PfSense 5651 Kanuna Uygun Log İmzalama



  • Selam İbrahim hocam,

    Corn içindeki minute ayarını */59 yaptım her 59 dakikada bir imzalayacak test ettim düzgün çalışıyor.

    Bir durum olması halinde biz elimizdeki dhcpd.log, dhcpd.lease ve access.log tar.gz uzantılı dosyaları vererek resmi işlemden geçmiş oluyormuyuz? Yoksa farklı bir prosedür daha uygulamamız gerekir mi?

    Teşekkür ederim.



  • 1. 59 dk 'da bir loglar imzalanacak bunu tavsiye etmem kisa süre içerisinde yüzlerce binlerce .tar.gz uzantılı dosyanız olacak. Gün bazında yapsanız daha iyi olur. Yinede siz bilirsiniz.

    2. İmzali kayitlar dizini içerisindeki .tar.gz uzantılı dosyaları verirseniz başka hiçbir şey yapmanıza gerek yok.



  • Yardımlarınızdan dolayı çok teşekkür ederim, sıkıntısız çalışıyor.



  • İbrahim Bey, normalde sadece teşekkür yazıp bırakılan yazıları sevmem ancak, siz büyük bir teşekkürü hak ediyorsunuz, kıymetli zamanınızı ayırarak pfsense kullanıcılarını rahatlatacak bir çalışma yaptığınız için çok teşekkür ediyoruz, bahsettiğiniz adımları uyguladım bir sorun olmadan uygulamayı tamamladı yazınızın başında söylediğiniz gibi önce squid ve dans guardian kurulumu ile ilgili makaleye göz atılması fayda sağlayacaktır. (kuramayan arkadaşlar için)



  • Teşekkür ederim güzel yorumunuz için, mutlu oldum. 1 hafta içinde 443 https trafiğinide dinleyip ardından 5651 kanununa uygun imzalayacağım. Böylelikle tam teşekkürlü bir 5651 yapmış olacağız hem kendimiz için hemde savcı, polis vb. diğer kişiler için.

    İşin sonunda HTTPS, HTTP, DHCP kayıtlarını logluyor ve imzaliyor olacağız. Şuan HTTP, DHCP var, dediğim gibi 1 haftaya kalmaz HTTPS modülünü eklicem ;)



  • Merhabalar,

    anladığım kadarı ile sadece  pfsense üzerinde yapılan dhcp server la ilgili çalışması var peki active direcktory tarafında dhcp ve dns olan kişiler bu yapıdan yararlanabilir mi yararlanamazsa ne yapmaları gerekiyor ?



  • Merhaba,

    Network içerisinde dhcp sunucusu farklı bir server üzerinden dağıtılıyor ise Syslog özelliği ile bu dhcp kayıtlarını pfsense üzerine yollayıp, pfsense üzerinde imzalatabilirsiniz. Fakat bunun için biraz uğraşmam ve test etmem lazım, fakat şu günlerde hiç müsait değilim. O yüzden siz kayıtları pfsense 'e yollarsanız imzalama kısmında yardımcı olurum.



  • elinize sağlık teşekkürler.
    bir sorunum var. denemek için kurulumu yaptım. 25 kullanıcılı bir ağda https-re0-trafik.log dosyasının boyutu 2dk içinde 100mb. geçti. bu normal mi, yoksa yanlış bir şey mi yaptım?



  • @oguzk06 Eğer 2 dk içinde 100mb oluyorsa bir problem var demektir, bu kadar hızlı dosyanın boyutu o kadar olmaz. 150-200 kullanıcınız olsaydı normal fakat 25 kullanıcı ile 2 dk içinde 100mb sıkıntılı. Network trafiğinizi kontrol etmeniz gerekiyor. Çok yoğun bir trafik yapan birisi varmı, kontrol edin.

    Eğer kullanıcılarınız yüksek trafik tüketiyorsa bu normal olabilir. Yinede siz tcpdump komutu ile o network bacağını dinleyip trafik yoğunluğuna bakın.



  • teşekkürler paylaşım için...



  • Teşekkürler paylaşım için.



