PfSense 5651 Kanuna Uygun Log İmzalama

onurturali

@ucribrahim Squid & E2Guardian kullanıyorum. Buradaki gibi yaptım kurulumu ve ayarları.
Evet, SSL interception yapıyorum.

Bu arada cron işlerinin hepsini 23:30 yapınca çalışmadı sanırım bende. Komutları birer dakika arayla kurunca çalıştı. Bu bir etken olabilir mi sizce?

lncsence

Bir şeyi merak ediyorum. Squid https loglama yapıyor. Https tcp dump neden yapılıyor. Squid loglarini imzalayinca yeterli olmuyor mu?

ucribrahim

@lncsence Squid varsayılan olarak HTTPS loglamaz, eğer sen kullanıcılara sertifika yükleyip veya başka ayarlar yaparsan HTTPS loglayabilir. O zaman benim HTTPS loglamak için kullandığım script dosyalarını eklemene gerek kalmaz. Eğer http ve https geçiyorsa squid dosyasından, sadece onu imzalamak yeterli olur.

Dhcp kayıtlarınıda imzalamak lazım, onuda belirteyim(zorunlu).

Detaylı bilgi için aşağıdaki blog yazımı takip edebilirsin.
https://lifeoverlinux.com/pfsense-5651-kanuna-uygun-log-imzalama/

lncsence

Yazılarinizi ilgiyle takip ediyorum. Paylaşımlarınız için teşekkür ederim. İmzalama işlemini yapmak için araştırmalar yapıyorum. Dhcp ve squid yeterli oluyor o zaman.

Verdiğiniz cevap için teşekkür ederim.

kumpasagv

Bu imzalama scripti Pfsense 2.5.1' de çalışmıyor galiba. 2.4.x te doğrulayabildiğim aynı ayarlarla 2.5.1 de hata alıyorum.

[2.5.1-RELEASE][root@pfSense.home.arpa]/root: sh /usr/local/ssl/imzalama/dhcp-kiralar-imzalama.sh
Using configuration from /etc/ssl/openssl.cnf
Using configuration from /usr/local/ssl/imzalama/openssl.cnf
Response is not generated.
34371026944:error:0E06D06C:configuration file routines:NCONF_get_string:no value:/build/ce-crossbuild-251/sources/FreeBSD-src/crypto/openssl/crypto/conf/conf_lib.c:273:group=tsa_config1 name=signer_digest
34371026944:error:2F098088:time stamp routines:ts_CONF_lookup_fail:cannot find config variable:/build/ce-crossbuild-251/sources/FreeBSD-src/crypto/openssl/crypto/ts/ts_conf.c:106:tsa_config1::signer_digest
Using configuration from /etc/ssl/openssl.cnf
34371026944:error:02001002:system library:fopen:No such file or directory:/build/ce-crossbuild-251/sources/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:69:fopen('dhcpd.leases.der','rb')
34371026944:error:2006D080:BIO routines:BIO_new_file:no such file:/build/ce-crossbuild-251/sources/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:76:
Dogrulama Saglanamadi. Islemler geri aliniyor.
/usr/local/ssl/imzalama/dhcp-kiralar-imzalama.sh: mail: not found

betim_m

@kumpasagv said in PfSense 5651 Kanuna Uygun Log İmzalama:

kumpasagv arkadaşımızın aldığı hatayı beden alıyorum. Bu imzalama scripti Pfsense 2.5.1' de çalışmıyor galiba. 2.4.x te doğrulayabildiğim aynı ayarlarla 2.5.1 de hata alıyorum.

[2.5.1-RELEASE][root@pfSense.home.arpa]/root: sh /usr/local/ssl/imzalama/dhcp-kiralar-imzalama.sh
Using configuration from /etc/ssl/openssl.cnf
Using configuration from /usr/local/ssl/imzalama/openssl.cnf
Response is not generated.
34371026944:error:0E06D06C:configuration file routines:NCONF_get_string:no value:/build/ce-crossbuild-251/sources/FreeBSD-src/crypto/openssl/crypto/conf/conf_lib.c:273:group=tsa_config1 name=signer_digest
34371026944:error:2F098088:time stamp routines:ts_CONF_lookup_fail:cannot find config variable:/build/ce-crossbuild-251/sources/FreeBSD-src/crypto/openssl/crypto/ts/ts_conf.c:106:tsa_config1::signer_digest
Using configuration from /etc/ssl/openssl.cnf
34371026944:error:02001002:system library:fopen:No such file or directory:/build/ce-crossbuild-251/sources/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:69:fopen('dhcpd.leases.der','rb')
34371026944:error:2006D080:BIO routines:BIO_new_file:no such file:/build/ce-crossbuild-251/sources/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:76:
Dogrulama Saglanamadi. Islemler geri aliniyor.
/usr/local/ssl/imzalama/dhcp-kiralar-imzalama.sh: mail: not found

ares

2.5.x sürümünde çalışmıyor maalesef. Uzun zamandır da kimse pfsense 2.5.x sürümü için 5651 çalışması yapmıyor ve ya bu scripti düzenlemiyor.
2.4.5 sürüm olan makinede çalışıyordu sorunsuz, pf güncellenince scrip çalışmaz oldu. İlgili arkadaşlardan acil destek rica ediyoruz.

