Skype Business’a Erişimi Engellemek

Merhabalar,

Bugün basit ama ihtiyacınız olduğunda çok önemli olabilecek bir bilgiyi paylaşmak istiyorum. SonicWALL, Cyberoam vb. UTM güvenlik duvarlarında Application Control üzerinden Skype’ı engelleyebiliyorsunuz ama en yazık ki Skype Business’ı engelleyemiyorsunuz. En azından App Control üzerinden yapılamıyor. Biraz googleladıktan sonra anladım ki bunun için -en azından şimdilik- özel bir imza ya da içerik eklenerek engelleme yöntemi geliştirilmemiş. Bu nedenle Skype Business’ı engellemek için farklı bir yöntem kullanmamız gerekiyor. Yöntem oldukça basit: Skype Business’ın kullanılmasını istemediğiniz ip adreslerinin http://www.lync.com a erişimini kapatıyoruz. Bunu Content Filter (CF) tarafında yapabiliriz. Eğer CF lisansı yoksa ya da CF için özel bir modül kullanmıyorsanız, lync.com yapılan istekleri access rule tarafında bir kural yazarak engelleyebilirsiniz.

Peki Skype Business ile Lync’in ne ilgisi var? Skype ile Microsoft Lync birleşmeden önce Microsoft Skype yerine iş ve okul müşterileri için Lync ürününü sunuyordu. Birleşme gerçekleştikten sonra Lync gitti ve Skype Business geldi ama Skype Business halen bazı içeriklere lync.com üzerinden eriştiği için engellememize olanak sağlıyor.

Peki Skype Business neden bizim için bu kadar önemli olabilir? Sorumlu olduğunuz ortamda özel bir nedenden dolayı bir süre tüm uzaktan erişimleri kapatmak isteyebilirsiniz ve bunu özellikle Application Control vb. ürünler kullanarak yapabilirsiniz ama eğer içeride Skype Business varsa, Skype Business üzerinden uzaktan yardım ya da ekran paylaşımı yoluyla uzaktan erişim sağlanabilir. Bu yüzden önemli olabilir.

Bu bilginin İngilizce içerik paylaşılan ortamlarda da bulunmaması sebebiyle üç satır da Türkçe bilmeyen arkadaşlar paylaşayım:

If do you want to block Syke Business, you may use Content Filter or access rule. If you will add http://www.lync.com to forbidden domain or create an access rule and deny access to lync.com, Skype Business will be blocked. Why we are choosing this way to block? Because UTM firewalls as like Sonicwall, Cyberoam etc. does not provide signature for Skype Business yet. You may block Skype or another IM application on your Application Control but Skype Business will does not affect that rule. Skype Business uses different signature this is why you should block access to lync.com.

You may ask what is the connection between Skype Business and lync.com. Skype Business is new Lync application by Microsoft and Skype Business still using lync.com.

Sonicwall – Mikrotik Site to Site IPSec VPN

Merhabalar,

İnternette SonicWALL ve Mikrotik arasında IPSec VPN kurulumu konusunda ciddi bir bilgi kirliliği olmasından ve doğru bilgilere kolayca ulaşılamamasından dolayı ekran görüntüleriyle olayı anlatmak istiyorum.

*Değişikliklere başlamadan önce configuration yedeği almayı unutmayınız.

Öncelikle SonicWALL ile başlıyoruz: Network -> Address Object kısmından birisi Mikrotik, diğeri SonicWALL olmak üzere iki tane network nesnesi oluşturuyoruz:

Mikrotik için:
Sonicwall Mikrotik Address Object, VPN

SonicWALL için:
Sonicwall Mikrotik Address Object, LAN Network

Sonrasında VPN -> Settings kısmına geçiyoruz ve yeni bir VPN policy oluşturuyoruz. Karşılaşacağınız ekranın tüm sekmeleri sırasıyla aşağıda:

General sekmesi:

Sonicwall Mikrotik IPSec VPN General Tab

Sonicwall Mikrotik IPSec VPN General Tab

Network sekmesi:

Sonicwall Mikrotik IPSec VPN Network Tab

Sonicwall Mikrotik IPSec VPN Network Tab

Proposals sekmesi:

Sonicwall Mikrotik IPSec VPN Proposals Types, Groups, Tab

Sonicwall Mikrotik IPSec VPN Proposals Types, Groups, Tab

Advanced sekmesi:

Sonicwall Mikrotik IPSec VPN Advenced Tab

Sonicwall Mikrotik IPSec VPN Advenced Tab

Tüm bunları ekran görüntülerinde olduğu gibi yaptıktan sonra geçiyoruz Mikrotik tarafına.

*Değişikliklere başlamadan önce configuration yedeği almayı unutmayınız.

Mikrotik’e Winbox ile bağlandıktan sonra IP -> Firewall -> NAT sekmesine geliyoruz. Buradan yeni bir NAT ekliyoruz:

Sonicwall Mikrotik IPSec VPN Firewall Srcnat Action

Sonicwall Mikrotik IPSec VPN Firewall Srcnat Action

NAT’ı ekran görüntüsündeki şekilde yaptıktan sonra NAT kuralları arasında (eğer bu adres gruplarını etkileyebilecek başka bir NAT yoksa listede en üst sıraya taşıyınız)

NAT ile işimiz bitikten sonra IP -> IPSec -> Policies’e geliyoruz ve yeni bir policy ekliyoruz. Ekran görüntüsü:

Sonicwall Mikrotik IPSec VPN IPSEC Policy

General bölümündeki alanları doldurdaktan sonra action bölümüne geçiyoruz:

Sonicwall Mikrotik IPSec VPN IPSEC Policy Action Tab
*Tunnel kutucuğunu işaretlemeyi unutmayınız.

IPSec Policy tarafını da halledikten sonra Peers sekmesine geçiyoruz. Burada yeni bir Peer oluşturuyoruz:

Sonicwall Mikrotik IPSec VPN New Peer, hash algorithm
*Kırmıcı kutuculukla işaretlediğim alanlara dikkat ediniz.

Peer ile işimiz bittiğine göre Proposals kısmındaki default proposal ayarlarına geçebiliriz. Proposal sekmesine geçip ‘default’ isimli profili aşağıdaki şekilde güncelliyoruz:

Sonicwall Mikrotik IPSec VPN IPSEC proposal Window SHA1, 3DES

Sonicwall Mikrotik IPSec VPN IPSEC proposal Window SHA1, 3DES

Bu da tamam olduğuna göre gönül rahatlığıyla VPNin tadını çıkarabilirsiniz.

NOT: Ekran görüntüleri hem SonicWALL hem de Mikrotik için halihazırda bir yapılandırma olduğu ve internet bağlantısının sağlıklı bir şekilde kurulu olduğu senaryosu üzerine anlatılmıştır. İki güvenlik duvarı için de WAN ip adreslerinin sabit olması gerekiyor.

Eğer bir sorunuz olursa ve bildiğim bir konuysa elimden geldiğince yardımcı olmaya çalışırım.

Umarım faydalı bir yazı olur.
mehmet

Unifi CLI | SSH Komutları

Merhabalar,

Unifi cihazlarının Unifi Controller üzerinde göremediğiniz ama ihtiyacınız olabilecek bazı komutları var. Cihazların firmwareleri Unix tabanlı olduğu için birçok Unix komutunu özellikle sorun çözme\izleme, controllersız firmware yükseltme ya da versiyon düşürmesi (downgrade) gibi işlemler için kullanılabiliyor. Cihazlara SSH üzerinden bağlantı kurmak için Putty ya da benzeri bir uygulama kullanabilirsiniz. Cihazın ip adresini, admin kullanıcı adı ve şifresini bilmeniz ve SSH ile giriş yapmanız yeterli. Komutlar ve kullanım şekilleri:

Sleep: Cihazı bir süreliğine uyku moduna alma komutu. Girilen değerler saniye türünden girilmelidir. Örnek kullanım: sleep 60 (60 saniyeliğine uyku moduna al)

Halt: Cihazın elektrik bağlantısının tamamen kesilmesini sağlar. Fiziksel olarak POE\elektrik bağlantı kablosu çıkarılıp takılmadan erişilemez. Kullanımı için yalnızca halt yazmak yeterlidir.

