Tunelleme yontemlerinden sık kullanilanlarini sayacak olursak;

ICMP Tunelleme -Artik disariya icmp paketleri kapali oldugu icin cok ise yaramiyor DNS Port tunelleme – Disariya dns portu aciksa UDP/TCP 53 uzerinden tunelleme. Ayni zamanda OpenVPN icin de kullanilabilir.

DNS Protokol Tunelleme – Klasik dns sorgulari kullanarak yerel agdaki dns sunucu uzerinden Firewall/IPS Atlatma

HTTP In Smtp tunelleme – HTTP isteklerini local mail sunucu uzerinden gondderme. Bu yontem de sadece local erisimi olanlar icin saglam bir bypass yontemi

Son olarak da

HTTP/HTTPS Tunelleme – Cesitli varyasyonlari olmakla birlikte IPS’ler tarafindan yakalanmamak icin HTTP Degil HTTPS kullanmak ve klasik http protokolune uygun istekler gondermek gerekir. Yani disarda biryerde 80. portu acik bekleyen bir sunucu ve uzerinde kendi yazilimimiz olmasina gerek olmadan calisan web sunucu uzerine bir dosya yerlestirerek bu dosya araciligi ile tunelleme yapmak.

Bu yontemle calisan araclar cogunlukla TCP baglantilarini tunelleme icin kullaniliyor. UDP icin henuz saglikli calisan uygulama sayisi oldukca az/yok.

Tunelleme konusu gelince seminerlerimden birinde katilimci bir arkadasin soyledigi su soz aklima geliyor “Bir port acikca tum portlar aciktir, bir protokol aciksa tum protokoller aciktir”.

Bu yazinin konusunu da yeni cikan bir tunelleme araci olusturuyor. WebTunnel, tamamen http/https istekleri uzerinden calisan ve herhangi TCP protokolunu ilgili sayfa uzerinden tunellemeye yarayan bir arac. Buna benzer bir araci yakinlarda yayinlanmisti ama jsp versiyonu haric saglikli calismiyordu(reDuh)

WEbTunnel Calisma mantigi

Istemci—-Proxy/Firewall/IPS—-Internet

Istemci’nin sadece Proxy uzerinden HTTP ve HTTPS isteklerine izni var. Fakat istemci SSH ya da RDP gibi protokoller kullanmak istiyor.

Istemci Webtunnel’in bilesenlerinden birini disarda bir sunucuya yerlestiriyor. Bu bilesen perl ile yazilmis bir CGI uygulamasi. (Calismasi icin hedef sunucuda .pl uzantili dosyalarin cgi olarak calistirma izni olmasi gerekir.)

Sonrasinda istemci tarafinda WebTunnel’in istemci yazilimi ile sunucudaki bu  URL’i cagiriyor ve tunnel kurulmus oluyor. Bundan sonrasi kullanilacak diger uygulamalarin portunun tunelin actigi porta yonlendirilmesine kaliyor.

Uygulama

http://www.islandjohn.com/islandjohn.com/Home/Entries/2009/2/1_Webtunnel.html

adresinden webtunnel uygulamasi indirilir. Uygulamanin wts.pl  —>Sunucuya aktarilacak kisim wtc.pl —->istemcide kullanilacak kisim

olmak uzere iki bileseni vardir.  “wts.pl” web sunucuda cgi-bin dizinine yerlestirilir. Sonrasinda tunel kurulumu icin wtc.pl scripti calistirilmali.

#perl wtc.pl 

Usage: wtc.pl [--daemon] [--pid file] [--cert file] [--key file] local remote tunnel [proxy]

local        Tunel kurulduktan sonra yerelde dinlemeye alinacak port(Tunelleme yapilacak diger uygulamalar bu portu kullanacak)

remote        Baglanilmak istenen asil sistem

tunnel        Tunel ucu olarak kullanilacak wts.pl scriptinin http/https yolu

proxy         Uygulamayi Proxy uzerinden kullanmak icin Proxy adresi

Tunel’i aktif etmek icin kullandigim komut:

$ perl wtc.pl tcp://localhost:8080 tcp://vpn.lifeoverip.net:22 http://WEB_SUNUCU/cgi-bin/wts.pl

2009-02-23 10:42:57 webtunnel[9512]: wtc_tunnel_start() code=200 message=OK status=1 reason=Tunnel started C