  • merhaba şuan bu projeniz 5651 i kanuna gore uygunmu imzalıyor ve uygularken manuel olarak .sh dosylaraı calıstırdıgımda sorun cıkmıyor fakat cron a kaydettigimde hiç çalıştırmıyor .sh dosyaları manuel yapınca sorun yok shellden



  • @steetstyle Evet 5651 kanuna göre uygun şuan. Cron kaydettikten sonra cron servisini yeniden başlatmanız gerekiyor.

    service cron onerestart



  • @ucribrahim onu hallettim teşekkür ederim tek bir sorun kaldı FTP ye bağlanamıyorum server üzerinden LAN networkünde olan FileZilla Server kurduğum bilgsayara o yüzdended Ftp kodlarınız çalımıyor ftp servera atamıyor sanırsam PFsense üzerinde bir ayar veya kuralmı belirlemem gerekiyor



  • @ucribrahim said in PfSense 5651 Kanuna Uygun Log İmzalama:

    for i in em1 em2 em3

    do

    tcpdump -nn -tttt -e -i $i port 443 -q >> /var/log/https_log/https-$i-trafik.log &

    done

    -q parametresi porttan sonra olduğunda syntaxerror hatası veriyor. Portun öncesine bir yere alındığında çalışıyor. Pfsense Sürüm 2.3.4



  • @steetstyle Hmm FTP kodları çalışmıyor diyorsun) Olabilir, test etmem lazım.

    Aşağıdaki adımları yaptın demi?
    https://lifeoverlinux.com/pfsense-5651-filezilla-ftp-server-kurulumu/

    Daha sonra ftp.sh dosyasının içerisine fizella kullanıcı adı ve parolasını yazdın aynı zamanda client 'ın ip adresini?

    https://lifeoverlinux.com/pfsense-5651-kanuna-uygun-log-imzalama/

    Daha sonra dosya.sh dosyasını çalıştırdın?

    sh dosya.sh

    Yukarıdaki adımları sırasıyla yaptıktan sonra ne hata aldın?



  • @ucribrahim said in PfSense 5651 Kanuna Uygun Log İmzalama:

    Yukarıdaki adımları sırasıyla yaptıktan sonra ne hata aldın?

    Adımları Aynen gerçekleştirdim fakat FTP Serverın Kurulugu oldugu ip adresine baglanırken timeout oluyor ve düşüyor bağlanmıyor



  • @steetstyle İlginç. Müsait olduğum zaman bakmaya çalışırım.



  • @ucribrahim Sorunu çözdüm sorun windowsun firewalı ve FTP Filezillanın firewallı yüzünden bağlanmanıza izin vermiyor programın ayarlarından tüm ip bloklarını işaretlerseniz ve Windows ta yüklü olan firewalı aktif halden çıkarırsanız sorun çözülüyor Son bir sorum olukcatı İbrahim bey Şimdi Devletin verdiği bi ip program imzalayıcı prgoram var onu kullanmak zorundamıyız ftp ile gelen her dosyayı imzalıyor oda bu yaptıgımız scriptte mi aynı şekilde imzalıyor ikisinide kullsank sorun olurmu hem openssl ile imzalıyp üstüne ftp ile gonderdigimde üstüne İP LOG İMZALAYICI Program ile imzalasam sıkıntı cıkarmı yoksa sizinki sadece yeterlimi



  • @steetstyle İki çözümden birisini veya her ikisinide aynı anda kullanabilirsiniz. 👍



  • Tutulan loglarla internet saati uyuşmuyor bunun nedeni ne olabilir pf sense in saati güncel fakat Squid proxy deki real time sekmesindeki saatler uyuşmuyor dosyaları göz gezdirdiğimde isede aynı durum 1 saat 12 dakikalık bir sapma var bu sorunu nasıl çözebilirim



  • @steetstyle Nasıl çözebilirsin bilmiyorum, araştırman lazım. pfSense saati mutlaka mutlaka doğru olması lazım!

    Squid "access.log" dosyasını incelemek ile ilgili bir blog yazısı yazmıştım aşağıdaki linkten bakabilirsin.

    https://lifeoverlinux.com/pfsense-5651-log-dosyasi-inceleme/



  • @ucribrahim Merhaba Sorunu çözdüm /etc/inc/services.inc doyasında db-time-format local; değişkenini tanımlarsak timestamp formatında yazıyor yanında açıklmaa satırındada Sat Dec 08 16:15:35 2018 bu tarih formatında yazıyor

    $dhcpdconf = <<<EOD

    option domain-name "{$syscfg['domain']}";
    option ldap-server code 95 = text;
    option domain-search-list code 119 = text;
    option arch code 93 = unsigned integer 16; # RFC4578
    {$custoptions}
    default-lease-time 7200;
    db-time-format local; # bu değişkeni buraya ekleyin !!!!!!!!!!!!!!!!!
    max-lease-time 86400;
    log-facility local7;
    one-lease-per-client true;
    deny duplicates;
    ping-check true;
    update-conflict-detection false;

    EOD;

    ve sonra Menü PFSENSE ADMIN ->Services>DHCP Server>LAN Change DHCP display lease time from UTC to local time
    kutucugunu işaretleyin

    Size sorum İbrahim Bey Yönetmenlikte nasıl bi formtta tutmamız lazım bu şeklde olsa kabul oluyor mu ?



