakılırsa Ultrasurf proxy ip adresi görülecektir.

2009-05-18 00:42:13.666999 IP 65.49.14.12.28001 > 91.93.119.80.2000: S 28789596:28789596(0) win 5840 <mss 1432,sackOK,timestamp 1227967006 0,nop,wscale 8>
2009-05-18 00:42:13.667127 IP 91.93.119.80.2000 > 65.49.14.12.28001: S 3337759822:3337759822(0) ack 28789597 win 65535 <mss 1432,nop,wscale 3,sackOK,timestamp 3997790802 1227967006>
2009-05-18 00:42:13.884449 IP 65.49.14.12.28001 > 91.93.119.80.2000: . ack 1 win 23 <nop,nop,timestamp 1227967226 3997790802>
2009-05-18 00:42:13.884926 IP 65.49.14.12.28001 > 91.93.119.80.2000: P 1:278(277) ack 1 win 23 <nop,nop,timestamp 1227967227 3997790802>
2009-05-18 00:42:13.898382 IP 91.93.119.80.2000 > 65.49.14.12.28001: P 1:41(40) ack 278 win 8307 <nop,nop,timestamp 3997791034 1227967227>
2009-05-18 00:42:13.898413 IP 91.93.119.80.2000 > 65.49.14.12.28001: FP 41:60(19) ack 278 win 8342 <nop,nop,timestamp 3997791034 1227967227>

*Portlarda SSH harici servislere bağlanma sıkıntısı var. Sanırım Ultrasurf sunucularında gelen isteklerin HTTP isteği olup olmadığına bakılıyor.

Ultrasurf tarafında Proxy olarak Squid kullanılıyor gözüküyor bu da aslında ultrasurf bağlantılarının hızını etkileyen bir durum.

C:\>   telnet localhost 9666

CONNECT vpn.lifeoverip.net:2000 HTTP/1.1

HTTP/1.0 403 Forbidden
Server: squid/2.7.STABLE4
Date: Sun, 17 May 2009 19:05:56 GMT
Content-Type: text/html
Expires: Sun, 17 May 2009 19:05:56 GMT
X-Squid-Error: ERR_ACCESS_DENIED 0
X-Cache: MISS from squid-cache
Connection: close
Content-Length: 504

The post Ultrasurf ile Firewall kurallarını aşma first appeared on Complexity is the enemy of Security.

Tunelleme yontemlerinden sık kullanilanlarini sayacak olursak;

ICMP Tunelleme -Artik disariya icmp paketleri kapali oldugu icin cok ise yaramiyor DNS Port tunelleme – Disariya dns portu aciksa UDP/TCP 53 uzerinden tunelleme. Ayni zamanda OpenVPN icin de kullanilabilir.

DNS Protokol Tunelleme – Klasik dns sorgulari kullanarak yerel agdaki dns sunucu uzerinden Firewall/IPS Atlatma

HTTP In Smtp tunelleme – HTTP isteklerini local mail sunucu uzerinden gondderme. Bu yontem de sadece local erisimi olanlar icin saglam bir bypass yontemi

Son olarak da

HTTP/HTTPS Tunelleme – Cesitli varyasyonlari olmakla birlikte IPS’ler tarafindan yakalanmamak icin HTTP Degil HTTPS kullanmak ve klasik http protokolune uygun istekler gondermek gerekir. Yani disarda biryerde 80. portu acik bekleyen bir sunucu ve uzerinde kendi yazilimimiz olmasina gerek olmadan calisan web sunucu uzerine bir dosya yerlestirerek bu dosya araciligi ile tunelleme yapmak.

Bu yontemle calisan araclar cogunlukla TCP baglantilarini tunelleme icin kullaniliyor. UDP icin henuz saglikli calisan uygulama sayisi oldukca az/yok.

Tunelleme konusu gelince seminerlerimden birinde katilimci bir arkadasin soyledigi su soz aklima geliyor “Bir port acikca tum portlar aciktir, bir protokol aciksa tum protokoller aciktir”.

Bu yazinin konusunu da yeni cikan bir tunelleme araci olusturuyor. WebTunnel, tamamen http/https istekleri uzerinden calisan ve herhangi TCP protokolunu ilgili sayfa uzerinden tunellemeye yarayan bir arac. Buna benzer bir araci yakinlarda yayinlanmisti ama jsp versiyonu haric saglikli calismiyordu(reDuh)

WEbTunnel Calisma mantigi

Istemci—-Proxy/Firewall/IPS—-Internet

Istemci’nin sadece Proxy uzerinden HTTP ve HTTPS isteklerine izni var. Fakat istemci SSH ya da RDP gibi protokoller kullanmak istiyor.

Istemci Webtunnel’in bilesenlerinden birini disarda bir sunucuya yerlestiriyor. Bu bilesen perl ile yazilmis bir CGI uygulamasi. (Calismasi icin hedef sunucuda .pl uzantili dosyalarin cgi olarak calistirma izni olmasi gerekir.)

Sonrasinda istemci tarafinda WebTunnel’in istemci yazilimi ile sunucudaki bu  URL’i cagiriyor ve tunnel kurulmus oluyor. Bundan sonrasi kullanilacak diger uygulamalarin portunun tunelin actigi porta yonlendirilmesine kaliyor.

Uygulama

http://www.islandjohn.com/islandjohn.com/Home/Entries/2009/2/1_Webtunnel.html

adresinden webtunnel uygulamasi indirilir. Uygulamanin wts.pl  —>Sunucuya aktarilacak kisim wtc.pl —->istemcide kullanilacak kisim

olmak uzere iki bileseni vardir.  “wts.pl” web sunucuda cgi-bin dizinine yerlestirilir. Sonrasinda tunel kurulumu icin wtc.pl scripti calistirilmali.

#perl wtc.pl 

Usage: wtc.pl [--daemon] [--pid file] [--cert file] [--key file] local remote tunnel [proxy]

local        Tunel kurulduktan sonra yerelde dinlemeye alinacak port(Tunelleme yapilacak diger uygulamalar bu portu kullanacak)

remote        Baglanilmak istenen asil sistem

tunnel        Tunel ucu olarak kullanilacak wts.pl scriptinin http/https yolu

proxy         Uygulamayi Proxy uzerinden kullanmak icin Proxy adresi

Tunel’i aktif etmek icin kullandigim komut:

$ perl wtc.pl tcp://localhost:8080 tcp://vpn.lifeoverip.net:22 http://WEB_SUNUCU/cgi-bin/wts.pl

2009-02-23 10:42:57 webtunnel[9512]: wtc_tunnel_start() code=200 message=OK status=1 reason=Tunnel started C

2009-02-23 10:43:38 webtunnel[9512]: wtc_tunnel_stop() code=200 message=OK status=1 reason=Tunnel stopped

Bu komutla localhost’un 8080 portunu uzaktaki wts.pl araciligi ile vpn.lifeoverip.net’in 22. portuna baglamis olduk. Kurulan tuneli kullanarak SSH baglantisi yapalim

huzeyfe@elmasekeri:~$ ssh localhost  -p 8080

The authenticity of host ‘[localhost]:8080 ([127.0.0.1]:8080)’ can’t be established. DSA key fingerprint is c2:c3:a8:6c:0b:ce:7c:59:7d:e3:38:6c:98:67:4a:46. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added ‘[localhost]:8080’ (DSA) to the list of known hosts. Password: Last login: Sun Feb 22 19:23:16 2009 from XYZ Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 The Regents of the University of California.  All rights reserved.

$ last|head -1 huzeyfe          ttyp0    WEB_SUNUCU          Mon Feb 23 10:33   still logged in $

Gorulecegi gibi vpn.lifeoverip.net’e istemcinin ip adresinden degil web sunucunun ip adresinden baglanilmis oluyor.

