Pfsense üzerindeki logları OpenSSL ile 5651 göre imzalamak

vgumus

Arkadaşlar Merhaba;

Pfsense üzerinde dhcp proxy gibi logları openssl ile 5651 göre nasıl imzalayabiliriz. bu konuda çalışma yapmış olanlar paylaşmaları mümkünmü

sametyilmaznet

Merhaba,
Aşağıdaki makale size OpenSSL konusunda yardımcı olacaktır.

http://www.syslogs.org/openssl-ile-5651-sayili-kanun-geregi-log-imzalamak/

Aşağıdaki link'te sysLogs yazari, yaptığı bir shell scripti paylaşmış.İncelenip pfSense için uygulanabilir.

http://www.syslogs.org/openssl-ve-tsa-ile-otomatik-log-imzalayici-shell-script/

hoscakal

Pfsense üzerinde openssl ile imzalayacağınız loglar geçersiz olacak. çünkü tib sadece kendi onay verdiği imzalar ile imzalanmış dosyaların içeriklerine güveniyor bilginize

bu yetkiyi almış bir kaç firma var sadece sonicwall fortigate de yetki var kendi içlerinde imzalayabiliyorlar

seker

Selamlar,

@hoscakal:

Pfsense üzerinde openssl ile imzalayacağınız loglar geçersiz olacak. çünkü tib sadece kendi onay verdiği imzalar ile imzalanmış dosyaların içeriklerine güveniyor bilginize

Bu bilgiyi nereden aldınız? Başınızdan geçen adli bir olay falan mı oldu?
Bununla ilgili bir kanun/yönetmelik vs varsa linkini alabilir miyiz?

@hoscakal:

bu yetkiyi almış bir kaç firma var sadece sonicwall fortigate de yetki var kendi içlerinde imzalayabiliyorlar

Bu firmaların yetkilerini gösteren bir bağlantı/sertifika/onay yazısı vs var mıdır?
İlgili kaynakları paylaşabilirseniz bizde istifade edelim… :)

Saygılarımla...

mendilli

@seker:

Selamlar,

@hoscakal:

Pfsense üzerinde openssl ile imzalayacağınız loglar geçersiz olacak. çünkü tib sadece kendi onay verdiği imzalar ile imzalanmış dosyaların içeriklerine güveniyor bilginize

Bu bilgiyi nereden aldınız? Başınızdan geçen adli bir olay falan mı oldu?
Bununla ilgili bir kanun/yönetmelik vs varsa linkini alabilir miyiz?

@hoscakal:

bu yetkiyi almış bir kaç firma var sadece sonicwall fortigate de yetki var kendi içlerinde imzalayabiliyorlar

Bu firmaların yetkilerini gösteren bir bağlantı/sertifika/onay yazısı vs var mıdır?
İlgili kaynakları paylaşabilirseniz bizde istifade edelim… :)

Saygılarımla...

sayın seker, bana mı öyle geldi bilmiyorum ama yorumunuzda biraz alaycı bir tavır sezinlemedim, hoscakal rumuzlu yorumcunun haklı olduğunu düşünüyorum, nedenine gelince;

İNTERNET TOPLU KULLANIM SAĞLAYICILARI HAKKINDA YÖNETMELİK

Madde 5:

Ticari amaçla internet toplu kullanım sağlayıcılarının yükümlülükleri

e) Başkanlık tarafından verilen yazılım ile, (d) bendi gereğince kaydedilen bilgileri ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini teyit eden değeri kendi sistemlerine günlük olarak kaydetmek ve bu verileri bir yıl süre ile saklamak.

maddesinden anlaşılacağı üzere bu kayıtların geçerli olması için TIB tarafından sağlanan yazılım tarafından imzalanması gerekiyor, bildiğiniz gibi imzalama işlemi bir kök sertifikaya bağlı zaman damgası ile yapılıyor ve doğrulama için de yine bu sertifika bilgilerine ihtiyaç duyuluyor.Bu nedenle openssl ile bizim oluşturduğumuz bir sertifika üzerinden yapılacak imzalama işlemi TIB'in doğrulama prosedürünü geçemeyecği için geçersiz olacaktır.

Onaylı şirketlerin durumuna gelince bir şekilde sistemleri üzerinde kullandıkları sertifikalar için TIB onayı aldıklarını ve TIB'in bu cihazlarla tutulan logları doğrulamak için kendi sertifikalarını değil onay işlemi sırasında firmalardan bir kopyasını aldığı özel sertifikaları kullandığını düşünüyorum.

