Kullanıcılar Captive Portalı Atlatıyorlar

tcjackal

Merhaba,
"captive portalı geçmek bu kadarmış demek…ama o arkadaş çözümü de yazmış." :)
muhakkak sistemi açıklarıyla geçmek yada kontrol etmek isteyen kişiler olacaktır ki,
işiniz network ise bu açıklar üzerine çalışmak eğlenceli.
Harun bey'in vermiş olduğu açık için, ek'te bulunan rule ekranından, kendinize uyarlayabilirsiniz.
Yaptıklarımız;

• Tüm trafiği kapat
• Direk squid erişimini kapat
• Squid erişmek isteyeni, cp yönlendir.
• dns ve http'yi  erişime aç.
  Geri kalan portları yapınıza göre üstten devam edecek şekilde yönlendirebilirsiniz.
  Keyifli çalışmalar

adarguner

@tcjackal:

Merhaba,
"captive portalı geçmek bu kadarmış demek…ama o arkadaş çözümü de yazmış." :)
muhakkak sistemi açıklarıyla geçmek yada kontrol etmek isteyen kişiler olacaktır ki,
işiniz network ise bu açıklar üzerine çalışmak eğlenceli.
Harun bey'in vermiş olduğu açık için, ek'te bulunan rule ekranından, kendinize uyarlayabilirsiniz.
Yaptıklarımız;

• Tüm trafiği kapat
• Direk squid erişimini kapat
• Squid erişmek isteyeni, cp yönlendir.
• dns ve http'yi  erişime aç.
  Geri kalan portları yapınıza göre üstten devam edecek şekilde yönlendirebilirsiniz.
  Keyifli çalışmalar

Evet basit ve etkili bir çözüm..

ercev

@tcjackal:

Merhaba,
"captive portalı geçmek bu kadarmış demek…ama o arkadaş çözümü de yazmış." :)
muhakkak sistemi açıklarıyla geçmek yada kontrol etmek isteyen kişiler olacaktır ki,
işiniz network ise bu açıklar üzerine çalışmak eğlenceli.
Harun bey'in vermiş olduğu açık için, ek'te bulunan rule ekranından, kendinize uyarlayabilirsiniz.
Yaptıklarımız;

• Tüm trafiği kapat
• Direk squid erişimini kapat
• Squid erişmek isteyeni, cp yönlendir.
• dns ve http'yi  erişime aç.
  Geri kalan portları yapınıza göre üstten devam edecek şekilde yönlendirebilirsiniz.
  Keyifli çalışmalar

resimli ve yazılı anlatım için çok teşekkürler.

tuzsuzdeli

@ranger:

@tcjackal:

Merhaba,
Dns ve Http için yeni bir kural oluşturup, rule-lan  tabında en altta olacak şekilde yapılandırın.
( Öne tüm network'ü blokladıysanız, yeni kuralı onun üstüne almalısınız.)

• Bu kural için
  Source : Lan Subnet
  Destination : ( Pf IP )
  Port için : DNS - HTTP
  şeklinde yapılandırın.

Bundan sonra tüm dns ve http trafigi pfsense üzerine yönlenecekki bu da probleminizi çözecektir.
Keyifli çalışmalar

Dediğiniz gibi kural girdim ama işe yaramadı.

İnternette ararken şu sayfayı buldum. Captive Portalı atlatmayı gösteriyor ama çözüm önerisi yazmamış.

http://www.harunseker.org/2011/07/pfsense-captive-portal-squid-bypass.html

Aynı açık sizde çalışıyormu? Yeniden pfsensi yeniden kursam düzelir mi?

Bu durumu "açık" olarak adalandırmak bana biraz saçma geldi.
Captive portal nere, squid nere.
Captive portal'ın squid erişimini engellemek gibi bir görevi yok ki ?
Buradaki açık, sistemin açığı değil sysadmin'in kullanıcı kısıtı yapmadan squid kullanıyor olması bence.

ranger

Yardımlarınız için teşekkürler. Bu kurallar sorunu çözdü gibi görünüyor.

tcjackal

@tuzsuzdeli:

@ranger:

@tcjackal:

Merhaba,
Dns ve Http için yeni bir kural oluşturup, rule-lan  tabında en altta olacak şekilde yapılandırın.
( Öne tüm network'ü blokladıysanız, yeni kuralı onun üstüne almalısınız.)