ARP: Bildiğimiz Address Resulotion Protocol. Cihaz üzerindeki bağlantı cihazların hangi arayüzde, hangi ip ve mac adresiyle bağlı olduğunu gösterir. Kullanımı için yalnızca arp yazmak yeterlidir.

Ping: Evet, bildiğimiz ping. Kullanımı da diğer işletim sistemlerinde olduğu gibi: ping 192.168.200.254

Netstat: Cihaz üzerindeki gelen\giden trafiği ve trafiğin çıktığı kaynağı gösterir. Kullanımı için yalnızca netstat yazmak yeterlidir. Bağlı olan kullanıcı cihazlarının Unifi Controller’a gönderdiği paketleri de gösterdiği için kafa karışıklığı olmasın ^^

Nslookup: Access point üzerindeki isim çözme işlemlerini yapan hizmettir. Kullanımı diğer işletim sistemlerinde olduğu gibidir: nslookup http://www.google.com

Passwrd: Cihaz üzerindeki kullanıcı şifrelerinin değiştirilmesini sağlar. Kullanımı: passwrd admin (başka herhangi bir kullanıcı adı kullanıyorsanız onu yazmalısınız) şifre

iostat: Cihazdaki toplam trafiği ve işlemci kullanımını görmenizi sağlar. Kullanımı için iostat yazmak yeterlidir.

Telnet: Kullanımı diğer işletim sistemlerindeki gibidir. Telnet yazdıktan sonra ip adresini yazmak yeterli olacaktır.

iperf: Unix’teki bant genişliği yönetim servisidir. Kullanım alanı çok geniş olduğu için herhangi bir komut paylaşmayacağım ki patlamayalım🙂 Tüm komutları görmek istersek iperf –help yazmak yeterli olacaktır.

Top: İşlemci kullanımını, hangi kullanıcının ne kadar kullandığı ve hangi hizmeti kullanarak yaptığını gösterir. Kullanımı için top yazmak yeterlidir.

Reboot: Cihazı yeniden başlatmanızı sağlar. Hemen yeniden başlamasını istiyorsak sadece reboot, belli bir zaman sonra başlamasını istiyorsak reboot -d 60 (saniye türünden)

Uptime: Cihazın ne kadar süredir açık olduğunu gösterir. Kullanımı için uptime yazmak yeterlidir.

Vconfig: Cihazda VLAN (virtual network) yönetimini sağlar. Kullanımı için vlan –help yazmak yeterli olacaktır. Cihaza bağlandığınız VLAN üzerinden ayar yapmanızı önermiyorum🙂

Mca-dump: Cihaz üzerindeki WIFI networklerini, radio, SSID, vb. ayarları görmemizi sağlar. Ayrıca en güzel tarafı, bağlı olduğunuz cihazın çevresindeki yayın yapan access pointleri de görmemizi sağlar. Hangi kanalda bağlandığı, mac adresinin ne olduğu, vb. gibi. Ayrıca ayrıca; cihaza bağlı olan kullanıcıları ve mac adrsleri gibi bilgileri de gösterir. Kullanımı için mca-dump yazmak yeterli olacaktır.

Son olarak firmware dürüşülmesi (downgradei) için kullanılacak olan syswrapper.sh komutundan bahsetmek istiyorum. SSH ile bağlanarak firmware değiştirilmesinin gereksinimi düşünüyor olabilirsiniz. Firmwarein düzgün çalışmadığı ya da bir önceki sürüme dönmek zorunda kaldığınız zamanlarda Unifi Controller ile sorun yaşıyorsanız bu komutu cihazlara SSH ile bağlanarak kullanabilirsiniz. Kullanımı: syswrapper.sh upgrade http://ip-of-controller:8080/dl/firmware/U7P/3.1.4.2257/firmware.bin

Bu firmware dosyasının yolu webte olmak zorunda da değil. Unifi Controller’ın setupıyla birlikte kurulumun yapıldığı bilgisayarın ilgili Unifi klasörüne bu firmware kopyalanıyor. Oradaki yolu kullanarak da downgrade\upgrade işlemlerinizi yapabilirsiniz.

