TIB5651Tr yazılımı (Static-Dynamic-Elle girilen kayıt dışı IP Raporlama)
-
Merhaba,
PFSense kullanmaya aralık ayında başladım. Gerçekten harika emeği geçen tüm uzmanlara teşekkür ederim.
TIB 5651 sayılı yasa sadece bizim ülkemizi ilgilendirmekte internette bu konu ile ilgili bazı arkadaşlarımızın yorum ve yazılımlarından faydalandım onlarada teşekkür ederim.
Çorbada benimde tuzum olsun diye kolları sıvadım ve TIB5651Tr yazılımını bitirip test edip kullanmaya başladım.
Sizlerle paylaşmak istediğim bu yazılım ile Statik Dynamic ve elle girilen kayıtlarımızın dışındaki bilgisayar IP ve host isimlerini tespitleyip 5651 yasasına göre raporlamakta. 2 tip rapor alınmakta 1.rapor 5651 yasası gereği 2.rapor Sistem yöneticilerine
Umarım sizinde işinizi görür. SaygılarımlaPfsense Version : 2.0.2-RELEASE(i386)
FreeBSD Version : FreeBSD 8.1-RELEASED-p13Dosya Yükleme Adresi : https://hotfile.com/dl/196754899/2fbd161/PFSense5651Tr_Kurulum.7z.html
Moderatör edit : Bu mesaj ve linkleri güncellenmiştir.
Güncel durum için tıklayınız : http://forum.pfsense.org/index.php/topic,59557.msg327798.html#msg327798 -
arkadaşım aldığı raporların/ürettiklerinin örneklerini de eklermisin mümkünse.
-
Selam;
Programa ait ekran görüntüsünü ve nasıl kullanıldığını detaylıca anlatırsan daha iyi olur ;)
-
arkadaş dosyanın içerisine okubeni dosyası yerleştirmiş güzel bir paylaşım teşekkürler.
-
Tekrar merhaba hata benim kusura bakmayın,
Zip dosyasının içerisinde Technical arkadaşımızın belirtiği gibi kurulum ile ilgili açıklama dosyası mevcut.
Yazılım PFSense konsoluna bağlı olarak PHP de çalışmıyor. Yazılım alt yapıda kurulumda anlatıldığı gibi çalışmakta. PFSense konsolunde sadece Cron kullanılmakta, zamanlama için bu yazılıma ihtiyacımız var. Analizleri yapılan veriler (Loglar-Timestamp'ler vs gibi) hepsi sistem yönetileri için sıkıştırılmış dosya haline getirilerek Win7 Bilgisayarındaki TIB5651log_BKP klasörüne kopyalanmakta bu bizim klasörümüz. Yasal format ve fazlasına sahip. TIB5651log_TMP klasörüne ise imza altına alınacak olan sıkıştılmıs yasal formattaki verileri ve formu kopyalayıp imzalatmakta.
NOT: Deneme çalışması yapacak olan arkadaşlar Lütfen dikkat TIB5651ARPrun.sh her 5 dakikada bir sistemde kendini refresh edecek şekilde Cron üzerinde tanımladığımız için ilk kullanım denemenizi kurulum sonrasında 5 dakikanın geçmesini bekleyip ilk dosyaların oluşmasından sonra denemeye başlasınlar. Bundan sonra defalarca deneyebilirsiniz.Ancak unutmayın her denemenizde imzalama çalışacaktır. Bu nedenle imzalayıcıyı ya kapatın yada imzalamayı saat esasına göre çalıştırıp deneyin.
a-sh dosyalarını transfer ettikten sonra 0755 kodunu vermeyi unutmayın.
b-IP dağıtımını Statik yapıyorsanız HOST isimlerini Girmeyi unutmayalım.
c-IP dağıtımını dynamic (DHCP) yapıyorsanız host isimleri otomatik olarak zaten alınmakta.
