Kullanıcılar Captive Portalı Atlatıyorlar
-
Merhaba
pfsense 1.2.3 kurulu bir sistemim var. Bazı kullanıcılar bir şekilde captive portalı atlatıp internete çıkabiliyor.
Captive Portalda oturum açmamış olmalarında rağmen internete çıkıyorlar.
Bunu nasıl yaptıklarını bilen var mı. Captive portalın atlatılmasını nasıl engellerim? -
Merhabalar,
Hackshield ve benzeri programlarla bunu yapabildiklerini duymuştum. birkaç ip adresi var onları engelleyerek yapabilirsiniz sanırım,saygılar,
-
Merhaba,
Dns ve Http için yeni bir kural oluşturup, rule-lan tabında en altta olacak şekilde yapılandırın.
( Öne tüm network'ü blokladıysanız, yeni kuralı onun üstüne almalısınız.)- Bu kural için
Source : Lan Subnet
Destination : ( Pf IP )
Port için : DNS - HTTP
şeklinde yapılandırın.
Bundan sonra tüm dns ve http trafigi pfsense üzerine yönlenecekki bu da probleminizi çözecektir.
Keyifli çalışmalar - Bu kural için
-
Merhaba,
Dns ve Http için yeni bir kural oluşturup, rule-lan tabında en altta olacak şekilde yapılandırın.
( Öne tüm network'ü blokladıysanız, yeni kuralı onun üstüne almalısınız.)- Bu kural için
Source : Lan Subnet
Destination : ( Pf IP )
Port için : DNS - HTTP
şeklinde yapılandırın.
Bundan sonra tüm dns ve http trafigi pfsense üzerine yönlenecekki bu da probleminizi çözecektir.
Keyifli çalışmalarDediğiniz gibi kural girdim ama işe yaramadı.
İnternette ararken şu sayfayı buldum. Captive Portalı atlatmayı gösteriyor ama çözüm önerisi yazmamış.
http://www.harunseker.org/2011/07/pfsense-captive-portal-squid-bypass.html
Aynı açık sizde çalışıyormu? Yeniden pfsensi yeniden kursam düzelir mi?
- Bu kural için
-
merhaba squidguard paketini kullanıyormusunuz eger kullanmıyorsanız squid paketini iptal etmeyi düşünebilirsiniz
-
captive portalı geçmek bu kadarmış demek…ama o arkadaş çözümü de yazmış.
"Çözüm olarak captive portal açık olduğu sürece proxy portuna lan arayüzünden gelen istekleri engelleyecek bir firewall kuralı girmek gerekiyor. Böylece captive portal tarafında oturum açmamış olan bir kullanıcının doğrudan proxy portuna istek yapması engelleniyor..."
-
Merhaba,
"captive portalı geçmek bu kadarmış demek…ama o arkadaş çözümü de yazmış." :)
muhakkak sistemi açıklarıyla geçmek yada kontrol etmek isteyen kişiler olacaktır ki,
işiniz network ise bu açıklar üzerine çalışmak eğlenceli.
Harun bey'in vermiş olduğu açık için, ek'te bulunan rule ekranından, kendinize uyarlayabilirsiniz.
Yaptıklarımız;- Tüm trafiği kapat
- Direk squid erişimini kapat
- Squid erişmek isteyeni, cp yönlendir.
- dns ve http'yi erişime aç.
Geri kalan portları yapınıza göre üstten devam edecek şekilde yönlendirebilirsiniz.
Keyifli çalışmalar
-
Merhaba,
"captive portalı geçmek bu kadarmış demek…ama o arkadaş çözümü de yazmış." :)
muhakkak sistemi açıklarıyla geçmek yada kontrol etmek isteyen kişiler olacaktır ki,
işiniz network ise bu açıklar üzerine çalışmak eğlenceli.
Harun bey'in vermiş olduğu açık için, ek'te bulunan rule ekranından, kendinize uyarlayabilirsiniz.
Yaptıklarımız;- Tüm trafiği kapat
- Direk squid erişimini kapat
- Squid erişmek isteyeni, cp yönlendir.
