FreeRadius user bazlı internet logları görüntüleme



  • Merhaba , Captiveportal üzerinden freeRadius - user isimleriyle hangi sitelere girdiklerini nasıl görüntüleyebiliriz. ?
    Lightsquid üzerinden yapılabilirmi ? yardımlarınız için şimdiden teşekkürler.. :)



  • evet hocam lightsquid yükle ip bazlı görebilirsin logları



  • Lightsquid yükledim zaten. Ama captiveportal üzerinden kullanıcı isimleriyle hangi sitelere girdiklerini görmek istiyorum.
    Bunun bir çözümü varmıdır ?



  • Evet arkadaşlar,
    Böyle bir yapı bana da gerekli. Bir otelde yerli turistler için adi soyadı ve tc kimlik numarasi ile, yabancı turistlerin ise adi soyadi ve pasaport numarası ile captive portale giriş yapması ve burada belirtilen bilgilere göre loglama yapılması isteniyor. Bu şekilde bir uygulama yapan arkadaşımız varsa tecrübelerini paylaşabilirse seviniriz.



  • freeradius zorulu değilse proxy yi non transparent yapıp proxy authentication kullanmanız gerek



  • Bir otelde kullanılacak sistem. Kullanıcılar free olarak internete girecek captive portal üzerinden. Ama otel kullanıcıların loglarını tutmak istiyor. Yasal durum hakkında çok bilgim yok.

    Captive portal kullanan varsa rapor çıktılarını özel değilse paylaşabilir mi acaba?



  • merhaba arkadaşlar benimde sorunum aynı kullanıcıları freeradius la internete çıkartıyorum ama kullanıcı adlarına göre log tutamıyorum…



  • @aakdeniz:

    Bir otelde kullanılacak sistem. Kullanıcılar free olarak internete girecek captive portal üzerinden. Ama otel kullanıcıların loglarını tutmak istiyor. Yasal durum hakkında çok bilgim yok.

    Captive portal kullanan varsa rapor çıktılarını özel değilse paylaşabilir mi acaba?

    yasal duruma göre yaptığınız zaten suç olarak kabul edilir. kişilerin internete girdiği siteler kişisel veri olarak nitelendirilir.
    5651 nolu kanuna göre DHCP ile otomatik ip olarak dağıtılan ücretsiz ve halka açık internetin logları şu şekilde istenir.

    örnek log kaydı (devletin istediği kayıt)
    http://tib.gov.tr/tr/dokumanlar/Ornek_Dahili_IP_Dagitim_Logu.txt

    buradan yola çıkarak log tutunuz, aksi taktirde işlediğiniz suç kapsamına girer (devlet sizden kim nereye girmiş diye sormayacak) hangi MAC adresi hangi saatte internete girmiş hangi saatte sonlanmış ve IP adresi neymiş. istenilen şeyler bu kadar umarım açıklayıcı olmuştur.



  • TechnicaL arkadasım, soyledıklerın bence mevcut uygulama ile çelişiyor, yasanın sadece iç ip dağıtım loglarının tutulması zorunluluğunu getirdiği doğrudur ancak sizin benim gibi insanların cafe otel gibi ortamlarda sagladıgı bir internet hizmetini kullanan kısıler uzerınde bir takım denetleme mekanizması olusturmamız bence suc degildir.hizmet sözleşmesi yapılırken kullanıcıya erişim bilgilerinin kayıt altına alınacağını belirten bir belge imzalatmak sorunu cozecektir zıra TCK ya gore ilgilinin rızası cezasızlık sebebi sayılır.zaten ttnet gibi internet servis saglayıcıları sözleşmelerı de bu sekildedir ve adli makamların istedikleri erişim bilgilerini böylece saglayabilmektedirler.sizin soyledıgınız gibi olsa en buyuk sucu ttnet gibi sirketler işlemiş olurdu sonucta onlar da duzenlemelerini 5651 sayılı yasaya gore yapıyor.

    bunun dısında sadece iç ıp dagıtım logları bır takibat asamasında sadece hangi cihazın(mac adresi) hangi IP adresini alarak aga dahil oldugunu gösterir, bu kayıtlarla, bırakın kimin suphelı oldugunun tespitini kişinin internete cıktıgını bile ispatlayamazsınız

    bir fiilin suç sayılabilmesi icin kanunla yasak bir fiil olarak tanımlanması gerekir.yasanın ''bu suçtur'' demediği bir seye suç diyemezsınsız.konuyu özel hayatın gizliliği olarak ele alırsanız da, burda özel hayattan bahsedemeyız cunku son kullanıcının bıreysel olarak kendısıne özel bir hizmetten söz edilemez, kişi sorumlulugu bize ait olan bir hizmetten yararlanmaktadır. begenmeyen gider bir gsm firmasına 3g benzeri bir hizmet alır kullanır ve gerekiyorsa hesabını da verır



  • @mendilli:

    bunun dısında sadece iç ıp dagıtım logları bır takibat asamasında sadece hangi cihazın(mac adresi) hangi IP adresini alarak aga dahil oldugunu gösterir, bu kayıtlarla, bırakın kimin suphelı oldugunun tespitini kişinin internete cıktıgını bile ispatlayamazsınız

    evet kullanıcıların rızasını alırsanız girdiği yerleri kayıt altına alabilirsiniz ama bunları inceleyemezsiniz böyle bir hakkınız yok.
    bunu telefon konuşması gibi düşünün 2 kişi arasındaki konuşma kayıt altında ama sadece kim bunlara erişim sağlayabiliyor ? kısacası kayıt altına alın ama inceleme yapmayın bu büyük bir suçtur.

    alıntı yaptığım yere istinaden TTNET'in adsl ya da başka bir sağlayıcı kendi üzerinden çıkan bilgisayarların mac adreslerini almadığını nerden biliyorsunuz ? sizce bu kanun hazırlanırken bizim düşündüklerimizi bu kanunu hazırlayanlar düşünmediler mi ?

    bireysel adsl hatlarından 15 20 bilgisayarın kullanıldığını fark ettiklerinde teknik takibe alıyorlar peki nerden anlıyorlar bunu ?

    çoklu adsl kullanımı diye yaz ttnet'in çoğu kişiye uyarı gönderdiğini göreceksin. kısacası ttnet mac adreslerini toplayabiliyor.



  • bu tür bir yapılandırmalar ticari amaçla kullanıldığı için paylaşım yapılmayacağı düşüncesindeyim bounty (ödül avcılığı) açmanızı öneririm eğer ingilizce biliyorsanız
    http://forum.pfsense.org/index.php/board,34.0.html

    eğer bilmiyorsanız buradan açın türk yazılımcı arkadaşlar belki bir kodlama yazar sizin için, fiyatta anlaşma sağlarsanız istediğinizi elde edersiniz.



  • böyle bir projede bana lazım eğer ilgilenecek arkadaşlar varsa. ücretlerini bildirlemelerini rica ederim.



  • @vgumus:

    böyle bir projede bana lazım eğer ilgilenecek arkadaşlar varsa. ücretlerini bildirlemelerini rica ederim.

    ödül avcılığı şu şekilde çalışır
    sen vereceğin parayı söylersin
    ihtiyacı olan başka birisi daha söyler
    toplam tutar yapacak kişiyi cezbederse
    para veren herkeze kodu paylaşır.

    iyi forumlar.



  • arkadaslar ben 7-8 aylık bir arastırma ve calısma sonucu squid(2.7.9) access loglarında captive portal kullanıcı isimlerini göstermeyi ve hatta bu kullanıcı isimleri üzerinden squidguard ile filtreleme yapmayı basardım, bir önceki mesajımda bu türlü kayıtların tutulması gerektiği ve bu konuda yasal engel bulunmadığı yönündeki yorumlarımı içeren mesajım nedeniyle minareyi çalan kılıfı hazırlar tarzı haksız eleştirilere maruz kalmamak adına ücret karşılığı çözümü paylaşmak konusunda tereddütlerim var, ücretsiz paylasırsam da emegime yazık olacak



  • yani sonuç olarak ne diyosunuz ?



  • @mendilli:

    arkadaslar ben 7-8 aylık bir arastırma ve calısma sonucu squid(2.7.9) access loglarında captive portal kullanıcı isimlerini göstermeyi ve hatta bu kullanıcı isimleri üzerinden squidguard ile filtreleme yapmayı basardım, bir önceki mesajımda bu türlü kayıtların tutulması gerektiği ve bu konuda yasal engel bulunmadığı yönündeki yorumlarımı içeren mesajım nedeniyle minareyi çalan kılıfı hazırlar tarzı haksız eleştirilere maruz kalmamak adına ücret karşılığı çözümü paylaşmak konusunda tereddütlerim var, ücretsiz paylasırsam da emegime yazık olacak

    Emeğime yazık olmasın ama parayla da satmak istemiyorsanız yaptığınız kodları buradan paylaşın birde paypal hesabı acın zaten emeğe saygı duyanlar karşılığını vereceklerdir.



  • yapılan şeyleri bounty olarak satmanızı tavsiye ederim

    dediğim gibi emeğinizi 3-4 kişiye aynı anda pazarlamış olursunuz. elinize toplu para geçmesi de cabası olur.



  • @btpf:

    Merhaba , Captiveportal üzerinden freeRadius - user isimleriyle hangi sitelere girdiklerini nasıl görüntüleyebiliriz. ?
    Lightsquid üzerinden yapılabilirmi ? yardımlarınız için şimdiden teşekkürler.. :)

    Böyle bir konunun yasal konuların tartışıldığı bir konu haline dönüşmesi gerçekten ilginç. Konu saptırma işini en iyi biz yapıyoruz.

    Gelelim sorunuza:
    Girilen kullanıcı adı ve/veya şifre ile sitenin bağdaştırılması işlemini yapan bir modül yok. Bunu yazmanız lazım, zaten ticari yazılımlar da burada devreye giriyor. Bunun için size yöntemler sunabilirim ama tabiki böyle özel durumlar için bir yazılımcı ile anlaşmanız gerekir çünkü pfSense açık kaynaktır ama bunu geliştirenler de dahil herkes hayatını sürdürebilmek için para kazanmak zorundadır. Yazılımcı iseniz aşağıdaki yöntem/mantık ile logları eşleştirmeniz mümkün (ben bu yöntemi kullanıyorum).

    1. DHCP loglarını zaten yasal olarak almak zorundasınız, bu log içerisinde kullanıcıya ait MAC ve IP adresi zaten var.
    2. Kullanıcının giriş yaptığı anda captive portala müdahale etmeli ve giriş bilgilerini veritabanına yazmalısınız (IP, MAC, Kullanıcı adı, Şifre vb.).
    3. Squid loglarını belirli sürelerle log dosyasından alıp onu da veritabanına yazmalısınız (loglar içerisinde IP adresi var).
    4. Son olarak 2. madde ve 3. maddede kaydedilen verileri IP üzerinden eşleştirip (login saatini dikkate alarak) raporlayacak arayüz hazırlamanız lazım.

    Bu adımları sırasıyla ve dikkatlice yaparsanız istediğiniz olur. Her adımın PHP, Bash Scripting ve pfSense / FreeBSD konularında tecrübeli olan bir kişi için en az 1'er hafta alacağını tahmin ediyorum (ben 3. ve 4. adım için 1'er ay uğraşmıştım). Harcanan süreyi ve gerekli bilgi birikimini baz alırsanız 2 seçeneğiniz var.
    1- Hazır bir yazılım almak (ki bence daha ucuza gelir).
    2- Hevesliyseniz veya hevesli arkadaşlarınız varsa öğrene öğrene kendiniz yapmanız.

