Tor(The Online Routing) yıllardır kullanıcıların internet üzerindeki faliyetlerini anonimleştirmek için geliştirilmiş bir yazılım projesidir.Kendi nodeleri üzerinden kullanıcıların gerçek kimliklerini gizleyip şifreler işte biz bu yapıya dahil olacağız hem nimetlerinden faydalanmış olacağız hemde ağa katılmış olacağız.Tor bilindiği üzere kötü bir şekilde ünlendi illegal faliyetlerin tor üzerinden yapılması da bunun tuzu biberi oldu

Bu yazımda ise sizlere bu ağ içerisinde relay olma imkanı sunacağım yani aracı olacaksınız. Trafik sizin bağlantınız üzerindende geçecek böylelikle Tor bir katkıda sizler sağlamış olacaksınız. Korkmayın tor üzerinde yapılanlardan siz sorumlu olmazsınız sonuç itibariyle aracısınız bağlantı sadece üzerinizden direk olarak geçecek sonrasında Exit Relay aracılığı ile son bulacak biz ise sadece Relay olacağız yani sadece aradaki bir unsur olacağız

Öncelikli olarak yapmanız gereken sisteminize ntp kurmak sistem saatinizin güncel olması ve senkronize olması önemli.Bunun için

sudo apt-get install ntp

komutunu vermek daha sonradan ise sunucuları tanımlamak bunun için türkiye sunucularını seçebiliri fark etmiyor yeterki uyumlu olsun

sudo nano /etc/ntp.conf

içerisine ise şu satırları ekleyip sunucuları güncelleyeceksiniz.Eski kayıtları

server 0.tr.pool.ntp.org
server 1.tr.pool.ntp.org
server 2.tr.pool.ntp.org
server 3.tr.pool.ntp.org

Evet saatde tamamen rayına girdiğine göre gereken asıl işlemlere başlayalım.Torun sisteminizde kurulu olması lazım daha sonra ise kurulu olan bu torun relay olması için gerekli ayarların yapılım tamamlanmış olması gerekiyor.

sudo apt-get install tor

tor paketi yanında birkaç ek paket daha kurulacaktır.Bu kurulumdan sonra ise relay aşaması için yapılandırma yapmamız gerekiyor.yapılandırma yapılmamış ise kullanmış olmuyorsunuz.

sudo nano /etc/tor/torrc

dosya içerisi ön tanımlı olarak bir takım parametreler ile doldurulmuş ancak çalışır durumda değil çalışır hale getirmek için aşağıdaki gibi düzenleme yapmanız gerekiyor.

RunAsDaemon 1
ORPort 9001
DirPort 9030
ExitPolicy reject *:*
Nickname ox2e88ce4
RelayBandwidthRate 1 MB
RelayBandwidthBurst 2 MB
AccountingStart month 1 00:00
AccountingMax 100 GB
DisableDebuggerAttachment 0

yukarıdaki parametreleri ise şu şekilde tanımlayabiliriz.

• RunAsDeamon – sistemde servislerini tanımlar
• ORPort – torun çıkış portu diğer istemciler ile iletişimini sağlar
• DirPort – tor dizinini duyurabileceğiniz bağlantı noktasıdır.Trafiğiniz sınırsız veya yeterli ise kullanmanız önerilir
• ExitPolicy – Çıkış unsuru olup olmayacağınızı bu komutlar ile belirleyebilirsiniz biz reject *:* diyerek sadece relay yani ara unsur olmayı seçtik
• Nickname – Sistemde kullanabileceğiniz bir takma isim
• RelayBandwidthRate – unsur olarak torun kullanabileceği ağ hızını tanımlar
• RelayBandwidthBurst – unsur olarak torun kullanabileceği maximum ağ hızını tanımlar
• AccountingStart – hesabınızın trafik sayacının saat kaçda başlamasını istiyorsanız bunu girebilirsiniz aylık haftalık veya günlük olarak tanımlama yapabilirsiniz.
• AccountingMax – torun sisteminizde kullanabileceği maximum toplam trafiği belirtir.
• DisableDebuggerAttachment – hata ayıklama modunu kapatır.

Belirtmiş olduğum parametreler Relay olabilmeniz için olmazsa olmaz diyebileceğimiz parametrelerdir.Eğer herhangi bir sunucunuz varsa ve bunu Exit Relay(Çıkış unsuru) yapmak istiyorsanız daha farklı bir yol izlemeniz gerekiyor.

Nickname %NICK
ORPort %IP:%PORT
DirPort %IP:%DIRPORT
Address %IP
OutboundBindAddress %IP 

##IPv6
#IPv6Exit 1
#ORPort [a:b:c:d::e]:port
#OutboundBindAddress [a:b:c:d::e]
#ExitPolicy reject6 *:25,accept6 *:*

DataDirectory /var/lib/tor/%INSTANCE
PidFile /var/run/tor/tor%INSTANCE.pid
Log notice file /var/log/tor/notices%INSTANCE.log

RelayBandwidthRate 30 MBytes
RelayBandwidthBurst 100 MBytes

MyFamily %MYFAMILY

ContactInfo https://www.torservers.net/donate.html <support .AT. torservers .DOT. net>
DirFrontPage /etc/tor/tor-exit-notice.html
CellStatistics 1
DirReqStatistics 1
EntryStatistics 1
ExitPortStatistics 1
ExtraInfoStatistics 1
HiddenServiceStatistics 1