Tunel Guvenligi

Tunel kurulurken bir sniffer araciligi ile gidip gelen veriler incelenirse asagidaki gibi cikti alinacaktir

root@elmasekeri:~# urlsnarf

urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]

123.alibaba. – – [23/Feb/2009:10:56:06 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=start&arg=tcp%3A%2F%2Fvpn.lifeoverip.net%3A22 HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:07 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=read HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:07 +0200] “POST http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=write HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:07 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=read HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:07 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=read HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:07 +0200] “POST http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=write HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:08 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=read HTTP/1.1” – – “-” “webtunnel/0.0.3”

…
POST detaylarina bakilirsa arada gidip gelen veriler(sifreler vs)okunabilir. Dolayisi ile tuneli guvenli kurabilmek icin https baglantisi kullanilmalidir.

$ perl wtc.pl tcp://localhost:8080 tcp://vpn.lifeoverip.net:22 https://WEB_SUNUCU/cgi-bin/wts.pl

gibi

ya da istemci tarafi sertifikalari kullanilarak daha guvenli bir baglanti kurulabilir.

The post Alternatif TCP Tunelleme Araci – WebTunnel first appeared on Complexity is the enemy of Security.

Bazen oyle durumlar olabiliyor ki bir sadece bir sayfanin icerigine bakip cikmak istiyorsunuz ama onunuzdeki zalim icerik filtreleme programi buna izin vermiyor.

Bu gibi durumlarda Google & Yahoo (ve benzeri arama motorlari)’nun sundugu bazi hizmetleri “kotu”ye kullanarak Icerik filtreleme programlarini bir asamaya kadar atlatabilirsiniz.

Yontem-1) Google ve Yahoo arama sayfasinda cikan sonuclarin Cache’lenmis halini kullaniciya gosterebiliyor. Bir sayfaya ulasamiyorsaniz o sayfayi google/yahoo’da aratin ve arama sonuclarinda “Cached” linkine tiklayarak o sayfanin Google/Yahoo tarafindan alinmis son kopyasini gezebilirsiniz.
Bu yontem cok nadir durumlarda ise yarayabilir.

Yontem-II) Google ve Yahoo’nun translator hizmetleri var. Bu hizmetlerle bir web sayfasini x dilinden Y diline cevirip gezebiliyorsunuz. Ozellikle bilgi iceren (?) cince sayfalari ingilizceye cevirip gezmesi cok faydali olabiliyor. Google/Yahoo’nun sundugu bu ozelliklerin guzel bir yani da icerik filtreleyiciler tarafindan bloklanmis bir sayfayi cevirici araciligi ile gezdirebilmesi.

Mesela www.metasploit.org sayfasi bloklanmis ve sizin asyfaya girmeniz gerekiyor. Hemen babelfish.yahoo.com ya da translate.google.com sayfasina girip http://www.metasploit.org sayfasini herhangi bir dilden Ingilizceye cevir diyoruz ve yasaklanmis sayfayi güncel hali ile gezebiliyoruz.

Not:Bu yontem Websense uzerinde denenmistir. URL filtering yapan programlarda calismayacaktir.

Ekte gorebileceginiz uzere Websense tarafindan bloklanan web sayfasi babelfish araciligi ile gezilebiliyor. Google’un translater hizmeti Websense tarafindan yakalaniyor.

Bu tip kacaklarin engellenmesini isterseniz piyasada bilinen translater hizmeti veren yerleri dogrudan bloklayabilirsiniz. Ya da url filtering cozumunu aktif ederek ilgili domainlerin url de gectigi zaman bloklanmasini saglayabilirsiniz.

The post Google & Yahoo kullanarak icerik filtreleyicileri atlatmak first appeared on Complexity is the enemy of Security.

