[Linux-guvenlik] İç IP Dağıtım loglarını zaman damgası ile imzalamak.

Discussion:

h***@gmail.com

2010-03-03 14:31:56 UTC

Merhaba sevgili üstadlar.

ipcop firewal'ýn daðýttýðý ip loglarýnýný yani dhcp loglarýný baþka bir
pc'nin belli bir portuna anlýk olarak nasýl yönlendirebilirim.
Amacým loglarý bir windows pc'ye yönlendirmek ve orada tib'in imzalama
yazýlýmý ile imzalayarak saklamak. Yada ipcop ile bu iþlemleri direk kendi
üzerinde yapma þansým olabilir mi? eðer ipcop üzerinde openssl +tsa patch
iþlemi yapabilseydim
http://www.syslogs.org/openssl-ile-5651-sayili-kanun-geregi-log-imzalamak/linkindeki
iþlemleri uygulayacaktým ama baþaramadým malesef.
Þimdiden teþekkürler..

Saygýlarýmla...
Hakan TOPTAÞ
Bilgi Ýþlem Sorumlusu

Eray Aslan

2010-03-03 15:03:06 UTC

Permalink

ipcop firewal'ın dağıttığı ip loglarınını yani dhcp loglarını başka bir
pc'nin belli bir portuna anlık olarak nasıl yönlendirebilirim.
Amacım logları bir windows pc'ye yönlendirmek ve orada tib'in imzalama
yazılımı ile imzalayarak saklamak. Yada ipcop ile bu işlemleri direk
kendi üzerinde yapma şansım olabilir mi? eğer ipcop üzerinde openssl
+tsa patch işlemi yapabilseydim
http://www.syslogs.org/openssl-ile-5651-sayili-kanun-geregi-log-imzalamak/
linkindeki işlemleri uygulayacaktım ama başaramadım malesef.

--
Eray

Huzeyfe Onal

2010-03-03 15:29:27 UTC

Permalink

Merhabalar,

tutulan loglarýn imzalanmasý þart.

Loglarý Linux'den otomatik olarak ftp/sftp vs ile alýp Windows üzerinde
çalýþan TIB'ýn yazdýðý imzalama aracýný kullanabilirsiniz.

http://www.tib.gov.tr/IP_log_imzalayici

---
Huzeyfe ONAL
Að ve bilgi güvenliði listesine üye oldunuz mu?
http://www.lifeoverip.net/netsec-listesi/

---

Post by h***@gmail.com

Post by h***@gmail.com
ipcop firewal'ýn daðýttýðý ip loglarýnýný yani dhcp loglarýný baþka bir
pc'nin belli bir portuna anlýk olarak nasýl yönlendirebilirim.
Amacým loglarý bir windows pc'ye yönlendirmek ve orada tib'in imzalama
yazýlýmý ile imzalayarak saklamak. Yada ipcop ile bu iþlemleri direk
kendi üzerinde yapma þansým olabilir mi? eðer ipcop üzerinde openssl
+tsa patch iþlemi yapabilseydim

http://www.syslogs.org/openssl-ile-5651-sayili-kanun-geregi-log-imzalamak/

Post by h***@gmail.com
linkindeki iþlemleri uygulayacaktým ama baþaramadým malesef.

* Imzalanmasi sart degil (AFAIK)
* openssl 1.0.0 yakinda cikiyor (patch'e gerek kalmayacak)
* Kendi kendinize imzaliyorsunuz (guvenilir ucuncu parti imzalamiyor).
Bu durumda openssl'ye gerek yok. Illa imzalamak istiyorsaniz gnupg ile
imzalayin. Patch ile ugrasmayin.
--
Eray
_______________________________________________
Linux-guvenlik mailing list
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
Liste kurallari: http://liste.linux.org.tr/kurallar.php

Mucibirahman İLBUĞA

2010-03-03 16:05:22 UTC

Permalink

Post by Huzeyfe Onal
Merhabalar,
tutulan logların imzalanması şart.
Logları Linux'den otomatik olarak ftp/sftp vs ile alıp Windows
üzerinde çalışan TIB'ın yazdığı imzalama aracını kullanabilirsiniz.
http://www.tib.gov.tr/IP_log_imzalayici

Merhabalar,
Bir ara TİB ile yazışmıştım. Sadece internet sağlayıcılar için IP
logları ve imzalanması gerekiyor denmişti... Normal firmalar sadece
filtre yazılımı kullanmak zorunda diye biliyorum?!