SocksPort 0
SocksPolicy reject *

RunAsDaemon 1

# https://trac.torproject.org/projects/tor/wiki/TheOnionRouter/ReducedExitPolicy
# 05.07.2015 
ExitPolicy accept *:20-23     # FTP, SSH, telnet
ExitPolicy accept *:43        # WHOIS
ExitPolicy accept *:53        # DNS
ExitPolicy accept *:79-81     # finger, HTTP
ExitPolicy accept *:88        # kerberos
ExitPolicy accept *:110       # POP3
ExitPolicy accept *:143       # IMAP
ExitPolicy accept *:194       # IRC
ExitPolicy accept *:220       # IMAP3
ExitPolicy accept *:389       # LDAP
ExitPolicy accept *:443       # HTTPS
ExitPolicy accept *:464       # kpasswd
ExitPolicy accept *:465       # SMTP over SSL (authenticated SMTP users)
ExitPolicy accept *:531       # IRC/AIM
ExitPolicy accept *:543-544   # Kerberos
ExitPolicy accept *:554       # RTSP
ExitPolicy accept *:563       # NNTP over SSL
ExitPolicy accept *:587       # SUBMISSION
ExitPolicy accept *:636       # LDAP over SSL
ExitPolicy accept *:706       # SILC
ExitPolicy accept *:749       # kerberos 
ExitPolicy accept *:873       # rsync
ExitPolicy accept *:902-904   # VMware
ExitPolicy accept *:981       # Remote HTTPS management for firewall
ExitPolicy accept *:989-995   # FTP over SSL, Netnews Administration System, telnets, IMAP over SSL, ircs, POP3 over SSL
ExitPolicy accept *:1194      # OpenVPN
ExitPolicy accept *:1220      # QT Server Admin
ExitPolicy accept *:1293      # PKT-KRB-IPSec
ExitPolicy accept *:1500      # VLSI License Manager
ExitPolicy accept *:1533      # Sametime
ExitPolicy accept *:1677      # GroupWise
ExitPolicy accept *:1723      # PPTP
ExitPolicy accept *:1755      # RTSP
ExitPolicy accept *:1863      # MSNP
ExitPolicy accept *:2082      # Infowave Mobility Server
ExitPolicy accept *:2083      # Secure Radius Service (radsec)
ExitPolicy accept *:2086-2087 # GNUnet, ELI
ExitPolicy accept *:2095-2096 # NBX
ExitPolicy accept *:2102-2104 # Zephyr
ExitPolicy accept *:3128      # SQUID
ExitPolicy accept *:3389      # MS WBT
ExitPolicy accept *:3690      # SVN
ExitPolicy accept *:4321      # RWHOIS
ExitPolicy accept *:4643      # Virtuozzo
ExitPolicy accept *:5050      # MMCC
ExitPolicy accept *:5190      # ICQ
ExitPolicy accept *:5222-5223 # XMPP, XMPP over SSL
ExitPolicy accept *:5228      # Android Market
ExitPolicy accept *:5900      # VNC
ExitPolicy accept *:6660-6669 # IRC
ExitPolicy accept *:6679      # IRC SSL  
ExitPolicy accept *:6697      # IRC SSL  
ExitPolicy accept *:8000      # iRDMI
ExitPolicy accept *:8008      # HTTP alternate
ExitPolicy accept *:8074      # Gadu-Gadu
ExitPolicy accept *:8080      # HTTP Proxies
ExitPolicy accept *:8082      # HTTPS Electrum Bitcoin port
ExitPolicy accept *:8087-8088 # Simplify Media SPP Protocol, Radan HTTP
ExitPolicy accept *:8332-8333 # Bitcoin
ExitPolicy accept *:8443      # PCsync HTTPS
ExitPolicy accept *:8888      # HTTP Proxies, NewsEDGE
ExitPolicy accept *:9418      # git
ExitPolicy accept *:9999      # distinct
ExitPolicy accept *:10000     # Network Data Management Protocol
ExitPolicy accept *:11371     # OpenPGP hkp (http keyserver protocol)
ExitPolicy accept *:19294     # Google Voice TCP
ExitPolicy accept *:19638     # Ensim control panel
ExitPolicy accept *:50002     # Electrum Bitcoin SSL
ExitPolicy accept *:64738     # Mumble
ExitPolicy reject *:*

Exit Relay olurken dikkat etmeniz gerekiyor zira tüm trafik sizde sonlanacak yani adam her hangi bir illegal iş gerçekleşirse son olarak sizin ip adresiniz gözükecek bu noktada sunucunuza kurarken yapılandırmanızı ona göre ve iyi bir şekilde yapmanız gerekiyor.

Ayarlamalarınız bitti ise tor sürecini yeniden başlatmanız gerekecek ki yeni tanımladığınız ayarlar geçerli olsun

sudo service tor restart

Çalışıp çalışmadığını yada işlemin nasıl ilerlediğini sistemdeki log kayıtlarına bakarak anlayabilirsiniz. Aşağıdaki gibi bir çıktı vermiş ise doğru yoldasınız demektir.

buraya kadar sorunsuz bir şekilde geldiyseniz artık tor ağı üzerinde bir relay olarak gözüküyorsunuz ve tarafınıza uniq bir kimlik tanımlayıcı verilmiş demektir.Bunu yönetmek ve görüntülemek istiyorsanız aşağıdaki paketi kurmanız yeterlidir.

sudo apt-get install tor-arm

kurulumu yaptıktan sonra ise aşmanız gereken bir sorun bulunuyor tor-arm belirli bir kullanıcı tarafından kullanılmak zorunda buda kendi içerisinde tanımlı olarak gelen debian-tor kullanıcısı yani izleme işlemi yaparken direk olarak arm diyip açmanız bir işe yaramaz istatistikleri doğru bir şekilde alamazsınız.Doğru olan komut ise şu şekilde;

sudo -u debian-tor arm

Komutumuzu verdik ve artık ne kadar trafik harcadığını görebilir ayarlamaları buradan yapabilirsiniz.

Mozilla firefox kullanan kullanıcıları için güncel güvenlik ve gizlilik parametrelerini içerir.Tüm işlemler about:config bölümü altında yapılacak ve gerekli eklentiler tavsiye edilecektir.Oluşabilecek hatalardan kullanıcı sorumludur.Güvenliğinizi ve gizliliğimizi %100 sağlamaz ve bunu garanti veremeyiz.Yapılacak olan tüm işlevler tarayıcınızda güvenlik önlemleri almaktan ödeye gitmeyecektir.