2009-02-23 10:43:38 webtunnel[9512]: wtc_tunnel_stop() code=200 message=OK status=1 reason=Tunnel stopped

Bu komutla localhost’un 8080 portunu uzaktaki wts.pl araciligi ile vpn.lifeoverip.net’in 22. portuna baglamis olduk. Kurulan tuneli kullanarak SSH baglantisi yapalim

huzeyfe@elmasekeri:~$ ssh localhost  -p 8080

The authenticity of host ‘[localhost]:8080 ([127.0.0.1]:8080)’ can’t be established. DSA key fingerprint is c2:c3:a8:6c:0b:ce:7c:59:7d:e3:38:6c:98:67:4a:46. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added ‘[localhost]:8080’ (DSA) to the list of known hosts. Password: Last login: Sun Feb 22 19:23:16 2009 from XYZ Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 The Regents of the University of California.  All rights reserved.

$ last|head -1 huzeyfe          ttyp0    WEB_SUNUCU          Mon Feb 23 10:33   still logged in $

Gorulecegi gibi vpn.lifeoverip.net’e istemcinin ip adresinden degil web sunucunun ip adresinden baglanilmis oluyor.

Tunel Guvenligi

Tunel kurulurken bir sniffer araciligi ile gidip gelen veriler incelenirse asagidaki gibi cikti alinacaktir

root@elmasekeri:~# urlsnarf

urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]

123.alibaba. – – [23/Feb/2009:10:56:06 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=start&arg=tcp%3A%2F%2Fvpn.lifeoverip.net%3A22 HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:07 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=read HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:07 +0200] “POST http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=write HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:07 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=read HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:07 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=read HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:07 +0200] “POST http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=write HTTP/1.1” – – “-” “webtunnel/0.0.3”

123.alibaba. – – [23/Feb/2009:10:56:08 +0200] “GET http://WEB_SUNUCU/cgi-bin/wts.pl?cmd=read HTTP/1.1” – – “-” “webtunnel/0.0.3”

…
POST detaylarina bakilirsa arada gidip gelen veriler(sifreler vs)okunabilir. Dolayisi ile tuneli guvenli kurabilmek icin https baglantisi kullanilmalidir.

$ perl wtc.pl tcp://localhost:8080 tcp://vpn.lifeoverip.net:22 https://WEB_SUNUCU/cgi-bin/wts.pl

gibi

ya da istemci tarafi sertifikalari kullanilarak daha guvenli bir baglanti kurulabilir.

The post Alternatif TCP Tunelleme Araci – WebTunnel first appeared on Complexity is the enemy of Security.

Bazen oyle durumlar olabiliyor ki bir sadece bir sayfanin icerigine bakip cikmak istiyorsunuz ama onunuzdeki zalim icerik filtreleme programi buna izin vermiyor.

Bu gibi durumlarda Google & Yahoo (ve benzeri arama motorlari)’nun sundugu bazi hizmetleri “kotu”ye kullanarak Icerik filtreleme programlarini bir asamaya kadar atlatabilirsiniz.

Yontem-1) Google ve Yahoo arama sayfasinda cikan sonuclarin Cache’lenmis halini kullaniciya gosterebiliyor. Bir sayfaya ulasamiyorsaniz o sayfayi google/yahoo’da aratin ve arama sonuclarinda “Cached” linkine tiklayarak o sayfanin Google/Yahoo tarafindan alinmis son kopyasini gezebilirsiniz.
Bu yontem cok nadir durumlarda ise yarayabilir.

Yontem-II) Google ve Yahoo’nun translator hizmetleri var. Bu hizmetlerle bir web sayfasini x dilinden Y diline cevirip gezebiliyorsunuz. Ozellikle bilgi iceren (?) cince sayfalari ingilizceye cevirip gezmesi cok faydali olabiliyor. Google/Yahoo’nun sundugu bu ozelliklerin guzel bir yani da icerik filtreleyiciler tarafindan bloklanmis bir sayfayi cevirici araciligi ile gezdirebilmesi.

Mesela www.metasploit.org sayfasi bloklanmis ve sizin asyfaya girmeniz gerekiyor. Hemen babelfish.yahoo.com ya da translate.google.com sayfasina girip http://www.metasploit.org sayfasini herhangi bir dilden Ingilizceye cevir diyoruz ve yasaklanmis sayfayi güncel hali ile gezebiliyoruz.