- dns ve http'yi erişime aç.
Geri kalan portları yapınıza göre üstten devam edecek şekilde yönlendirebilirsiniz.
Keyifli çalışmalar
Evet basit ve etkili bir çözüm..
-
Merhaba,
"captive portalı geçmek bu kadarmış demek…ama o arkadaş çözümü de yazmış." :)
muhakkak sistemi açıklarıyla geçmek yada kontrol etmek isteyen kişiler olacaktır ki,
işiniz network ise bu açıklar üzerine çalışmak eğlenceli.
Harun bey'in vermiş olduğu açık için, ek'te bulunan rule ekranından, kendinize uyarlayabilirsiniz.
Yaptıklarımız;- Tüm trafiği kapat
- Direk squid erişimini kapat
- Squid erişmek isteyeni, cp yönlendir.
- dns ve http'yi erişime aç.
Geri kalan portları yapınıza göre üstten devam edecek şekilde yönlendirebilirsiniz.
Keyifli çalışmalar
resimli ve yazılı anlatım için çok teşekkürler.
-
Merhaba,
Dns ve Http için yeni bir kural oluşturup, rule-lan tabında en altta olacak şekilde yapılandırın.
( Öne tüm network'ü blokladıysanız, yeni kuralı onun üstüne almalısınız.)- Bu kural için
Source : Lan Subnet
Destination : ( Pf IP )
Port için : DNS - HTTP
şeklinde yapılandırın.
Bundan sonra tüm dns ve http trafigi pfsense üzerine yönlenecekki bu da probleminizi çözecektir.
Keyifli çalışmalarDediğiniz gibi kural girdim ama işe yaramadı.
İnternette ararken şu sayfayı buldum. Captive Portalı atlatmayı gösteriyor ama çözüm önerisi yazmamış.
http://www.harunseker.org/2011/07/pfsense-captive-portal-squid-bypass.html
Aynı açık sizde çalışıyormu? Yeniden pfsensi yeniden kursam düzelir mi?
Bu durumu "açık" olarak adalandırmak bana biraz saçma geldi.
Captive portal nere, squid nere.
Captive portal'ın squid erişimini engellemek gibi bir görevi yok ki ?
Buradaki açık, sistemin açığı değil sysadmin'in kullanıcı kısıtı yapmadan squid kullanıyor olması bence. - Bu kural için
-
Yardımlarınız için teşekkürler. Bu kurallar sorunu çözdü gibi görünüyor.
-
Merhaba,
Dns ve Http için yeni bir kural oluşturup, rule-lan tabında en altta olacak şekilde yapılandırın.
( Öne tüm network'ü blokladıysanız, yeni kuralı onun üstüne almalısınız.)- Bu kural için
Source : Lan Subnet
Destination : ( Pf IP )
Port için : DNS - HTTP
şeklinde yapılandırın.
Bundan sonra tüm dns ve http trafigi pfsense üzerine yönlenecekki bu da probleminizi çözecektir.
Keyifli çalışmalarDediğiniz gibi kural girdim ama işe yaramadı.
İnternette ararken şu sayfayı buldum. Captive Portalı atlatmayı gösteriyor ama çözüm önerisi yazmamış.
http://www.harunseker.org/2011/07/pfsense-captive-portal-squid-bypass.html
Aynı açık sizde çalışıyormu? Yeniden pfsensi yeniden kursam düzelir mi?
Bu durumu "açık" olarak adalandırmak bana biraz saçma geldi.
Captive portal nere, squid nere.
Captive portal'ın squid erişimini engellemek gibi bir görevi yok ki ?
Buradaki açık, sistemin açığı değil sysadmin'in kullanıcı kısıtı yapmadan squid kullanıyor olması bence.tekrar merhaba,
"Bu durumu "açık" olarak adalandırmak bana biraz saçma geldi."
tuzsuzdelinin yorumuna katılmıyorum.
CP'nin aktif olduğu pf networklerinde bu tam bir açıktır.