    Bu bahsettiğiniz yapı ticari uygulamalar için gerekli bir yapı dolayısıyla yazılımcı değilseniz her halukar da ya hevesli ya da ücretli yaptırmak durumundasınız. pfSense hiçbir zaman squid ve captive porta/radius loglarını birleştirmez..

    Ticari bir amaçla kullanmıyorsanız şunu da önerebilirim:
    1- Lightsquid
    2- "DHCP Server > Enable Static ARP entries" ile sizin tanımladığınız MAC adresi dışında kimse ip alamaz ve network'e dahil olamaz. Bu durumda IP'leri siz verdiğiniz için ve kullanıcı da değiştiremediği için kimin HTTP üzerinden nerelere girdiğini dolayısıyla "sen çok kullanmışsın" diyebilmenize yeterli olur. İşyerinde ben bu şekilde kullanıyorum.

    Gelelim son konu olan HTTP logları kısmına. 5651 o kadar çok tarafa çektiler ki, Tübitak'ın zaman damgası zorunluluğundan, HTTP, FTP, EMAIL header loglarına kadar hatta bazıları utanmadan TİB onaylı bile dedi.
    1- TİB ücretsiz kullanım sağlayan işletmeler için sadece DHCP kayıtlarını ister.
    2- Kim nere girdi (http/https, ftp, email header, ssh vb.) İSTEMEZ.
    3- İnterneti kullanan kişilere ait, Ad Soyad, TCKimlik No, Pasaport No, Kimlik Seri No, Uyruğu vb. İSTEMEZ.
    4- Logların Tübitak zaman damgası ile damgalanmasını ŞART KOŞMAZ ama zaman damgası kısmında bir belirsizlik var bu nedenle damgalamakta (openssl ile yapılabilir) fayda var.
    5- TİB onaylı bir yazılım ürün yoktur, o onaylı ürünler sadece İNTERNET CAFE yazılımlarıdır ve Filtrelenecek bilgileri TİB'den almak için yazılım geliştirirler dolayısı ile TİB düzenli olarak bu firmalara yasal olarak engellenen sitelerin IP ve/veya URL bilgilerini gönderir.

    Bu konuda kimseyle tartışma derdinde değilim çünkü elimde TİB tarafından gönderilmiş resmi bir yazı var, söylüyorsak bir bildiğimiz var :)

    Saygılarımla.



  • @mendilli:

    arkadaslar ben 7-8 aylık bir arastırma ve calısma sonucu squid(2.7.9) access loglarında captive portal kullanıcı isimlerini göstermeyi ve hatta bu kullanıcı isimleri üzerinden squidguard ile filtreleme yapmayı basardım, bir önceki mesajımda bu türlü kayıtların tutulması gerektiği ve bu konuda yasal engel bulunmadığı yönündeki yorumlarımı içeren mesajım nedeniyle minareyi çalan kılıfı hazırlar tarzı haksız eleştirilere maruz kalmamak adına ücret karşılığı çözümü paylaşmak konusunda tereddütlerim var, ücretsiz paylasırsam da emegime yazık olacak

    Tebrik ederim çok güzel bir düşünce.. Yeni bir fikir verdiniz :)



  • arkadaslar bu konunun en basit çözümü none-transparent proxy kullanarak kullanıcıları proxy kullanmaya zorlamak(wpad/pac metodu gibi) ve captive portal yerine proxy authentication kullanmak.böylece loglarınızda kullanıcı isimleri görebilir ve bu isimlere göre filtreleme yapabilirsiniz.

    hangi logların tutulması gerektiğine gelince daha öncede söylediğim gibi TİB sadece IP dağıtım loglarını istiyor dogrudur ama bu kayıtları asıl isteyecek ve kullanacak olan adli merciilerdir ve vereceğiniz ıp logları onların hiç bi işine yaramaz, bu defa sizler bizler savcılara hakimlere dert anlatcaz diye adliye kapılarında sürünürüz.