Son olarak; Ubiquity’nin bile bir haber olduğu bir Unifi AP-PRO indoor sorunundan bahsetmek istiyorum. AP-Proda doğru düzgün kullanım ve trafik olmamasına karşın ciddi bir verimsizlikle karşı karşıyaysanız ya da anormal kopmalar yaşanıyorsa; V2.4.6ya geçmelisiniz. Ubiquity yeni firmwarelerde ne yazık ki bu performans sorununu çözemedi.

Tüm yazdıklarım birkaç kez başıma gelmiş olmasından ve çözmek için ciddi bir zaman harcamamdan kaynaklandı. İstedim ki ben yandım siz yanmayın🙂

Eğer bir sorunuz olursa ve bildiğim bir konuysa elimizden geldiğince yardımcı olmaya çalışırım.

Teşekkürler,
mehmet

2014 WP Özeti

WordPress.com istatistik yardımcı maymunları bu blog için bir 2014 yıllık raporu hazırladılar.

İşte bir alıntı:

Sydney Opera House’daki konser salonu 2,700 kişiyi barındırır. Bu blog, 2014 içinde yaklaşık 53.000 kez görüntülendi. Eğer bu Sydney Opera House’da bir konser olsaydı, bu kadar insanın onu görmesi kapalı gişe yaklaşık 20 gösteri alacaktı.

Raporun tamamını görmek için buraya tıklayın.

VPN Kullanırken Dikkat Edilmesi Gerekenler ve Güvenlik Riskleri

Herkesin iki günde hacker olduğu günümüzde VPN’in güvenli ve takip edilemez olduğuna dair bilgiler dolaşıyor. İşler ne yazık ki arka tarafta tam da öyle değil. Bugün Cem Özkaynak tarafından konuya dair güzel bir yazı yazıldı. Öncelikle bunu okumak bildiklerimizi tazelemek ve bakış açımıza yeni bir boyut katmak adına yararlı olacaktır:  DNS, VPN ve Engellemeler

Aslında benim de yazabileceklerim üç aşağı beş yukarı Cem Özkaynak’ın söylediği boyutta olacak. Ek olarak, doğrudan VPN ya da proxy kullanmaktansa daha güvenli olduğunu söyleyebileceğimiz TOR gibi uygulamalar tercih edilebilir. Tor’la ilgili yazım için: Twitter’ı Yasaklamak ve Twitter’a Girmenin Yolu

Bunların dışında; TOR’un doğrudan bir VPN kurup Hotspot Shield, Tunnelbear, vs gibi çalışmamasından dolayı özellikle akıllı telefon kullanıcıları TOR’u zor ya da uğraştırıcı bulup, Apple Store&Google Market’te önlerine gelen ücretsiz VPN programlarına balıklama atlıyorlar. Özellikle ücretsiz hizmet veren VPN programlarının nelere erişim sağlayabileceklerine dair birkaç hatırlatma yaptıktan ve uyarıda bulunduktan sonra daha seçici ve dikkatli olmamız gerektiğine inanacağınızdan şüphem yok🙂 Buyurunuz:

  • VPN hizmeti veren servisler, VPN aktif olduğu sürece internette nerede, ne zaman, neler yapmışsınız görebilirler. Bunun boyutu da hizmeti verenlerin beceri ve maddi kaynaklarına göre dar ya da geniş olabilir. Özellikle HTTPS gibi şifreli olmayan bağlantılarda, şifre bilginize ve yazışma içeriklerinize kadar her şeyi kayıt altına alabilirler.
  • VPN hizmeti veren servislerin uygulamaları, bilgisayar ya da akıllı telefonunuza yüklediğinizde, verdiğiniz yetki ve kabul ettiğiniz kullanıcı sözleşmesine bağlı olarak cihazınıza farkında olmadığınız bir takım erişim izinleri (backdoor) açabilir. Bu düşük bir olasılık olmakla birlikte geçerliliğini her zaman korumaktadır. Özellikle kendini henüz kanıtlamamış ve piyasada yer etmemiş servislerde bu olasılık daha yüksek ve tehlikeli boyutlardadır.
  • Cem’in bahsetmiş olduğu; bankacılık, eposta yazışmaları, vb. gibi kişisel olarak sizin için önemli olan hiçbir internet işlemini VPN aktifken gerçekleştirmeyiniz. Burada ücretli, ücretsiz VPN ve TOR dahil tüm uygulamalardan bahsediyorum.
  • “VPN nasıl olsa ücretsiz ya, açık kalsın” yanılgısı sizi bir süre sonra VPN sanki cihazınızın bir parçasıymış alışkanlığına sürükler. Bankacılık, eposta yazışmaları, kişisel yazışmalar (chat), gibi yerlerde VPN’in aktif olmasına dikkat etmiyor hale gelirsiniz ve bu oldukça tehlikeli sonuçlar doğurabilir. Diğer taraftan; özellikle kotalı internet kullanımında VPN aktif olduğu sürece, VPN’i aktif tutmak için siz kullanmasanız da arka tarafta interneti kullanır. Bu kullanımın boyutu hizmeti veren servise (şirkete) bağlı olmakla birlikte, küçük boyutlarda da olsa vardır ve az da olsa etkiler.

Sonuç ve özet olarak; özel hiçbir işleminizi VPN servisleri, TOR gibi uygulamalar üzerinden yapmayınız. Mümkünse TOR’u tercih ediniz. Değilse yukarıdaki maddeleri anlayarak özenle hareket ediniz.

Engelsiz günler!

Twitter’ı Yasaklamak ve Twitter’a Girmenin Yolu

Twitter’ı yasaklayanlar ve bu yasağı savunanlar hiç şüphesiz ki bunun bedelini gerek oy, gerekse yasal yollarla ödeyeceklerdir. Bu konu uzun uzun tartışılıp, gerek ağız dolu küfür, gerekse bir takım siyasi ve mecazi yaklaşımlarla kınanabilir. Ben daha ziyade nasıl yasakladıkları ve nasıl aşılabileceği üzerinde duracağım.

Daha önce hükümetin bu konudaki adımlarından bahsetmiş ve bir gün DNS değiştirmenin yasakları aşamayacağı noktasına gelirsek, yasakların nasıl aşılabileceğine dair yazı yazacağımı söylemiştim. O gün geldi🙂 Bu konuyla ilgili ilk yazımı konuyu teknik olarak daha iyi anlamak adına okumanız:  İnternet Çok mu Yavaş Yaa?! (2014)

Bu yazımın üzerinden çok zaman geçmeden pek muhterem RTE “Twitter mwitter hepsinin kökünü kazıyacağız” dedi ve hemen akşamında Twitter yasaklandı. Yasaklanma yöntemi de üstteki yazıda nasıl yapıldığını anlattığım DNS ipsi değiştirilme yöntemiydi. Daha sonrasında baktılar ki millet uyanmış ve DNS değiştirerek girebiliyorlar herkesin bildiği ve kullandığı Google’a ait 8.8.8.8 ve 8.8.4.4 DNS ip adreslerine Türk Telekom’a ait olduğunu düşündüğüm güvenlik duvarından erişim engeli getirdiler.  Bununla ilgili de şöyle bir yazı yazmıştım: Google’ın DNS İp Adresleri Yasaklandı mı? Bu daha önce türüne hiç rastlamadığımız bir erişim yöntemi. Yani doğrudan şunu yaptılar; ‘Türkiye’den herhangi bir internet abonesi, 8.8.8.8 ve 8.8.4.4 adreslerine girmeye çalışırsa, engelle’ Velhasıl, eski ama halen geçerliliğini korumakta olan doğrudan ip adresi erişimi engellemesi yaptılar. -Teknik olarak bunu SPI, yani eski yöntemle yaptılar deyü düşünüyorum ^^-Şu an görünen o ki bu yasaklama yalnızca Türk Telekom ve ona bağlı hizmetleri kullanan DSmart, vb. internet servis sağlayıcıların tekelinde. Vodafone, Turkcell ve Avea halen DNS ipsi yönlendirerek bu işi çözüyor.