Sebebine gelince, bu tarz servisler protokol tabanlı çalışırlar ve birbirine bağımlıdırlar.
CP aktif olduğu interface'de tam olarak görevi, Kimlik doğrulama ve Http-Dns portlarına yönlendirme yaparak, erişim sağlatmasıdır.
CP aktif iken kimlik doğrulama yaptırmasanız bile, secili interface trafiğinin cp üzerinden yönlendirildiğini görürsünüz.
bahsettiğim yönü daha çok "Allowed Host-IP adres" için geçerlidir.
teşekkürler içinde , rica ederim.
Keyifli çalışmalar - Bu kural için
-
Aslına bakarsanız bu açık Pfsense kendi açığı değil Squid'İn yaratmış olduğu bir açıktır..Sonuç itibariyle Captive Portal Özelliği Pfsense kurulum install ile birlikte gelen bir özellik ancak Squid sonradan yüklenen bir plugin dir yani packages dir..Burdaki Captive portalın yaptığı şey segmentler arası izolasyonu authentication ile sağlaması ama burda squid bir şekilde kullanıcıya bakan arayüzden kendi socket'ine gelen istekleri kabul ediyor..Ve aslında Captive portal kullanıcının isteklerini izin vermiyor bunu squid kendisi transparent proxy ile istekleri kullanıcı yerine kendisi göndermektedir…Squid plugini Pfsense'e uyarlayan arkadaş bir zaman sonra auto policy özelliğini devreye alarak bi şekilde bu hatayı engeller diğe düşünüyorum..Tabi bunu pfsense bug ekibine göndermek lazım..
iyi çalışmalar..
-
Merhabalar,
Bazı durumlarda stresten başı ağıran bir IT 'cinin baş ağrısına aspirin gibi gelecek bir bilgi. Not almak lazım.
Teşekkürler hepinize.Saygılar,
-
Selamlar…
Bir süredir yoğunluktan forum sayfasını takip edemiyordum. Bu gün bloğuma gelen bir yorumla, bu başlıktan ve yazımdan bahsedildiğinden haberim oldu. Bende bir şeyler yazayım...
İlk olarak açıklık konusuna değinelim;
Captive Portal bileşeninin kullanıcıları durdurması ve kullanıcı hesabı olan kişilerin internete çıkmasını sağlaması gerekiyor. Captive Portal bu konuda gayet başarılı. Squid ise bir vekil sunucu ve görevini başarılı bir şekilde yapıyor. Ancak iki bileşen birden sistemde aktif edildiğinde Squid, Captive Portal'ın ayağına basmak suretiyle bir güvenlik zaafiyeti oluşturuyor. Sonuç olarak kullanıcıların Captive Portal sistemini atlatmasına neden olacak bir açıklık ortaya çıkıyor... Özetle kullanıcıların Captive Portal uygulamasını bypass etmesini sağlayan bir açıklık söz konusu.Sebebi genel olarak sistem yöneticisinin elindeki araçları tanımaksızın, sebep sonuç ilişkisini kavramaksızın ezbere pfSense kurup çalıştırmasından kaynaklanıyor. Bu zaafiyet önemli ölçüde sistem yönteicisinden kaynaklanıyor. Öte yandan pfSense için Captive Portal ve Squid paketini hazırlayan kişilerinde bu noktada bu iki bileşenin aynı anda çalıştığında bir birinin ayağına basıp basmadığını kontrol etmesi gerekirdi yada kontrol edilmiş olsa iyi diye düşünüyorum... Özgür Yazılım dünyasının temel prensipleri gereği çıkıp pfSense geliştiricilerine bir şey deme lüksümüz yok zira "Gözüne dizine dursun, o kadar iş yaptık, başımıza bunu mu kakıyorsun" derler adama :)
Bu durumda açığın faturasını Sistem yöntecisine kesmek gerekiyor. Demekki sonuç olarak eline pfSense cd si alıp ben "firewallcuyum" diyen herkese güvenlik duvarı kurdurmamak gerekiyor. Kurulursa böyle durumlar ortaya çıkıyor. :)
Çözüm Kısmına Bakalım;
tcjackal arkadaşımız pratik ve güzel bir çözüm uygulamış. Denemedim ancak kullanılabilir olduğunu düşünüyorum. Ben daha farklı bir yöntem kullandım squid.inc dosyası içerisine, kaba şekliyle aşağıdaki gibi bir kod parçası ekledim; Böylece sistem Squid ve Captive Portalın bir birinin ayağına basmasını engeller hale geldi. Eğer Captive Portal aktif ise Squid dışarıdan gelen bağlantıları kabul etmiyor. Bu yöntemle firewall kurallarıyla cebelleşmem gerekmiyor, kötü tarafı kodla cebelleşmem gerekti. Ancak şimdi sistem otomatize bir şekilde kendi başının çaresine bakıyor...if(isset($config['captiveportal']['enable'])){ $rules.="block quick proto tcp from to le0 port 3128"; }else{ $rules.= "pass in quick on $iface proto tcp from any to !le0 port $port flags S/SA keep state\n"; }
Saygılarımla…
Harun ŞEKER -
Özgür Yazılım dünyasının temel prensipleri gereği çıkıp pfSense geliştiricilerine bir şey deme lüksümüz yok zira "Gözüne dizine dursun, o kadar iş yaptık, başımıza bunu mu kakıyorsun" derler adama
Bu durumda açığın faturasını Sistem yöntecisine kesmek gerekiyor. Demekki sonuç olarak eline pfSense cd si alıp ben "firewallcuyum" diyen herkese güvenlik duvarı kurdurmamak gerekiyor. Kurulursa böyle durumlar ortaya çıkıyor. Smiley
her iki yorumada katılmamak elde değil, hangi firewall ürününü kullanırsanız kullanın, yapılandırmadığınız sürece bir modemden farksız
Squid yönünde vermiş olduğunuz kod çözümü için teşekkürler.
Burada dikkatimi çeken, interface tarafında seçili interface'leri sürekli eklemek zorundayız.
çoklu interface seçimi sorun yaratacakmıdır ?
Keyifli çalışmalar -
Selamlar…
Squid yönünde vermiş olduğunuz kod çözümü için teşekkürler.
Burada dikkatimi çeken, interface tarafında seçili interface'leri sürekli eklemek zorundayız.
çoklu interface seçimi sorun yaratacakmıdır ?
Keyifli çalışmalarBuraya eklediğim kodu sadeleştirdiim, o yüzden ethernet isimleri statik olarak kodun içinde yer alıyor. Normalde interface adı ve squid portu kod içerisinde statik değil, Squid ayarlarınan okunuyor ve böylece, siz squid ayarlarında hangi interface ve portu seçerseniz seçin güvenlik duvarı kuralları doğru bir şekilde giriliyor… Aynı çözüm çoklu interface içinde çalışmalı diye düşünüyorum. Henüz pfSense 2.0 kullanmaya başlamadığımdan benzer şeyleri pf2.0 için yapmadım. Zira pfSense 2.0 ın olgunlaşması gerektiğini düşünüyorum. Bir yandan da ufak ufak pfSense 2.0 için hazırlıklar yapıyorum...
Saygılarımla...
-
ben burdaki kodu ekledim ama ie den proxy sunucusunu değiştirince Captive Portalı Atlatıyor. Nerde yanlış yapıyorum?
-
tekrar merhaba,
squid kodunu deneme fırsatım olmadı. durumunuz acil ise, daha önceki post'umda belirttiğim yöntemi uygulayabilirsiniz.Yaptıklarımız;
- Tüm trafiği kapat
- Direk squid erişimini kapat
- Squid erişmek isteyeni, cp yönlendir.
- dns ve http'yi erişime aç.
Geri kalan portları yapınıza göre üstten devam edecek şekilde yönlendirebilirsiniz.
Keyifli çalışmalar
-
göstermiş olduğunuz ilgi için teşekür derim ama ben biraz işin acemisiyim öğrenmeye çalışıyorum bana adım adım yapabileceğim bi doküman verebilirmisiniz.