Tüm firewall trafigini loglamak için yöntem 5651 için.
-
biz bu logları niye tutuyoruz (inanın öğrenmek amaçlı soruyorum) ??
sorusunun cevabı şu: x.x.x.x ip adresinden bir vukuat oldu ip adresi sana ait oldugu için yazı geldi sende bu vukuatı kendin yapmadıgını belgelemen lazım.
en basiti adamın biri senin ip adresinden çocuk pornosu yükledi.
hadi anlat bakalım o ben d egildim de. kimi nasıl inandıracaksın.
yada senin ip adresinden basbakanliga ddos attack oldu. savcı yarın bir gün çagırdıgında vay efendim ben degildim de. -
evet değildim ?
evimin interneti sürekli açık adamın biri oturdu wpa şifresini kırdı (sakın kırılmıyor demeyin)
adam girdi ddos atak yaptı başbakana sövdü ne yapcam ben evde olmadığımı mı ispatlayacağım ?
ya da evde olmadığımı ya da x kişi olup olmadığını nasıl ispatlayacağım
onuda geç şirketin önünden geçiyorsun bir yol bulmuşsun wireless şifre kırmak için
şirketlerin internetine girip ona buna sövüp saldırıp çocuk pornosu izleyip çıktın
beni bundan sorumlu tutacaksın ha ? bu dava yıllar sürer hiç bir şey de olmaz
önce şuna cevap bulalım kanunda belirtilenlerden hangisine tabiyiz ?
önce buna cevap verelim sonra log'sa log neyse ne tutarız -
Bu arada şunu söyleyeyim
mac adresi, dünyanın hiç bir yerinde kanıt olarak kullanılmaz.
Kendisi her ne kadar unique yani benzersiz bir numara olsa da (aynı cep telefonlarındaki IMEI gibi) taklit edilebilir ya da değiştirilebilir. -
biz bu logları niye tutuyoruz (inanın öğrenmek amaçlı soruyorum) ??
sorusunun cevabı şu: x.x.x.x ip adresinden bir vukuat oldu ip adresi sana ait oldugu için yazı geldi sende bu vukuatı kendin yapmadıgını belgelemen lazım.
en basiti adamın biri senin ip adresinden çocuk pornosu yükledi.
hadi anlat bakalım o ben d egildim de. kimi nasıl inandıracaksın.
yada senin ip adresinden basbakanliga ddos attack oldu. savcı yarın bir gün çagırdıgında vay efendim ben degildim de.Tartışmayı biraz daha açmak için soruyorum.
Savcı gelse, ve bir vukuat olduğu için beni suçlasa, ben suçsuzluğumu ispat etmek zorunda mıyım ki ?
Hukuğun temel ilkesidir, masumiyeti ispatlamak diye birşey yok, suçu ispatlamak vardır.Eğer ki, şifrelenmiş bir wireless ağda, şifre kırılabiliyor, mac adresi spoof edilebiliyorsa bu işin kim tarafından yapıldığı nasıl ispatlanır ?
Yani teknik olarak başka nelere bakılır ?
Makine adı vesaire bunlar da gayet taklit edilebilir ya da değiştirilebilir şeyler. -
Amaç eğer tüm trafiği dinlemek olsaydı yasada bu belirtilirdi. Ayrıca bugün erişim sağlayıcı bile 80 portu dışında bir portu dinlemeli mi bu bile tartışmaya açıktır çünkü örneğin siz bir web sitesine 80 portundan bir data post ettiğiniz de bunu erişim sağlayıcı görebilir ve kaydedebilir, bunun yanın da örneğin 21 portunu dinleyen kişi sizin ftp bilgilerinizi alabilir vs. vs. dolayısı ile her portu dinlemek ve loglamak DOĞRU değildir. Syslog tarafına gelen trafiğin kaydedilmesi yukarıda bahsettiğim tarzda bir dinleme olmadığı için sorun teşkil etmez ama KANUNDA BELİRTİLEN bu DEĞİLDİR!
Kanun da belirtildiği üzere DHCP Dağıtım logları kaydedilmeli ve değiştirilmediği kanıtlanmalı (kanıtlanmalı kısmını bile göremedim yasa da). Dolayısı ile kendi sertifikanızı bile üretmiş olsanız geçerli olur. Haricinde yapılan işlerin tamamı FANTAAAZZİİ işlerdir.