_______  _______ _________        _______  _______          
(  ____ (  ____ \__   __/       (  ____ (  ___  )|     /|
| (    /| (    /   ) (          | (    /| (   ) |(    / )
| (_____ | (__       | |    _____ | (__    | |   | |  (_) /
(_____  )|  __)      | |   (_____)|  __)   | |   | |  ) _ (  
) || (         | |          | (      | |   | | / ( ) 
/____) || (____/   | |          | )      | (___) |( /    )
_______)(_______/   )_(          |/       (_______)|/     |
########################################################################################
# https://mertcangokgoz.com && 
# Kurulması Önerilen eklentiler
Random User Agent Spoofer(https://github.com/dillbyrne/random-agent-spoofer)
uBlock Origins(https://github.com/gorhill/uBlock)
Https-Everywhere(https://www.eff.org/https-everywhere%20)
Disconnect(https://addons.mozilla.org/en-US/firefox/addon/disconnect/)
No Youtube Comment(https://addons.mozilla.org/en-US/firefox/addon/no-youtube-comments/)
Self-Destructing Cookies(https://addons.mozilla.org/en-US/firefox/addon/self-destructing-cookies/)
No-Script(https://addons.mozilla.org/en-US/firefox/addon/noscript/)
RequestPolicy(https://addons.mozilla.org/en-US/firefox/addon/requestpolicy-continued/)
SSLeuth(https://addons.mozilla.org/en-US/firefox/addon/ssleuth/)
#Yapılması istenilen about:config ayarları aşağıda açıklamaları ile birlikte verilmiştir.
########################################################################################
#WebGL özelliğinin tarayıcı üzerinden kapatılmasını sağlar
webgl.disabled -> TRUE
#Flashplayer eklentisinin tarayıcı üzerinden kapatılmasını sağlar
plugin.state.flash -> 0
#Java uygulamalarının Çalışmalarına engel olur
plugin.state.java -> 0
#DNS sorguları tanımlanan dns üzerinden akması için yapılacak işlemler(proxy gerekir)
network.proxy.socks_remote_dns -> TRUE
#Referrer bilgisinin gizlenmesi
network.http.sendRefererHeader -> 0
#konum bilgilerinin kapatılması
geo.enabled -> FALSE
beacon.enabled -> FALSE
#bilgilerin yönlendirildiği URL "localhost" olarak ayarlanması önerilir.
geo.wifi.uri (string => http://localhost)
#Güvenli arama özelliklerini açma işlemi
browser.safebrowsing.enabled -> TRUE
browser.safebrowsing.downloads.enabled -> FALSE
browser.safebrowsing.malware.enabled -> TRUE
#İndirilen dosyaların taranma özelliğinin kapatılması
browser.download.manager.scanWhenDone -> FALSE
#Arama önerilerinin kapatılması işlemi
browser.search.suggest.enabled -> FALSE
#PDF dosyalarını okuyabilmeyi kaptmak
pdfjs.disabled -> TRUE
#Tıklama işlemi ile bazı eklentilerin çalıştırılması işlemi
plugins.click_to_play -> TRUE
#Videoların otomatik başlamasını önleme(HTML5 videolar için)
media.autoplay.enabled -> FALSE
#sekmelerin senkronize edilmesini kapatmak
services.sync.engine.tabs -> FALSE
#Ayarların senkronize edilmesini kapatmak
services.sync.engine.prefs -> FALSE
#şifrelerin senkronize edilmesini kapatmak
services.sync.engine.passwords -> FALSE
#geçmişin senkronize edilmesini kapatmak
services.sync.engine.history -> FALSE
#Sık kullanılanların senkronize edilmesini kapatmak
services.sync.engine.bookmarks -> FALSE
#Eklentilerin senkronize edilmesini kapatmak
services.sync.engine.addons -> FALSE
#her daim gizli sekme açılmasını sağlama
browser.privatebrowsing.autostart -> TRUE
#Offline Cache Kapatmak
browser.cache.offline.enable -> FALSE
#Cache kapatmak
browser.cache.disk.enable -> FALSE
#Cachede tutulacak alanın boyutunu ayarlama
browser.cache.offline.capacity -> 0
#WEBRTL sızıntısına engel olma
media.peerconnection.enabled -> FALSE
loop.enabled -> FALSE
#gösterilen faviconların kapatılması işlemi
browser.chrome.favicons -> FALSE
#Şifreli medya ekipmanlarının kapatılması işlemi(DRM)
media.eme.enabled -> FALSE
media.gmp-eme-adobe.enabled -> FALSE
#raporlama seviyesinin belirlenmesi aşaması
toolkit.telemetry.prompted -> 2
#tarayıcı sağlık raporlamalarının kapatılması işlemi
toolkit.telemetry.enabled -> FALSE
datareporting.healthreport.uploadEnabled -> FALSE
datareporting.policy.dataSubmissionEnabled -> FALSE
#eklentilerin çökme raporlarının kapatılması işlemi
dom.ipc.plugins.flash.subprocess.crashreporter.enabled -> FALSE
#senkronizasyon URL sinin silinmesi işlemi
services.sync.serverURL -> ""
#Do Not Track Özleliğinin aktif hale getirilmesi
privacy.donottrackheader.enabled -> TRUE
#Do Not Track header ayarlama aşaması
privacy.donottrackheader.value -> 1
#Yazım denetiminin kapatılması
layout.spellcheckDefault -> 0
#devre dışı sertifika uyarısını bypass etme
browser.xul.error_pages.enabled -> FALSE
#İçerik Güvenlik Politikası desteğini etkinleştirme
security.csp.enable -> TRUE
#XSS filtresini aktif etme işlemi
browser.urlbar.filter.javascript
#Ön tanımlı olarak gelen tüm eklentilerin kapatılması işlemi
plugin.default.state -> 0
plugin.defaultXpi.state ->
#Webcam ve Mikrofon kullanımını kapatma işlemi
media.navigator.enabled -> FALSE
media.navigator.video.enabled -> FALSE
#Otomatik form doldurma özelliğini kapatma
signon.autofillForms -> FALSE
signon.rememberSignons -> FALSE
#Tarayıcı kapatıldığında tüm verilerin temizlenmesi özelliğini aktif hale getirme işlemi
privacy.sanitize.sanitizeOnShutdown -> TRUE
privacy.clearOnShutdown.cookies -> TRUE
privacy.clearOnShutdown.downloads -> TRUE
privacy.clearOnShutdown.cache -> TRUE
privacy.clearOnShutdown.formData -> TRUE
#izinsiz gezinmeyi engelleme
network.http.speculative-parallel-limit -> 0
#bilinen takip domainlerinin kapatılmasını aktifleştirme
privacy.trackingprotection.enabled -> TRUE
#takip etme özelliklerinin kapatılması(yüz tanıma,hareket ve sensörler)
device.sensors.enabled -> FALSE
camera.control.face_detection.enabled -> FALSE
camera.control.autofocus_moving_callback.enabled -> FALSE
#Tarayıcı üzerindeki sosyal medya entegrasyonlarının devre dışı bırakılması
social.directories -> ""
social.whitelist -> ""
social.manifest.facebook -> ""
social.remote-install.enabled -> FALSE
social.toast-notifications.enabled -> FALSE
#pocket entegrasyonunun kapatılması
browser.pocket.enabled -> FALSE
#Casus Javascript ekipmanlarının engellenmesi
dom.event.clipboardevents.enabled -> FALSE
dom.battery.enabled -> FALSE
browser.send_pings -> FALSE
#Wecsocket özelliğinin kapatılması(yönlendirmesel açıkları giderir)
network.websocket.enabled -> FALSE
#Adres çubuğundaki dropdown list şeklinde gelen sonuçları kapatma
browser.urlbar.maxRichResults -> 0
#TLS v1.2 kullanmaya zorlama
security.tls.version.min -> 3
#ecdhe/dhe chiplerlarını kapatma işlemi
security.ssl3.rsa_aes_256_sha -> FALSE
#Zayıf ve şifreleri çözülmüş algoritmaları kapatma
security.tls.unrestricted_rc4_fallback -> FALSE
security.tls.insecure_fallback_hosts.use_static_list -> FALSE
security.OCSP.enabled -> 1
security.OCSP.require -> TRUE
#(3DES, RC4 ve MD5) gibi kullanılmayan protokolleri kapatma
security.ssl3.rsa_rc4_128_sha -> FALSE
security.ssl3.rsa_rc4_128_md5 -> FALSE
security.ssl3.rsa_des_ede3_sha -> FALSE
security.ssl3.ecdhe_ecdsa_rc4_128_sha ->FALSE
security.ssl3.ecdhe_rsa_rc4_128_sha -> FALSE
security.ssl3.rsa_aes_256_sha -> FALSE
#Eklentilerin otomatik güncelleştirmelerinin açılması işlemi
extensions.update.enabled -> TRUE
#Deneysel özelliklerin kapatılması
experiments.supported -> FALSE
experiments.enabled -> FALSE
#ads ve önyüklemeyi kapatma
browser.newtabpage.enhanced -> FALSE
browser.newtab.preload -> FALSE
#Bu özellikler araştırılacak
browser.newtabpage.directory.ping -> ""
browser.newtabpage.directory.source -> "data:text/plain,{}"
#Kullanıcı popülasyon analizi ve tarayıcı durumunu raporlanmasını durdurma
browser.selfsupport.url -> ""
#önalımın kapatılması
network.prefetch-next -> FALSE
#ülke bazlı arama motoru yönlendirilmesini kapatma
browser.search.geoip.url ->""
#DNS önalım özelliğini kapatma
network.dns.disablePrefetch -> TRUE
network.dns.disablePrefetchFromHTTPS -> TRUE
#Necko özelliğini kapatma(https://wiki.mozilla.org/Privacy/Reviews/Necko)
network.predictor.enabled -> FALSE
#Snippet sunucusu URL Kaldırma(https://support.mozilla.org/en-US/kb/how-stop-firefox-making-automatic-connections#w_mozilla-content)
browser.aboutHomeSnippets.updateUrl -> ""
#CSP(Content Security Policy) Özelliğinin aktifleştirilmesi(https://developer.mozilla.org/en-US/docs/Web/Security/CSP/Introducing_Content_Security_Policy)
security.csp.enable -> TRUE
#Referrer spoof işlemi
network.http.referer.spoofSource -> TRUE
#Pipelining özelliğinin aktif hale getirilmesi açılış hızlarına etki ettiği söylenebilir.
network.http.pipelining -> TRUE
network.http.pipelining.maxrequests -> 8