  • @steetstyle Sorunu çözmeniz çok güzel. OpenSSL ile bu şekilde dosyaları imzalayıp ".tar.gz" formatında saklayabiliriz, 5651 kanunu için bu yeterli.

    Rica etsem aşağıdaki link üzerinden OpenSSL elektronik tabanlı imzalama hakkında yazı mevcut, bir göz atarmısınız.

    https://www.syslogs.org/openssl-ile-5651-sayili-kanun-geregi-log-imzalamak/



  • pfsense 24.4-2 sürümünü kullanıyorum aşağıdaki hatayı alıyorum ibrahim hocam.

    Using configuration from /usr/local/ssl/imzalama/openssl.cnf
    unable to load certificate: ./demoCA/tsacert.pem
    Response is not generated.
    34380794936:error:02001002:system library:fopen:No such file or directory:/build/ce-crossbuild-244/pfSense/tmp/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:175:fopen('./demoCA/tsacert.pem','r')
    34380794936:error:2006D080:BIO routines:BIO_new_file:no such file:/build/ce-crossbuild-244/pfSense/tmp/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:182:
    34380794936:error:02001002:system library:fopen:No such file or directory:/build/ce-crossbuild-244/pfSense/tmp/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:175:fopen('dhcpd.leases.der','rb')
    34380794936:error:2006D080:BIO routines:BIO_new_file:no such file:/build/ce-crossbuild-244/pfSense/tmp/FreeBSD-src/crypto/openssl/crypto/bio/bss_file.c:182:
    Dogrulama Saglanamadi. Islemler geri aliniyor.
    /usr/local/ssl/imzalama/dhcp-kiralar-imzalama.sh: mail: not found



  • @abg ./demoCA/tsacert.pem diye bir dosyam yok benim zaten. Nereden buldun bu dosyayı, lütfen yeniden baştan sona aşağıdaki websitem 'den okuyarak ilerle.

    https://lifeoverlinux.com/pfsense-5651-kanuna-uygun-log-imzalama/



  • hocam yazınızı okuyarak daha önce 2.3.5 sürümde sorunsuz çalıştı.2.4.4-p2 sürümde bu hatayı aldım hazırlamış olduğunuz dosyanın açık halini ekledim.iyi çalışmalar

    3_1548863953150_openssl3.PNG 2_1548863953150_openssl2.PNG 1_1548863953150_openssl1.PNG 0_1548863953150_openssl.PNG



  • hocam aldığım hata sizin imzalar klasörünün içindeki oluşturmuş olduğunuz şifreyi değiştirdiğim için oluyormuş aynı şifreyi kullanınca sorunsuz çalıştı. bu şifreyi değiştirme işlemini nasıl yapabiliriz.yada böyle kullansam sorun olurmu. iyi çalışmalar



  • @abg Parola, ben o sertifikaları oluştururken kullandığım parola. Eğer o parolayı değişrirsen çalışmaz sertifikalar, kendine istersen Centos tabanlı bir sistemde sertifika oluştur, istediğin bir parola ile. Bu nasıl yapacağını google 'da araştırabilirsin veya blog yazımın en alt bölümünde iki tane link var oradan bulabilirsin.



  • ucribrahim Ben Loglama yı yapalı baya olmuştu hatta online ders almıştım paylaşımcı olduğunuz için teşekkür ederim



  • @bayrambayram67 İşinize yaradıysa ne mutlu bana :)



  • merhaba,
    imzalama yapıyor fakat her gün üzerine koyarak gidiyor ve dosya boyutu gittikçe artıyor, böylemi olmalı benmi hata yaptım..

    Ekran Alıntısı.JPG



  • @kardanadam Böyle üstüne her gün boyutunun artıp ve böyle gitmesi muhtemelen Squid üzerindeki Log Rotate ayarının yapılmadığı içindir. Squid ayarlarında Log Rotate ayarı var, oraya 2 yazarmısınız. Aynı zamanda eskiden orada ne vardı bana söylermisiniz.