Kullanim orani arttikca buna bagli risklerde artiyor. Tum islerin mail uzerinden yapilmasi maillerin sirket acisindan onemini arttiriyor. Oyle ya tum projelerinizi yoneten ve bu isi mailler araciligi ile yapan bir calisanin isten ayrilmasi ile birlikte yapilan islerin tum detaylari da kayboluyor. Ya da disardan kolaylikla erisilebilen bir mail sunucu uzerinden sirketin en yetkili kisilerinin mailleri okunabilir.(Patronlar genelde kolay bulunabilecek parola kullanirlar:)

Hal boyle olunca ve mail uzerinden islenen suclar artinca bu konuyu gundemine alan kanunlar ve standartlar artmaya basladi. SOX kanunu bunlarin basinda geliyor. Kisaca tum sirket calisanlarinin maillerinin belli yil saklanmasini gerekli kiliyor.

Kanun ve standartların yonlendirmesi ile birlikte cogu firma artik calisanlarinin maillerini arsivleme yoluna gidiyor.

Gelelim guncel hayata: orda da kisisel olarak cogu isimiz mailler uzerinden donuyor ve yine cok buyuk bir oranimiz Gmail, Yahoo, hotmail gibi ucretsiz mail hizmeti veren yerleri kullaniyor. Ben de ciktigi gunden beri Gmail’i aktif olarak kullaniyorum.

Bir ara tum maillerimi Gmail uzerinden yonetmeye bile yeltenmistim ki bu aksiyonum cok kisa surdu(kendime ait sebeplerim var). Dikkatimi ceken bir konu Gmail’in cikardigi ek yenilikler hep kullanim kolayligi ve ozellik arttirimina yonelik. Guvenlik konusuna o kadar dikkat edilmiyor[1].

Nihayet Google Gmail’in guvenlik yonune de el atmaya basladi. Benim buyuk eksikligini cektigim audit mekanizmasi devreye alinacak gibi. Gmailblog’da yazilanlara gore kisa sure icerisinde gmail’e eklenecek ozellik sayesinde Gmail’i kimin nereden kullandigi bilgilerini anlik ve gecmise yonelik tutacak.Hani su banka hespalariniza girdiginizde son baglanti adresi ve zamanini gosteren uyarilar olur ya tipki onun gibi Gmail’imize kimin hangi yontemi(web, mobile, POP vs) kullanarak ne zaman hangi ip adresinden ulastigini ogrenebilecegiz.

[1] Ozellikle sidejacking yontemi ile https uzerinden kullanilsa bile oturum(session) cookilerinin ara ara şifrelenmeden aktariliyor olmasi birilerinin parolanizi bilmeden bu cookiler araciligi ile maillerinizi okuyabilmesine olanak saglar.

Diger bir eksiklik te arabirimde yapilan degisikliklerin geriye yonelik loglanmamasi(onemli cunki birileri arabirime girip belirli tipteki mailleri baska bir adrese iletmek icin ayarlamis olabilir) ve mail arabirimine kimlerin ne zaman baglandigi bilgisini gostermemesi.(cogu mail saglayicilar Gmail kadar bile olamiyor orasi baska)

Guncelleme-I

27.07.2008 tarihi itibari ile Firefox eklentisi kullanmadan baglantinin devamli https olmasini saglayabiliyoruz. Bunun icin settings kisminda Always use https secenegini isaretlemeniz yeterli.

Kaynaklar:

http://gmailblog.blogspot.com/2008/07/remote-sign-out-and-info-to-help-you.html

http://erratasec.blogspot.com/2008/07/gmail-now-shows-ip-address-log.html

Tabi unutmadan soylemek lazim qmail+Vpopmail ile biz bu tip bilgileri yillar oncesinden alabiliyorduk. Hatta hatirladigim kadari ile Squirrelmail’in boyle bir eklentisi bile vardi.

The post Gmail’e ek guvenlik:E-postalarinizi sizden baska kim okuyor? first appeared on Complexity is the enemy of Security.

bu yazi **blog.huzeyfe.net adresinden alinmistir.

The post Bu IP adresi hangi ulkeye ait? first appeared on Complexity is the enemy of Security.

Almasina aldim, tum ihtiyac duydugum paketleri de icine ekledim ama icim huzursuz zira bu diski bazenbaskalari ile paylasiyoruz, bazen elimizde olmadan birileri tarafindan aliniyor vs. Kisacasi icine koydugum verilerin onemi o diski korumak zorunda birakiyor.

Eskiden Truecrypt kullanirdim bu isler icin ama onda da her bilgisayarda Truecrypt yuklu olmasi gerekiyordu. usb diskin icine kurulum exesini atmak bir yontem ama her seferinde kur kaldir islemleri rahatsiz etmeye baslayinca alternatiflerini kurcalamaya basladim(Bir iki alternatifde hatri sayilir veri kaybettim:)). FM’den Kivilcim ile sohbet ederken Trucrypt Explorer gibi birseyden bahsetmisti, ben de tekrar eski dost Truecrpt’in sitesine ugradim ki evlere senlik… Tum istedigim ozellikler eklenmis:).

Traveller Disk setup ile usb diskinizde sadece Truecrypt’in exe  ve sistem dosyalarinin barinabilecegi kucuk bir alan ayiriyorsunuz ve bu menuyu kullandiginizda gidip diskin bos kismina o dosyalari yerlestiriyor. Eger autorun kullanmak istiyorsaniz( diskiniz takildiginda otomatik Truecrypt calisarak sizden parolayi istiyor ) isletim sisteminizde b secenegin aktif olmasi yeterli. Bundan sonraki islem usb disk uzerinde istediginiz buyuklukte sifreli bir alan olusturup kullanmak. Boylece usb diskinizin tamami sifreli olacak ve her taktiginiz bilgisayarda Truecrypt kurma zorunlulugu olmayacak.

The post TrueCrytp ile USB diskleri sifreleme first appeared on Complexity is the enemy of Security.

Artik internet trafiginin rahat bir sekilde izlendigi konusunda kimsenin suphesi yok(ortaya cikan msn gorusmeleri, kanun taslaklari, bu is icin kurulan birimler vs). Yaptigimiz yazismalar, girdigimiz siteler kanunlara aykiri olmasa da insanda izlenme durtusu rahatsiz edici olabiliyor. Mesela ben gazete okurken ya da internette gezinirken arkamdan birinin yanasip ekranima/gazeteme bakmasi beni rahatsiz eder, hatta bu is icin eski sirketimde bir Anadol aynasi kullanirdim. Arkam koridora baktigi icin gelip gecenin ekranima bakip bakmadigini gormek icin:).

Bireysel gizlilik icin en ideal yontem SSH tunelleme/proxy kullanmak, hem guvenlik olarak ideal hem de kurulum vs gibi zorunluluklari yok. Tek ihtiyacimiz olan diarda bir yerde calisan SSH sunucusu.(Daha onceki postlarda free ssh sunuculara ayer vermistim).

Uzun zamandir web ve mail trafigimi SSH proxy uzerinden kullaniyorum, buna son zamanlarda socks proxy ozelligi olan tum uygulamalar dahil olmaya basladi. SSH’in sagladigi SOCKS proxy ile bilgisayarimdan cikan tum trafigi sifreleyip gonderiyorum.

SSH ile tunelleme de yapabilirdim fakat SSH’in socks proxy ozelligi daha az ugras gerektiriyor ve daha guvenli(giden dns sorgularini vs de sifreleyebiliyoruz). Burasi paranoyak kismina girebilir ama birseyleri guven altina aliyorsaniz etraflica dusunmelisiniz, girdiginiz site sifreli ama site icin gonderdiginiz dns sorgulari sifresiz??

Ekteki ekran goruntulerinde SSH socks proxy kullanarak nasil tum trafigimizi(http, mail, dns ve socks destekleyen uygulamalar)guvenli bir sekilde calistirabilecegimizi gorebilirsiniz.

Burada unutulmamasi gereken bir husus: guvenlik(sifreleme, degistirilmeme vs) sadece sizin ile SH sunucu arasinda olacaktir, bu sebeple SSH sunucuyu sectiginiz yer onemli, Turkiye’de bir ssh sunucusu seciyorsaniz bu sadece sizi bulundugunuz ortamda koruyacaktir. Dis dunyaya yine sifresiz cikiyo olursunuz.

