FreeRadius user bazlı internet logları görüntüleme
-
yapılan şeyleri bounty olarak satmanızı tavsiye ederim
dediğim gibi emeğinizi 3-4 kişiye aynı anda pazarlamış olursunuz. elinize toplu para geçmesi de cabası olur.
-
Merhaba , Captiveportal üzerinden freeRadius - user isimleriyle hangi sitelere girdiklerini nasıl görüntüleyebiliriz. ?
Lightsquid üzerinden yapılabilirmi ? yardımlarınız için şimdiden teşekkürler.. :)Böyle bir konunun yasal konuların tartışıldığı bir konu haline dönüşmesi gerçekten ilginç. Konu saptırma işini en iyi biz yapıyoruz.
Gelelim sorunuza:
Girilen kullanıcı adı ve/veya şifre ile sitenin bağdaştırılması işlemini yapan bir modül yok. Bunu yazmanız lazım, zaten ticari yazılımlar da burada devreye giriyor. Bunun için size yöntemler sunabilirim ama tabiki böyle özel durumlar için bir yazılımcı ile anlaşmanız gerekir çünkü pfSense açık kaynaktır ama bunu geliştirenler de dahil herkes hayatını sürdürebilmek için para kazanmak zorundadır. Yazılımcı iseniz aşağıdaki yöntem/mantık ile logları eşleştirmeniz mümkün (ben bu yöntemi kullanıyorum).1. DHCP loglarını zaten yasal olarak almak zorundasınız, bu log içerisinde kullanıcıya ait MAC ve IP adresi zaten var.
2. Kullanıcının giriş yaptığı anda captive portala müdahale etmeli ve giriş bilgilerini veritabanına yazmalısınız (IP, MAC, Kullanıcı adı, Şifre vb.).
3. Squid loglarını belirli sürelerle log dosyasından alıp onu da veritabanına yazmalısınız (loglar içerisinde IP adresi var).
4. Son olarak 2. madde ve 3. maddede kaydedilen verileri IP üzerinden eşleştirip (login saatini dikkate alarak) raporlayacak arayüz hazırlamanız lazım.Bu adımları sırasıyla ve dikkatlice yaparsanız istediğiniz olur. Her adımın PHP, Bash Scripting ve pfSense / FreeBSD konularında tecrübeli olan bir kişi için en az 1'er hafta alacağını tahmin ediyorum (ben 3. ve 4. adım için 1'er ay uğraşmıştım). Harcanan süreyi ve gerekli bilgi birikimini baz alırsanız 2 seçeneğiniz var.
1- Hazır bir yazılım almak (ki bence daha ucuza gelir).
2- Hevesliyseniz veya hevesli arkadaşlarınız varsa öğrene öğrene kendiniz yapmanız.Bu bahsettiğiniz yapı ticari uygulamalar için gerekli bir yapı dolayısıyla yazılımcı değilseniz her halukar da ya hevesli ya da ücretli yaptırmak durumundasınız. pfSense hiçbir zaman squid ve captive porta/radius loglarını birleştirmez..
Ticari bir amaçla kullanmıyorsanız şunu da önerebilirim:
1- Lightsquid
2- "DHCP Server > Enable Static ARP entries" ile sizin tanımladığınız MAC adresi dışında kimse ip alamaz ve network'e dahil olamaz. Bu durumda IP'leri siz verdiğiniz için ve kullanıcı da değiştiremediği için kimin HTTP üzerinden nerelere girdiğini dolayısıyla "sen çok kullanmışsın" diyebilmenize yeterli olur. İşyerinde ben bu şekilde kullanıyorum.Gelelim son konu olan HTTP logları kısmına. 5651 o kadar çok tarafa çektiler ki, Tübitak'ın zaman damgası zorunluluğundan, HTTP, FTP, EMAIL header loglarına kadar hatta bazıları utanmadan TİB onaylı bile dedi.
1- TİB ücretsiz kullanım sağlayan işletmeler için sadece DHCP kayıtlarını ister.
2- Kim nere girdi (http/https, ftp, email header, ssh vb.) İSTEMEZ.
3- İnterneti kullanan kişilere ait, Ad Soyad, TCKimlik No, Pasaport No, Kimlik Seri No, Uyruğu vb. İSTEMEZ.
4- Logların Tübitak zaman damgası ile damgalanmasını ŞART KOŞMAZ ama zaman damgası kısmında bir belirsizlik var bu nedenle damgalamakta (openssl ile yapılabilir) fayda var.
5- TİB onaylı bir yazılım ürün yoktur, o onaylı ürünler sadece İNTERNET CAFE yazılımlarıdır ve Filtrelenecek bilgileri TİB'den almak için yazılım geliştirirler dolayısı ile TİB düzenli olarak bu firmalara yasal olarak engellenen sitelerin IP ve/veya URL bilgilerini gönderir.Bu konuda kimseyle tartışma derdinde değilim çünkü elimde TİB tarafından gönderilmiş resmi bir yazı var, söylüyorsak bir bildiğimiz var :)
Saygılarımla.
-
arkadaslar ben 7-8 aylık bir arastırma ve calısma sonucu squid(2.7.9) access loglarında captive portal kullanıcı isimlerini göstermeyi ve hatta bu kullanıcı isimleri üzerinden squidguard ile filtreleme yapmayı basardım, bir önceki mesajımda bu türlü kayıtların tutulması gerektiği ve bu konuda yasal engel bulunmadığı yönündeki yorumlarımı içeren mesajım nedeniyle minareyi çalan kılıfı hazırlar tarzı haksız eleştirilere maruz kalmamak adına ücret karşılığı çözümü paylaşmak konusunda tereddütlerim var, ücretsiz paylasırsam da emegime yazık olacak
Tebrik ederim çok güzel bir düşünce.. Yeni bir fikir verdiniz :)
-
arkadaslar bu konunun en basit çözümü none-transparent proxy kullanarak kullanıcıları proxy kullanmaya zorlamak(wpad/pac metodu gibi) ve captive portal yerine proxy authentication kullanmak.böylece loglarınızda kullanıcı isimleri görebilir ve bu isimlere göre filtreleme yapabilirsiniz.
hangi logların tutulması gerektiğine gelince daha öncede söylediğim gibi TİB sadece IP dağıtım loglarını istiyor dogrudur ama bu kayıtları asıl isteyecek ve kullanacak olan adli merciilerdir ve vereceğiniz ıp logları onların hiç bi işine yaramaz, bu defa sizler bizler savcılara hakimlere dert anlatcaz diye adliye kapılarında sürünürüz.
captive portaldan vazgeçemeyen arkadaslar icin teklifim sudur:benim uyguladıgım cözüm için ücret teklif eden bazı şirketler var, asagıda email adresimi yazıyorm isteyen arkadaslar teklif edecekleri ucreti mail adresime gönderlerse ve toplamda makul bir fiyat ortaya cıkarsa ödeme yaparlar ve ben bu arkadaslarla kodları paylasırım(umarım bu teklifim site kurallarını ihlal etmiyordur)
NOT:ÇÜZÜMÜM SQUID (2.7.9) VE CAPTİVE PORTAL LOCAL USER VEYA FREERADIUS2 AUTHENTICATION KULLANANLAR ICINDIR.HER IKI AUTHENTICATION METODU ILE DENENMIS VE CALISTIĞI TEST EDİLMİŞTİR.
iletişim için pm kullanınız. (TechnicaL)
-
bir fiyat belirlerseniz bende düşünebilirim.
-
benim kişi başı bir fiyat belirlemem pek dogru olmaz diye düşünüyorum, bazı firmaların yaptığı teklifler var(taktir edersiniz ki cok da cüzi rakamlar degil), taleplerın toplamını bu tekliflere yaklaşırsa buradan paylaşıcam
-
Sayın mendilli Pfsense forumlarında bounty sistemi ile çözüm üretiliyor lütfen kullanıcılardan tekliflerini sunacakları bir başlık altında gelen teklifleri herkezin göreceği şekilde paylaşmanızı rica ediyorum. Aksi taktirde bu başlığı kilitlemek zorunda kalacağım.
-
özür dilerim bu konu bounty baslığına tam olarak uymadığı icin buradan paylaşmıstım.bount genelde henüz geliştirilmemis özellikler icin yazılımcıları tesvik etmek için kullanılan bır sıstem.
konu ile ilgilenen arkadaslar bana pm mesaj atabilirler
tekrar özür dilerim
-
Özür dilenecek bişey yok ortada, tamamlanmış yada tamamlanmamış bir proje olması önemli değil. Siz kodu geliştirmiş bitmiş olabilirsiniz istek-talep olan yerde herkez verebileceği ücreti forumda paylaşır size uyan arkadaşlarla iletişime geçip ödeme alarak istediğinizi paylaşabilirsiniz. Ayrıca bağzı insanların alım gücünün olmadığını varsayarak konuya yaklaşın, bounty ile bağzı insanlar paralarını birleştirip sizden kodu alabilirler böyle durumlar sizin için can sıkıcı olmaz umarım ?
-
Aslında squidGuard ve lightsquid projelerini birleştirip tek çatı altında toplama zamanı bence de uzun zaman önce geldi de geçiyor :) buna @mendilli 'nin yaptığı gibi birde radius desteği eklenirse tadından yenmez olur.. Bunu da Blacklist projesinden sonra ele alalım..
