Üye Girişi
Bağlan Google+ ile Bağlan Facebook ile Bağlan
Yeni Kayıt
Tüm Forumlar
  • Tüm Forumlar
  • Donanım / Hardware
  • Network ve Güvenlik
  • Network
  • Bu Konuda
Şimdi Ara

OpenVPN'de güvenliği arttırmak

Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Daha Fazla
Bu Konudaki Kullanıcılar: Daha Az
2 Misafir (1 Mobil) - 1 Masaüstü1 Mobil
5 sn
10
Cevap
0
Favori
459
Tıklama
Daha Fazla
İstatistik
  • Konu İstatistikleri Yükleniyor
Konuya Özel
0 oy
Öne Çıkar
Cevapla
Sayfa: 1
Giriş
Mesaj
  • Merhaba,
    Malumunuz hepimiz daha temiz ve hızlı internet peşindeyiz. Hatırlarsanız Amerika'da Trump'ın onayladığı yasa ile İSS'ler kullanıcılardan izin almaksınız kullanıcıların bilgilerini satabilmelerini sağlayan yasayı onayladı. Artık kullanıcıların zin alması gerekmiyor. Ülkemizde ise İSS'lerin kişisel verilerimizi satsalarbile sağlam bir yaptırıma uğrayacaklarını sanmıyorum. Ayrıca bir çok siteye bazı nedenlerle erişemiyoruz. Wikipedia, Imgur, ve dahası. Hatta bir dönem alanında dünyanın en büyük sitelerine erişemedik. Bunları aşmak için çeşitli VPN servislerini kullanıyoruz. Bende bir süredir ücretsiz VPN servislerini kullanıyordum ancak bu ücretsiz servislerin bedelini kişisel bilgilerimizle ödediğimizi düşünüyorum.

    Tüm diğer yolları bir kenara bakıp bireysel VPN kurup kullanmak daha mantıklı görünüyor. Bunun içinde şuan en güvenlisi olarak OpenVPN gösteriliyor. Ancak salt OpenVPN kullanılırsa ve kullanımına dikkat edilmezse buda tek başına yeterli görünmüyor. Kimisi kapatılmış veya çok kritik, kimisi de potansiyel açık olabilir, karşılaştığım bir kaç açığı listeliyorum. Eklemek veya düzeltme istediğiniz varsa müdahale edelim.

    DPI yani derin paket incelemesi ile içerik görülmesede VPN bağlantısı görüp bağlantıyavaşlatılabiliyor yada kesilebiliyor.
    VORACLE saldırısı : OpenVPN sıkıştırma etkinleştirilirse anahtarla ilgili bazı bilgiler ele geçiriliyor. Çözüm için sıkıştırmanın iptal edilmesi gösteriliyor.
    OpenVPN kullanıpta DNSCrypt kullanmamakta zaaf olarak görülüyor.

    Çözüm olarak ise aşağıdaki ifadelere ulaştım. Eklemek düzeltmek isteyenler lütfen belirtsin. (Bazı ifadeler aynı konuyu ifade edebilir. Sitelerde farklı isimler geçiyor.)
    OpenVPN obfuscated, OpenVPN XOR, Openvpn-scrambled, Shadowsocks, STunnel, SSH...

    OpenVPN kurulumunu anlatan bir çok yazı mevcut. Ancak yukarıdaki ek güvenlik sağlayacak yolların kurulumunu anlatan yazıya ulaşmak pekte kolay değil gibi. Sadece "bu daha güvenli, bunu kullanın" denmiş.
    Sizlerin önermek istediğiniz kurulum senaryoları nelerdir. Bunların kurulumuna da değinirseniz çok daha faydalı olacağını düşünüyorum.

    Bir diğer husus operatör modemleri. Operatörin dağıttığı modemler piyasada epey yayıldı. Elinde modem halihazırda olan ucuza satıyor. Buda virüs gibi yayılan modeme neden oluyor. Operatör modemlerinde farkettiğim bir durum bu modemler uzaktan erişilebilir, yönetilebilir durumda. Hatta siz farkındadahi olmadan firmware güncelleniyor. Bir gün ihtiyaç olduğunda bir bakmışsınız önceden kullandığınız bazı özellikler uçmuş. Bu modemler çok büyük güvenlik açığı teşkil ediyor. Bir gün kimin sizin modeminize belki de modeme bağlı ağınıza dolayısıyla modeme bağlı USB disk, kameraya, telefona, bilgisayara erişeceğini bilemezsiniz.

    Bu yüzden AsusWRT (ve diğer OpenWRT, DDWRT) gibi yazılımlara yukarıda anlatacağınız servisin kurulumunun mümkün olup olmadığını da belirtirseniz çok çok daha faydalı olacak.

    Şimdiden cevaplayanlara teşekkürler, ellerine sağlık.







  • Selamlar,

    Bir müşterimiz için geçen aylarda Pfsense üzerinde Openvpn aktif ettik güvenlik içinde Multi Factor Authentication yaptık bağlanacak olan kullanıcılar openvpn client ı açtıktan sonra şifre kısmına kendileri için atadığımız 4 haneli pin i ve google auth'un anlık ürettiği şifreyi yazarak bağlanıyorlar yani sabit bir şifreleme olmuyor 30 saniyede bir şifre değişiyor bankaların kullandıkları şifrematik tarzı bir uygulama yaptık ve yeterince güvenli olduğunu düşünüyorum yalnız bu C2S vpn bağlantıları için geçerli bir uygulamlaydı. S2S vpn bağlantıları için de her iki networktede statik ip kullanılarak sadece o networklerin statik ipleri için erişim izinleri verilebilir.
  • Asagidaki linkleri incelemenizi oneririm.
    http://docs.hardentheworld.org/Applications/OpenVPN/
    https://openvpn.net/community-resources/hardening-openvpn-security/
    https://ruimarinho.github.io/post/configuring-a-secure-openvpn-2-4-server-with-docker/