    Log Rotate: 2 yaptınızda, 2 günde bir o log dosyasını sıfırlayıp yedeğini bir kenera alıcak.

    Şuan muhtemelen eğer hiçbir şey yazılı değilse tüm kayıtlar sürekli hergün access.log dosyasına yazılır ve buda o dosyanın boyutunun büyümesini sağlıyor.

    Normalde şöyle oluyor olabilir, access.log dosyasının boyutu 500MB diyelim, yarın yeni kayıtlar gelicek ve 800 MB olucak, script bu dosyayı imzalayıp sakladığında 800MB olarak yapıcak, bir sonraki gün 1GB olcak ve bu işlemi tekrar edicek. Log rotate ayarı yapılmazsa tüm kayıtlar aynı dosyaya yazılır, boyutu farkedilmeksizin.

    NOT: Kısa ve özetle aslında şuan hiç bir sıkıntı yok. Yeni kayıtlar dosyanın içerisine yazılıyor ve boyut büyüyor. Normal yani.



  • @ucribrahim said in PfSense 5651 Kanuna Uygun Log İmzalama:

    @kardanadam Böyle üstüne her gün boyutunun artıp ve böyle gitmesi muhtemelen Squid üzerindeki Log Rotate ayarının yapılmadığı içindir. Squid ayarlarında Log Rotate ayarı var, oraya 2 yazarmısınız. Aynı zamanda eskiden orada ne vardı bana söylermisiniz.

    Log Rotate: 2 yaptınızda, 2 günde bir o log dosyasını sıfırlayıp yedeğini bir kenera alıcak.

    Şuan muhtemelen eğer hiçbir şey yazılı değilse tüm kayıtlar sürekli hergün access.log dosyasına yazılır ve buda o dosyanın boyutunun büyümesini sağlıyor.

    Normalde şöyle oluyor olabilir, access.log dosyasının boyutu 500MB diyelim, yarın yeni kayıtlar gelicek ve 800 MB olucak, script bu dosyayı imzalayıp sakladığında 800MB olarak yapıcak, bir sonraki gün 1GB olcak ve bu işlemi tekrar edicek. Log rotate ayarı yapılmazsa tüm kayıtlar aynı dosyaya yazılır, boyutu farkedilmeksizin.

    NOT: Kısa ve özetle aslında şuan hiç bir sıkıntı yok. Yeni kayıtlar dosyanın içerisine yazılıyor ve boyut büyüyor. Normal yani.

    rotage logs boştu 2 yazdım kontrol edip olumsuz bir durumda tekrar yazarım,
    ilginize teşekkürler.



  • Eğer yapınızda birden fazla pfsense kullanıyorsanız ve bunların arasında CARP / Failover yapısı oluşturmuş iseniz, GW olarak CARP IP adresini kullandığınızı varsayıyorum, bu durumda Squid tarafında bir kaç ayar yapmanız gerekiyor ve ayrıca NAT yapmanız da gerekiyor. Lakin NAT yapmanıza rağmen proxy adresi olarak CARP Lan adresini girdiğinizde proxy çok düzgün çalışmayabiliyor.

    Mesela Ben firewall üzerinde Transparent Proxy özelliğini aktif etmedim. Bu yüzden şimdilik proxy adresi tanımlayarak erişim yaptırıyorum.
    Fakat SSL li sitelerde SSL İnspection yapmıyor.
    Squid ayarlarında Proxy interface olarak LAN ve loopback interface seçili.

    squid-1.png
    Squid.conf dosyasına baktığımda loopback adresi için ssl-bump certificate vs.aktif değildi.

    squid-2.png

    Firewall içinde NAT kuralı yapılandırılmış durumda.

    squid-3.png

    Çözümü şöyle buldum. Proxy İnterface olarak sadece LAN bıraktım ve Squid Custom Options bölümüne ilgili satırları yazdım.

    Squid.conf dosyasında LAN için ne yazıyorsa onun aynısını Loopback için de uyarladım ve ayarları kaydettim.

    squid-4.png

    Sonrasında yapı düzgün bir şekilde çalışmaya başladı.

    Dosyaları imzalama konusunda ise sanırım her iki node içinde imzalama yaptırıp ftp üzerine ilgili yedekleri aldırmamız gerekecek diye düşünüyorum.



  • Öncelikle merhaba. adımları teker teker uyguladım şimdilik hiçbir sorun yok gibi görünüyor fakat aklıma bir şey katıldı. Teşekkür ediyorum.

    Lightsquid ve sqstat raporlama yaparken sadece domain olarak yapıyor.
    Örneğin bir eticaret sitesinde ürünü incelerken full URL yerine sadece alanadını raporpanıyor.

    Mesela bu konuyu ziyaret ettiğim zaman forum.netgate.com/topic/125383/blablabla/ yerine sadece forum.netgate.com:443 olarak raporluyor.
    5651 için logladığım access.log dosyası da aynı şekilde. (https://i.hizliresim.com/lQZrOB.png)

    Anlık olarak trafiği izlemek için full URL görüntülemesi ve raporlaması nasıl oluyor acaba bir bilginiz var mı?
    Ayrıca sadece alanadi.com olarak raporlamak ve imzalamak 5651 kanunu için yeterli mi?



  • @onurturali Merhabalar,

    URL full görüntüleyemezsiniz, SSL 'in çalışma mantığını araştırabilirsiniz. Gitmek istediğiniz adresin sadece domain kısmını görebilirsiniz, onun altındaki ilgili sayfa ve içeriğini göremezsiniz SSL ile şifreleniyor çünkü.

    Nasıl full URL bilgisini alabilirsiniz bilmiyorum, ama internette araştırarak çözüm bulabilirsiniz.

    alanadi.com olarak raporlamak ve imzalamak 5651 için kendi başına yeterli değil. Domain veya gittiği ip adresini raporlamak ve imzalamak aynı zamanda DHCP kayıtlarınıda imzalamak lazım.

    5651 kanununun son halini internet araştırıp detaylarına bakabilirsiniz.



  • @ucribrahim Domain veya gittiği ip adresini raporlamaktan kastınız Lightsquid'in siteleri hem IP hem de domain olarak raporlaması mı? Mesela bende Lightsquid "disqus.com:433" ve onun IP adresi olan "151.101.64.134:443" olarak rapor tutuyor. Ayrıca Lightsquid raporunda bir gün için 820 kayıttan sadece 370'i domain geriye kalanı IP adresi. Bu biraz saçma geliyor bana açıkçası.

    Bu arada cron çalışmıyor. Görseldeki gibi yaptım her şeyi. "service cron onerestart" komutu ile cron servisini yeniden başlatıtm, cron servisini silip tekrar kurdum, pfSense'i bile yeniden başlattım. Komutları manuel olarak çalışıtırabiliyorum hiç sıkıntı yok. Fakat imzalama komutları ne yazık ki cronda çalışmıyor. Zaman ile sıkıntı yok. "date" komutundaki çıktı ile yerel saat aynı. Çözemedim bir türlü.

    edit: cron birden bire çalışmaya başladı. Nasıl oldu bilmiyorum. "service cron start" komutunu çalıştırmıştım. Fakat öncesinde zaten cron çalışıyordu. "service cron status" ile bunu görüntülüyebiliyordum.



  • @onurturali Hocam benim 5651 projesinin Lightsquid ile yakından uzaktan bir ilgisi yok. Bilginize.

    Hocam siz Squid&SquidGuard 'mı yoksa E2guardian 'mı kullanıyorsunuz? Squid kullanıyorsanız SSL Inception 'mı yapıyorsun. Bu soruyu Lightsquid 'i anlamak için soruyorum. Normalde HTTPS domain çözemezseniz direkt kişinin gittiğini domain'nin ip adresini görürsünüz sadece. Aynı zamanda sadece HTTP domainlerini görebilirsiniz, karşısında ip adresi ile birlikte. Ama HTTPS, sadece ip görürsünüz.

    Hocam Cron çok basic bir servis, çalışmama gibi bir lüksü olmamalı. Edit, kısmında çalıştığını görebiliyorsunuz demişsiniz, o zaman sıkıntı yok. Yine bakarsınız kontrol edersiniz, gerçekten çalışıyormu.



  • @ucribrahim Squid & E2Guardian kullanıyorum. Buradaki gibi yaptım kurulumu ve ayarları.
    Evet, SSL interception yapıyorum.

    Bu arada cron işlerinin hepsini 23:30 yapınca çalışmadı sanırım bende. Komutları birer dakika arayla kurunca çalıştı. Bu bir etken olabilir mi sizce?


Log in to reply