Burada herhangi bir sayfaya girecek olursaniz sayfanin icerigi gozukmeyecektir fakat o sayfaya yapilan DNS istekleri basit bir sniffer araciligi ile izlenebilir.

Ornek;

Firefox/Thunderbird giden isteklerdeki dns sorgularini da proxy araciligi ile gonderme secenegi sunar. Bu secenegi aktif ettikten sona dns sorgulari da gorunmeyecektir.

Ve tekrar deneyelim ayni sayfaya girmeyi… (Bir onceki ekranda dns sorgularinin cacheden gelmemesi icin ipconfig/flushdns kullandik)

Guvenli sorfler.

The post Paranoyaklara guvenli sorf rehberi first appeared on Complexity is the enemy of Security.

Piyasada kullanilan icerik filtreleme sistemlerinin cogu belirli bir veritabanina gore calisir. Girilmek istenen site vs eger veritabaninda kayitli ise engeller ya da izin verir.. Bazilari bunun da otesinde url’de belirli ozelliklere gore filtreleme yapabilir, sayfa icerisindeki kelime oranina gore sayfalari sinirlandirabilir vs.. Eger SSL uzerinden bir baglanti kuruluyorsa bu yontemlerden cogu gecersiz oluyor. Simdilerde SSL content filtering yapabilen proxyler cikmaya baslasa da hem yasal olarak hem de kullanim zorlugu sebebi henuz kullanimi uygun oldugunu dusunmuyorum.

Insanoglunun dogasinda bulunan ozgurluk dusuncesi sanal alemde daha bir one cikiyor. Kimse sebebi ne olursa olsun kendine yapilan engellemeleri, kisitlamalari istemiyor ve asmak icin cesitli yollar deniyor.

Son zamanlarda, ozellikle TIB’in engelledigi sitelleri dns yolu ile degil de gercege uygun bir sekilde -ilgili sitelerin ip bloklarina erisimi ip bazinda yasaklayarak- yasaklamasi ile yurtdisinda calisan kimligi belirsiz proxy’lerin kullaniminda onemli derecede artis olmaya basladi. Nerde bir youtube asma yontemi gorsem artik hepsinde altyapisinda Cgiproxy calisan bir sistem goruyorum.

Isin kotusu bu sistemlerden bazilari gercekten parola toplayan, kotu amacli Proxy’ler hem de en cok bilinen ve kullanilanlarindan bazilari :). Yani gun gelir de hotmail, yahoo vs gibi hesaplariniza giremezseniz oncesinde bu tip bir proxy kullanip kullanmadiginizi dusunun derim. SSL kullanmaniz da bir ise yaramiyor.

Ben bu tip durumlarda kendi domainim uzerine bir adet “http,ftp https” anlayabilen bir proxy kuruyorum ve proxy sayfasini da https uzerinden erisilecek sekilde ayarliyorum. Bir kere proxy sayfasina eristikten sonra kimsenin benim trafigimi gozleme sansi kalmiyor. Proxy’nin benim kontrolümde olması onemli! ya da 443. porttan calisan bir SSH sunucu araciligi ile isimi hallediyorum.

ps: bildigimiz proxy mantigindan biraz farkli yani gidipde browserdan Proxy ayari yapmiyorsunuz. Sadece bir web sitesine giriyorsunuz ve bu web sitesi sizin icin basit browser vazifesi yapiyor.

Uzun zamandir bu isler icin CgiProxy yazilimini kullaniyorum. Oldukca gelismis ve detay ozelliklere sahip.

http://www.jmarshall.com/tools/cgiproxy/

Engellemesi mi? SSL uzerinden cok zor ama yine de yontemleri var… Biraz dusunmek lazim.

The post Anonim proxyler ve Icerik filtreleme sistemleri first appeared on Complexity is the enemy of Security.