Tüm firewall trafigini loglamak için yöntem 5651 için.



  • Bir windows makinaya http://www.snmpsoft.com/downloads.html adresinden Syslog watcher kuruyoruz.

    Status >> SystemLog > Settings  bolumunde

    eski versiyonlarda

    http://i.hizliresim.com/xV9azq.png

    yeni versiyonlarda

    http://i.hizliresim.com/KZXkjA.png

    asagidaki  gibi ayarlamayı yapıyoruz

    remote syslog server kısmına kurulumu yaptıgımız makinanın ip adresini giriyoruz.

    daha sonra http://www.kamusm.gov.tr/urunler/zaman_damgasi/ucretsiz_zaman_damgasi_istemci_yazilimi.jsp  tarafından alacagımız Zaman damgası programı yardımıyla imzalama işlemini ge rçekleştiriyoruz.
    Windows zamanlanmış görevler yardımıyla tübitak zaman damgası sunucusunun gece imzalama işlemini yapması için görev oluşturmanız gerek.



  • Bu yasada yapılan son güncelleme sonrası mı böyle bir gereklilik doğdu ?



  • şimdi şöyle bir durum var.
    herkes suçu bilinen 80 ve  443 portlarını kullanarak işlemeyebilir. squid ile bu portları gördüğünüzü düşünebilirsiniz ama diğer portları atlarsanız sıkıntı çıkar diye düşünüyorum.



  • Teknik detayı ayrıdır ancak,

    Hukuki olarak kanun koyucunun bile böyle bir talebi ortada yokken (yanlışsam düzeltin, son yasal güncelleme sonrası durumu bilmiyorum) bunu yapmayı kesinlikle etik bulmuyorum.



  • yasa gereği zaten bizden dhcp loglarından başka bir şey istenmemekte önce bunu fark edelim

    kimse bize kimin nereye ne zaman girdiğini tutmamızı istemiyor. (aslında firmalardan kimse birşey istemiyor da)

    bunu yapacak olan superonline, ttnet, turkcell, vodafone, avea, smile gibi firmalar

    evet bizden istedikleri loglardan kimseyi bulamayacaklarını düşünüyoruz ama

    ttnet'in modem arkasında ki erişim cihazlarının mac adreslerini görebildiğini bir yerde okumuştum şu an linkini bulamadım. araştırıyorum

    bu doğrultuda bunun yapılabilirliliği varsa ki bu yasa çıktığına göre bunun yapılabilirliliği var sadece dhcp loglarından bir sonuç elde edilemeyeceğini bir tek biz düşünmüyoruzdur.

    suç işlendiğinde ki sıralama şöyle olacaktır

    ilgili kişinin ip adresini suç işlediği yerden istenir

    sonra ilgili firmadan bu ip'nin o saatte hangi kullanıcıya verildiği bilgisi elde edilir.

    firma ya da şahıs'a ulaşılır.

    firma kısmı bizi ilgilendiren kısım firmaya geldiğinde logları istediğinde ilgili saatteki mac adresini alabildiği için bizden sadece bu mac adresi kimin sorusu çıkacaktır. (benim görüşüm)

    http://www.tbmm.gov.tr/kanunlar/k5651.html linkteki yazıyı okuduğunuzda

    İçerik Sağlayıcı (bu şu demek face e girdiniz bir yazı yazdınız sorumlusunuz yani herkes internet ortamında kendi yazdığı ve paylaştığı şeyden sorumludur.)

    Yer Sağlayıcı (hosting firmalarıdır bu firma üzerinde barındırılan içerikte suç unsuru teşkil etmesi yer sağlayıcıyı bağlamaz ancak ilgili makamlardan uyarı geldiğine içeriği erişime kapatmalıdır)

    Erişim Sağlayıcı (bu kısım ttnet, superonline, vb gibi firmaların yükümlü olduğu kısım)

    Toplu Kullanım sağlayıcı (bu kısımda internet cafe ticari amaçlı toplu kullanım sağlayan firmaların yükümlülüklerini kapsar)

    bu kanuna baktığınızda şirketin çalışanlarına verdiği internet için bir kısım bulunmamakta
    buradaki tanımlara baktığımızda biz erişim sağlayıcı gibi durmaktayız ve kendimizi bu kapsama koyarsak bizden istenen dhcp loglarından fazladısıdır.