-
@AydinY:
Aslında squidGuard ve lightsquid projelerini birleştirip tek çatı altında toplama zamanı bence de uzun zaman önce geldi de geçiyor :) buna @mendilli 'nin yaptığı gibi birde radius desteği eklenirse tadından yenmez olur.. Bunu da Blacklist projesinden sonra ele alalım..
bence önce bunu ele alalım.
-
@AydinY:
Aslında squidGuard ve lightsquid projelerini birleştirip tek çatı altında toplama zamanı bence de uzun zaman önce geldi de geçiyor :) buna @mendilli 'nin yaptığı gibi birde radius desteği eklenirse tadından yenmez olur.. Bunu da Blacklist projesinden sonra ele alalım..
bence önce bunu ele alalım.
katılıyorum
-
@AydinY:
Aslında squidGuard ve lightsquid projelerini birleştirip tek çatı altında toplama zamanı bence de uzun zaman önce geldi de geçiyor :) buna @mendilli 'nin yaptığı gibi birde radius desteği eklenirse tadından yenmez olur.. Bunu da Blacklist projesinden sonra ele alalım..
bence önce bunu ele alalım.
katılıyorum
Ben şundan dolayı katılmıyorum, bugün yazdığımız onca kod bir üst versiyona geçildiğin de …. Modüllerdeki güncellemeler bile yazdıklarımızı bitirir, birde kullanıcıların mevcut versiyonları var, squid ayda bir güncelleniyor örneğin.. Belki bu daha hızlı çözülür ama geçici bir çözümden öteye gitmez bence..
-
Sistem, stabil paketler üzerinde çalıştıktan sonra 1-2 sene güncellenmese de olur bence.
Geçen sene kullandığımız squid ile şu an kullandığımız squid arasında ne kadar fark var mesela ?
Ya da freeradius'un son 3-4 güncellemesini "yapmak zorunda olduğu için yapan" kaç kullanıcı vardır ki ? -
Sistem, stabil paketler üzerinde çalıştıktan sonra 1-2 sene güncellenmese de olur bence.
Geçen sene kullandığımız squid ile şu an kullandığımız squid arasında ne kadar fark var mesela ?
Ya da freeradius'un son 3-4 güncellemesini "ypamka zorunda olduğu için yapan" kaç kullanıcı vardır ki ?Son dönemler de squid'de garip şekilde STOP durumları var. Bu nedenle ben mümkün olduğu sürece sistemi güncel tutuyorum, tutmak zorunda kalıyorum. Birçok şeyi takip ediyoruz ama modüllerin history takibini yapamıyoruz dolayısıyla güncellemenin neler içerdiğini bilmeden yapıyoruz. Ayrıca biz sistemin standart işleyişine müdahale ediyoruz bu nedenle mutlaka sorunlar çıkabiliyor buna birde modüllerin güncellemeleri de eklenince sorunlar kaçınılmaz oluyor..
Bundan dolayı ben squidguard'da olduğu gibi tamamen kendi modülümüzü geliştirme taraftarıyım. Tabi bu süreç biraz uzun olacaktır ona eminim ama sonucun çok iyi olacağına şüphem yok..
-
arkadaşlar ilginizi çeker mi bilmiyorum ama;
benim de üzerinde çalıştığım ama kısa zaman önce ara vermek zorunda kaldığım bir fikrim vardı.
Daloradius diye bir proje var. bunu pfsense 'ye freeradius ile birlikte dahil etmek mümkün oluyor. Dolayısı ile freeradius 'u etkin ve amacına uygun bir şekilde kullanmak mümkün oluyor.
Yakın zamanda bunu tamamlamayı düşünüyorum.
saygılar,
-
Squid açık kaynak bir paket ise
bunu kendimize göre geliştirip güncellemelerimizi kendimiz yapsak ?
Aydiny nin dediği gibi Squid 3 kullanıyoruz bu paketin üzerine kendimiz bir şeyler ekliyoruz öyle bir güncelleme geliyor ki yaptığımızı resmen baştan yapmamız lazım
benimde demek istediğim
squid 3'ün stabil bir paketi üzerine kendi geliştirmelerimizi yapıp bunu sabitleyelim…
Squid3'ün developlarından gelecek güncellemeleri inceleyip ihtiyacımız olan güncellemeleri bizim stabil paketimizin içine eklesek ?
daha mı zor olur açıkçası pek fikrim yok ama bu şekilde güncellemelerden kaynaklanan bir sürü uğraşılan kodlar için tekrar yapılandırmaya gitmemiz gerekmez gibi geliyor