Son olarak hiçbir savcının yasada belirtilenin aksine birşey istemesi (özel durumlar var mı bilemiyorum) mümkün görünmüyor. Sizden yasa da belirtilen DHCP dağıtım logları dışında birşey isteyemez veya vermediğiniz de sizi suçlu gösteremez.
-
@herkes :D
geçen gün tib'i aradım buraya yazma vaktim olmadı maalesef daha yeni yazabildim kusura bakmayın
şirketimin faaliyet alanında bahsettim ve 5651'deki yükümlülüklerimin neler olduğunu sorduğumdaToplu kullanım sağlayıcı olduğumuzu söyledi.
Toplu kullanım sağlayıcıların yükümlülükleri
MADDE 7 – (1) Ticarî amaçla toplu kullanım sağlayıcılar, mahallî mülkî amirden izin belgesi almakla yükümlüdür. İzne ilişkin bilgiler otuz gün içinde mahallî mülkî amir tarafından Kuruma bildirilir. Bunların denetimi mahallî mülkî amirler tarafından yapılır. İzin belgesinin verilmesine ve denetime ilişkin esas ve usûller, yönetmelikle düzenlenir.
(2) Ticarî amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür.
(3) Birinci fıkrada belirtilen yükümlülüğe aykırı hareket eden kişiye mahallî mülkî amir tarafından üçbin Yeni Türk Lirasından onbeşbin Yeni Türk Lirasına kadar idarî para cezası verilir.bu maddenin 2. kısmını zaten servis sağlayıcımızın hallettiğini onların dns'lerini kullandığınız sürece sorun olmayacağından bahsetti.
ama farklı dns kullanarak mahkeme kararı ile engellenmiş sitelere erişimin olması ve tespit edilmesi durumunda yaptırımın olup olmadığından bahsetmedi.ek olarak
toplu internet kullanım sağlayıcılarına sorumluluklarına dair yönetmelik hazırlanmış ve buna tabi olduğumuzu söyledi
http://mevzuat.meb.gov.tr/html/26687_0.html
bu mevzuatı incelediğimizde ise şu kısım bizi ilgilendiren tarafmış.
İnternet toplu kullanım sağlayıcılarının yükümlülükleri
MADDE 4 – (1) İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır:
a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.
b) İç IP Dağıtım Loglarını elektronik ortamda kendi sistemlerine kaydetmek.
a) maddesini erişim sağlayıcımız hallediyor bize tek kalan servis sağlayıcımızın dns'lerini kullanmak kalıyor (ama bu o kadar kolay değil hadi active directory kurup dns değiştirme olayının önüne geçtin program kurulmasını engelledin. cep telefonu, tablet vb. cihazlar için önlem almak epey zor. )
b) maddesini zaten yapıyoruz. AydinY'nin de dediği gibi imzalama ile ilgili bir hüküm olmamakla beraber tib'in sitesinde yazdığı için logları imzalıyoruz.
kanuna göre sadece dhcp loglarını tutmamız yetiyor. ama kolluk güçlerinin (telefondaki arkadaş böyle telaffuz ediyor) daha fazlasını isteyebileceği bunları temin edemezsek yaptırımı var mı ? yok mu ? bununla ilgili bilgi yine eksik elimizden geldiği kadar fazla bilgi vermemizi istemekte.
ama kanunda yazmayan bir şeyi bizden istemesi ve bunu temin edemememiz halinde bize yaptırım olmamalı diye düşünüyorum.
yani kullanan kişi dışarıdan misafir'de olsa çalışanda olsa bizim sadece yapmamız gereken iç ip loglarını tutmak ve erişim sağlayıcının kullandığı dnsleri kullanmak çalışanların ya da misafirlerin nerelere girdiğini bizim tutmamıza gerek yok
kendimden örnek vereyim. bende 2 lan bulunmakta ve çalışanlar 1 nolu lan misafirler 2 nolu lan'dan bağlanmakta misafirler wirelessta guest bölümünden bağlanıyorlar. diğer tarafın şifresini bilseler dahi bağlanamıyorlar. misafir bölümüne captive portal'ı aktif edip portal arayüzünden kullanıcı adı ve şifrelerini benden almak suretle internet erişimi sağlıyorum. ama yeterli değil zaten biliyoruz.
kolluk güçlerine daha fazla bilgi vermek adına // ad soyad ve cep telefonu bilgilerini alıp sisteme login yapıp bu bilgileri de loglayıp imzalarsak bizden istendiğinde bu bilgileri verirsek bize ait hiç bir yükümlülük kalmayacağına inanıyorum.