    a) Her­han­gi bir kul­la­nı­cı­sı­nın ya­yın­la­dı­ğı hu­ku­ka ay­kı­rı içe­rik­ten, bu Ka­nun hü­küm­le­ri­ne uy­gun ola­rak ha­ber­dar edil­me­si ha­lin­de ve tek­nik ola­rak en­gel­le­me im­kânı bu­lun­du­ğu öl­çü­de eri­şi­mi en­gel­le­mek­le,

    b) Sağ­la­dı­ğı hiz­met­le­re iliş­kin, yö­net­me­lik­te be­lir­ti­len tra­fik bil­gi­le­ri­ni al­tı ay­dan az ve iki yıl­dan faz­la ol­ma­mak üze­re yö­net­me­lik­te be­lir­le­ne­cek sü­re ka­dar sak­la­mak­la ve bu bil­gi­le­rin doğ­ru­lu­ğu­nu, bü­tün­lü­ğü­nü ve giz­li­li­ği­ni sağ­la­mak­la,
    c) Fa­ali­ye­ti­ne son ve­re­ce­ği ta­rih­ten en az üç ay ön­ce du­ru­mu Ku­ru­ma, içe­rik sağ­la­yı­cı­la­rı­na ve müş­te­ri­le­ri­ne bil­dir­mek ve tra­fik bil­gi­le­ri­ne iliş­kin ka­yıt­la­rı yö­net­me­lik­te be­lir­ti­len esas ve usûl­le­re uy­gun ola­rak Ku­ru­ma tes­lim et­mek­le,

    buradaki açıklamalara göre de örnek olarak

    "herhangi bir kullanıcısının yayınladığı hukuka aykırı içerikten"

    çalışanlarımız için böyle bir tabir kullanılacağını düşünmemekle beraber.

    "bu Ka­nun hü­küm­le­ri­ne uy­gun ola­rak ha­ber­dar edil­me­si ha­lin­de ve tek­nik ola­rak en­gel­le­me im­kânı bu­lun­du­ğu öl­çü­de eri­şi­mi en­gel­le­mek­le"

    burada çalışanlarımızı kullanıcımız olarak tabir edersek

    kullanıcılarımızın kanun hükümlerine aykırı bir şey yaptığında teknik olarak engelleme imkanı bulunduğu ölçüde erişimi engellemekle yükümlüyüz. (teknik imkan nedir adam zaten local'de çek kablosunu bitir işi)

    çalışanlarımızı bu kullanıcı kapsamına aldığımızı varsayalım bize x çalışan için uyarı geldiğini de varsayalım ne yapacağız bunun internetini mi kesmemiz gerekiyor :)

    kanunun ucu çok açık olmakla beraber çalıştığımız şirketlerin bu kapsamlardan hiçbiri ne uymamasına rağmen niye kendinimizi sorumlu hissettiğimizi de anlamış değilim.

    birisi kuyuya taş attı firmalar da bunlardan sorumlu diye herkes çıkarmaya çalışıyor ve bunun üzerine bir sürü pazarlar kuruluyor. bu sorumluluktan kurtulmak için günlerce kafa patlatmak zorunda kalıyoruz

    bu kanun bir firmada uygulamalı yapılmadığı sürece ya da yetkili bir makamın yeterince açıklama yapmadığı sürece

    o kuyudan bu taş çıkmayacaktır



  • olaya şu yönüyle bakarsanız sevinirim.

    Savcı sizden şu ip kime aittir der ve gerekli  logları ister.
    bu kişi şu kişidir diyebilmen için öncelikle dhcp logunu verirsin.
    daha sonra şu siteye şu porttan atağı kimin yaptıgını tespit edebilmen için firewall loglarını alman gerekir.

    http https trafiginin dışında bir ton atak çeşidi var. size örneklerle açıklayayım.

    80 ve 443 nolu portları siz squid ile logluyorsunuz diyelim.

    adamın biri sizin networkunuzden bir  yere atak yapar yarın gelirler bu kim derler hiç bir cevap veremezsin.

    eğer kendinizi sağlama almak istiyorsanız ne tworkunuzdeki tüm firewall loglarını kayıt altında tutmanız gerek.

