Ozgur hocam, bi trafik icin snort yapilir mi :) oraya koyulacak makinaya
yazik.. ama l7-filter ve iyi bir signature ile guzel bir .pat yapisi hazirlayip
bloklanir..
Daha once bunu yaptik, musterimizin istegi uzerine routerboard (mips32 mimari)
ve uzerine ozel hazirladigimiz 20mb linux ile bunu embed bi sekilde cozduk. Tum
subeler bu cihazlar konumlandirildi ve merkezden ruleset'ler alinacak sekilde
dizayn edildi.. mips32 mimari uzerinde cok basit sekilde cozduk.. Ama yine de
hergun ultrasorf'un listesi yapisi degisebiliyo ve hergun ruleset'ler sign'lar
degisiyo..
Sonuc itibariyle ultrasorf icin bugun bi kural yazarsiniz ama ertesi gun o
kurallar calismiyo ve uyusmuyo olabilir... cok ilginc bir yazilim. Cok ugrasmak
gerek. Kolay gelsin size :)
Samsung Mobile tarafından gönderildi
-------- Orjinal mesaj --------
Kimden: Ozgur <okara...@member.fsf.org>
Tarih:14 03 2014 16:27 (GMT+02:00)
Alıcı: Linux <linux@liste.linux.org.tr>
Konu: [Linux] Re: YNT: Re: YNT: Re: Ücreti karşılığında proxy server
kurulumu
Merhaba,
inline snort ya da yeni ismi ile suricata kullanarak da cok basit bir sekilde
ultrasurf ve tanimladiginiz neredeyse tum trafigi drop'layabilirsiniz.
Ozgur
14 Mart 2014 18:10 tarihinde Mehmet CELIK <mehmet.ce...@powertelekom.com> yazdı:
Utlrasorf'u squid ile bloklayamazsiniz. Utlrasorf cok ilginc bir yazilim.
Windows'da hook mekanizmasi ile calisiyor ve kendisince bir listesi var...
herhangi bir sekilde disarida bi noktaya erisemediginde, listeyi devreye
sokuyor..
Bu liste basit gibi gorunsede complex bir yapisi var.. soyleki, en son noktada
443 uzerinden SSL client modunda "Client hello" ile disari cikmaya calisiyor..
iptables gibi firewall yazilimlari, baglanti durumu (conn state) kararli
(established) olmus bi baglanti icin durum takibi yapamaz !!! Bu sayede
ultrasorf bi defa baglanti sagladiginda durdurulamaz !!!
Bu tarz baglantilari durdurmak icin ileri duzey iptables teknikleri kullanmak
gerekiyor. Squid bunu asla yapamaz :(( L7 seviyesinde protokol analizi yapip
sign'lara kural yazmaniz gerekir veya illa Squid ise icap tarzi hem header hem
de body taramasi yapabilecek bi sistem kullanmaniz gerekir..
Diyelimki ultrasorfu blok icin bir takim kurallar yazdiniz, muhtemelen SSL
based siteler calismayacaktir. Muhtemelen facebook calismayacaktir. Google
calismayacaktir (google kendisini https'e yonlendiriyor)
Komple butun portlari yasaklamak belki bi cozum AMA ultrasorf bi defa establish
bir baglanti sagladiginda, buyuk ihtimalle durduramayacak, hatta sniffer'larla
izleseniz bile anlamsiz datalar goreceksiniz..
OpenSource olarak L7-filter protokol analizi yapan ve iptables'a entegre
olabilen bi yazilim var.. fakat istediginiz bi trafigi durdurmak icin iyi bir
analiz yapip, dogru signature'lari bulup l7-filter'in anlayacagi sekilde .pat
olarak hazirlamaniz gerekir.
Umarim bu bilgiler size yardimci olur..
Samsung Mobile tarafından gönderildi
_______________________________________________
Linux E-Posta Listesi
Linux@liste.linux.org.tr
Liste kurallari: http://liste.linux.org.tr/kurallar.php
Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux
