Gunumuzde sifresiz baglanti kullanmak zorunlu hale geldi. Fakat cogu protokol hala sifreli baglanti imkani sunmamakta. Bu durumda SSL Wrapper adi verdigimiz uygulamalari kullanarak gercekte sifreli baglanti imkani bulunmayan protokolleri sifreli kullanabiliriz. Transport katmaninda TCP kullanan protokoller icin stunnel ve benzeri uygulamalari kullanarak http, ftp, smtp vs gibi acik protokolleri sifreli hale getirebiliyoruz fakat cogu SSL wrapper programinin udp secenegi yok ya da duzgun calismiyor.
Paranoya moduna gecip udp baglantilarini sifrelemem gerektiginde Zebedee[1] adli uygulamayi tercih ediyorum. Zebedee, TCP/IP ya da udp protokolleri icin istemci sunucu mantiginda calisabilen “basit” bir guvenli tunelleme araci.
FreeBSD icin Zebedee Kurulumu
Asagidaki komutlari sirasi ile calistirarak FreeBSD’e Zebedee aracini kurabilirsiniz.
[[email protected] ~]# cd /usr/ports/security/zebedee/
[[email protected] /usr/ports/security/zebedee]# make install
Zebedee’yi sunucu modda calistirmak icin -s parametresi yeterli olacaktir. Fakat default olarak sadece TCP baglantilarini tunelleyecek sekilde calisir. Bunu netstat -ant|grep LISTEN komutu ile de gorebilirsiniz.
# netstat -ant|grep LISTEN
tcp4 0 0 *.11965 *.* LISTEN
tcp4 0 0 127.0.0.1.783 *.* LISTEN
…
11965. portu dinleyen zebedee uygulamasidir.
Eger UDP baglantilari guvenli tunnellemek istiyorsaniz -U parametresini tercih etmelisiniz. -U parametresi hem tcp hem de udp baglantilari icin kullanilir, sadece udp baglantilarini tunellemek isterseniz -u parametresi kullanilabilir.
Sunucu Tarafi:
#zebedee -s -u -T 1000
-T parametresi ile zebedee’nin hangi porttan dinleme yapacagini bildiriyoruz.
IStemci tarafi:
$zebedee -u -T 1000 uzak_sistem:514
zebedee(1493/90144): Listening on local port 64473
Listenning on local port xx dedigi bizim localhostta kullanacagimiz portu gosteriyor. Artik bundan sonra Localhost’un 64473(her seferinde degisecektir) portuna gonderdigimiz her paket uzak sistemin 514. portuna sifreli ve tunel araciligi ile ulasmis olacaktir.
Daha gercekci bir ornek:Merkezi syslog sunucuya loglari sifrelenmis gondermek icin Zebedee kullanimi.
Merkezi syslog sunucu(10.10.10.1):
#zebedee -b 10.10.10.1 -s 127.0.0.1:514 -u -T 1000
Sonra bu sisteme syslog gonderecek makinede(IStemci(10.10.10.2)) syslog.conf dosyasina
*.all @10.10.10.2
#zebedee -u -T 1000 -b 10.10.10.2 514:10.10.10.1:514
komutlari verilir.
Boylece localde calisan syslog kendi uzerindeki zebedee’ye loglari gonderiyor, Zebedee’de onlari guvenli tunel(sifreli iletisim) uzerinden merkezi syslog sunucuya aktariyor.
Zebedee’nin calismadigini dusunuyorsaniz debug parametresini aktif ederek calistirmayi deneyin.
#zebedee -dD -v 5 -s
boylece giden gelen paketleri detaylica izleyip hatanin nerden kaynaklandigini bulabilirsiniz.
Zebedee’yi sadece udp baglantilari icin degil TCP baglantilari icin de efektif bir sekilde kullanabilirsiniz. Netcat ve benzeri araclarin sagladigi tum ozellikleri guvenli bir sekilde saglar ve tunelleme esnasinda verileri sıkıstırarak iletim yaptıgından diger alternatiflerine gore hattinizi daha performansli kullanilmasina yardimci olur.
[1]http://www.winton.org.uk/zebedee/index.html