    80 ve 443 ü almak hiç bir şey d egildir. mesela ben zamanında 80 ve 443 portu dışında tüm portun kapalı oldugu yerde dışarda bir yere vpn server kurup portunu 443 e ayarlayıp vpn ile dışarı baglanıp tüm yasakları geçiyordum.

    imap pop3 pop3s gibi portlardan oluşan küfürlerle ilgili yazıda size gelecek mesela mail portlarınıdamı kapatıyorsunuz?



  • Banane savcıdan
    kim dedi sana savcı gelsen senden bunu isteyecek diye ?
    delinin biri bir taş attı derken bundan bahsediyordum…..
    (tepkim sana değil yanlış anlama)

    kanunun neresinde yazıyor dhcp log tutacağım ?
    kanuna baktığımızda 4 kapsam var

    şirketler hangi kapsama giriyor belirtilen yerlerde

    İçerik Sağlayıcı
    Yer Sağlayıcı
    Erişim Sağlayıcı
    Toplu Kullanım sağlayıcı

    bunlardan hangisine tabiyiz ya da tabi olduğumuz nerde yazıyor ? kendi kendimize gelin güvey oluyoruz arkadaş

    İçerik sağlayıcılık                zaten bu forumda bile yazdığımız her şeyi etkiliyor şirketleri değil daha çok şahısları ilgilendiriyor. bilgi resim yazı paylaşanlar için
    Yer sağlayıcılık                    Hosting hizmeti vermediğim için zaten bu kapsama girmiyorum
    Toplu Kullanım sağlayıcı      evet toplu kullanım sağlıyorum ama bu kapsam sadece bu işi ticari amaçla yapanlar için geçerli internet cafe vb.
    Erişim sağlayıcı                  evet erişim sağlayıcıyım (erişimden kastım internete erişmek) şirketler eğer bu kapsamda değerlendirelecekse boşuna tırmalıyoruz zaten dhcp logu falan filan diye çünkü kanun çok daha fazlasını istiyor

    Erişim sağlayıcının yükümlülükleri,

    a) Her­han­gi bir kul­la­nı­cı­sı­nın ya­yın­la­dı­ğı hu­ku­ka ay­kı­rı içe­rik­ten, bu Ka­nun hü­küm­le­ri­ne uy­gun ola­rak ha­ber­dar edil­me­si ha­lin­de ve tek­nik ola­rak en­gel­le­me im­kânı bu­lun­du­ğu öl­çü­de eri­şi­mi en­gel­le­mek­le,

    b) Sağ­la­dı­ğı hiz­met­le­re iliş­kin, yö­net­me­lik­te be­lir­ti­len tra­fik bil­gi­le­ri­ni al­tı ay­dan az ve iki yıl­dan faz­la ol­ma­mak üze­re yö­net­me­lik­te be­lir­le­ne­cek sü­re ka­dar sak­la­mak­la ve bu bil­gi­le­rin doğ­ru­lu­ğu­nu, bü­tün­lü­ğü­nü ve giz­li­li­ği­ni sağ­la­mak­la,

    c) Fa­ali­ye­ti­ne son ve­re­ce­ği ta­rih­ten en az üç ay ön­ce du­ru­mu Ku­ru­ma, içe­rik sağ­la­yı­cı­la­rı­na ve müş­te­ri­le­ri­ne bil­dir­mek ve tra­fik bil­gi­le­ri­ne iliş­kin ka­yıt­la­rı yö­net­me­lik­te be­lir­ti­len esas ve usûl­le­re uy­gun ola­rak Ku­ru­ma tes­lim et­mek­le,

    arkadaş burada ki maddelerden hiç biri benim şirketim için geçerli değil ki

    a) maddesindeki kullanıcı kim çalışanım mı ben kullanıcı bazlı hizmet vermiyorum ki bu şirkette sadece internetimi paylaşıyorum teknik olarak engellemek mümkün ise diyor local'deki adamın kablosunu çek engelle teknik mümkünlük nedir.

    b) maddesindeki istenenlere bakarsak sadece dhcp'yi tutmamız tamamen saçmalık bizden gelmiş geçmiş tüm trafik loglarını istiyorlar bakın trafik logları iç ağa dair hiçbir şey istemiyorlar.
    trafik logları dediğiniz gibi 80 443 25 3389  gibi portlar üzerinden yapılmış tüm işlemleri ve interneti kullanarak eriştiğiniz her yeri her protokolü kapsar.

    c) maddesine bakarsak şirketim kapanıyor 3 ay önce hangi kuruma ? hangi içerik sağlayıcılarına, hangi müşterilere bildirmek zorundayım ? şirketime gelip internet kullanmış her kişi müşterim mi benim hayır değil kime neyi haber veriyorum

    bu maddeler tamamen ttnet superonline gibi firmalar için geçerli bizim gibi sıradan ltd firmaları için değill

    ee bu kapsamda benim şirketim bu kanunun neresinden sorumlu ?

    kanunu okuyarak şirketiniz için çıkarımlar yapmaktan vazgeçin milletin sağda solda yazdığını da geçin kanunun linki var orda kapsamlar belli sorumluluklar belli
    sizin şirketiniz hangi kapsama giriyor ? ya da giriyormusunuz ?



  • TIB Sayfasında daha evvel Toplu kullanım sağlayıcılarla ilgili detaylı yazı varken şu an sayfasında sadece aşağıdaki madde bulunuyor.Ticari amacı olmayan işyeri ve firmalar sadece içerik filtreleme yapılmasından bahsedildiği gibi hiç bir yerde Log tutulacak demiyor.(Madde7-2)

    http://www.tib.gov.tr/tr/tr-menu-42-kanunlar.html

    Toplu kullanım sağlayıcıların yükümlülükleri
    MADDE 7 – (1) Ticarî amaçla toplu kullanım sağlayıcılar, mahallî mülkî amirden izin belgesi almakla yükümlüdür. İzne ilişkin bilgiler otuz gün içinde mahallî mülkî amir tarafından Kuruma bildirilir. Bunların denetimi mahallî mülkî amirler tarafından yapılır. İzin belgesinin verilmesine ve denetime ilişkin esas ve usûller, yönetmelikle düzenlenir.
    (2) Ticarî amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür.
    (3) Birinci fıkrada belirtilen yükümlülüğe aykırı hareket eden kişiye mahallî mülkî amir tarafından üçbin Yeni Türk Lirasından onbeşbin Yeni Türk Lirasına kadar idarî para cezası verilir.



  • @ozcan:

    TIB Sayfasında daha evvel Toplu kullanım sağlayıcılarla ilgili detaylı yazı varken şu an sayfasında sadece aşağıdaki madde bulunuyor.Ticari amacı olmayan işyeri ve firmalar sadece içerik filtreleme yapılmasından bahsedildiği gibi hiç bir yerde Log tutulacak demiyor.(Madde7-2)

    http://www.tib.gov.tr/tr/tr-menu-42-kanunlar.html

    Toplu kullanım sağlayıcıların yükümlülükleri
    MADDE 7 – (1) Ticarî amaçla toplu kullanım sağlayıcılar, mahallî mülkî amirden izin belgesi almakla yükümlüdür. İzne ilişkin bilgiler otuz gün içinde mahallî mülkî amir tarafından Kuruma bildirilir. Bunların denetimi mahallî mülkî amirler tarafından yapılır. İzin belgesinin verilmesine ve denetime ilişkin esas ve usûller, yönetmelikle düzenlenir.
    (2) Ticarî amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür.
    (3) Birinci fıkrada belirtilen yükümlülüğe aykırı hareket eden kişiye mahallî mülkî amir tarafından üçbin Yeni Türk Lirasından onbeşbin Yeni Türk Lirasına kadar idarî para cezası verilir.

    evet hiç bir yer de bir şey yazmamasına rağmen kendimizce bir şeyler yapıyoruz :))

    bu yazdığın da zaten internet cafeler için geçeri zorunlu olarak tib'in onayladığı filtreleri kullanmak zorundalar

    şirketlerimiz bu kısımlara da dahil değiller.

    biz bu logları niye tutuyoruz (inanın öğrenmek amaçlı soruyorum)

    :))



  • biz bu logları niye tutuyoruz (inanın öğrenmek amaçlı soruyorum) ??

    sorusunun cevabı şu: x.x.x.x ip adresinden bir vukuat oldu ip adresi sana ait oldugu için yazı geldi sende bu vukuatı kendin yapmadıgını belgelemen lazım.
    en basiti adamın biri senin ip adresinden çocuk pornosu yükledi.
    hadi anlat bakalım o ben d egildim de. kimi nasıl inandıracaksın.
    yada senin ip adresinden basbakanliga ddos attack oldu. savcı yarın bir gün çagırdıgında vay efendim ben degildim de.