Diyeceklerim şimdilik bu problem olursa yine yardımcı olmaya çalışırım.Ekte Form Çıktıları bulunmakta bunlar text formatındadır.
-
Elinize sağlık uygulamayı çalıştırabildim, ama şöyle bir sorun var "PFSenseTIB5651" içerisi düzenlenmesi gerekiyor sanırım, paylaşıma gerekli dosyalar geliyor ama "FormTIB5651" txt file içerisinde sadece "03-03-2013 00:00:00 03-03-2013 00:00:00 PfSense locald" bu çıktıyı alabiliyorum, diğer çıktılarda sorun yok gibi.
Tekrar ellerinize sağlık -_-
İyi Çalışmalar -
Sevgli Xman teşekkür ederim. FormTIB5651.txt imzaya gönderilen dosya bu dosyanın içerisinde "03-03-2013 00:00:00 03-03-2013 00:00:00 PfSense localdomain" yazısı olmaz bu "" karaktere sahip sadece ipmac.tmp ve ipmac.inx dosyalarında mevcut olur ki bu dosyalar formların hazırlanmasında kullanılan yazılımca üretilen temel dosyalar. her iki dosyanında içeriğini kontrol edermisiniz önce tmp olanda local domain dışındaki ipve maclar mevcut ise mükerrer olanların ayıklamış hali ile inx dosyasında olması zorunlu. Yok ise form çıktılarında da yani FormTIB5651.txt ve FormTIB5651_SysMngr.txt dosyalarında da diğer verilerin olmaması gerekir. Çünkü Formlar inx dosyası üzerinden oluşmakta. Ancak sizce sorun olmaz ise bana TIB5651log_BKP klasörüne gelen sıkıştırılmış dosyayı mail edebilirseniz sizin verileriniz üzerinden yazılımı kontrol etmek isterim. Bendeki veriler ile sorunsuz çalışıyor.
Saygılarımla
Bülent ÖZKANTeşekkürler Xman. İleride bu uygulamayı veritabanına taşıma düşünüyorum. Yani zaman bulursam geliştireceğim.
2. SAYFA DA GÜNCELLEME VAR KONTROL EDELİM
-
İlginiz için teşekkürler, TIB5651Log_BKP klasörü içerisindeki tar.gz uzantılı dosyayı mail olarak gönderiyorum.
SORUNUMUN ÇÖZÜMÜ HAKKINDA
–------------------------------------------------------------ TIB5651ANLrun.sh altında paylaşım bilgilerinde "host ismi" hostname gibi anlaşılıyor, "username" yaptım
- Cron içerisinde 5dk aralıklarla çalışması gereken TIB5651ARPrun.sh çalışmıyormuş bende manuel /sbin/TIB5651ANLrun.sh çalıştırıyordum, öncesinde TIB5651ARPrun.sh çalışıp oluşturması gereken dosyalar oluşmadığından tüm sorunlarım bu nedenle oluyormuş.
- Cron içerisinde ki 5dk yazılacak alana */5 şeklinde yazdıktan sonra tüm sorunlarım çözülmüş oldu.
Ek olarak: Şunuda yazmak istiyorum, birkaç gündür uğraştığım "/sbin/dhcplistcronsmb.sh" türevi olan eski uygulamada yaşanan /sbin/dhcplistcronsmb.sh Command not found. gibi sorunlar yaşamadan çalıştırabilirsiniz.
PFSense5651Tr_Kurulum için uygulamanın paylaşımı ve yardımlarından dolayı bulo nickli ark. teşekkürler. ;)
-
eline sağlık..
bende daha önce statik ip leri loglama olayını yapmıştım.
http://forum.pfsense.org/index.php/topic,54119.msg289437.html#msg289437
güzel alternatif olmuş sanırım sadece smb ile çalışıyor ftp usb gibi varyasyonlar yok
onlarda ileride gelir umarım.kolay gelsin iyi çalışmalar
-
Emeğinize sağlık güzel bir çalışma olmuş.
Birde bu konu ile bağlantı kurduğum , kullanıcıların elle değiştirdikleri mac adresleri; Örneğin Kısıtlama bulunmayan patron bilgisayarının mac adresini, bir şekilde elde edip, patron bulunmadığı zaman, kısıtlı kurallardan ve yine 5651 yasası ile ilgili tutulan kayıtlardan geçmesi açıkları ile ilgili nasıl önlemler alabiliriz.
-
patronunun bilgisayarının mac adresini elde eden kullanıcıyı işten çıkartarak çok iyi ve yeterince kesin önlem alabilirsiniz.
fakat etkisi ve kesinliği daha az olan pek çok şeyde yapılabilir. -
önemli olan patronun mac adresini öğrenmesi değil
önemli olan bu mac adresini değiştireceği bilgisayardaki yetkisidir.
bu kadar serbestlik varsa zaten her şekilde bir açık bulunur.
zaten en büyük saldırılar içerden olmaz mı ? :)
-
Evet , her işyerinde olur bilgisayar kurdu diye geçicenler ama onalar olmasa göremediğin açıklarıda bulmak daha uzun sürer, işede yarıyolar, active directory şart diyosunuz kısaca.
-
Patronu PFsense dışına almama rağmen sistem inatla patron matron tanımam sisteme dahil ederim demekte ve patron buna kızıyor bu konuda çalışma yapacağım neden diye sonuçlandığında TIB yazılımında gözlemleyeceğim sizinle paylaşırım. Gelelim mac adreslerinin kullanıcı tarafından değiştirilmesine biliyorsunuz bu basit kullanıcıların işi olamaz. Bu hadise ile ilgili deneme yapmadım ama yazılım mantığı çerçevesinde değiştirilmiş olan mac adresini de tespitleyip raporluyor olması gerekir. Yazılım IP ve Mac çerçevesinde birlikte çalışmakta.
Hoşçakal ilgine teşekkür ederim. Senin yazılımını da incelemiştim. Bana faydası olduğunu açıkça söylemek isterim.
İlginize teşekkür eder. Saygılar sunarım.
Bülent ÖZKAN -
Patronun MAC adresinin çalınması gibi durumlar için birşey yapamazsınız, sistem network'te MAC ve ip üzerinden işlem yapar. Eğer statik ip kullanıyorsanız tavsiyem MAC/IP eşleştirmesi (statik arp işaretlenmeli) dışında otomatik ip dağıttırmamanız, böylelikle herkes standart ve mecburi bir ip adresini kullanır. Bir kereye mahsus tüm cihazların mac adreslerini tanımlarsınız ama ilerisi için büyük bir rahatlık olacaktır. Fiziksel olarak kimse size sormadan networke farklı bir cihaz getiremez ;) Kurallarınızı da buna göre yapılandırabilirsiniz.
MAC değiştirme işlemi için denilecek tek birşey var
"Network çözümsüzlükler dünyasına hoş geldiniz"
:)
-
Anlatım için çok teşekkürler ben ekli dosyadaki tüm uygulamaları yaptım fakat bir türlü TIB5651Log_BKP ve TIB5651Log_TMP dosyalarına gerekli kayıtar gelmedi. Bütün paketler yüklü ve çalışıyor. pfsense 2.0.2 yüklü.
el ile çalıştırdığımda (/sbin/ TIB5651ARPrun.sh yazdığımda)
/sbin/: Permission denied. yazıyor.
Pfsense konusunda yeniyim. Ne yapmam gerektiğini anlatırmısınız
-
bende dosyayı atıyor ama winrarla açında içi boş ? 1kb dosya boyutu nasıl oluyor ? win7 winserverda aynısını yaptı
-
Kerem ve Agasarın yazılarını okuyunca manuel çalıştırmayı anlatmanın daha doğru olacağına karar verdim.
TIB5651Tr yazılımının manuel çalıştırılması.
kurulum açıklamasında anlatılanları yaptıktan sonra sisteme bağlanarak deneme çalışması yapacak isek
1- Önce TIB5651ARPrun.sh komut dizisi yazılımını çalıştırmak zorundasınız. Cron üzerinde 5 dakika arayla çalışacak olan yazılım budur.
Bu yazılım /var/TIB5651Tr/TibDailyControl klasöründe 4 adet dosya oluşturacaktır. Arp.lst - ArpDaily.lst - Dhcpd.leases - DhcpdDaily.leases
2- Bu dosyalar oluşturulduktan sonra analiz ve kopyalama işlemlerini yapacak olan TIB5651ANLrun.sh dosyası çalıştırılmalıdır.Yani TIB5651ARPRun.sh dosyası ile 5 er dakika aralıklar ile sistemi gün içersinde taramakta ve ilgili veri dosyalarını oluşturmakta. Bu dosyalar oluşmaz ise diğer analiz sh dosyası önce kopyalama hatası verecek ve yanlış verileri text edecektir.Sorunların geneli bu, arkadaşlar ya TIB5651ARPRun.sh ve TIB5651ANLrun.sh dos kodlarını 0755 yapmayı unutuyor yada önce TIB5651ARPRun.sh dosyasını çalıştırmadan TIB5651ANLrun.sh dosyasını çalıştırıyorlar. Kurulum zaman ayarlı çalışmaya uygun olarak anlatıldığından bu açıklamanın kurulumu yapıp denemek için çalıştırmak isteyenle yol göstereceği kanaatindeyim.
Sevgili kerem : 0755 kodlamasını yap ve sh /sbin/TIB5651ARPRun.sh <enter> veya cd / <enter>, cd sbin <enter>, sh TIB5651ARPRun.sh <enter> olarak dene sonrasında TIB5651ANLrun.sh dosyasını çalıştır.
Agasar_ts61 merhaba sisteminde Squid - SquidQuard yüklümü Access kopyalama hatası Squid Access dosyasını bulamadığını mesajlamakta kurulum açıklamasını bir daha incele. Sonrasında samba ve talloc yüklemeyide incelersen yerinde olacak.
Sevgi ve saygılarımla
</enter></enter></enter></enter>
-
Kerem ve Agasarın yazılarını okuyunca manuel çalıştırmayı anlatmanın daha doğru olacağına karar verdim.
TIB5651Tr yazılımının manuel çalıştırılması.
kurulum açıklamasında anlatılanları yaptıktan sonra sisteme bağlanarak deneme çalışması yapacak isek
1- Önce TIB5651ARPrun.sh komut dizisi yazılımını çalıştırmak zorundasınız. Cron üzerinde 5 dakika arayla çalışacak olan yazılım budur.
Bu yazılım /var/TIB5651Tr/TibDailyControl klasöründe 4 adet dosya oluşturacaktır. Arp.lst - ArpDaily.lst - Dhcpd.leases - DhcpdDaily.leases
2- Bu dosyalar oluşturulduktan sonra analiz ve kopyalama işlemlerini yapacak olan TIB5651ANLrun.sh dosyası çalıştırılmalıdır.Yani TIB5651ARPRun.sh dosyası ile 5 er dakika aralıklar ile sistemi gün içersinde taramakta ve ilgili veri dosyalarını oluşturmakta. Bu dosyalar oluşmaz ise diğer analiz sh dosyası önce kopyalama hatası verecek ve yanlış verileri text edecektir.Sorunların geneli bu, arkadaşlar ya TIB5651ARPRun.sh ve TIB5651ANLrun.sh dos kodlarını 0755 yapmayı unutuyor yada önce TIB5651ARPRun.sh dosyasını çalıştırmadan TIB5651ANLrun.sh dosyasını çalıştırıyorlar. Kurulum zaman ayarlı çalışmaya uygun olarak anlatıldığından bu açıklamanın kurulumu yapıp denemek için çalıştırmak isteyenle yol göstereceği kanaatindeyim.
Sevgili kerem : 0755 kodlamasını yap ve sh /sbin/TIB5651ARPRun.sh <enter>veya cd / <enter>, cd sbin <enter>, sh TIB5651ARPRun.sh <enter>olarak dene sonrasında TIB5651ANLrun.sh dosyasını çalıştır.
Agasar_ts61 merhaba sisteminde Squid - SquidQuard yüklümü Access kopyalama hatası Squid Access dosyasını bulamadığını mesajlamakta kurulum açıklamasını bir daha incele. Sonrasında samba ve talloc yüklemeyide incelersen yerinde olacak.
Sevgi ve saygılarımla</enter></enter></enter></enter>
squid yüklü accesss dosyası 121mb acaba ondan olabilir mi? buarada squidguard yüklü değil
-
Sayın Bulo Bey,
Dediklerinizi yaptım. Manuel olarak çalıştı. Dosyaları oluşturdu fakat bozuk karakterli olarak oluşturuyor. Bunu nasıl düzeltebiliriz. Dosyaları oluştururken şöyle hata veriyor;
a TibAnalysis/BaseDailyLog/Base_Dynamic.log
a TibAnalysis/BaseDailyLog/Base_Daily.log
params.c:OpenConfFile() - Unable to open configuration file "/usr/local/etc/smb-client.conf":
No such file or directory
/usr/local/bin/smbclient: Can't load /usr/local/etc/smb-client.conf - run testparm to debug it
Failed to load upcase.dat, will use lame ASCII-only case sensitivity rules
Failed to load lowcase.dat, will use lame ASCII-only case sensitivity rules
session request to 10.0.0.99 failed (Called name not present)
Domain=[KEREM-PC] OS=[Windows 7 Home Premium 7601 Service Pack 1] Server=[Windows 7 Home Premium 6.1]
putting file TibAnalysis-20130307-115900.tar.gz as \TibAnalysis-20130307-115900.tar.gz (1943.5 kb/s) (average 1943.5 kb/s)
a Tib5651
a Tib5651/UserLog
a Tib5651/Base_Access.log
a Tib5651/SqAcsConvertEN.log
a Tib5651/FormTIB5651.txt
a Tib5651/UserLog/10.0.0.6
a Tib5651/UserLog/10.0.0.57
a Tib5651/UserLog/10.0.0.126
a Tib5651/UserLog/10.0.0.44
a Tib5651/UserLog/10.0.0.58
a Tib5651/UserLog/10.0.0.247
a Tib5651/UserLog/10.0.0.238
a Tib5651/UserLog/10.0.0.127
a Tib5651/UserLog/10.0.0.147
a Tib5651/UserLog/10.0.0.77
a Tib5651/UserLog/10.0.0.239
a Tib5651/UserLog/10.0.0.80
a Tib5651/UserLog/10.0.0.240
a Tib5651/UserLog/10.0.0.85
a Tib5651/UserLog/10.0.0.220
a Tib5651/UserLog/10.0.0.99
params.c:OpenConfFile() - Unable to open configuration file "/usr/local/etc/smb-client.conf":
No such file or directory
/usr/local/bin/smbclient: Can't load /usr/local/etc/smb-client.conf - run testparm to debug it
Failed to load upcase.dat, will use lame ASCII-only case sensitivity rules
Failed to load lowcase.dat, will use lame ASCII-only case sensitivity rules
session request to 10.0.0.99 failed (Called name not present)
Domain=[KEREM-PC] OS=[Windows 7 Home Premium 7601 Service Pack 1] Server=[Windows 7 Home Premium 6.1]
putting file Tib5651-20130307-115900.tar.gz as \Tib5651-20130307-115900.tar.gz (1857.8 kb/s) (average 1857.8 kb/s)Birde acaba bu yaptıklarımızı windows xp bilgisayarında yapabilirmiyiz. Çünkü bütün bilgisayarlar xp :D
Saygılarımla