Firefox güvenlik sıkılaştırmaları yapmaya tam gaz devam ediyoruz şimdi ise Firefox’un dns ön belleğini kapatmayı göstereceğim bunu yapma nedenimiz bilgisayarımızda daha az gezdiğimiz siteler hakkında verilerin azalması her seferinde temizlenmesi bu açıdan işimize yarayacak işlemleri yaptıktan sonra web sitelerine eskisi gibi belki giremeyeceksiniz 1 sn gibi bir gecikme yaşayacaksınız.

İlk olarak tarayıcımızdaki tüm sekmeleri kapatarak işlemimize başlayalım sonra ise adres girdiğimiz çubuğa about:config diyelim ve gereken yere ulaşalım.Garantiden çıkacaksınız falan diyecek evet diyip geçiyoruz.

Burada bir çok ayar göreceksiniz bize lazım olan ise network.dnsCacheExpiration bunu arama kısmına yazıyoruz ve karşımıza 2 değer çıkıyor. Aşağıdaki gibi değiştiriyoruz.

İşlemimiz tamamlanmış oluyor artık Firefox dns sorularınızı tutmayacak biraz daha güvenli bir şekilde gezine bilirsiniz. Anlık olarak sıfırlanacak bazı web siteleri kağnı gibi açılabilir tekrardan söylüyorum. Dikkat Ediniz.

Eğer network.dnsCacheExpiration değeri sistem içerisinde yok ise alana sağ tıklayıp Properties > New > Integer dediğiniz anda gereken şekilde değeri oluşturabilirsiniz.

Firefox üzerinde oldukça fazla durmaktayım bunun nedeni özellikle güvenlik açıkları konusunda oldukça hassas davranması gerekse virüslerin direk olarak Firefox hedef alsa bile çalışma olasılıklarının düşük olması bunun yanı sıra kullanıcıya daha çok imkan sağlıyor.

Bu makalemizde size özellikle Firefox üzerinde yapılabilecek kritik güvenlik ayarlarını göstereceğim sızıntıları engelleyeceğiz ve gizliliğimizi bir tık daha ileri taşıyacağız bu konu hakkında yazdığım 2.makale bu makalede biraz daha sistem içerisine gideceğiz ve bir takım ek önlemler alacağız.