  • evet değildim ?

    evimin interneti sürekli açık adamın biri oturdu wpa şifresini kırdı  (sakın kırılmıyor demeyin)

    adam girdi ddos atak yaptı başbakana sövdü ne yapcam ben evde olmadığımı mı ispatlayacağım ?

    ya da evde olmadığımı ya da x kişi olup olmadığını nasıl ispatlayacağım

    onuda geç şirketin önünden geçiyorsun bir yol bulmuşsun wireless şifre kırmak için

    şirketlerin internetine girip ona buna sövüp saldırıp çocuk pornosu izleyip çıktın

    beni bundan sorumlu tutacaksın ha ? bu dava yıllar sürer hiç bir şey de olmaz

    önce şuna cevap bulalım kanunda belirtilenlerden hangisine tabiyiz ?
    önce buna cevap verelim sonra log'sa log neyse ne tutarız



  • Bu arada şunu söyleyeyim
    mac adresi, dünyanın hiç bir yerinde kanıt olarak kullanılmaz.
    Kendisi her ne kadar unique yani benzersiz bir numara olsa da (aynı cep telefonlarındaki IMEI gibi) taklit edilebilir ya da değiştirilebilir.



  • @ondokuz:

    biz bu logları niye tutuyoruz (inanın öğrenmek amaçlı soruyorum) ??

    sorusunun cevabı şu: x.x.x.x ip adresinden bir vukuat oldu ip adresi sana ait oldugu için yazı geldi sende bu vukuatı kendin yapmadıgını belgelemen lazım.
    en basiti adamın biri senin ip adresinden çocuk pornosu yükledi.
    hadi anlat bakalım o ben d egildim de. kimi nasıl inandıracaksın.
    yada senin ip adresinden basbakanliga ddos attack oldu. savcı yarın bir gün çagırdıgında vay efendim ben degildim de.

    Tartışmayı biraz daha açmak için soruyorum.
    Savcı gelse, ve bir vukuat olduğu için beni suçlasa, ben suçsuzluğumu ispat etmek zorunda mıyım ki ?
    Hukuğun temel ilkesidir, masumiyeti ispatlamak diye birşey yok, suçu ispatlamak vardır.

    Eğer ki, şifrelenmiş bir wireless ağda, şifre kırılabiliyor, mac adresi spoof edilebiliyorsa bu işin kim tarafından yapıldığı nasıl ispatlanır ?
    Yani teknik olarak başka nelere bakılır ?
    Makine adı vesaire bunlar da gayet taklit edilebilir ya da değiştirilebilir şeyler.



  • @ondokuz

    Amaç eğer tüm trafiği dinlemek olsaydı yasada bu belirtilirdi. Ayrıca bugün erişim sağlayıcı bile 80 portu dışında bir portu dinlemeli mi bu bile tartışmaya açıktır çünkü örneğin siz bir web sitesine 80 portundan bir data post ettiğiniz de bunu erişim sağlayıcı görebilir ve kaydedebilir, bunun yanın da örneğin 21 portunu dinleyen kişi sizin ftp bilgilerinizi alabilir vs. vs. dolayısı ile her portu dinlemek ve loglamak DOĞRU değildir. Syslog tarafına gelen trafiğin kaydedilmesi yukarıda bahsettiğim tarzda bir dinleme olmadığı için sorun teşkil etmez ama KANUNDA BELİRTİLEN bu DEĞİLDİR!

    Kanun da belirtildiği üzere DHCP Dağıtım logları kaydedilmeli ve değiştirilmediği kanıtlanmalı (kanıtlanmalı kısmını bile göremedim yasa da). Dolayısı ile kendi sertifikanızı bile üretmiş olsanız geçerli olur. Haricinde yapılan işlerin tamamı FANTAAAZZİİ işlerdir.

    Son olarak hiçbir savcının yasada belirtilenin aksine birşey istemesi (özel durumlar var mı bilemiyorum) mümkün görünmüyor. Sizden yasa da belirtilen DHCP dağıtım logları dışında birşey isteyemez veya vermediğiniz de sizi suçlu gösteremez.



  • @herkes :D

    geçen gün tib'i aradım buraya yazma vaktim olmadı maalesef daha yeni yazabildim kusura bakmayın
    şirketimin faaliyet alanında bahsettim ve 5651'deki yükümlülüklerimin neler olduğunu sorduğumda

    Toplu kullanım sağlayıcı olduğumuzu söyledi.