  • Merhaba.
    Öncelikle modemlerden bahsedeyim. Modemler tek tek elle uzaktan güncellenmiyor modem firmware sunucusunundan en son firmware bilgisini istiyor , eğer bu bilgi kendi üzerindeki versiyon bilgisinden yüksekse sunucudan veriyi çekiyor(firmware) ve güncelliyor.
    Eğer otomatik güncelleme olmasa modemde diylelim bir güvenlik açığı oldu kullanıcı da bir berber dükkanı diyelim adam aa güvenlik açığı çıkmış diyip güncelliyecek mi
    Ota onun yerine halledecek.

    Modemler uzaktan kontrolü sadece modeme belli bilgiler (kullanıcı adı şifre vb) ayarları göndermekle yükümlü. Neden bu gerektiği oldukça basit her ev kullanıcısının bilgisayar bilgisi yok.

    Modemde oluşan açığa göre kullanıcıya erişm değişebilir.
    Örneğin local ağa erişmek ile ilgili bir açık keşfedildi ise yerel ağda sadece yerel ağın erişimine açılmış ve şifre koymadığınız bir DVR yada ip kamera varsa ozaman kameraya erişim olabilir.

    Şuanda ülkemizde VPN bağlantısını görüpte yavaşlatacak bir sistem yok. sadece belli başlı vpn firmalarının ki engellendi.
    Çözüm olarak sunduğunuz önerilerin içinde stunneli görüyorum stunnel şifrelenmemiş bağlantıyı şifreleyip yollar diğer tarafta açar, bir diğer SSH denmiş bunda da SOCKS5 proxy yada port yönlendirmesi ile Openvpn kullanımı olabilir ama gereksiz gecikmeye sebep olur ve openvpn dahili şifrelemesi varken bunlar gereksizdir

    DNSencrypt denmiş bu bir gereklilik değil verimi düşüren bir durum ve gömülü bir teknoloji değil sadece ek uygulama. bu uygulama yerine ietf tarafından belli kuralı olan
    evrensel sistemler kullanmayı tercih ederim.

    Örnek olarak firefox dahili olarak DoH desteği var. Bunun yerine DNS over TLS de kullanılabilir.

    OpenVPN varsayılan olarak Asus destekliyor galiba .(asus modemim yok)
    OpenVPN kurduktan sonra tüm isteklerin Ipv4 ve IPv6 modem üzerinden vpn sunucuna yönlendirmen aradaki tüm iletişimi ISP göremsine engel olacaktır. Bu sayede modem-server arası şifreli gider isteklerin.

    Ben farklı sebeplerden ısp modemi ve openwrt sistemi kullanmıyorum, kendi sistemimi kullanıyorum.




  • ULTILIX U kullanıcısına yanıt
    Zamanında bir ISP modemi aldım. Tabi alır almaz kurcalıyorum, denemeler yapıyorum. Tabi uzunca bir ara kullanmadım. Tekrar girdiğimde menülerin ve menülerdeki içeriğin bir kısmı kaybolmuş. Nasıl olur derken yeni Firmware gelmiş. Eski firmware döneyim derken üretici İSS cihazlarına teknik destek vermiyor. İnternette forumlarda eski firmware var, indiriyorsun ve kuracaksın, "firmware update" güncelleme ile kaybolanlardan. Modem arayüzüne giriş yaptığımız admin kullanıcısı aslında admin değil user seviyesindeymiş, bunuda öğrendik. Birde root kullanıcısı var. Hadi onunla giriş yapalım hooop oda bir önceki güncellemede değişmiş. root ile giriş yapabilmek için tarayıcı konsol panelinden bir defaya mahsus javascript kodları çalıştırıyorsun. Giriş yapıp hemen root parolayı değiştiriyorsun ki sürprizle karşılaşmayasın. DNS değiştireceksin. Evet ayarlarda var giriyorsun ve kaydediyorsun ama işlevsiz. Hâla İSS DNSleri geçerli. DNS değiştirmek için bile tarayıcı konsolundan bir defaya mahsus javascript kodları çalıştırıyorsun ki gerçekten değişsin.
    Şahsen bu kadar zorluğun kasap berber için olduğunu sanmıyorum.




  • interwap kullanıcısına yanıt
    Modem üzerinden İnternet sekmesindeki DNS değilde DHCP üzerinden bilgisayarlara gönderilen varsayılan DNS adresini gateway yerine istediğiniz DNS adresi olarak gönderin.
  • Merhaba,

    Veri merkezi IP leri bazı siteler tarafından engelleniyor. Nasıl sorunsuz IP temin edip kendimiz uygulayabiliriz? (VPS için)
  • interwap kullanıcısına yanıt
    Ornek olarak Netflix bu ip adresslerini engelliyor.
    Firmalar genelde ASN bazli kontrol yapiyorlar.
    Burada test etmenin tek yontemi deneme yanilmadir yada baska bir yerden duyduysaniz bu sekilde engellenmeyen bir yer orayi kullanmaktir.

  • CGNAT havuzunda iken open vpn kullanmak mümkün olur mu?
    • 
Sayfa: 1

Benzer içerikler

- x
Bildirim
mesajınız kopyalandı (ctrl+v) yapıştırmak istediğiniz yere yapıştırabilirsiniz.
Hizmet kalitesi için çerezleri kullanabiliriz. DH’ye girerek kullanım izni vermiş sayılırsınız.
Anladım Veri Politikamız