(daha fazla bilgi vermek adına hangi sitelere girdikleri de verilebilir ama suç sadece http portundan işlenmiyor maalesef squid sadece http trafiğini takip edebiliyor. ayrıca kişiyi uyararak nerelere girdiğini kayıt altına alsanız dahi inceleme hakkınız yok bunun fark edilmesi ciddi anlamda başınızı ağrıtabilir.)
kanuna göre baktığımızda bizim sistemimizdeki eksikliklere bakalım dhcp loglarını tuttuğumuza göre dns'ler ile ilgili sıkıntı yaşıyoruzdur.
captive portal kullanıyorsanız ve allowed ip lerde opendns'lerin adresleri yazmıyorsa ve kullanıcı farklı dns kullanıyorsa zaten captive portal sayfası açılmıyor. ne zaman otomatik kullanmaya başlarsa o zaman captive portal açılır. bununla ilgili sorun yok
captive portal kullanmayanlar için opendns'leri bir alias a ekleyip bunları blocklamak gerekiyor.
burada ufaktan opendns havuzu oluşturup bu dns'lere erişimi kısıtlayabiliriz.
farklı düşüncelere de açığız tabi
bildiğiniz gibi önce firma da ki bilgi işlem statüsündeki arkadaş sorumlu ve ardından firma sahibi sorumlu tutulacağı için herkes elini taşın altına koyarsa bu sorumluluktan kurtuluruz :)
( allah bildiği gibi yapsın bu devleti )
-
tek tek DNS bloklamak yerine, dışarı giden tüm dns taleplerini bloklayın. (pfsense makinesi hariç tabii :) )
ya da outobund NAT ile, hedef dns ne olursa olsun (opendns, google dns vs), servis sağlayıcının DNS'ine yönlendirme de yapılabilir. -
@herkes :D
geçen gün tib'i aradım buraya yazma vaktim olmadı maalesef daha yeni yazabildim kusura bakmayın
şirketimin faaliyet alanında bahsettim ve 5651'deki yükümlülüklerimin neler olduğunu sorduğumdaToplu kullanım sağlayıcı olduğumuzu söyledi.
Toplu kullanım sağlayıcıların yükümlülükleri
MADDE 7 – (1) Ticarî amaçla toplu kullanım sağlayıcılar, mahallî mülkî amirden izin belgesi almakla yükümlüdür. İzne ilişkin bilgiler otuz gün içinde mahallî mülkî amir tarafından Kuruma bildirilir. Bunların denetimi mahallî mülkî amirler tarafından yapılır. İzin belgesinin verilmesine ve denetime ilişkin esas ve usûller, yönetmelikle düzenlenir.
(2) Ticarî amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür.
(3) Birinci fıkrada belirtilen yükümlülüğe aykırı hareket eden kişiye mahallî mülkî amir tarafından üçbin Yeni Türk Lirasından onbeşbin Yeni Türk Lirasına kadar idarî para cezası verilir.bu maddenin 2. kısmını zaten servis sağlayıcımızın hallettiğini onların dns'lerini kullandığınız sürece sorun olmayacağından bahsetti.
ama farklı dns kullanarak mahkeme kararı ile engellenmiş sitelere erişimin olması ve tespit edilmesi durumunda yaptırımın olup olmadığından bahsetmedi.ek olarak
toplu internet kullanım sağlayıcılarına sorumluluklarına dair yönetmelik hazırlanmış ve buna tabi olduğumuzu söyledi
http://mevzuat.meb.gov.tr/html/26687_0.html
bu mevzuatı incelediğimizde ise şu kısım bizi ilgilendiren tarafmış.
İnternet toplu kullanım sağlayıcılarının yükümlülükleri
MADDE 4 – (1) İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır:
a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.
b) İç IP Dağıtım Loglarını elektronik ortamda kendi sistemlerine kaydetmek.
a) maddesini erişim sağlayıcımız hallediyor bize tek kalan servis sağlayıcımızın dns'lerini kullanmak kalıyor (ama bu o kadar kolay değil hadi active directory kurup dns değiştirme olayının önüne geçtin program kurulmasını engelledin. cep telefonu, tablet vb. cihazlar için önlem almak epey zor. )
b) maddesini zaten yapıyoruz. AydinY'nin de dediği gibi imzalama ile ilgili bir hüküm olmamakla beraber tib'in sitesinde yazdığı için logları imzalıyoruz.