    Toplu kullanım sağlayıcıların yükümlülükleri

    MADDE 7 – (1) Ticarî amaçla toplu kullanım sağlayıcılar, mahallî mülkî amirden izin belgesi almakla yükümlüdür. İzne ilişkin bilgiler otuz gün içinde mahallî mülkî amir tarafından Kuruma bildirilir. Bunların denetimi mahallî mülkî amirler tarafından yapılır. İzin belgesinin verilmesine ve denetime ilişkin esas ve usûller, yönetmelikle düzenlenir.
    (2) Ticarî amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür.
    (3) Birinci fıkrada belirtilen yükümlülüğe aykırı hareket eden kişiye mahallî mülkî amir tarafından üçbin Yeni Türk Lirasından onbeşbin Yeni Türk Lirasına kadar idarî para cezası verilir.

    bu maddenin 2. kısmını zaten servis sağlayıcımızın hallettiğini onların dns'lerini kullandığınız sürece sorun olmayacağından bahsetti.
    ama farklı dns kullanarak mahkeme kararı ile engellenmiş sitelere erişimin olması ve tespit edilmesi durumunda yaptırımın olup olmadığından bahsetmedi.

    ek olarak

    toplu internet kullanım sağlayıcılarına sorumluluklarına dair yönetmelik hazırlanmış ve buna tabi olduğumuzu söyledi

    http://mevzuat.meb.gov.tr/html/26687_0.html

    bu mevzuatı incelediğimizde ise şu kısım bizi ilgilendiren tarafmış.

    İnternet toplu kullanım sağlayıcılarının yükümlülükleri

    MADDE 4 – (1) İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır:

    a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.

    b) İç IP Dağıtım Loglarını elektronik ortamda kendi sistemlerine kaydetmek.

    a) maddesini erişim sağlayıcımız hallediyor bize tek kalan servis sağlayıcımızın dns'lerini kullanmak kalıyor (ama bu o kadar kolay değil hadi active directory kurup dns değiştirme olayının önüne geçtin program kurulmasını engelledin. cep telefonu, tablet vb. cihazlar için önlem almak epey zor. )

    b) maddesini zaten yapıyoruz. AydinY'nin de dediği gibi imzalama ile ilgili bir hüküm olmamakla beraber tib'in sitesinde yazdığı için logları imzalıyoruz.

    kanuna göre sadece dhcp loglarını tutmamız yetiyor. ama kolluk güçlerinin (telefondaki arkadaş böyle telaffuz ediyor) daha fazlasını isteyebileceği bunları temin edemezsek yaptırımı var mı ? yok mu ? bununla ilgili bilgi yine eksik elimizden geldiği kadar fazla bilgi vermemizi istemekte.

    ama kanunda yazmayan bir şeyi bizden istemesi ve bunu temin edemememiz halinde bize yaptırım olmamalı diye düşünüyorum.

    yani kullanan kişi dışarıdan misafir'de olsa çalışanda olsa bizim sadece yapmamız gereken iç ip loglarını tutmak ve erişim sağlayıcının kullandığı dnsleri kullanmak çalışanların ya da misafirlerin nerelere girdiğini bizim tutmamıza gerek yok

    kendimden örnek vereyim. bende 2 lan bulunmakta ve çalışanlar 1 nolu lan misafirler 2 nolu lan'dan bağlanmakta misafirler wirelessta guest bölümünden bağlanıyorlar. diğer tarafın şifresini bilseler dahi bağlanamıyorlar. misafir bölümüne captive portal'ı aktif edip portal arayüzünden kullanıcı adı ve şifrelerini benden almak suretle internet erişimi sağlıyorum. ama yeterli değil zaten biliyoruz.

    kolluk güçlerine daha fazla bilgi vermek adına // ad soyad ve cep telefonu bilgilerini alıp sisteme login yapıp bu bilgileri de loglayıp imzalarsak bizden istendiğinde bu bilgileri verirsek bize ait hiç bir yükümlülük kalmayacağına inanıyorum.