İlk olarak firefox da kullanacağınız eklentiler;

1. CanvasBlocker -> https://addons.mozilla.org/nl/firefox/addon/canvasblocker/
2. uBlock Origins -> https://addons.mozilla.org/tr/firefox/addon/ublock-origin/
3. Disconnect.me -> https://addons.mozilla.org/en-US/firefox/addon/disconnect/?src=external-product-icon
4. HTTPS-Everywhere -> https://addons.mozilla.org/nl/firefox/addon/https-everywhere/
5. Cookie AutoDelete -> https://addons.mozilla.org/en-US/firefox/addon/cookie-autodelete/

Eklentileri tek tek kurdunuz filtreleri tek tek yüklediniz. Tüm canvasları blockladığınıza göre gelelim ana yapılacaklara. Normal bir internet kullanıcısı internet de gezer video izler Facebook da dolaşır arkadaşlarını dürter yada Twitter da tweet atar ama potansiyel kötücüller bu arkadaşı beklemektedir.Biz elimizden geldiği kadar sızıntıları önleyelim ayarlarımızı yapalım.

Firefox’da ayar sayfasına ulaşalım bunun için about:config komutunu adres girdiğiniz çubuğa yazın gelen uyarıya he deyip geçin ve işlemlerimize başlayalım. Yapacaklarınız oynadığınız online oyunları etkileyebilir web sitelerinde gireceğiniz sitelerdeki bazı özelliklerin çalışmamasına neden olabilir.

#DNS sorguları tanımlanan dns üzerinden akması için yapılacak işlemler
network.http.sendRefererHeader -> 0
network.proxy.socks_remote_dns > TRUE
#konum bilgilerinin kapatılması mutlaka önerilir
geo.enabled > FALSE
geo.wifi.uri (string => http://localhost)
#güvenli arama fonksiyonlarının ayarlanması
browser.safebrowsing.enabled > FALSE
browser.safebrowsing.malware.enabled > FALSE
browser.download.manager.scanWhenDone > FALSE
#yazarken yapılan aramanın kapatılması
browser.search.suggest.enabled > FALSE
#PDF ayarları
pdfjs.disabled > TRUE
plugins.click_to_play > TRUE
#Videoların otomatik başlamasını önleme(HTML5 videolar için)
media.autoplay.enabled > FALSE
#ön tanımlı olarak gelen sync özelliklerini kapatmak
services.sync.engine.tabs -> FALSE
services.sync.engine.prefs -> FALSE
services.sync.engine.passwords -> FALSE
services.sync.engine.history -> FALSE
services.sync.engine.bookmarks -> FALSE
services.sync.engine.addons -> FALSE
#herdaim gizli sekme açılmasını sağlama
browser.privatebrowsing.autostart -> TRUE
#DOM disk alanının sıfırlanması ve kapatılması işlemi
browser.cache.offline.enable -> FALSE
browser.cache.disk.enable -> FALSE
browser.cache.offline.capacity -> 0
#WEBRTL açığının giderilmesi
media.peerconnection.enabled -> FALSE
#WEBGLnin kapatılması
webgl.disable -> TRUE

Bu işlemleri yaptıktan sonra video oynatıcısını yani flash playeri de kapatmamız gerekiyor bunun yanında javayıda kapatacağız.Bunun için yapmanız gerekenler

Menu > Add-ons > Plugins

yoluna gidiyorsunuz burada tüm java yazan ve tüm flash yazanları kapatıyoruz. Örnek olarak;

Bunların yanında haliyle sistemde kurulu olan Adobe Flash Playeri kaldırıyoruz. Zaten siz kaldırmazsanız da bir sonraki firefox versiyonunda flash player kapalı gelecek sıfırıncı gün açıklarından başka türlü kulturmanın yolu yok

Bu işlemler sonrasında iyide bir dns seçmemiz gerekiyor bunun için size artık açık seçik ip adreslerinden bahsetmeyeceğim yada ne bileyim şunu kullanın demeyeceğim bu işinde suyu çıktı biraz daha kuvvetli bir yapısı olan DNSCrypt kullanacağız böylelikle araya giren çıkan olmayacak

Anlatımı bu sefer Windows üzerinden yapacağım. İlk olarak uygulamayı indirelim. Ben sizin için toparladım hepsini aşağıdaki bağlantıdan indirebilirsiniz.Yada resmi sitesinden indirip kurabilirsiniz.

Derlenmiş haline ulaşmak için tıklayınız.

İndirdiğiniz uygulama içerisinde bazı dns servisleri bulunmaktadır bunlardan faydalanabilirsiniz.İstediğinizi seçmekte özgürsünüz ama benim önerim oVPN sitesinin DNS sunucularını kullanmaktır.Şu ana kadar gördüğüm en güvenli ve uptime en yüksek servislerden bir tanesidir.

yönetici olarak programı açtığınızda ayarları yapmanız gerekiyor bunun için ilk önce config sekmesinden aşağıdaki gibi bir dns sunucusu seçiyoruz.

Ben özellikle beğendiğim OVPN sitesinin sunucularını kullanacağım.Daha sonra ise NICs sekmesine geçiyorsunuz.

Bu kısımdan yapmanız gereken sisteminizdeki kullandığınız ağları seçmek daha sonra İnstall butonuna basmak ben daha önceden kurduğum için Unistall aktif ancak sisteme ilk defa kuruyorsanız size direk install gözükecektir.daha sonra çalıştırıyoruz ve işlemimiz tamamlanıyor.

Artık DNS sorgularımız daha güvenli bir hale geldi bundan sonrasında VPN kullanarak bağlantınızı güvenli hale getirebilirsiniz.yada istediğiniz bir yapılandırma ile devam edebilirsiniz.

OpenSSL Açık kaynak kodlu SSL ve TLS protokolleri için geliştirilmiş bir uygulamalar. Son zamanlarda adı pekde iyi anılmasada OpenSSL şu an için bu protokolde kullanabileceğimiz neredeyse tek uygulama bugün ise bu OpenSSL ile sizlere kendinden imzalı yani Self-Signed sertifika oluşturmayı göstereceğim.

Sitenizin kullanıcılara gösterilen yerinde kullanmamanızı öneririm kullanıcılar için sıkıntılar oluşturabilir bunun dışında admin paneli yada sitenizin içerisindeki farklı işlevlerde kullanabilirsiniz.