ares

@ares Up

@ucribrahim hocam destek lütfen.

myturkisheagle

Hocam Selamlar
pf sense 2.5.2 de aynı sorunla karşılaştım
/usr/local/ssl/imzalama/openssl.cnf
344.satırına
signer_digest = md5
ekledim düzeldi

hata buydu
sh /usr/local/ssl/imzalama/dhcp-kiralar-imzalama.sh
Using configuration from /etc/ssl/openssl.cnf
Using configuration from /usr/local/ssl/imzalama/openssl.cnf
Response is not generated.
34371026944:error:0E06D06C:configuration file routines:NCONF_get_string:no value:/build/ce-crossbuild-252/sources/FreeBSD-src/crypto/openssl/crypto/conf/conf_lib.c:273:group=tsa_config1 name=signer_digest
34371026944:error:2F098088:time stamp routines:ts_CONF_lookup_fail:cannot find config variable:/build/ce-crossbuild-252/sources/FreeBSD-src/crypto/openssl/crypto/ts/ts_conf.c:106:tsa_config1::signer_digest
Using configuration from /etc/ssl/openssl.cnf
34371026944:error:02001002:system library:fopen:No such file or directory:/build/ce-crossbuild-252/sources/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:69:fopen('dhcpd.leases.der','rb')
34371026944:error:2006D080:BIO routines:BIO_new_file:no such file:/build/ce-crossbuild-252/sources/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:76:
Dogrulama Saglanamadi. Islemler geri aliniyor.
/usr/local/ssl/imzalama/dhcp-kiralar-imzalama.sh: mail: not found

ucribrahim

Herkese selamlar,

@myturkisheagle yardımın için çok teşekkürler, diğer arkadaşlar içinde bu fix işe yarayabilir.

Bu proje üzerinde artık güncellemele yapamıyorum, açık kaynak olduğu için herkes destekte, yorumda bulunabilir ve projenin güncel kalmasını sağlayabilir.

Eğer olurda bir gün bir nedenden dolayı kalıcı olarak kullanamazsanız, internette ücretli veya ücretsiz pfSense üzerinde çalışan 5651 uygulamaları mevcut. (Araştırmanız lazım)

ares

Hocam çok teşekkürler. İşe yaradı, Allah razı olsun.

ahmetkanar54

arkadaşlar dual wan load blancer ve squid i aynı anda çalıştırıp log kaydını alan arkadaş varmı yaptıysa nasıl yaptı bu işlemi ?

ahmetkanar54

This post is deleted!

mahsumyavuz

Merhaba Hocam,

Kanunda Tübitak Zaman damgası zorunluluğu da görünüyor. Şu anki yapıda nasıl yer alabilir. Yada bu yöntemde geçerli mi acaba ?

ares

@ahmetkanar54 tek wan ya da çoklu wan kullanmanız birşey değiştirmiyor. Squid tarafında lan bacağını seçmeniz yetecektir. Sonuçta lan tarafından bağlanacak olan cihazların log kayıtlarını almanız gerekiyor.

ahmetkanar54

arkadaşlar bende herşey sorunsuz çalışıyor sadece https loglarını alamıyorum bende 2 tane wan bacağı var bunların yapısı pppeo şeklinde ip bloğu şeklinde değil

greenlight

@ahmetkanar54 loglar internet çıkışı için değil yerel network içinde tutuluyor. muhtemelen hatayı burada yaptınız.

ahmetkanar54

@greenlight doğruymuş dediğiniz ama anlamsız biçimde log lar çok büyük yer kaplıyor ondan kullanamıyorum.

greenlight

@ahmetkanar54 local network'teki cihaz sayısı kaç adet acaba? bir de günlük bir log dosyasının boyutu ne kadar olabiliyor?

Squid paketinde sıkıntı olabilir baştan kurmanız ve ayarlarını yapmanızı tavsiye ederim. Tutulması istenen log yanlış tanımlanmış da olabilir.

benaykt

Teşekkürler. 5651 loglama konusuna yönelik bilgilendirici bir yazı olmuş. Hotspot çözümleri günümüzde oldukça önem arz eden bir konu.