Not:Bu yontem Websense uzerinde denenmistir. URL filtering yapan programlarda calismayacaktir.

Ekte gorebileceginiz uzere Websense tarafindan bloklanan web sayfasi babelfish araciligi ile gezilebiliyor. Google’un translater hizmeti Websense tarafindan yakalaniyor.

Bu tip kacaklarin engellenmesini isterseniz piyasada bilinen translater hizmeti veren yerleri dogrudan bloklayabilirsiniz. Ya da url filtering cozumunu aktif ederek ilgili domainlerin url de gectigi zaman bloklanmasini saglayabilirsiniz.

The post Google & Yahoo kullanarak icerik filtreleyicileri atlatmak first appeared on Complexity is the enemy of Security.

Proxy amacli olarak Microsoft ISA Server ve NTLM Authentication kullanilan  ortamlarda cogu internet uygulamasi calismaz. Bunun sebebi NTLM‘in Microsoft’a ozgun bir protokol olmasi ve klasik authentication mekanizmalarindan fazlasiyla karisik olmasi sebebi ile yazilimcilarin bu destegi vermek icin ugrasmamasi.

Mesela Websense ya da benzeri bir icerik filtreleme programini atlatmak icin Ultrasurf(Ultrasurf kullanip da icerik filtreleme programlarina takildigini dusunen arkadaslarin cogu aslinda ntlm auth ile karsilasiyor ve Ultrasurf’in ntlm auth destegi olmadigi icin calismiyor) kullanmaniz gerekirse ya da rapidshare’den toplu dosya indirmek icin Flashget benzeri programlari kullanmak isterseniz hep bu ntlm auth problemi ile karsilasirsiniz.

Bu tip ntlm auth. gerektiren durumlarda Python ile yazilmis NTLMAPS yazilimini tercih ederdim. NTLMAPS sizin uygulamaniz(standart proxy destegi olmali) ile NTLM auth isteyen proxy arasina girerek bir nevi kopruluk vazifesi gorur. Bugunlerde benzeri bir istek icin biraz daha performansli bir yazilima ihtiyac duydum ve Cntlm ile tanistim. Cntlm de NTLMAPS benzeri amaci NTLM Auth desteklemeyen uygulamalar icin kopruluk vazifesi goruyor ve refiki NTLMAPS’e gore cok daha iyi calisiyor.

Farklari ne diye merak ederseniz kisaca;

“Cntlm works similarly to NTLMAPS, but it’s lightning fast, has bucket load of new features (like proxy chaining or penetration) and none of its shortcomings and inefficiencies. It adds support for real keep-alive (on both sides) and it caches all authenticated connections for reuse in subsequent requests. It can be restarted without TIME_WAIT delay, uses just a fraction of memory compared to NTLMAPS and by orders of magnitude less CPU. Each thread is completely independent and one cannot block another. Cntlm has many security features like NTLMv2 support and password protection – it is possible to substitute password hashes (which can be obtained using -H) for the actual password or to enter the password just interactively. If plaintext password is used, it is automatically hashed during the startup and all its traces are removed from the process memory.”

Uzunca okumak icin de http://cntlm.awk.cz/ adresi yardimci olacaktir.

Benim kisisel tecrubem Cntlm’in cok daha sorunsuz calistigi ve performansinin kat kat iyi oldugu yonunde.  Hem Linux hem de Windows ortamlarinda calistigini soylememe gerek yok:).

The post NTLM Auth isteyen uygulamalara saglikli cozum first appeared on Complexity is the enemy of Security.

Once programin mantigini anlamak icin tcpdump ile trafik analizi yaptim ve acikcasi birsey anlamadim:). Program calistirildiginda bir suru farkli adrese dns sorgulari gonderiyordu ve ardindan o adreslere 443. porttan baglanip veri aktarimina geciyordu. Acaba dns sorgulari icerisinde veri mi tasiyor diye inceleyince  anormal bir durumun olmadigini gordum. Biraz daha bekleyince bu sorgulari ya sasirtma ya da baglanilacak hedef noktalarin durumunu anlamak icin kullandigini dusundum.