OpenSSL Değilse kurulumu gerçekleştiriyoruz hemen

sudo su
apt-get install openssl

Şimdi yapacağımız şey kullanılacak olan SSL için özel şifreyi üretmek bunun için

openssl genrsa -des3 -out test.key 2048

Anahtarı 2048 olarak üretiyoruz gördüğünüz gibi bunu 1024 olarakda oluşturabilirsiniz tek yapmanız gereken 2048 yazan yeri 1024 ile değiştirmek olacak

Sıra geldi CSR oluşturmaya bunuda aşağıdaki ufak bir kod yardımı ile kolaylıkla oluşturabilirsiniz.

openssl req -new -key test.key -out test.csr

Sizden bir takım bilgiler isteyecek doğru bir şekilde girişini yapıyorsunuz. Kendinden imzalı olacağı için onaylatmak için bir firmaya gerek yok haliyle ücret ödemeyeceksinizde ancak geçerliliği tam olmayacak yukarıdaki aşamadan sonra sertifikayı onaylamak için ise

openssl x509 -req -days 365 -in test.csr -signkey test.key -out test.crt

Son olarak PEM oluşturmamız gerekiyor yeni güvenlik yöntemleri ve doğrulama şekli olarak kullanılacağı için oluşturulması zor değil aşağıdaki komut ile oluşturabilirsiniz.

cat test.key test.crt > test.pem

Bu son aşamadan sonrada sertifikanızı oluşturdunuz güle güle kullanabilirsiniz. Sisteminizin hızına göre sertifikanın oluşumu 1 dk alabilir teleşlanmayın yada daha uzun sürebilir.

Unbound güvenlik ön planda tutularak yazılmış bir DNS sunucusudur. Bildiğiniz üzere Türk Telekom vakti zamanında DNS manipülasyonu yaparak insanları fişlemiş(tam olarak bilemiyoruz.)bununla birlikte insanlara medya, kurum ve kuruluşlarda konu ile ilgili bilgilendirme yapılmamıştır insanlarda Google DNS kullandığını zannedip ip adreslerini değiştirmemiş ve benim tabirimle fişlenmeye devam etmişlerdir

Google’nin blog sayfasında çıkan ve yetkililerin yaptığı açıklama pek hoş olmamıştı hatırlarsınız. Bunu ne şekilde değiştirebilirim diye düşünüyorsanız kendi DNS sunucunuzu kurmanız ve kullanmanızdan geçiyor diyebilirim UDP 53 kapatıldığında ise buda mümkün olmayacağından buna şükredin diyebilirim. Uzun lafın kısası şuanda burada anlatacaklarım kişisel bilgisayarınızda kullanabilmeniz içindir

Öncelikle baştan belirtmek istiyorum Kullanacağımız uygulama sisteminizde bir DNS sunucusu oluşturmaktadır.UDP 53 kullanan her hangi bir uygulamanız var ise baştan belirteyim onu silmeniz gerekecek.

Windows İçin

Windowsda Kurulum aşırı derecede kolaydır.Gerekli olan uygulamayı indiriyoruz. Sonrasında yönetici olarak açmanız gerekiyor.Kurulum bittikten sonra işimiz dahada kolaylaşıyor hemen DNS ayarlarımıza geliyoruz. Eğer kullandığınız bir DNS varsa 2 sinide siliyorsunuz sonrasında DNS ayarlarını aşağıdaki gibi yapıyorsunuz.

Kayıt edip çıkışımızı yapıyoruz.Ardından CTRL +R yapıyoruz çalıştır kısmına “cmd” yazıp başlatıyoruz.

  ipconfig /flushdns

Komutunu uyguluyoruz.Sonrasında Sistemimiz %98 Unbound u kullanmaya başlıyor.Bundan emin olmak için ise Aşağıdaki test sitelerini kullanabilirsiniz.

• http://dnssec.vs.uni-due.de/
• http://en.conn.internet.nl/connection/

Eğer oradada test başarılı olursa güvenli dns kurulumunuz başarılı olmuş demektir.doya doya internetde gezebilirsiniz.

Linux Sistemler İçin(Ubuntu etc.)

sistemde bulunan hazır repodan kuruyoruz.

  sudo apt-get update && sudo apt-get install unbound

Kurulum tamamlandıktan sonra root yetkilerinin elimize geçmesi lazım bunun içinde

  sudo -i

root olarak giriş yaptıktan sonra unbound bulunduğu klasöre atlamamız labım bunun için

  cd /etc/unbound

şimdi gerekli olan cache dosyasını indirmeye geldi sıra aşağıdaki linkden indirebilirsiniz.

  wget ftp://ftp.internic.net/domain/named.cache

şimdi ise TLS anahtarını oluşturmamız lazım bunun için aşağıdaki komutu veriyoruz.

  unbound-control-setup

isminde unbound geçen herşeyin sahip izni vermemiz lazım diğer izinler gereksiz ve güvenliğimizi tehdit edecektir.

  chown unbound:root unbound_*

Şimdi ise adında unbound geçenlerin izinlerini 440 yapıyoruz.

  chmod 440 unbound_*

hemen ardından eski config dosyamızı yedekliyoruz

  mv /etc/unbound/unbound.conf/etc/unbound/unbound.conf.default

içerisine ekleyeceğimiz ayarlar aşağıdadır kendinize göre değiştirebilirsiniz.

  > cat > /etc/unbound/unbound.conf <<-EOF
  > server:
  > access-control: 127.0.0.0/8 allow
  > access-control: 192.168.42.0/24 allow
  > auto-trust-anchor-file: "/var/lib/unbound/root.key"
  > verbosity: 1
  > statistics-interval: 120
  > num-threads: 1
  > interface: 0.0.0.0
  > outgoing-range: 512
  > num-queries-per-thread: 1024
  > msg-cache-size: 16m
  > rrset-cache-size: 32m
  > msg-cache-slabs: 4
  > rrset-cache-slabs: 4
  > cache-max-ttl: 86400
  > infra-host-ttl: 60
  > infra-lame-ttl: 120
  > infra-cache-numhosts: 10000
  > infra-cache-lame-size: 10k
  > do-ip4: yes
  > do-ip6: no
  > do-udp: yes
  > do-tcp: yes
  > do-daemonize: yes
  > logfile: ""
  > use-syslog: no
  > identity: "DNS"
  > version: "1.4"
  > hide-identity: yes
  > hide-version: yes
  > harden-glue: yes
  > do-not-query-address: 127.0.0.1/8
  > do-not-query-localhost: yes
  > module-config: "iterator"
  > local-zone: "localhost." static
  > local-data: "localhost. 10800 IN NS localhost."
  > local-data: "localhost. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
  > local-data: "localhost. 10800 IN A 127.0.0.1"
  > local-zone: "127.in-addr.arpa." static
  > local-data: "127.in-addr.arpa. 10800 IN NS localhost."
  > local-data: "127.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 2 3600 1200 604800 10800"
  > local-data: "1.0.0.127.in-addr.arpa. 10800 IN PTR localhost."
  > local-zone: "ubuntuprecise.net." static
  > local-data: "ubuntuprecise.net. 86400 IN NS ns1.ubuntuprecise.net."
  > local-data: "ubuntuprecise.net. 86400 IN SOA ubuntuprecise.net. proxy.ubuntuprecise.net. 3 3600 1200 604800 86400"
  > local-data: "ubuntuprecise.net. 86400 IN A 192.168.34.4"
  > local-data: "www.ubuntuprecise.net. 86400 IN A 192.168.34.4"
  > local-data: "ns1.ubuntuprecise.net. 86400 IN A 192.168.34.4"
  > local-data: "mail.ubuntuprecise.net. 86400 IN A 192.168.34.4"
  > local-data: "ubuntuprecise.net. 86400 IN MX 10 mail.ubuntuprecise.net."
  > local-data: "ubuntuprecise.net. 86400 IN TXT v=spf1 a mx ~all"
  > local-zone: "42.168.192.in-addr.arpa." static
  > local-data: "42.168.192.in-addr.arpa. 10800 IN NS ubuntuprecise.net."
  > local-data: "42.168.192.in-addr.arpa. 10800 IN SOA ubuntuprecise.net. proxy.ubuntuprecise.net. 4 3600 1200 604800 864000"
  > local-data: "1.42.168.192.in-addr.arpa. 10800 IN PTR ubuntuprecise.net."
  > forward-zone:
  > name: "."
  > forward-addr: 8.8.8.8
  > forward-addr: 8.8.4.4
  > forward-addr: 208.67.222.222
  > forward-addr: 208.67.220.220
  > remote-control:
  > control-enable: yes
  > control-interface: 127.0.0.1
  > control-interface: 192.168.42.1
  > control-port: 953
  > server-key-file: "/etc/unbound/unbound_server.key"
  > server-cert-file: "/etc/unbound/unbound_server.pem"
  > control-key-file: "/etc/unbound/unbound_control.key"
  > control-cert-file: "/etc/unbound/unbound_control.pem"
  > EOF

yapılan ayarlarda hata olup olmadığını görmek için

  unbound-checkconf /etc/unbound/unbound.conf

her hangi bir hata vermez ise unbound dns sunucumuzu başlatıyoruz sonrasında DNS ayarlarını 127.0.0.1 yapmanız yeterlidir.

Firefox Eklentileri ile güvenli web keyfine gerçekten de ulaşabilirsiniz. Günümüzde örneklerini sıkça gördüğümüz tarayıcı virüslerinden Firefox sayesinde kurtulabiliriz.

Bu işlemleri yaparken neden Chromium yani Chrome’yi seçmedim en başta Google’nin hali hazırda gizlilikleri ne kadar ihlal ettiğini ve bu konuda ki yaptırımlarının ne kadar az olduğunu görüyoruz.

Chrome’nin bilgi sızdırmadaki üstünlüğünüzde internet deki bir çok makaleden okuyabilirsiniz bu açıdan Firefox kullanmanız hem güvenliğiniz hem de gizliliğiniz için gerekli.

• Firefox
• Firefox ESR
• Aurora
• Tor Browser

tarayıcılarından istediğiniz birini kullanabilirsiniz önereceğim eklentiler bu dağıtımlarda çalışmaktadır. Waterfox de kullanabilirsiniz. Yapacağınız işlemler sizleri %100 güvenli bir web deneyimi sunmaz sadece popüler olan saldırı çeşitleri ve tehditlerden korumaya yöneliktir. %100 bir güvenlik istiyorsanız daha çok yol kat etmeniz gerekmektedir.

• HTTPS Everywhere – (her yerde güvenli http) adıyla sıkça karşınıza çıkan ve bir çok büyük web sitesine bağlantınızı güvenli hale getiren bir firefox eklentisidir. Web siteleri genel olarak http üzerinden yayın yapalar bazı web siteleri de https üzerinden sunabilecekleri içeriklerini http üzerinden sunarlar buda büyük bir güvenlik açığı demektir ve gizliliğinizi büyük ölçüde zedeleyen bir unsurdur. Eklentinin göre işte tam bu noktada başlıyor http bağlantıları daha size ulaşmadan https yönlendirmesi yaparak gizliliğinizi korumayı kendisine görev edinmiş durumda tabii ki bunu yapabilmesi için gireceğiniz sitenin https kullanıyor olması gerekmekte.
• uBlock Origin Reklam engelleme konusunda kendini kanıtlamış ve bir o kadarda stabil olarak tüm web sitelerinde güvenle kullanabileceğiniz bir reklam filtreleme aracıdır.

Benim size Tavsiyem Süzgeç ekleme menüsünden tüm süzgeçleri eklemeniz sonrasında reklamsız bir internetin tadını çıkartmanız.

• NoScript Security Suite web sitelerindeki aktif içeriği türlü türlü şekillerde düzenliyebilmeniz ve gerektiği zaman engelleyebilmeniz için geliştirilmiş bir firefox eklentisidir. Bu eklentiyi kurar kurmaz Beyaz listesi dışındaki tüm sitelerde bulunan aktif içeriği yasaklayarak %30 oranında bir gizlilik artışı sağlar. Böylece hakkınızda bilgi toplanmasını engeller.
• uMatrix Web sitelerinde bulunan tüm requestlere yani isteklere cevap vermeyerek hem gizliliğinizi korumaya yardımcıdır hem de noscript ile mükemmel bir ikilidir. Anlatmak gerekirse bir web sitesine girdiniz girdiğiniz sitede türlü türlü yerlerden alınma video linkleri resimler vs bulunmakta işte bu eklenti girdiğiniz site dışındaki isteklere cevap verilmesini engelliyor yani kullanıcının denetimine bırakıyor. Aynı zamanda XSS açıklarından da korumakta
• Cookie AutoDelete Girdiğiniz web sitelerin bilgisayarınıza kırıntı bıraktığını elbette biliyorsunuz. İşte bu uygulama otomatik olarak kullanılmayan çerezleri silmekte ve gizliliğinizi bir üst seviyeye taşımakla yükümlü ayrıca bir beyaz listesi de bulunuyor buraya güvendiğiniz siteleri ekleyerek de çerezlerin her daim durmasını sağlayabilirsiniz.