Saygılarımla.

akula

Adli olay sırasında yaşanacak olaylar atanacak olan bilirkişi (yada bilmez kişiye) göre değişecektir.
Ben hem open ssl ile zaman damgası hem de windows ortamında TİB progamı ile Double olarak log tutuyorum. Bir şekilde benim "openssl zaman damgasını" kabul etmezlerse TİB i edebilirler. Onuda kabul etmezlerse bize kolay gelsin…

Olası ihtimalleri egale ederek en aza indirmek için 5651 yasasını uygularken 5070 Elektronik İmza Kanununa göre işlem yapmak bence daha garanti olacaktır.
Yada sertifika+zaman sunucusu olarak kabul görmüş kurumlara logları zaman damgası yapmak bu ihtimalleri azaltacaktır. (kamusm, tubitak vss...)

Şu şekilde sorayım;
Kötü niyetli birisi kendi sistemin pfsense, smoothwall, ipcop vss ister dhcp, ister Captive portal, isterseniz squid loglarını geçmişe yönelik olarak manuel editleyemez mi?
Sonrasında kendi bünyesinde zaman damgası ile imzalayamaz mı?

Kötü niyetli birisi kendi sisteminde zamanı geri tarihe alarak değiştirilmiş logları kendi sertifikası kullanarak zaman damgası ile imzalayamaz mı?

OpenSSL TSA ile ilgili dosyanın imzalandığı andan beri değiştirilmemiş olduğunu ispatlamak istiyorsunuz, ama  hash aldığınız zaman dilimini ispat edebiliyor yada sunucu saatini ile oynamadığınızı ispatlayabiliyor musunuz?

tuzsuzdeli

Öncelikle bu konuda kendi yaşadığım veya çevremde yaşanmış bir tecrübe olmadığını belirterek fikirlerimi yazayım.

Yönetmelik gayet açıkça "başkanlık tarafından verilen yazılım ile" yazıyorken bu openssl ile imzalama işi neden ikide bir gündeme geliyor ben de onu anlamıyorum.

Adli bir süreç başladığında, bilirkişi ya da ilgili inceleyiciler, prosedürün dışına çıkıp Openssl verify işlemi yapar ve ona göre rapor yazar sanıyorsanız, falza iyimsersiniz derim.

Bilmediğimden soruyorum openssl ile imzalarken kullanılacak sertifika kimden alınıyor ?

mendilli

@tuzsuzdeli:

Bilmediğimden soruyorum openssl ile imzalarken kullanılacak sertifika kimden alınıyor ?

sistem üzerinde ilk önce openssl ile bir defaya mahsus sertifika ve zaman damgası üretiliyor ve sonrasında hem imzalama hemde doğrulama işlemleri bunlar kullanılarak yapılıyor.

Yalnız şu nüansa dikkat etmek lazım, yönetmelikte; başkanlığın verdiği yazılım ile imzalama işlemi yapmak zorunda olanlar sadece ticari amaçlı internet toplu kullanım sağlayıcıları olarak belirtiliyor, ticari amacı olmayan yani interneti ücret karşılığı kullanıma açmayan işyerleri, siteler, birtakım cafeler ve benzerleri için imzalama sorumluluğu yok.ancak bunlar yine de kayıtları tutmak ve yönetmelikte belirtilmeyen bir süre zarffında sakalamak zorundalar.

openssl burada devreye giriyor ve işini sağlama almak isteyen dağıtıcılar, verdikleri kayıtların güvenilirliğini ispat açısından tabiri caizse kendi çaplarında imzala işlemi yapıyorlar

gsezen

Bizde şirketimizde TIB yazılımını kullanıyoruz lakin her zaman düzgün çalıştığını söyleyemem. Bazen loglar imzalanamadı gibi garip hatalar alabiliyoruz.

Kaldı ki dosyalarda ki oluşturma, değiştirme tarihi gibi özniteliklerin kolayca değiştirilebildiğini düşünürsek dosyada oynama yapılarak başka bir bilgisayar üzerinden dosyalar tekrar imzalatılabilir.

Ayrıca neden sadece TIB yazılımının ve anlaşmalı firmaların yazılımlarının kabul edildiğinide anlayabilmiş değilim.

http://www.tib.gov.tr/tr/tr-menu-53-onayli_icerik_filtreleme_yazilimlari.html

Saygılarımla.