Ve ilk is olarak makineden disari cikan dns isteklerini blokladim ve programi tekrar calistirdim. Birkac saniye gecikme ile problemsiz baglandi.  DNs sorgularini birakip 443. porttan giden isteklere yogunlastim. Programi onlarca kere calistirarak hedef olarak baglandigi tum ipleri toplamaya calistim. Hatta bir ara topladigimi dusundum:).  Yaklasik 30-40 ip adresine giden TCP/443 isteklerini bloklayinca program calismadi…

Yanildigimi anlamam cok uzun surmedi ve bu isi Firewall ile yapamayacagima karar verip biraz daha ustduzey bir cozume yoneldim. Burada devreye Squid girdi.

FreeBSD uzerinde Squid’i ayarlayarak tum SSL baglantilarini loglattirdim(CONNECT methodu ile baglanilan adresler) sonra programin ayarlarinda bulunan Proxy sekmesinden proxy olarak Freebsd’yi gosterdim ve squid loglarina baktim. Loglarda gordugum ip adresleri aslinda Firewall ile gorduklerimle benzerdi fakat ben o adresleri blokladikca adresler degismeye basladi:). Tam bir kefi fare oyunu gibi birkac saat ugrastim…

Ugraslarim sonucsuz kalinca biraz temiz hava alarak mantikli dusunmeye calistim ve daha once Skype bloklamak icin kullandigim  bir yontemi denemeye karar verdim.

Bu karari almada Squid loglari cok etkili oldu.

1216392570.130      1 192.168.2.23 TCP_MISS/200 979 CONNECT https://121.100.83.188:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392570.134      1 192.168.2.23 TCP_MISS/200 979 CONNECT https://71.202.103.111:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392570.139      0 192.168.2.23 TCP_MISS/200 979 CONNECT https://99.244.154.125:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392570.145      1 192.168.2.23 TCP_MISS/200 979 CONNECT https://98.207.118.112:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392570.154      1 192.168.2.23 TCP_MISS/200 977 CONNECT https://71.198.74.252:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392570.158      0 192.168.2.23 TCP_MISS/200 977 CONNECT https://71.195.174.97:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392571.565  21393 192.168.2.23 TCP_MISS/200 9207 CONNECT https://login.dtcc.com:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392585.090      0 192.168.2.23 TCP_MISS/200 975 CONNECT https://64.62.138.25:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392585.096      0 192.168.2.23 TCP_MISS/200 975 CONNECT https://64.62.138.22:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392585.103      1 192.168.2.23 TCP_MISS/200 975 CONNECT https://64.62.138.20:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392606.547  56371 192.168.2.23 TCP_MISS/200 8565 CONNECT https://docs.google.com:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392606.548  56373 192.168.2.23 TCP_MISS/200 40604 CONNECT https://store.willcom-inc.com:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392606.549  56377 192.168.2.23 TCP_MISS/200 3237 CONNECT https://www.commerceonlinebanking.com:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392622.633      1 192.168.2.23 TCP_MISS/200 979 CONNECT https://59.115.196.224:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392625.220      1 192.168.2.23 TCP_MISS/200 979 CONNECT https://59.115.171.204:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392626.523      1 192.168.2.23 TCP_MISS/200 977 CONNECT https://125.225.43.66:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392626.532      1 192.168.2.23 TCP_MISS/200 979 CONNECT https://220.142.201.77:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392634.777    674 192.168.2.23 TCP_MISS/200 1305 CONNECT https://www.virusbtn.com:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392634.991    885 192.168.2.23 TCP_MISS/200 14882 CONNECT https://www.uktradeinvest.gov.uk:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392640.129   6024 192.168.2.23 TCP_MISS/200 9207 CONNECT https://login.dtcc.com:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392643.744   9638 192.168.2.23 TCP_MISS/200 1450 CONNECT https://ipfax.cttbj.com:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –
1216392645.217   1473 192.168.2.23 TCP_MISS/200 138 CONNECT https://ipfax.cttbj.com:443 192.168.2.23 DEFAULT_PARENT/127.0.0.1 –

Loglardan anlasilan su idi: Bu program 443. port uzerinden cikmak icin cesitli ip adreslerini kullaniyordu oysa saglikli bir https sitesi ip adresi uzerinden calismaz(nadir ornekleri olsa da tercih  ve tavsiye edilmeyen bir yontem ) ben eger Squid -ya da herhangi bir icerik filtreleme araci- ile 443. port uzerinden CONNECT methodu ile baglanan ve hedef olarak ip adresi secen istekleri yasaklarsam bu program calismaz. Birkac deneme sonrasi gercekten bu fikrin ise ayradigini gordum. Ayni dertten muzdarip bir arkadas da test edip onaylayinca rahat bir nefes alarak uykuya gecebildim.

Squid uzerinde yaptigim ayarlar;

acl CONNECT method CONNECT
acl ultra_block  url_regex ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
http_access deny CONNECT ultra_block  all

kisaca icerisinde ip adresi gececek urlleri bloklayacak bir acl yazdim ve bunu blokladim.

Bu islem sonrasinda loglara bakilirsa hangi adreslere baglanmaya calistigi gorulecektir ve Ultrasurf calismayacaktir.

Ek olarak eger aginizda NTLM authentication kullaniyorsaniz bu tip programlar calismaz(proxy destegi var fakat ntlm auth destegi genelde yok)

Guncelleme: Bazi IPSler bu tip kacak programlar  icin imzalarini cikarmaya basladilar. Siz de o sansli kullanicilardansaniz ek islem yapmaniza gerek kalmayacaktir.

Yine bazi client security urunleri(Mcafee vs) de uzun zamandir bu ve benzeri programciklari network katmaninda degil de direkt isletim sisteminde calistirilirken yakalayip engelleyebiliyor(mus). Tabi burada izlenen yontem onemli, zira bu clientlara ait tum ozellikler degistirilebilir.

Güncelleme-2: Zemana’cılar programı daha detaylı inceleyip ufak bir engelleme yazılımı hazırlamıslar. Onların uyarısı ile ben de tekrar test edip gördüm ki Ultrasurf gercek bir SSL baglantisi kullanmiyor. Bazı adreslere yaptığı gercek SSL bağlantılarına bakarak kanmısım oysa tekrar detaylı inceleyince SSL’de mutlaka olması gereken sertifika gönderimi Ultrasurf trafiğinde yok.  Bunun yerinayni porttan, protokol bilgileri cok benzer cakma bir sifreli protokol kullanıyor.

Zemana’ın blog girdisi : http://blog.zemana.com/2009/01/ultrasurf-proxy-analizi.html

The post Ultrasurf engelleme first appeared on Complexity is the enemy of Security.

Internetin dogasinda bulunan ve teorik olarak engellenemeyecek tek seyin ozgurluk olduguna inananlardanım. Aynı zamanda ozgurlugun de bir siniri oldugunu kabul eder  fakat bu sınırı baskalarının benim adıma belirlemesi ve dayatmasından da rahatsız olurum.

Bu sebeple internet uzerinde yapilan engellemelere genelde guler gecerim. Zira her engelleme sonrasi kullanicilar baska bir yontem bularak yasagi delmeyi basarirlar. Security adminler -ya da bunlarin yerine kullandiklari urun firmalari- de bu acilan deligi kapatmak icin cabalar durur. Tipki virusun cikmasi ve ardindan antivirus urunlerinin guncellenmesi gibi…

Ben de zaman zaman hem calisma yapisini anlamak hem de guvenilir olmayan ortamlarda korunmak icin bu tip yazilimlari kullanirim. Gecen gun Erhan’in maili ile baska bir antisansur yazilimi olan Ultrasurf ile tanistim ve ilk dakikada hayran oldum:).

Kendisi benim icin yuzyilin antisansur yazilimi unvanini hakedecek kadar basarili cikti.

Neden? Cunku: kurulum gerektirmiyor, ayar gerektirmiyor,  piyasadaki cogu Firewall, IPS, Content Filtering cozumunu hicbir ek tecrube, caba gerektirmeden atlatabiliyor, baglanti hizini dusurmuyor(tor vs ile karsilastirildiginda) ve tum baglantilarinizi sifrelenmis bir sekilde merakli gozlerden sakliyor.

Kaynak kodu acik olmadigi ve hakkinda yeteri kadar bilgi o lmadigi icin engellemenin belirli ve mantiki bir yontemi de yok. Yaptigim denemeler sonucu Skype benzeri bir yapida calistigi konusunda izlenim edindim .

***

Bu tip anti-sansur programlarini hem desteklerim hem de sorumlu bir yonetici olarak kendi agimda kullanilmasini istemem. Bu sebeple oturdum birkac saatimi verip programin calisma mantigini inceledim(kurdugu baglantilari izleyerek). Ve sonunda bloklamanin yolunu buldum. Bir baska konuda onu yazacagim.