    captive portaldan vazgeçemeyen arkadaslar icin teklifim sudur:benim uyguladıgım cözüm için ücret teklif eden bazı şirketler var, asagıda email adresimi yazıyorm isteyen arkadaslar teklif edecekleri ucreti mail adresime gönderlerse ve toplamda makul bir fiyat ortaya cıkarsa ödeme yaparlar ve ben bu arkadaslarla kodları paylasırım(umarım bu teklifim site kurallarını ihlal etmiyordur)

    NOT:ÇÜZÜMÜM SQUID (2.7.9) VE CAPTİVE PORTAL LOCAL USER VEYA FREERADIUS2 AUTHENTICATION KULLANANLAR ICINDIR.HER IKI AUTHENTICATION METODU ILE DENENMIS VE CALISTIĞI TEST EDİLMİŞTİR.

    iletişim için pm kullanınız. (TechnicaL)



  • bir fiyat belirlerseniz bende düşünebilirim.



  • benim kişi başı bir fiyat belirlemem pek dogru olmaz diye düşünüyorum, bazı firmaların yaptığı teklifler var(taktir edersiniz ki cok da cüzi rakamlar degil), taleplerın toplamını bu tekliflere yaklaşırsa buradan paylaşıcam



  • Sayın mendilli Pfsense forumlarında bounty sistemi ile çözüm üretiliyor lütfen kullanıcılardan tekliflerini sunacakları bir başlık altında gelen teklifleri herkezin göreceği şekilde paylaşmanızı rica ediyorum. Aksi taktirde bu başlığı kilitlemek zorunda kalacağım.



  • özür dilerim bu konu bounty baslığına tam olarak uymadığı icin buradan paylaşmıstım.bount genelde henüz geliştirilmemis özellikler icin yazılımcıları tesvik etmek için kullanılan bır sıstem.

    konu ile ilgilenen arkadaslar bana pm mesaj atabilirler

    tekrar özür dilerim



  • Özür dilenecek bişey yok ortada, tamamlanmış yada tamamlanmamış bir proje olması önemli değil. Siz kodu geliştirmiş bitmiş olabilirsiniz istek-talep olan yerde herkez verebileceği ücreti forumda paylaşır size uyan arkadaşlarla iletişime geçip ödeme alarak istediğinizi paylaşabilirsiniz. Ayrıca bağzı insanların alım gücünün olmadığını varsayarak konuya yaklaşın, bounty ile bağzı insanlar paralarını birleştirip sizden kodu alabilirler böyle durumlar sizin için can sıkıcı olmaz umarım ?



  • Aslında squidGuard ve lightsquid projelerini birleştirip tek çatı altında toplama zamanı bence de uzun zaman önce geldi de geçiyor :) buna @mendilli 'nin yaptığı gibi birde radius desteği eklenirse tadından yenmez olur.. Bunu da Blacklist projesinden sonra ele alalım..



  • @AydinY:

    Aslında squidGuard ve lightsquid projelerini birleştirip tek çatı altında toplama zamanı bence de uzun zaman önce geldi de geçiyor :) buna @mendilli 'nin yaptığı gibi birde radius desteği eklenirse tadından yenmez olur.. Bunu da Blacklist projesinden sonra ele alalım..

    bence önce bunu ele alalım.