--
Kolay gelsin,
Mucip:)

Huzeyfe Onal

2010-03-03 16:16:40 UTC

Permalink

Merhabalar,

sadece kullanýcýlarýnýza internet erisimi veriyorsanýz(*Ýnternet toplu
kullaným saðlayýcý*) bu durumda imzalama istenmiyor(iç ip daðýtým loglarý
mutlaka isteniyor) ama internet cafe gibi ticari amaçlý internet
eriþimi(*Ticari
amaçla internet toplu kullaným saðlayýcý*) hizmetiniz varsa loglarýn
imzalanmasý da isteniyor.

*Ýnternet toplu kullaným saðlayýcý: *Kiþilere belli bir yerde ve belli bir
süre internet ortamý kullaným olanaðý saðlayan gerçek ve tüzel kiþileri,

*Ticari amaçla internet toplu kullaným saðlayýcý*: Ýnternet salonu ve
benzeri umuma açýk yerlerde belirli bir ücret karþýlýðý internet toplu
kullaným saðlayýcýlýðý hizmeti veren veya bununla beraber bilgisayarlarda
bilgi ve beceri artýrýcý veya zekâ geliþtirici nitelikteki oyunlarýn
oynatýlmasýna imkân saðlayan gerçek ve tüzel kiþileri,

Resmi bilgiler http://www.tib.gov.tr/node/29 adresinden edinilebilir.

---
Huzeyfe ONAL
Að ve bilgi güvenliði listesine üye oldunuz mu?
http://www.lifeoverip.net/netsec-listesi/

---

Post by Huzeyfe Onal

Post by Huzeyfe Onal
Merhabalar,
tutulan loglarýn imzalanmasý þart.
Loglarý Linux'den otomatik olarak ftp/sftp vs ile alýp Windows
üzerinde çalýþan TIB'ýn yazdýðý imzalama aracýný kullanabilirsiniz.
http://www.tib.gov.tr/IP_log_imzalayici

Merhabalar,
Bir ara TÝB ile yazýþmýþtým. Sadece internet saðlayýcýlar için IP
loglarý ve imzalanmasý gerekiyor denmiþti... Normal firmalar sadece
filtre yazýlýmý kullanmak zorunda diye biliyorum?!
--
Kolay gelsin,
Mucip:)
_______________________________________________
Linux-guvenlik mailing list
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
Liste kurallari: http://liste.linux.org.tr/kurallar.php

Eray Aslan

2010-03-03 16:55:54 UTC

Permalink

sadece kullanıcılarınıza internet erisimi veriyorsanız(*İnternet toplu
kullanım sağlayıcı*) bu durumda imzalama istenmiyor(iç ip dağıtım logları
mutlaka isteniyor) ama internet cafe gibi ticari amaçlı internet
erişimi(*Ticari
amaçla internet toplu kullanım sağlayıcı*) hizmetiniz varsa logların
imzalanması da isteniyor.

Bizim aldigimiz hukuksal gorus imzalamamiza gerek olmadigi yonunde
(internet cafe degiliz). Sanirim ayni seyi soyluyoruz. OP'ye cevap
verirken "internet toplu kullanim saglayici" oldugunu teyit etmem
gerekirdi. Haklisiniz.

Bununla beraber kendi kendinize imzalamanizin ne faydasi oldugunu
anlamis degilim. Kotu niyetli iseniz, saati degistirip imzayi daha
sonra tekrar atmaniza hicbir engel yok.