    (daha fazla bilgi vermek adına hangi sitelere girdikleri de verilebilir ama suç sadece http portundan işlenmiyor maalesef squid sadece http trafiğini takip edebiliyor. ayrıca kişiyi uyararak nerelere girdiğini kayıt altına alsanız dahi inceleme hakkınız yok bunun fark edilmesi ciddi anlamda başınızı ağrıtabilir.)

    kanuna göre baktığımızda bizim sistemimizdeki eksikliklere bakalım dhcp loglarını tuttuğumuza göre dns'ler ile ilgili sıkıntı yaşıyoruzdur.

    captive portal kullanıyorsanız ve allowed ip lerde opendns'lerin adresleri yazmıyorsa ve kullanıcı farklı dns kullanıyorsa zaten captive portal sayfası açılmıyor. ne zaman otomatik kullanmaya başlarsa o zaman captive portal açılır. bununla ilgili sorun yok

    captive portal kullanmayanlar için opendns'leri bir alias a ekleyip bunları blocklamak gerekiyor.

    burada ufaktan opendns havuzu oluşturup bu dns'lere erişimi kısıtlayabiliriz.

    farklı düşüncelere de açığız tabi

    bildiğiniz gibi önce firma da ki bilgi işlem statüsündeki arkadaş sorumlu ve ardından firma sahibi sorumlu tutulacağı için herkes elini taşın altına koyarsa bu sorumluluktan kurtuluruz :)

    ( allah bildiği gibi yapsın bu devleti )



  • tek tek DNS bloklamak yerine, dışarı giden tüm dns taleplerini bloklayın. (pfsense makinesi hariç tabii :) )
    ya da outobund NAT ile, hedef dns ne olursa olsun (opendns, google dns vs), servis sağlayıcının DNS'ine yönlendirme de yapılabilir.



  • @hoscakal:

    @herkes :D

    geçen gün tib'i aradım buraya yazma vaktim olmadı maalesef daha yeni yazabildim kusura bakmayın
    şirketimin faaliyet alanında bahsettim ve 5651'deki yükümlülüklerimin neler olduğunu sorduğumda

    Toplu kullanım sağlayıcı olduğumuzu söyledi.

    Toplu kullanım sağlayıcıların yükümlülükleri

    MADDE 7 – (1) Ticarî amaçla toplu kullanım sağlayıcılar, mahallî mülkî amirden izin belgesi almakla yükümlüdür. İzne ilişkin bilgiler otuz gün içinde mahallî mülkî amir tarafından Kuruma bildirilir. Bunların denetimi mahallî mülkî amirler tarafından yapılır. İzin belgesinin verilmesine ve denetime ilişkin esas ve usûller, yönetmelikle düzenlenir.
    (2) Ticarî amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür.
    (3) Birinci fıkrada belirtilen yükümlülüğe aykırı hareket eden kişiye mahallî mülkî amir tarafından üçbin Yeni Türk Lirasından onbeşbin Yeni Türk Lirasına kadar idarî para cezası verilir.

    bu maddenin 2. kısmını zaten servis sağlayıcımızın hallettiğini onların dns'lerini kullandığınız sürece sorun olmayacağından bahsetti.
    ama farklı dns kullanarak mahkeme kararı ile engellenmiş sitelere erişimin olması ve tespit edilmesi durumunda yaptırımın olup olmadığından bahsetmedi.

    ek olarak

    toplu internet kullanım sağlayıcılarına sorumluluklarına dair yönetmelik hazırlanmış ve buna tabi olduğumuzu söyledi

    http://mevzuat.meb.gov.tr/html/26687_0.html

    bu mevzuatı incelediğimizde ise şu kısım bizi ilgilendiren tarafmış.

    İnternet toplu kullanım sağlayıcılarının yükümlülükleri

    MADDE 4 – (1) İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır:

    a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.

    b) İç IP Dağıtım Loglarını elektronik ortamda kendi sistemlerine kaydetmek.

    a) maddesini erişim sağlayıcımız hallediyor bize tek kalan servis sağlayıcımızın dns'lerini kullanmak kalıyor (ama bu o kadar kolay değil hadi active directory kurup dns değiştirme olayının önüne geçtin program kurulmasını engelledin. cep telefonu, tablet vb. cihazlar için önlem almak epey zor. )

    b) maddesini zaten yapıyoruz. AydinY'nin de dediği gibi imzalama ile ilgili bir hüküm olmamakla beraber tib'in sitesinde yazdığı için logları imzalıyoruz.

