Merhaba Arkadaşlar bu makalemizde PFSense üzerinde 5651 yasasına göre loglama işlemlerinin nasıl yapılacağını ve modülünün kurulumunu yapacağım.
5651 Yasası Nedir?
ÇözümPark üzerinde bu konu hakkında birçok makale mevcuttur fakat kısaca açıklamamız gerekirse İç ağımızda dağıtılan IP adres bilgilerini, kullanıma başlama, bitiş tarihi, saati ve bu ip adreslerini kullanan bilgisayarların MAC Adreslerini gösteren kayıtları Elektronik ortam’da saklanması ve oluşan logları zaman damgası ile birlikte günlük olarak imzalatmamız 1 yıl boyunca saklamamız gerekmektedir.
PFSense Nedir ?
PFSense ( Packet Filter ) Freebsd tabanlı ücretsiz olarak dağıtılan Open Source güvenlik duvarı yazılımıdır.
TIB5651 Modulü Nedir ve Nasıl Çalışır ?
Yasanın bizden istemiş olduğu logları toplar ve 5651 yasasına uygun hale getirip belirlediğiniz zaman dilimleri arasında Sunucularınıza veya PFSense üzerinde herhangi bir dizine aktarımını tamamlayabilirsiniz.İsterseniz opsiyonel olarak alınan logların bir kopyasını e-posta adresinize göndertebilirsiniz.
Klasik tanımlarımızı yaptıktan sonra daha önce PFSense kullandığınızı ve bu aşamaya geldiğinize göre modülümüz hakkında bilgi vermek istiyorum.
- Otomatik ve Elle girilen ip adreslerinin loglarını gönderir.
- DHCP,Squid loglarını toplar ve ilgili dizine gönderir.
- Samba Client ile Windows işletim sistemlerine log aktarımını yapabilirsiniz.
- 2 Adet log dosyası oluşturur. 1. Log dosyamız yasamıza uygun olan içindir. Alternatif olarak sistem yöneticileri içinde ayrıntılı bir log daha oluşturur.
- SMTP desteği ile logları eposta olarak göndertebilirsiniz.
- Birden fazla interface destekler.
-Cron ile istediğiniz zaman diliminde log aktarımlarınızı yapabilirsiniz.
PFSense Paket Yönetimin’den yüklememiz gereken paketler ;
-Squid
-Squid Guard
-Cron
Loglarımızın Windows bilgisayarlarımıza aktarılması ve E-Posta olarak gönderilmesi için Freebsd tarafında yüklememiz gereken paketler ;
-Talloc (2.0.7)
-Samba Client (3.6.7)
-Net SMTP
Yukarıdaki modüllerin sürümleri parantez içinde belirtilmiştir.
Logları aktaracağımız Windows bilgisayarımızda Tib Log İmzalayıcı yazılımın yüklü olması gerekmektedir.
Kuruluma geçmeden önce yapımız ve modül sonrası oluşacak network şemamız hakkında aşağıdaki gibi bir grafik hazırladım.
Modülümüz ve yasamız hakkında yeterli bilgi aldığımıza göre artık kuruluma geçebiliriz. Önceliğimiz Windows bilgisayarımızda yapmamız gerekenleri yapalım.
Ben PFSense’den gelecek logları bilgisayarımın D bölümünde depolayacağım ve PFSense’nin logları aktarması için ilgili log dizinlere everyone okuma,yazma izni vereceğim. ( Dilerseniz sadece bir kullanıcıya okuma yazma izni verip o şekilde paylaşıma açabilirsiniz. )
2 Adet klasör oluşturuyoruz isimleri aşağıdaki gibi olacaktır.
Logs_Admin ( Sistem Yöneticileri için gelişmiş logların gönderileceği klasör )
Logs_Tib ( Tib’in bizden istemiş olduğu logların gönderileceği klasör )
Şekil 2 – Paylaşım İzinlerinin verilmesi
Şekil 2’de gördüğünüz gibi Logs_Admin,Logs_Tib klasörlerine “ Everyone “ okuma yazma izni verdim.
Son olarak Windows bilgisayarımızda yapmamız gereken işlem Logs_Tibs klasörüne gönderilecek olan logların Tib Log İmzalayıcı yazılım ile imzalanması.