• Bu kural için
  Source : Lan Subnet
  Destination : ( Pf IP )
  Port için : DNS - HTTP
  şeklinde yapılandırın.

Bundan sonra tüm dns ve http trafigi pfsense üzerine yönlenecekki bu da probleminizi çözecektir.
Keyifli çalışmalar

Dediğiniz gibi kural girdim ama işe yaramadı.

İnternette ararken şu sayfayı buldum. Captive Portalı atlatmayı gösteriyor ama çözüm önerisi yazmamış.

http://www.harunseker.org/2011/07/pfsense-captive-portal-squid-bypass.html

Aynı açık sizde çalışıyormu? Yeniden pfsensi yeniden kursam düzelir mi?

Bu durumu "açık" olarak adalandırmak bana biraz saçma geldi.
Captive portal nere, squid nere.
Captive portal'ın squid erişimini engellemek gibi bir görevi yok ki ?
Buradaki açık, sistemin açığı değil sysadmin'in kullanıcı kısıtı yapmadan squid kullanıyor olması bence.

tekrar merhaba,
"Bu durumu "açık" olarak adalandırmak bana biraz saçma geldi."
tuzsuzdelinin yorumuna katılmıyorum.
CP'nin aktif olduğu pf networklerinde bu tam bir açıktır.
Sebebine gelince, bu tarz  servisler protokol tabanlı çalışırlar ve birbirine bağımlıdırlar.
CP aktif olduğu interface'de tam olarak görevi, Kimlik doğrulama ve Http-Dns portlarına yönlendirme yaparak, erişim sağlatmasıdır.
CP aktif iken kimlik doğrulama yaptırmasanız bile, secili interface trafiğinin cp üzerinden yönlendirildiğini görürsünüz.
bahsettiğim yönü daha çok "Allowed Host-IP adres" için geçerlidir.
teşekkürler içinde , rica ederim.
Keyifli çalışmalar

adarguner

Aslına bakarsanız bu açık Pfsense kendi açığı değil Squid'İn yaratmış olduğu bir açıktır..Sonuç itibariyle Captive Portal Özelliği Pfsense kurulum install ile birlikte gelen bir özellik ancak Squid sonradan yüklenen bir plugin dir yani packages dir..Burdaki Captive portalın yaptığı şey segmentler arası izolasyonu authentication ile sağlaması ama burda squid bir şekilde kullanıcıya bakan arayüzden kendi socket'ine gelen istekleri kabul ediyor..Ve aslında Captive portal kullanıcının isteklerini izin vermiyor bunu squid kendisi transparent proxy ile istekleri kullanıcı yerine kendisi göndermektedir…Squid plugini Pfsense'e uyarlayan arkadaş bir zaman sonra auto policy özelliğini devreye alarak bi şekilde bu hatayı engeller diğe düşünüyorum..Tabi bunu pfsense bug ekibine göndermek lazım..

iyi çalışmalar..

magmaHSS

Merhabalar,

Bazı durumlarda stresten başı ağıran bir IT 'cinin baş ağrısına aspirin gibi gelecek bir bilgi. Not almak lazım.
Teşekkürler hepinize.

Saygılar,

seker

Selamlar…

Bir süredir yoğunluktan forum sayfasını takip edemiyordum. Bu gün bloğuma gelen bir yorumla, bu başlıktan ve yazımdan bahsedildiğinden haberim oldu. Bende bir şeyler yazayım...

İlk olarak açıklık konusuna değinelim;
Captive Portal bileşeninin kullanıcıları durdurması ve kullanıcı hesabı olan kişilerin internete çıkmasını sağlaması gerekiyor. Captive Portal bu konuda gayet başarılı. Squid ise bir vekil sunucu ve görevini başarılı bir şekilde yapıyor. Ancak iki bileşen birden sistemde aktif edildiğinde Squid, Captive Portal'ın ayağına basmak suretiyle bir güvenlik zaafiyeti oluşturuyor. Sonuç olarak kullanıcıların Captive Portal sistemini atlatmasına neden olacak bir açıklık ortaya çıkıyor... Özetle kullanıcıların Captive Portal uygulamasını bypass etmesini sağlayan bir açıklık söz konusu.

Sebebi genel olarak sistem yöneticisinin elindeki araçları tanımaksızın, sebep sonuç ilişkisini kavramaksızın ezbere pfSense kurup çalıştırmasından kaynaklanıyor. Bu zaafiyet önemli ölçüde sistem yönteicisinden kaynaklanıyor. Öte yandan pfSense için Captive Portal ve Squid paketini hazırlayan kişilerinde bu noktada bu iki bileşenin aynı anda çalıştığında bir birinin ayağına basıp basmadığını kontrol etmesi gerekirdi yada kontrol edilmiş olsa iyi diye düşünüyorum... Özgür Yazılım dünyasının temel prensipleri gereği çıkıp pfSense geliştiricilerine bir şey deme lüksümüz yok zira "Gözüne dizine dursun, o kadar iş yaptık, başımıza bunu mu kakıyorsun" derler adama :)

Bu durumda açığın faturasını Sistem yöntecisine kesmek gerekiyor. Demekki sonuç olarak eline pfSense cd si alıp ben "firewallcuyum" diyen herkese güvenlik duvarı kurdurmamak gerekiyor. Kurulursa böyle durumlar ortaya çıkıyor. :)

Çözüm Kısmına Bakalım;
tcjackal arkadaşımız pratik ve güzel bir çözüm uygulamış. Denemedim ancak kullanılabilir olduğunu düşünüyorum. Ben daha farklı bir yöntem kullandım squid.inc dosyası içerisine, kaba şekliyle aşağıdaki gibi bir kod parçası ekledim; Böylece sistem Squid ve Captive Portalın bir birinin ayağına basmasını engeller hale geldi. Eğer Captive Portal aktif ise Squid dışarıdan gelen bağlantıları kabul etmiyor. Bu yöntemle firewall kurallarıyla cebelleşmem gerekmiyor, kötü tarafı kodla cebelleşmem gerekti. Ancak şimdi sistem otomatize bir şekilde kendi başının çaresine bakıyor...

if(isset($config['captiveportal']['enable'])){
	$rules.="block quick proto tcp from to le0 port 3128";
}else{
	$rules.= "pass in quick on $iface proto tcp from any to !le0 port $port flags S/SA keep state\n";	
}

Saygılarımla…
Harun ŞEKER

tcjackal

Özgür Yazılım dünyasının temel prensipleri gereği çıkıp pfSense geliştiricilerine bir şey deme lüksümüz yok zira "Gözüne dizine dursun, o kadar iş yaptık, başımıza bunu mu kakıyorsun" derler adama

Bu durumda açığın faturasını Sistem yöntecisine kesmek gerekiyor. Demekki sonuç olarak eline pfSense cd si alıp ben "firewallcuyum" diyen herkese güvenlik duvarı kurdurmamak gerekiyor. Kurulursa böyle durumlar ortaya çıkıyor. Smiley

her iki yorumada katılmamak elde değil, hangi firewall ürününü kullanırsanız kullanın, yapılandırmadığınız sürece bir modemden farksız
Squid yönünde vermiş olduğunuz kod çözümü için teşekkürler.
Burada dikkatimi çeken, interface tarafında seçili interface'leri sürekli eklemek zorundayız.
çoklu interface seçimi sorun yaratacakmıdır ?
Keyifli çalışmalar

seker

Selamlar…

@tcjackal:

Squid yönünde vermiş olduğunuz kod çözümü için teşekkürler.
Burada dikkatimi çeken, interface tarafında seçili interface'leri sürekli eklemek zorundayız.
çoklu interface seçimi sorun yaratacakmıdır ?
Keyifli çalışmalar