--
Eray

Engin Yüce

2010-03-03 17:20:07 UTC

Permalink

Hocam bence log'u imzalamanÄ±n gerekip gerekmediÄini sorgulamak yerine en
saÄlÄ±klÄ±sÄ± siz log'u imzalayÄ±n. Log imzalamaktan zarar gelmez, iÃ§iniz rahat
olur ne azÄ±ndan. Yada Åimdi olmasa bile ilerde yasada bir deÄiÅiklik
oldugunda sÄ±kÄ±ntÄ± Ã§ekmezsiniz. O sitede anlatÄ±lan patch 64 bit OS iÃ§in
DEÄÄ°L! Siz 64bit kullanÄ±yorsanÄ±z patch'i uygulayÄ±p openssl'i sorunsuz
derlediÄiniz halde bile, ts iÅlemi yapamazsÄ±nÄ±z, hata verir. (Patch 32bit
iÃ§in.) Siz openssl 1.0.0 Beta 5'i kullanarak (patche gerek yok tsa iÃ§inde
geliyor.) loglarÄ±nÄ±z imzalayÄ±n(64bit sorunu yoktur bunda). Beta olduÄundan
korkmayÄ±n sisteminizdeki bulunan stable openssl 'inize hiÃ§ bir deÄiÅiklik
yapmadan baÅka bir yere kurarak sadece imzalama iÅini yaptÄ±rÄ±caz bu openssl
binary'sine...(Gerekirse stable'Ä± Ã§Ä±ktÄ±gÄ±nda deÄiÅtirirsiniz sadece openssli
sistemini bozmadan.. )

Ben otomatik olarak o log'a ait logrotate ayar dosyasÄ±nÄ±n postscript kÄ±smÄ±na
konulan bir scipt ile otomatik her log dongusunde Ã§alÄ±Åan, loglarÄ±nÄ±zÄ±
imzalayan, imzalamada sorun oldugunda mail atan, kaydedilecek yerde boÅ alan
kalmadÄ±gÄ± zaman mail atan scriptler grubu ve otomatik ayarlayÄ±cÄ±sÄ±nÄ±
yapmÄ±stÄ±m. Hatta TSA ve CA yÄ± bile tek bir satÄ±r komut girmeden otomatik
oluÅturuyor(Bir Ã§eÅit wizard gibi^^). Lakin bu script debian/ubuntu(tam
testini ubuntuda yapmadÄ±m) uyumlu, distro spesifik komutlar iÃ§eriyor. Hatta
bir iki yerde sed -i bile var .(Posix uyumsuzluÄu) Åu anda bulamadÄ±m bu
Ã§alÄ±ÅmamÄ±n kaynak kodlarÄ±nÄ± fakat sanÄ±yorum gece ya da yarÄ±n bulup size
atabilirim. Siz ordan bakÄ±p gerekli Åeyleri kendi sisteminize gÃ¶re uyarlayÄ±p
kullanabilirsiniz. Ya da kendiniz yapmak isterseniz size yardÄ±mcÄ±
olabilirim. YanlÄ±z ipcop hiÃ§ bilmiyorum(Hangi dagÄ±tÄ±m temelli, neler
yapÄ±labilir vs vs...) DolayÄ±sÄ±yla gerekli yerleri sisteminize nasÄ±l
uyarlanÄ±r onu bilemem.

Acelem olduÄundan bu hÄ±zlÄ± mesajÄ±mdaki hatalarÄ± mazur gÃ¶rÃŒn:)

Kolay gelsin,
-engin

Eray Aslan

2010-03-03 19:35:41 UTC

Permalink

Hocam bence log'u imzalamanın gerekip gerekmediğini sorgulamak yerine en
sağlıklısı siz log'u imzalayın. Log imzalamaktan zarar gelmez, içiniz rahat
olur ne azından.

Ne diyeyim bilmem ki. Way to go. That's the sprit. Benjamin
Franklin'in soyledigi gibi:

Those who would give up Essential Liberty to purchase a little Temporary
Safety, deserve neither Liberty nor Safety.

--
Eray

Mucibirahman İLBUĞA

2010-03-03 21:01:09 UTC

Permalink

Post by Eray Aslan
Ne diyeyim bilmem ki. Way to go. That's the sprit. Benjamin
Those who would give up Essential Liberty to purchase a little Temporary
Safety, deserve neither Liberty nor Safety.

Selamlar,
Valla Benjamin amcamız da güzel demiş ama bununla beraber sistemde 2003
sunucu kullanan ve terminal bağlantısı kullanarak internete çıkılan bir
şirkette bu log işinin nasıl yapılacağına dair de bir özdeyiş var mı acaba?

Lafın özü: Bu log işi hepten yanlış...