Antisansur konularinda daha detayli bilgi almak ve bu konuda yapilan calismalari (teorik ve pratik) incelemek icin http://www.internetfreedom.org/ adresi incelenebilir.

	UltraSurf	FreeGate	GTunnel
	FirePhoenix	GPass	Ranking

The post Internet kisitlamalari nasil asilir? Anti-sansur yazilimlari first appeared on Complexity is the enemy of Security.

OpenDNS’e uye oluyorsunuz -> Uyelik sayfasindan ip araliginizi belirtiyorsunuz->Hangi kategorilerdeki iceriklerin bloklanacagini seciyorsunuz(Klasik icerik filtreleme sistemlerindeki gibi)->Sonra aginizda DNS sunucu olarak OpenDNS’în adreslerini veriyorsunuz ve boylece ek bir islem, yatirim yapmadan hizli bir icerik filtreleyiciye sahip oluyorsunuz.

OpenDNS’i kullanan istemci sayisinin 5 milyon oldugu ve bu sayinin hergecen gun arttigi dusunulurse yakin gelecekte piyasada dolasan icerik filtreleme sistemlerine ciddi bir rakip geliyor demektir.

Icerik filtreleme sistemlerde en onemli iki husus performans ve bloklanacak site veritabanidir.(Buna bir de loglama ve raporlama ekleyebiliriz). Performans konusunda OpenDNS’i gececek bir uygulama olmayacaktir zira daha dns sorgulama esnasinda istekler filtrelenecektir. Bu sistemi Spam engelleme icin kullandigimiz RBL Listelerine benzetebiliriz.

OpenDNS’în site veritabani henuz cok gelismis degil ama gonullu kullanicilar tarafindan her gecen gun siteler kategorilendiriliyor ve veritabani buyuyor.

Genel olarak dusunuldugunde hem ucretsiz olmasi hem de kurulum, bakim gibi kaynak gerektirecek islemleri olmamasi benim gozumde OpenDNS’i gelecegin icerik filtreleme sistemi olarakust siralara yerlestiriyor. Buyuk sirketler icin degil fakat orta olcekli ve kucuk olcekli sirketler icin denenesi bir cozum.

Tabi burada gozden kacirilmamasi gereken durum OpenDNS’in sizin tum DNS trafiginize hakim olmasi ki bu da sizin trafiginiz uzerinde istenilen islemin OpenDNS tarafindan yapilabilecegi manasina geliyor.

The post OpenDNS kullanarak web sayfalarina icerik filtreleme first appeared on Complexity is the enemy of Security.

Http proxyler bildigimiz klasik proxy anlayisinin biraz disinda. Browserdan herhangi bir ayar yapmaya gerek kalmadan site icinden kullanilabiliyor. Http content filterlara takilmamak icin cogu proxy SSL destegi de veriyor. Boylece bu tip proxylerin kullanilmasini engellemenin tek(?) yolu olarak domain ismine gore yasaklama(yeni cikan https content filterlari saymiyorum)secenegi oluyor.

Internette yaptigim kisa bir arastirma sonrasi domain isimlerinin de artik takip edilemez derece de arttigini gordum. Kisa bir arastirma ile saglikli bir sekilde calisan 50000 den fazla http/https proxy sitesine ulastigimi soyleyebilirim.

Arastirmayi biraz daha uzatirsam bu sayinin yuzbinleri asacagina eminim.

Eger siz de Websense vs gibi ticari yazilimlar kullanmiyorsaniz asagidaki siteleri duzenli takip ederek bu tip proxylerin kullanilmasini engelleyebilirsiniz. %100 bir engelleme saglamasa da kullanici profilinizin cesitliligine gore %90 ustu bir koruma saglanabilir. Geriye kalan %10luk kisim icin de http/https erisim loglarinizi inceleyerek proxy olabilecek adresleri eklersiniz.

http://proxy.org/cgi_proxies.shtml

http://www.freecgiproxylist.com/FreeProxies.html

http://www.freeproxy.ru/en/free_proxy/cgi-proxy.htm

http://freeproxies.org/list.htm

The post Free Proxyleri Engelleme first appeared on Complexity is the enemy of Security.