Buraya eklediğim kodu sadeleştirdiim, o yüzden ethernet isimleri statik olarak kodun içinde yer alıyor. Normalde interface adı ve squid portu kod içerisinde statik değil, Squid ayarlarınan okunuyor ve böylece, siz squid ayarlarında hangi interface ve portu seçerseniz seçin güvenlik duvarı kuralları doğru bir şekilde giriliyor… Aynı çözüm çoklu interface içinde çalışmalı diye düşünüyorum. Henüz pfSense 2.0 kullanmaya başlamadığımdan benzer şeyleri pf2.0 için yapmadım. Zira pfSense 2.0 ın olgunlaşması gerektiğini düşünüyorum. Bir yandan da ufak ufak pfSense 2.0 için hazırlıklar yapıyorum...

Saygılarımla...

lahana1

ben burdaki kodu ekledim ama ie den proxy sunucusunu değiştirince Captive Portalı Atlatıyor. Nerde yanlış yapıyorum?

tcjackal

tekrar merhaba,
squid kodunu deneme fırsatım olmadı. durumunuz acil ise, daha önceki post'umda belirttiğim yöntemi uygulayabilirsiniz.

Yaptıklarımız;

• Tüm trafiği kapat
• Direk squid erişimini kapat
• Squid erişmek isteyeni, cp yönlendir.
• dns ve http'yi  erişime aç.
  Geri kalan portları yapınıza göre üstten devam edecek şekilde yönlendirebilirsiniz.

Keyifli çalışmalar

lahana1

göstermiş olduğunuz ilgi için teşekür derim ama ben biraz işin acemisiyim öğrenmeye çalışıyorum bana adım adım yapabileceğim bi doküman verebilirmisiniz.

tcjackal

tekrar merhaba,
şuan bulunduğunuz konunun 1. sayfasında bulunan önceki post'uma bakarsanız, ekran görüntüsü yardımı ile sorununuzu çözebilirsiniz.
keyifli çalışmalar

lahana1

Mrb sizin dediğiniz gibi yapılandırdım ama internete çıkamıyorum hiçbir şekilde.


tcjackal

@lahana1:

Mrb sizin dediğiniz gibi yapılandırdım ama internete çıkamıyorum hiçbir şekilde.

eğere pf 2.0 release sürümlerinden birini kullanıyorsanız , en altta bulunan "lan block" kuralını kaldırarak tekrar deneyiniz.
keyifli çalışmalar

lahana1

Evet 2.0 kullaniyorum artik bayramdan sonra denerim. Hayirli bayramlar

lahana1

@tcjackal:

@lahana1:

Mrb sizin dediğiniz gibi yapılandırdım ama internete çıkamıyorum hiçbir şekilde.

eğere pf 2.0 release sürümlerinden birini kullanıyorsanız , en altta bulunan "lan block" kuralını kaldırarak tekrar deneyiniz.
keyifli çalışmalar

dediğiniz gibi lan block kaldırdım yine olmadı daha sonra squid block kaldırdım bu sefer oldu teşekür ederim. Bide şu loglarda kullanıcı adını bi görsem on numara olacak :)

MrPerFormance

Bende 3 tane rule oluşturdum. Birincisinde lan subnet i 1-3127, ikincisinde 3129-65535 olacak şekilde yönlendirdim. Üçüncü rule olarak 3128 den gelen istekleri 8000 e yönlendirdim. Şu an için çalışıyor. firefox a el ile girince proxy i çıkarmıyor internete.

Bu arada bu squid i geliştiren ile captive portalı geliştiren arasında bir anlaşmazlık var herhalde :D squid i geliştiren arkadaş iyi çelme takmış :P

Düzeltme: http://cloud.github.com/downloads/marcelloc/pfsense-packages/captiveportal_201_amd64.inc

link indeki patch i uygulayınca da çalıştı. Uğraşanın eline sağlık.