--
Kolay gelsin,
Mucip:)

Engin Yüce

2010-03-03 22:18:07 UTC

Permalink

Åu anda bulamadÄ±m bu Ã§alÄ±ÅmamÄ±n kaynak kodlarÄ±nÄ± fakat sanÄ±yorum gece ya da
yarÄ±n bulup size atabilirim. Siz ordan bakÄ±p gerekli Åeyleri kendi
sisteminize gÃ¶re uyarlayÄ±p kullanabilirsiniz.

Buldum kodlarÄ±mÄ±, hatta daha Ã¶nce yazdÄ±ÄÄ±m instruction'larÄ± ile birlikte...
^^ KodlarÄ±: http://www.temev.org.tr/site/indirmeler adresinden
edinebilirsiniz. (Log signer for debian) Hatta girmiÅken ilginizi
Ã§ekebilecek birÅeyler var mÄ± diye siteye de gÃ¶z atÄ±nÄ±z.[1] TalimatlarÄ±
aÅaÄÄ±ya kopyalÄ±yorum:

{{{
KullanÄ±mÄ± ise Åu Åekildedir:

tar -xzf logimzalama.tar.gz
chmod +x initialize.sh
./initialize.sh

Scriptler otomatik olarak:

- TSA destekli OpenSSL kaynak kodlarÄ±nÄ± internetten indirip, kurulumu
yapÄ±cak ve compile etmek iÃ§in gerekli paketler yoksa sisteme yÃŒkleyecek
(Not: sistemde halihazÄ±rda bulunan openssl'e hiÃ§ ellemiyor.)
- Yeni CA ve TSA certifikalarÄ± ÃŒreticek
- Ãretilen sertifikalarÄ± kullanarak loglarÄ± imzalayan scripti generate
edicek
- Generate edilen bu scripti her logrotate bitiminde Ã§alÄ±ÅtÄ±rmak iÃ§in
gerekli ayarlarÄ± yapÄ±caktÄ±r

Scriptleri yazarken sadece apache loglarÄ±nÄ± toplayacak Åekilde yazdÄ±m.
Ä°lerde gerekli olursa baÅka log'larÄ± da toplayabilecek Åekilde uyarlamak
mÃŒmkÃŒn ve kolay. Apache log'larÄ±nÄ±n /var/log/apache2/ altÄ±nda oldugunu ve
/etc/logrotate.d/apache2 konfigÃŒrasyonunun bulunduÄunu kabul ettim. (Zaten
apache2 paketten yÃŒklendiyse, bunlarda bir sorun Ã§Ä±kmayacaktÄ±r, belki kaynak
koddan derleyerek kurma veya Ã¶zel ayar yapÄ±lmÄ±Å ise sorun Ã§Ä±kabileceÄi
dÃŒÅÃŒncesiyle iletiyorum.) Bunun dÄ±ÅÄ±nda sizin Ã¶zel olarak elle
deÄiÅtirdiÄiniz Ã¶ngÃ¶remediÄim bir ayar yÃŒzÃŒnden scriptlerden biri yarÄ±da
kalÄ±rsa, nerde kaldÄ±ÄÄ±nÄ± -scriptler nerde hataya uÄradÄ±ÄÄ±nÄ± Ã§oÄunlukla
sÃ¶ylÃŒyor- bana sÃ¶ylerseniz hemen bi uyarlama yaparÄ±m.

Dikkat edilmesi gereken bir iki Åey var, scriptler sadece debian tabanlÄ±
linux dagÄ±tÄ±mlarÄ± ile uyumludur. BaÅka linux daÄÄ±tÄ±mlarÄ±nda kullanmak
sistemde ciddi hasar yaratabilir. AynÄ± zamanda scriptlerin Ã§alÄ±ÅtÄ±ÄÄ±
sistemde bash kabuÄu bulunmalÄ±dÄ±r ve scriptlerin posix uyumluluÄu yoktur.
Scriptleri baÅtan sona birÃ§ok koÅulda debian 5.0 stable'da test ettim.
}}}

Sorulara aÃ§Ä±ÄÄ±m:)
Kolay gelsin,
-engin

[1] Hacettepe Ãni. Fizik MÃŒh. hocalarÄ± baÅkanlÄ±ÄÄ±nda gÃ¶nÃŒllÃŒ bir vakÄ±f
sitesidir. (Temiz Enerji VakfÄ±)