Birinin sizin sunucunuza erişmeye çalıştığını nasıl anlarsınız? genel olarak loglara bakarsınız ancak bu uygulama onu bile yapmamanızı sağlayacak python ile yazılmış bu yazılım saldırganı sitenizden uzak tutmaya yetecek gibi gözüküyor.

Özelliklerine gelecek olursak

• Sahte dosya sistemi oluşturarak ekleme ve silme işlemlerini asıl sistemi etkilemesini engelleyebilirsiniz /aynı debian 5 kurulumu gibi sahte dosya sistemi kurarsınız
• Sahte dosya içerikleri eklemenize imkan sağlar /etc/passwd gibi yada /etc gibi dosyaları koruyabilirsiniz.
• Oturumlarda yapılan tüm işlemler gerçek zamanlı olarak kayıt altına alınırlar
• Sadece wget ile indirilebilecek biçimde dosyalar kayıt eder
• Gerçek SSH ye bağlandığını sanan saldırgan sitenizi kurcalamaya başlayacak ancak başarılı olamayacaktır.

Kippo yazarından

“By running kippo, you’re virtually mooning the attackers. Just like in real life, doing something like that, you better know really well how to defend yourself!”

fazla uzatmadan olayımıza geçelim öncelikle ben bu testleri ubuntu da yapıyorum.

sudo apt-get install python-dev openssl python-openssl python-pyasn1 python-twisted

bu kurulum internet ve sistem hızına göre değişecek 22 ye yakın bileşen kurulduktan sonra ssh portumuzu değiştirmeye geldi sıra portu rastgele sayılardan oluşan 4 haneli sayılardan yapmamız gerekiyor benim burada vereceğim örneği kullanmayınız

nano /etc/ssh/sshd_config

22 olan port numarasını ben 4698 yaptım ve ardından ssh yi yeniden başlatıyoruz.

sudo service ssh restart

hemen önce bir subversion kuralım

sudo apt-get install subversion

Kullanıcı oluşturmamız gerekiyor buradan sonraki işleri root olarak yapmamalısınız

useradd -d /home/kippo -s /bin/bash -m kippo -g sudo

kullanıcı oluşturulduktan sonra

su kippo

komutu ile kullanıcıya bağlanıyoruz.Home klasörüne cd komutu ile girişimizi yaptıktan sonra dosyayı indiriyoruz

svn checkout https://github.com/desaster/kippo ./kippo

sonra config dosyamızı düzenlememiz lazım bunun için mv komtuna ihtiyacımız var

mv kippo.cfg.dist kippo.cfg
nano kippo.cfg

dosyamızı düzenlemek için hazır hale getirdik…

ssh_port = 2222

olan yeri

ssh_port = 22

Olarak değiştiriyoruz…

ve son olarakta dosyamızı çalıştırmaya geliyor sıra…

./start.sh

komutunu verdikten sonra arkamıza yaslanıyoruz ve gelen saldırıları izliyoruz kişinin yapacak fazla bir seçeneği yok gibi gözüküyor sistemi kullanarak tam olarak neyin ne olduğunu görmeye çalışacağım…

SSHGuard C dili ile yazılmış hızlı ve hafif bir uygulamadır günlük aktiviteleri takip ederek büyük çaptaki saldırılara karşı sisteminizi korumaya yardımcı olur.Eğer bir kişi sürekli olarak SSH üzerinden sunucuya ulaşmaya çalışır ise uygulama sizin yerinize iptables düzenlemesi yaparak saldırı alınan ip adresini engeller.Daha sonra ise saldırı durduğu zaman engellenen ip adresini serbest bırakır.

SSHGuard Kurulumu

centos 5 üzerine ben kurulumu yaptığımdan dolayı aşağıdaki adımları yaparken göz önünde bulundurunuz

rpm -ivh http://flexbox.sourceforge.net/centos/5/i386/sshguard-1.5-2.el5.i386.rpm

Diğer sistemler de kullanmak isteyenler Tıklayın

SSHGuard için iptables/Netfilter yapılandırması

SSHGuard için ipfilterde yapılandırma dosyası yoktur.yapılacak tek şey engelleme kurallarını engellemek için SSHGuarda izin vermek ve gereken ayarlamaları yapmaktır.

ipv4 için

iptables -N sshguard

ipv6 için

ip6tables -N sshguard

Girişleri güncelledikten sonra –dport özelliğini kullanarak portları da koruyabilirsiniz yada portlara erişimi tamamen kapatmak isteyebilirsiniz.

Saldırganlara karşı tüm trafiğin engellenmesi

ipv4 için

iptables -A INPUT -j sshguard

ipv6 için

ip6tables -A INPUT -j sshguard

Saldırganlara karşı SSH, FTP, POP, IMAP belirli hizmetlerin engellenmesi

ipv4 için

iptables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143 -j sshguard

ipv6 için

ip6tables -A INPUT -m multiport -p tcp --destination-ports 21,22,110,143 -j sshguard

Sonrasında kuralları kayıt edip çıkın

service iptables save

• Mümkün olduğunda tüm SSH trafiğini sunucuya kabul etmeyin
• Varsayılan güvenlik duvarı ayarlarını mutlaka kendinize göre düzenlemeyi unutmayın

Bir kaç iptables Örneği

SSHGuardın kötü dediği herşeyi yasaklatmak

iptables -A INPUT -j sshguard

Trafiğe açmak isterseniz

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Herşeyi Yasaklamak için

iptables -P INPUT DROP

iptables/netfilter kullanmadan SSHGuard yapılandırma

eğer detaylı bir şekilde iptables kullanmak istemezseniz aşağıdaki komutları kullanarak sshguard izinleri dışında kimsenin işlem yapamamasını sağlayabilirsiniz.

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -N sshguard
iptables -A INPUT -j sshguard

Son olarak da kayıt ediyoruz ve işlemimiz tamamlanıyor.

service iptables save