Tib Log İmzalayacı yazılımı indiriniz.
http://tib.gov.tr/tr/dokumanlar/IPLogImzalayiciSetup3.0.exe
Şekil – 3 Log İmzalayıcı yazılımının ayarları;
Şekil 3’te gördüğünüz gibi Logs_Tibs klasörüne log gönderildiğinde imzalanmasını sağlıyoruz ve “ Ayarları Kaydet” diyerek ayarlarımızı kaydediyoruz.
Windows Bilgisayarımızda yapmamız gereken bütün işlemler bu kadardır. Modülümüzün çalışması için PFSense web ara yüzünden yüklememiz gereken paketlerin kurulumlarını tamamlayalım.
PFSense Web Arayüzüne erişin ve System -> Packages -> Available Packages bölümüne geçiş yapınız.
Şekil - 4
Squid,Squid Guard,Cron paketlerimizin kurulumunu bu bölümden Şekil 4’teki gibi gerçekleştirelim.
Şekil - 5
Kurulum sonrası Yüklü olan paketlerimizi “Installed Packages” bölümünden kontrol edelim.Sorunsuz bir şekilde paketlerimizin kurulduğunu görüyoruz.
Şekil - 6
Eğer daha önce Proxy Server’i yapılandırmamışsanız.Menü’den Services -> Proxy Server bölümüne geçiş yapalım ve ayarlarımızı yukarıdaki resim gibi yapılandırınız.
Şekil -7
PFSense hazır paketler kısmında bulunmayan Samba Client, Talloc ve Net SMTP paketlerini yüklemek için SSH ile PFSense sunucumuza bağlanmamız gerekiyor. Onun için System -> Advanced bölümüne geçiş yapalım ve resimdeki gibi “ Enable Secure Shell “ seçeneğini işaretleyip “ Save “ butonu ile ayarlarımızı kaydedelim.
Windows Bilgisayarımıza geri dönüp Putty,Winscp programlarını kuralım.
Putty ile sunucumuza bağlanıp aşağıdaki paketlerimizin kurulumunu yapalım.
Not : PFSense SSH kullanıcı adı root şifresi pfsense web arayüzüne girdiğiniz şifredir.
-Talloc (2.0.7)
-Samba Client (3.6.7)
-Net SMTP
Kurulum yapmamız için PFSense bağlandıktan sonra “8” rakamı ile Shell bölümüne giriş yapalım.
Shell bölümünde aşağıdaki komutu koşturarak yüklü olan paketlere göz atalım. Eğer versiyon uymuyorsa ilgili paketleri kaldıralım ve aşağıdaki yönergeleri takip ederek tekrar kurulumlarını gerçekleştirelim.
# pkg_info
Şekil - 8
Yukarıda gördüğünüz gibi ben daha önce ilgili paketlerin kurulumunu yapmıştım yüklü olarak ve versiyonları doğru bir şekilde gözüküyor.
Eğer sizde versiyonlar eskiyse aşağıdaki komutu koşturarak ilgili paketi sistemden kaldırabilirsiniz.
# pkg_delete –f paketismi
İlgili paketlerin kurulumunu yapmak için aşağıdaki komutları Shell üzerinde koşturalım.
SambaClient Kurulumu ;
# pkg_add -r http://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-8-stable/All/talloc-2.0.7.tbz
Talloc Kurulumu ;
# pkg_add -r http://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-8-stable/All/samba36-smbclient-3.6.7.tbz
Net SMTP Kurulumu ;
# pkg_add –r ftp://ftp-archive.freebsd.org/pub/FreeBSD-Archive/old-releases/i386/8.1-RELEASE/packages/Latest/p5-Net-SMTP-TLS.tbz
Şekil – 10
Yüklemeler bittikten sonra “ pkg_info “ komutunu koşturarak yüklü olan paketlerimizin kontrolünü yapalım Şekil 10’da gördüğünüz gibiyse SSH üzerinden yüklememiz gereken paketlerin hepsini başarılı bir şekilde yüklemişizdir.
Modülümüzün sağlıklı bir şekilde çalışması için ilgili paketlerin kurulumunu tamamladıktan sonra artık Modülümüzü PFSense sunucumuzda ilgili dizinlere gönderelim.
Modülü indirmek içinhttp://www.cozumpark.com/download/pfsense5651cozumpark.rar dosyasını Windows bilgisayarınıza indiriniz.
Şekil – 11
WinSCP ile PFSense sunucusuna bağlanalım ve bir üst dizine çıkalım.
“pfsense5651cozumpark” Klasörünün içindeki klasörleri ( sbin,var) sunucumuza yükleyelim. ( Sürükleyerek yükleme işlemini gerçekleştirebilirsiniz )
Şekil – 12
sbin dizinine gönderdiğimiz TIB5651ANLRUN.sh ve TIB5651ARPrun.sh dosyalarımıza sağ tıklayıp Properties kısmından “0755” chmod yetkisi verelim.
Not : Var dizininde herhangi bir izin vermenize gerek yok.
Şekil – 13
SBin dizine göndermiş olduğumuz TIB5651ANLrun.sh dosyamıza sağ tıklayıp “ Edit “ düzenleyelim.
Açılan pencere’de ip adresi, paylaşım adı, kullanıcı adı ve şifre bölümlerinizi kendinize göre düzenleyiniz.
Düzenleme işlemini bitirdikten sonra Ctrl + S tuşlarıyla kaydetip sbin dizininden bir üst dizine geçiniz.
Şekil – 14 
Var -> TIB5651Tr -> TibParameters -> dizinine girin ve “ pfsenseMAIL.cfg ” dosyasına sağ tıklayıp “ Edit “ düzenleyelim.
Şekil 14’de gördüğünüz gibi mail ayarlarınızı kendinize göre düzenleyiniz Ctrl + S ile kaydedip çıkınız.
SBin içerisine atmış olduğumuz “TIB5651ANLrun.sh “ ve “TIB5651ARPrun “ dosyalarını günün belirli saatlerinde çalıştırmamız gerekiyor. PFSense üzerinde bulunan logları düzenleyip TIB ve Sistem Yöneticileri için gelişmiş log dosyası haline getirip Windows bilgisayarımıza aktarması için bu dosyaların çalışmasını sağlamak için’de “ Cron “ paketini makalemizin başlarında yüklemiştik.
Cron ayarlarımızı yapılandırmak için PFSense arayüzünden -> Services - > Cron bölümüne giriş yapıyoruz.
Şekil - 15
Bu bölümde (+) butonuna tıklayarak yeni bir görev oluşturuyoruz.
Şekil – 16
/sbin/TIB5651ARPrun.sh dosyamızın 5 dakika’da bir çalışması için cron ayarlarımızı yapılandırıyoruz.Zaman yapısını değiştirmeyiniz. Bu dosya sistem’de çalışıp gerekli bilgileri alıp analiz ettikten sonra TibDailyControl klasörüne yazacaktır.
Şekil – 17
TIB5651ANLrun.sh dosyası ilgili logların Windows bilgisayarınıza aktarılmasını sağlar. Dosya isimlerini olduğu gibi yazınız Freebsd küçük büyük harf duyarlıdır.
TIB5651ANLrun.sh dosyasını ben 23:45’de çalıştırıyorum siz yapınıza göre değişiklik yapabilirsiniz. Zamanlamayı 00:00’dan önce yapmalısınız çünkü PFSense 00:00’da ilgili logları temizler.
PFSense’yi yeniden başlatınız.
Modulün sağlıklı çalışıp çalışmadığını test etmek adına manual olarak TIB5651ARPrun.sh ve TIB5651ANLrun.sh dosyalarımızı çalıştıralım.
Putty açınız ve “8” rakamı ile shell bölümüne giriş yapalım.
sbin klasörüne giriş yapalım.
# cd /sbin
öncelikle TIB5651ARPrun.sh dosyasını çalıştırıp logları analiz ettirelim.
# sh TIB5651ARPrun.sh
İlgili logları analiz ettikten sonra Windows bilgisayarımıza kopyalanmasını sağlayalım.
#sh TIB5651ANLrun.sh
Şekil – 18
Gördüğünüz gibi logları başarılı bir şekilde Windows bilgisayarıma aktardı. Logs_Tibs klasörüne gönderilen dosyaları Tib Log imzalayıcı yazılımı imzalayacağı için göremezseniz şaşırmayın. Tıb Log İmzalayacı yazılım imzaladığı logları otomatik olarak kendi içeresindeki signed_files klasörüne kopyalar.
Loglarımızın e-mail olarak gelmesi için ayarlarını yapmıştık. Onların kontrolünü yapalım.
E-postalarımızı kontrol ettiğimizde ilgili logların başarılı bir şekilde geldiğini görmekteyiz.
Modülü bizlerle paylaştığı ve istediğimiz özellikleri eklediği için Bülent ÖZKAN abime sonsuz teşekkür ederim.
Sorularınızı forum üzerinden sorabilirsiniz.
Bir başka makalede görüşmek üzere, Keyifli Çalışmalar.