    kanuna göre sadece dhcp loglarını tutmamız yetiyor. ama kolluk güçlerinin (telefondaki arkadaş böyle telaffuz ediyor) daha fazlasını isteyebileceği bunları temin edemezsek yaptırımı var mı ? yok mu ? bununla ilgili bilgi yine eksik elimizden geldiği kadar fazla bilgi vermemizi istemekte.

    ama kanunda yazmayan bir şeyi bizden istemesi ve bunu temin edemememiz halinde bize yaptırım olmamalı diye düşünüyorum.

    yani kullanan kişi dışarıdan misafir'de olsa çalışanda olsa bizim sadece yapmamız gereken iç ip loglarını tutmak ve erişim sağlayıcının kullandığı dnsleri kullanmak çalışanların ya da misafirlerin nerelere girdiğini bizim tutmamıza gerek yok

    kendimden örnek vereyim. bende 2 lan bulunmakta ve çalışanlar 1 nolu lan misafirler 2 nolu lan'dan bağlanmakta misafirler wirelessta guest bölümünden bağlanıyorlar. diğer tarafın şifresini bilseler dahi bağlanamıyorlar. misafir bölümüne captive portal'ı aktif edip portal arayüzünden kullanıcı adı ve şifrelerini benden almak suretle internet erişimi sağlıyorum. ama yeterli değil zaten biliyoruz.

    kolluk güçlerine daha fazla bilgi vermek adına // ad soyad ve cep telefonu bilgilerini alıp sisteme login yapıp bu bilgileri de loglayıp imzalarsak bizden istendiğinde bu bilgileri verirsek bize ait hiç bir yükümlülük kalmayacağına inanıyorum.

    (daha fazla bilgi vermek adına hangi sitelere girdikleri de verilebilir ama suç sadece http portundan işlenmiyor maalesef squid sadece http trafiğini takip edebiliyor. ayrıca kişiyi uyararak nerelere girdiğini kayıt altına alsanız dahi inceleme hakkınız yok bunun fark edilmesi ciddi anlamda başınızı ağrıtabilir.)

    kanuna göre baktığımızda bizim sistemimizdeki eksikliklere bakalım dhcp loglarını tuttuğumuza göre dns'ler ile ilgili sıkıntı yaşıyoruzdur.

    captive portal kullanıyorsanız ve allowed ip lerde opendns'lerin adresleri yazmıyorsa ve kullanıcı farklı dns kullanıyorsa zaten captive portal sayfası açılmıyor. ne zaman otomatik kullanmaya başlarsa o zaman captive portal açılır. bununla ilgili sorun yok

    captive portal kullanmayanlar için opendns'leri bir alias a ekleyip bunları blocklamak gerekiyor.

    burada ufaktan opendns havuzu oluşturup bu dns'lere erişimi kısıtlayabiliriz.

    farklı düşüncelere de açığız tabi

    bildiğiniz gibi önce firma da ki bilgi işlem statüsündeki arkadaş sorumlu ve ardından firma sahibi sorumlu tutulacağı için herkes elini taşın altına koyarsa bu sorumluluktan kurtuluruz :)

    ( allah bildiği gibi yapsın bu devleti )

    Toplu kullanım sağlayıcılarla ilgili aşağıdaki maddelerde yükümlülükler yazıyor ancak yaptırımlar mevzuatta yazmıyor velev ki log kaydı bizden istendi log tutmayıp veremediğimizde cezası yaptırımı ne olacak..

    MADDE 4 – (1) İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır:

    a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.

    b) İç IP Dağıtım Loglarını elektronik ortamda kendi sistemlerine kaydetmek.



  • @tuzsuzdeli:

    tek tek DNS bloklamak yerine, dışarı giden tüm dns taleplerini bloklayın. (pfsense makinesi hariç tabii :) )
    ya da outobund NAT ile, hedef dns ne olursa olsun (opendns, google dns vs), servis sağlayıcının DNS'ine yönlendirme de yapılabilir.

    Her iki seçenek için de herhangi bir test yaptınız mı? Veya kullandığınız örnekler varsa paylaşabilir misiniz :)



  • Ne yazık ki test etme imkanım yok şu an.
    Ama birinci yazdığım zaten basit, sadece 53 numaralı UDP isteklerini bloklayan bir satır yetecektir.

    İkinciyi de denemedim

    Ek olarak şöyle bir alternatifte çözüm, ya da çözüm için fikir olabilir
    https://forum.pfsense.org/index.php/topic,61621.msg350366.html#msg350366