kanuna göre sadece dhcp loglarını tutmamız yetiyor. ama kolluk güçlerinin (telefondaki arkadaş böyle telaffuz ediyor) daha fazlasını isteyebileceği bunları temin edemezsek yaptırımı var mı ? yok mu ? bununla ilgili bilgi yine eksik elimizden geldiği kadar fazla bilgi vermemizi istemekte.
ama kanunda yazmayan bir şeyi bizden istemesi ve bunu temin edemememiz halinde bize yaptırım olmamalı diye düşünüyorum.
yani kullanan kişi dışarıdan misafir'de olsa çalışanda olsa bizim sadece yapmamız gereken iç ip loglarını tutmak ve erişim sağlayıcının kullandığı dnsleri kullanmak çalışanların ya da misafirlerin nerelere girdiğini bizim tutmamıza gerek yok
kendimden örnek vereyim. bende 2 lan bulunmakta ve çalışanlar 1 nolu lan misafirler 2 nolu lan'dan bağlanmakta misafirler wirelessta guest bölümünden bağlanıyorlar. diğer tarafın şifresini bilseler dahi bağlanamıyorlar. misafir bölümüne captive portal'ı aktif edip portal arayüzünden kullanıcı adı ve şifrelerini benden almak suretle internet erişimi sağlıyorum. ama yeterli değil zaten biliyoruz.
kolluk güçlerine daha fazla bilgi vermek adına // ad soyad ve cep telefonu bilgilerini alıp sisteme login yapıp bu bilgileri de loglayıp imzalarsak bizden istendiğinde bu bilgileri verirsek bize ait hiç bir yükümlülük kalmayacağına inanıyorum.
(daha fazla bilgi vermek adına hangi sitelere girdikleri de verilebilir ama suç sadece http portundan işlenmiyor maalesef squid sadece http trafiğini takip edebiliyor. ayrıca kişiyi uyararak nerelere girdiğini kayıt altına alsanız dahi inceleme hakkınız yok bunun fark edilmesi ciddi anlamda başınızı ağrıtabilir.)
kanuna göre baktığımızda bizim sistemimizdeki eksikliklere bakalım dhcp loglarını tuttuğumuza göre dns'ler ile ilgili sıkıntı yaşıyoruzdur.
captive portal kullanıyorsanız ve allowed ip lerde opendns'lerin adresleri yazmıyorsa ve kullanıcı farklı dns kullanıyorsa zaten captive portal sayfası açılmıyor. ne zaman otomatik kullanmaya başlarsa o zaman captive portal açılır. bununla ilgili sorun yok
captive portal kullanmayanlar için opendns'leri bir alias a ekleyip bunları blocklamak gerekiyor.
burada ufaktan opendns havuzu oluşturup bu dns'lere erişimi kısıtlayabiliriz.
farklı düşüncelere de açığız tabi
bildiğiniz gibi önce firma da ki bilgi işlem statüsündeki arkadaş sorumlu ve ardından firma sahibi sorumlu tutulacağı için herkes elini taşın altına koyarsa bu sorumluluktan kurtuluruz :)
( allah bildiği gibi yapsın bu devleti )
Toplu kullanım sağlayıcılarla ilgili aşağıdaki maddelerde yükümlülükler yazıyor ancak yaptırımlar mevzuatta yazmıyor velev ki log kaydı bizden istendi log tutmayıp veremediğimizde cezası yaptırımı ne olacak..
MADDE 4 – (1) İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır:
a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.
b) İç IP Dağıtım Loglarını elektronik ortamda kendi sistemlerine kaydetmek.
-
tek tek DNS bloklamak yerine, dışarı giden tüm dns taleplerini bloklayın. (pfsense makinesi hariç tabii :) )
ya da outobund NAT ile, hedef dns ne olursa olsun (opendns, google dns vs), servis sağlayıcının DNS'ine yönlendirme de yapılabilir.Her iki seçenek için de herhangi bir test yaptınız mı? Veya kullandığınız örnekler varsa paylaşabilir misiniz :)
-
Ne yazık ki test etme imkanım yok şu an.
Ama birinci yazdığım zaten basit, sadece 53 numaralı UDP isteklerini bloklayan bir satır yetecektir.İkinciyi de denemedim
Ek olarak şöyle bir alternatifte çözüm, ya da çözüm için fikir olabilir
https://forum.pfsense.org/index.php/topic,61621.msg350366.html#msg350366
