Kurum için Bazı Sorularım olcak ?

DJM

Merhaba Arkadaşlar :)

1 - Kurumda saymanın memurun kullandığı bazı resmi siteler var KBS, DMİS, E-Okul vs. bunları yasaklamaya hiç takılmadan nasıl izin verebilirim? Access Control kısmına ekleyemiyorum hata alıyorum hata şu;
The following input errors were detected:
You must enter a valid IP address in the 'External Cache Manager' field

2 - SSH portundan çok saldırı alıyorum sanırım tüm portlarım açık çünkü herhangi birşey yapmadım. Sadece belli başlı portlara izin verip diğer portları nasıl kapatabilirim ?

3 - Sadece SSH portuna bir iki ıp dışında erişimi nasıl kapatabilirim ?

4 - Proxy Filter altından Groups ACL altında ben gruplamayı şu şekilde kullanıyorum "192.168.2.0/24" yapmak istediğim şu ayrı bir grup oluşturup bazı ıplere bazı yasaklamaları kaldırmak istiyorum bunu yapabilirmiyim ? yapabilirmiyim

OGUZ

1. Sorunun Cevabı : Bypass proxy for these source IPs: yazan yere proxy e uğramasını istemediğin sitelerin ilgili DNS iplerini girmen gerekiyor.
2. Sorunun Cevabı : SSH portunun açık olup olmadığını System- Advanced- Admin Access secure sheel kısmından Enable Secure Shell in işaretli ise SSH portun aktif. işaretli değilse zaten SSH portun aktfi değildir. Ayrıca Dışarıdan saldırıları önlemek için SNORT pakekiti yükleyebilirsin.
3.Sorunun Cevabı : SSH default portu 22 dir bunu değiştirmekle işe başlayabilirsin. daha sonra sisteminin durumuna göre eğer modemin bridge mode de değilse ilk önce modemden pfsense nat edeceksin daha sonra pfsenseden gerekli natı yapılandıracaksın.

4. sorunun cevabı : Proxy filter SquidGuard: Groups Access Control List (ACL): bölümünden Client (source) kısmına yasaklamaya uğramadan çıkış yapan ipleri yazıp Target Rules kısmından oluşturduğun daha önceki yasaklı sitelerin access bölümünü allow yapmandır.

sgtr

@DJM:

Merhaba Arkadaşlar :)

1 - Kurumda saymanın memurun kullandığı bazı resmi siteler var KBS, DMİS, E-Okul vs. bunları yasaklamaya hiç takılmadan nasıl izin verebilirim? Access Control kısmına ekleyemiyorum hata alıyorum hata şu;
The following input errors were detected:
You must enter a valid IP address in the 'External Cache Manager' field

Bunun için squid Access Control kısmındaki "External Cache-Managers" kısmındaki en sondaki ";" noktalı virgülü kaldırırsa bu sorunu çözmüş olursun.

@DJM:

2 - SSH portundan çok saldırı alıyorum sanırım tüm portlarım açık çünkü herhangi birşey yapmadım. Sadece belli başlı portlara izin verip diğer portları nasıl kapatabilirim ?
3 - Sadece SSH portuna bir iki ıp dışında erişimi nasıl kapatabilirim ?

Bunun içinde default port dışında bir değer ile değiştirirsen kısmi olarak engellemiş olursun. Bunun dışında da Firewall > Rules > WAN1 ya da WAN2 hangi interface üzerinden kabul etmek istiyorsan o interface menüsüne gelip kuralı editleyerek/ekleyerek Source ip kısmına (Firewall > Aliases kısmında izin vermek istediğin ip adresleri için tanımlama yapıp) single ore aliases seçip tanımlamış oldugun aliases ismini buraya girdiğinde izin verip sonra "Apply Changes" dedikten sonra sadece tanımlamış oldugun aliasestaki ip adresleri ya da ipp range tanımlılar girebilirler.

@DJM:

4 - Proxy Filter altından Groups ACL altında ben gruplamayı şu şekilde kullanıyorum "192.168.2.0/24" yapmak istediğim şu ayrı bir grup oluşturup bazı ıplere bazı yasaklamaları kaldırmak istiyorum bunu yapabilirmiyim ? yapabilirmiyim

Bunun içinde ya tek tek ipleri yazacaksın ya da onları belirli gruplarda toplayacaksın CIDR yaparak Ör: 192.168.2.0/25 demen durumunda 192.168.2.1-192.168.2.128 aralığını kapsayacaktır. Bununla ilgili olarakta http://www.ciscotr.com/subnet-hesapla bu adresten faydalanabilirsin.

Sevgilerle,
SGTR

DJM

:) çok teşekkür ederim oğuz bey;

1 - nslookup -q=ns siteadresi.com bu komutla DNS Ip adresini bulup o sitenin ıp yazdığımda dediğiniz yere sorun olmayacaktır ozaman.

2 - O özellik açık izinli olduğum günler evden bağlanıp sorun çözüyorum ondan açık. Demek istediğim sadce evin ıpsine nasıl izin verebilirim SSH sadece dışardan benim belirttiğim ıpden nasıl bağlanırım varmı böyle bir özellik?

3 - Snort paketini kurup öğrenmek çok istiyorum ama forumda bu konuda hiç bilgi yok. Bu konuda bilginiz varsa bu konu açablirseniz emin olun ben başta olmak üzere birçok kişinin işine yarayacaktır.

4 - İlk grupta subnet kullanmam etkilemez demi bu yapmak istediğimi ? yani bi tarafta tüm subneti yasaklamış oluyorum ama bi yandanda içinden yasaklanmış o subnetin içinden bazılarına izin vermek istiyorum :)

DJM

Teşekkürler SGTR :) dediklerinizi deneyip sonuçları paylaşcam

OGUZ

Snort kurulumu hakkında aşağıdaki linkten yardım alabilirsin.

http://www.hwturk.com/index.php/lnxguvenlik/pfsense-linux/pfsense-snort-kurulum.html

DJM

Tekrar Merhaba;

1 - Access Control kısmındaki "External Cache-Managers" kısmındaki en sondaki ";" noktalı virgülü kaldırdığımda sorunu çözdüm. Takılmasını istemediğim siteleri buraya ekliyorum, yalnız buraya eklediğim site yine engelleniyor
2 - Portu tamamen kapattım port numarasınıda değiştirdim. İhtiyacım olduğunda System- Advanced- Admin Access secure sheel kısmından Enable Secure Shell diyip açıp işim bitince kapatıyorum.
3 - SGTR arkadaşın dediğinide uyguladım tamamiyle çalışıyor artık saldırı gözükmüyor loglarda ;)
4 - Bu sorunuda gruplama yaparak çözdüm idareyi,memurları,öğretmen odasını hep ayırdım sağlıklı bir şekilde çalışıyor.

Snort kurulumu için yarın gün boyu uğraşıp test etmek istiyorum. Donanımsal bir yavaşlama net kesintisi gibi sorunlar çıkarmaz umarım.Donanım Özellikleri;

CPU : INTEL Atom Single-Core N455 CPU(45nm,FSB 667MHz,1.66GHz,512KB L2 Cache)
Chipset : INTELAtom N455 + NM10 chipset Build-in INTELGMA 3150 Graphics Core (DVMT Max. 384MB)
Ram :  Single Channel DDR3 1333 SDRAM up to 2 GB
500 Gb Harddisk 5400 Rpm

Kullanıcı Sayısı : 75

Kurulu Paketler :

Backup
bandwidthd
Cron
File Manager
Lightsquid
pfBlocker
squid
squidGuard
captiveportal aktif