  • @TechnicaL:

    @AydinY:

    Aslında squidGuard ve lightsquid projelerini birleştirip tek çatı altında toplama zamanı bence de uzun zaman önce geldi de geçiyor :) buna @mendilli 'nin yaptığı gibi birde radius desteği eklenirse tadından yenmez olur.. Bunu da Blacklist projesinden sonra ele alalım..

    bence önce bunu ele alalım.

    katılıyorum



  • @tuzsuzdeli:

    @TechnicaL:

    @AydinY:

    Aslında squidGuard ve lightsquid projelerini birleştirip tek çatı altında toplama zamanı bence de uzun zaman önce geldi de geçiyor :) buna @mendilli 'nin yaptığı gibi birde radius desteği eklenirse tadından yenmez olur.. Bunu da Blacklist projesinden sonra ele alalım..

    bence önce bunu ele alalım.

    katılıyorum

    Ben şundan dolayı katılmıyorum, bugün yazdığımız onca kod bir üst versiyona geçildiğin de …. Modüllerdeki güncellemeler bile yazdıklarımızı bitirir, birde kullanıcıların mevcut versiyonları var, squid ayda bir güncelleniyor örneğin.. Belki bu daha hızlı çözülür ama geçici bir çözümden öteye gitmez bence..



  • Sistem, stabil paketler üzerinde çalıştıktan sonra 1-2 sene güncellenmese de olur bence.
    Geçen sene kullandığımız squid ile şu an kullandığımız squid arasında ne kadar fark var mesela ?
    Ya da freeradius'un son 3-4 güncellemesini "yapmak zorunda olduğu için yapan" kaç kullanıcı vardır ki ?



  • @tuzsuzdeli:

    Sistem, stabil paketler üzerinde çalıştıktan sonra 1-2 sene güncellenmese de olur bence.
    Geçen sene kullandığımız squid ile şu an kullandığımız squid arasında ne kadar fark var mesela ?
    Ya da freeradius'un son 3-4 güncellemesini "ypamka zorunda olduğu için yapan" kaç kullanıcı vardır ki ?

    Son dönemler de squid'de garip şekilde STOP durumları var. Bu nedenle ben mümkün olduğu sürece sistemi güncel tutuyorum, tutmak zorunda kalıyorum. Birçok şeyi takip ediyoruz ama modüllerin history takibini yapamıyoruz dolayısıyla güncellemenin neler içerdiğini bilmeden yapıyoruz. Ayrıca biz sistemin standart işleyişine müdahale ediyoruz bu nedenle mutlaka sorunlar çıkabiliyor buna birde modüllerin güncellemeleri de eklenince sorunlar kaçınılmaz oluyor..

    Bundan dolayı ben squidguard'da olduğu gibi tamamen kendi modülümüzü geliştirme taraftarıyım. Tabi bu süreç biraz uzun olacaktır ona eminim ama sonucun çok iyi olacağına şüphem yok..



  • arkadaşlar ilginizi çeker mi bilmiyorum ama;

    benim de üzerinde çalıştığım ama kısa zaman önce ara vermek zorunda kaldığım bir fikrim vardı.

    Daloradius diye bir proje var. bunu pfsense 'ye freeradius ile birlikte dahil etmek mümkün oluyor. Dolayısı ile freeradius 'u etkin ve amacına uygun bir şekilde kullanmak mümkün oluyor.

    Yakın zamanda bunu tamamlamayı düşünüyorum.

    saygılar,



  • Squid açık kaynak bir paket ise

    bunu kendimize göre geliştirip güncellemelerimizi kendimiz yapsak ?

    Aydiny nin dediği gibi Squid 3 kullanıyoruz bu paketin üzerine kendimiz bir şeyler ekliyoruz öyle bir güncelleme geliyor ki yaptığımızı resmen baştan yapmamız lazım

    benimde demek istediğim

    squid 3'ün stabil bir paketi üzerine kendi geliştirmelerimizi yapıp bunu sabitleyelim…

    Squid3'ün developlarından gelecek güncellemeleri inceleyip ihtiyacımız olan güncellemeleri bizim stabil paketimizin içine eklesek ?
    daha mı zor olur açıkçası pek fikrim yok ama bu şekilde güncellemelerden kaynaklanan bir sürü uğraşılan kodlar için tekrar yapılandırmaya gitmemiz gerekmez gibi geliyor


Locked