E tabii “8.8.8.8’den giremiyorsak, 4.2.2.2 ya da OpenDNS ile neden giremiyoruz?” diyebilirsiniz. Türk Telekom, dün itibariyle 8.8.8.8’e yaptığı yasaklamayı kaldırıp, doğrudan Twitter’a ait ip adreslerini yasakladı. Twitter’a ait olduğu bilinen 199.16.156.0’dan 199.16.156.254’e kadar olan 255 adet ip adresi iki gün önce Google’ın DNS ip adreslerine yapıldığı gibi yasaklandı. Bu yüzden artık DNS değiştirmek işe yaramıyor. Çünkü doğrudan, internetin Türkiye’deki kaynağından erişimi engellediler🙂

Peki bu yasağı nasıl aşacağız? Elbette bu ve benzeri hiçbir yasaklama erişimi engellenen site ya da uygulamara erişimimizi tam olarak engelleyemez. Komik olan tarafı da bir sonraki yasaklama girişimleriniz ne olabileceği🙂 Pekii, Tor! Tor, basit olarak; proxy, VPN gibi ip adresinizi değiştirmek ve sizi sanki başka bir konumda (şehir, ülke) göstermekle kalmayıp, internetteki giriş çıkışlarınızın takibini zorlaştıran bir mantıkla çalışıyor. Uygulamayı her kapatıp açtığınızda sanki yine başka bir konumdan girmişsiniz gibi ip adresinizi değiştirebiliyor. Diğer yandan; 2001 yılından beri geliştirilen, hem kendi yaptıkları açıklamalarla ve hem bağımsız araştırmacıların yorumlarıyla güvenliğini kanıtlayan bir uygulama. En güzeli de açık kaynak kodlu oluşu. Tüm bunları topladığınızda, şu an hem Windows, hem Android, hem de iOs için en güvenli ve hızlı tercih Tor olacak. Zaten Tor halihazırda, kendi browserını kullanmanızı sağlıyor. Yani siz Safari, Chrome, Internet Explorer ya da Firefox’tan internete giriyorken Türkiye’den giriyormuşsunuz gibi hareket ederken, Tor açarak girdiğinizde bambaşka bir yerde olacağınızdan, güvenle Twitter mwitter hepsine girebilirsiniz🙂

Uygulamayı bilgisayarlarınıza kurmak için: https://kemgozleresis.org.tr/tr/masaustu/tarayici/tor/

Akıllı telefonlarınıza kurmak için https://kemgozleresis.org.tr/tr/mobil/mobil-tarayici/

Yasaksız günler dilemek isterdim ama gelin görün ki biraz geç kaldık.

*Teknik not: SPI ya da  stateful firewall

Google’ın DNS İp Adresleri Yasaklandı mı?

Ortalığı velveleye vermek istemiyorum; yanılmak istediğim ama yanılamadığım kötü bir haberim var; Google’a ait DNS ip adreslerine Türkiye’den erişilemiyor. İki farklı metro ethernet internet, bir adsl hattı üzerinden denedim ve hiçbir şekilde 8.8.8.8 ve 8.8.4.4 ip adreslerine erişim sağlayamadım (normal yollarla ^^).  Ama gelin görün ki bu ip adreslerine Türkiye dışında herhangi bir yerden erişmek istediğinizde erişebiliyorsunuz.

Henüz konuyla ilgili Google ya da herhangi bir yerden açıklamama olmamasına karşın, Twitter yasağı ve hemen ardından DNS değişimiyle gelen yasak çözme girişimleri birilerini rahatsız etmiş gibi duruyoore🙂

Peki ne yapacağız? Dünyadaki tüm DNS iplerini yasaklayamazlar! Bu yüzden şimdilik şunları kullanabilirsiniz:

  • 4.2.2.2
  • 208.67.222.222
  • 208.67.220.220

3G üzerinden internete bağlanan ve DNS değiştiremeyenler için: https://kemgozleresis.org.tr/tr/mobil/mobil-tarayici/

Yasaksız günler.

Takip Et

Her yeni yazı için posta kutunuza gönderim alın.

Diğer 711 takipçiye katılın

%d blogcu bunu beğendi: