İnternetimizi Hijack eden ISS'lar | Encrypted SNI ile Korunmak | Gizlilik İçin Programlar

CoolSnow · 2020-04-22T09:07:11.0000000+03:00

İlk Mesajı baştan sona düzenliyorum. Eski halini merak eden olursa buraya tıklayın. Dikkat! Konunun amacı Engelli sitelere erişmek değil, ISS'lerin yapmış olduğu saldırıları önlemek ve korunmaktır. Bunun sonucunda Engelli sitelere erişebilir veya erişemeyebilirsiniz. Bu durum ISS'nize bağlıdır. ------------------------------ Bildiğiniz gibi yaklaşık on yıldır internetimiz çok ağır bir şekilde ISS'ler ve devlet kuruluşları tarafından sansürlenmekte, içerikler engellenmektedir. Bu içeriklerin engellenmesine sitem etmeyeceğim. O konunun yeri farklı bir yer. Bugün size aktaracağım şey içeriklerin nasıl engellendiği, ortaya çıkan gizlilik ve güvenlik sıkıntılarından nasıl kurtulabileceğimiz. Eskiden dns tabanlı bir engelleme yapılmaktaydı. İnsanlarımız alternatif servisleri kullanarak bu engellemeden kolayca kurtuluyordu. Ta ki internet servis sağlayıcılarımız internet adresleriyle yapmış olduğumuz haberleşmeye müdahale edene kadar. Günümüzde yapılan müdahale ise bir internet protokolü saldırısı olarak biliniyor. Gerçekleşen Handshake’ler izlenir ve stratejik veri paketlerine müdahale edilerek haberleşme kesilir. Bunun nasıl yapıldığını gösteren paket akışını aşağıda görebilirsiniz. Burada hiçbir insana zararı olmayan ama yasaklı olan pastebin.com sitesine erişmeye çalıştık. Görmüş olduğunuz SSL paketi yapısı gereği şifrelidir fakat bir kısmı hariç. Server Name Indication (SNI) olarak adlandırılan kısımda ulaşmaya çalıştığımız sitenin adresi apaçık meydanda. Daha fazla bilgi için https://tr.wikipedia.org/wiki/Server_Name_Indication İş bu kadarla bitmiyor. Bu haberleşmenin nereyle yapıldığını öğrenen FireWall bir bilişim suçu işleyerek, bize karşı taraftan gönderilen paketlere müdahale ediyor. Burada bize gelmiş olan TCP protokolünde Reset bayrağı bulunmaktadır. Yani HTTPS için handshake başlamadan bitmiştir. Paketin içeriği oynanmış ve iletişim sekteye uğratılmıştır. Bu bir bilişim saldırısı yöntemidir. https://en.wikipedia.org/wiki/TCP_reset_attack Görmüş olduğunuz haberleşmenin tümü şifrelidir. Hatta DNS paketleri bile DNS over TLS ile şifrelidir. Bu haberleşmenin içeriğini kurcalamaya ne ISS’lerin ne de devletin hakkı vardır. Bunun bir suç olup olmadığı konusunu size bırakıyorum. ISS'niz başka bir siteden geliyormuş gibi gözüken sahte paketler üretebilmeli mi? TCK. MADDE 244 Sistemi engelleme, bozma, verileri yok etme veya değiştirme (1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır. (2) Bir bilişim sistemindeki verileri bozan , yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi , altı aydan üç yıla kadar hapis cezası ile cezalandırılır. ... ----------------------------------------################################---------------------------------------- Konumuzun en güzel kısmı ise şimdi başlıyor, Haberleşmeyi tamamen şifreleyerek kendimizi İSS’lerden korumak. Yapılması gereken iki şey var. DNS ve SNI haberleşmesini şifrelemek. Bu sayede İSS’ler müşterileri hakkında ne log tutabilir ne de erişim engeli uygulayabilir! Yukarıda ulu ortada görmüş olduğunuz web sitesinin adresi paketlerdeki SNI olarak bilinen kısımın zafiyetinden kaynaklanmaktadır. Bu kısmı şifreleyebiliriz veya başka programlarla parçalara ayırabiliriz. Encrypted SNI Protokolü şuanda Cloudflare ve Mozilla tarafından geliştirilme aşamasında fakat Mozilla Firefox’ta erkenden stabil bir versiyonuna ulaşabilirsiniz. Ne yazık ki sadece Firefox için bulunmakta. Şuanda Windows ve Linux için hazır kurabileceğiniz bir program yok. Tek Tuşla En Kolay ve En Güvenli Çözüm 1. Adım: Firefox Stabil versiyonunu indirip kurun. 2. Adım DNS over HTTPS’i etkinleştirin. (Bu aynı zamanda girdiğiniz sitelerin İSS tarafından kayıt altına alınmasını önleyecektir.) Görseldeki adımları uygulayın. 3. Adım ESNI özelliğini aktif edin. Bunun için adres satırına about:config yazın. Çıkan uyarıya evet deyip arama çubuğuna esni yazın ve çıkan sonucu etkinleştirin. 4. Adım: PasteBin’i test edin. https://pastebin.com/PqHJPAx7 Önemli notlar: ESNI protokolüyle sadece ESNI özelliğini destekleyen web sitelerine bağlanabilirsiniz. Yani engellenen web sitesinin Cloudflare proxy'sinde ve türevlerinde bulunması gerek. Bu da şuanda engellenen sitelerin yaklaşık yarısını kapsıyor. Sistem Sadece https:// uzantılı web sitelerinde ISS'lere karşı koruma sağlamakta. Eğer site açılmazsa Başına https koymayı deneyin. Yine açılmıyorsa o web sitesi ip adresi engeli yemiş ve Proxy hizmeti kullanmıyor demektir. Diğer yöntemleri kullanabilirsiniz. ESNI protokolü yakın zamanda routerlar ve modern işletim sistemlerine adapte olur diye düşünüyorum. O zaman hayatımız çok daha kolay olacaktır. Çünkü ISS’lerin Proxy kullanan Web sitelerini engellemeleri İMKANSIZ hale gelecektir. İnternet standartlarının daha güvenli olduğu bir gelecek umuduyla beklmekteyiz... ESNI'nin çalışıp çalışmadığını buradan tespit edebilirsiniz. Burada gördüğünüz her şey yeşil olmalı. https://www.cloudflare.com/ssl/encrypted-sni/ Çalışmaz ise about:config'de network.trr.mode'u 3'e almanızı öneririm. ----------------------------------------################################---------------------------------------- Biraz Uğraştıran Ama Her Türlü Siteye Girmenizi Sağlayacak Garanti Yöntem GoodbyeDPI Bu yöntemde Firefox kullanmayacağız Sistem genelinde bir değişiklik yapılarak cihazınızın internet erişimini garantiler. Https uzantılı tüm sitelere erişmenizi sağlar. Fakat ağınızı dinleyen herhangi birisi hangi sitelere girdiğinizi hala tespit edebilir. Firefox ESNI açıkken tamamen şifreli bir iletişim olduğundan sizi takip edemezler. İki programı da aynı anda kullanabilirsiniz. En optimal sonucu verecektir. Bu program paketleri parçalamaktadır. Buna SNI de dahil. SNI kısmını şifrelemez. Hala hangi sitelere girdiğiniz takip edilebilir. Programın yapmış olduğu şey SNI'de pastebin.com yazan paketi parçalayarak bir pakette paste diğerinde bin.com adreslerinin gözükmesini sağlamaktır. Gerçek bir gizlilik sunmaz. Kurulum Programımızın adı GoodbyeDPI. Son sürümünü buradan indirebilirsiniz. https://github.com/ValdikSS/GoodbyeDPI/releases İndirip Prgram Files gibi bir dizine çıkartın. Çıkan dosyada bizi bir avuç .cmd dosyası beklemekte. Bu dosyalar Rus ISS leri için önceden hazırlanmış. Bizim kendimiz için Editleyeceğimiz dosya "service_install_russia_blacklist.cmd". Not defteri ile açıp içindeki 13. satıra bunu yazın: sc create "GoodbyeDPI" binPath= "\"%CD%\%_arch%\goodbyedpi.exe\" -3 Böyle gözükmeli: Dosyayı kaydet deyip kapatın. Sağ tıklayıp Yönetici olarak çalıştır deyin. Çıkan ekranda herhangi bir tuşa basın ve hizmet yüklenmiş olacak. Windows arama sekmesine hizmetler yazın ve çıkan sonucu çalıştırın. Hizmetler listesinde GoodbyeDPI'ı bulup sağ tıklayıp özellikler deyin ve başlangıç türünü otomatik yapın. Böyle gözükmeli: Bu şekilde Bilgisayarımız her açıldığında çalışacak bir hizmet yükledik. İsterseniz Manuele alıp elle açıp kapatabilirsiniz. Servisi kaldırmak için "service_remove.cmd" kullanabilirsiniz. DNS Sunucunuzu ISS'nin verdiğinden farklı bir sunucuyla değiştirdiğinizden emin olun. Bu şartlar altında sorunsuz olarak tüm sitelere girebilmelisiniz. Ekstra DNS güvenliği için SimpleDNSCrypt programını öneriyorum. Veya Stubby programını da kullanabilirsiniz fakat konfigürasyonu biraz zordur. Şifreli DNS olmadan da çalışmakta fakat kolayca DNS spoofing yöntemleriyle engel yiyebilirsiniz. Ayrıca bununla beraber ISS'niz girdiğiniz web sitelerini kayıt altına alamayacaktır. Oldukça basit bir program. Buradan indirebilirsiniz https://simplednscrypt.org/ Benim tavsiyem programda Cloudflare DNS over Https (DoH) kullanmanız yönünde. Bu konuda tercih serbest. Dediğim her şey yalnızca web siteleriyle güvenli Https bağlantıları için geçerli. Bu yüzden her zaman tarayıcınızın adres çubuğunda https yazdığından emin olun. Ayrıca Forumdan @m231 arkadaşımızın yapmış olduğu bir grafik arayüzü varmış. Kullanmadım ama detaylı bilgiye Github sayfasından ulaşabilirsiniz. https://github.com/mguludag/GUI-for-GoodbyeDPI ----------------------------------------################################---------------------------------------- Daha basit bir çözüm: GoodbyeDPI Alternatifi PowerTunnel Alternatif olarak grafik arayüzlü PowerTunnel programını kullanabilirsiniz. Default ayarlarıyla çalışmakta. DoH kendi içinde gelmekte. https://github.com/krlvm/PowerTunnel/releases buradan PowerTunnel.jar'ı indirebilirsiniz. Ayrıca Java'ya ihtiyacınız var. Yüklü değilse indirin. https://www.java.com/tr/ İçinde DNS over https yüklü geliyor. DoH resolver'a Google için https://dns.google/dns-query Cloudflare için https://cloudflare-dns.com/dns-query yazabilirsiniz. Program Google'da daha stabil çalıştığını söylemiş. DoH sağlayıcıları listesi için burayı kontrol edebilirsiniz: https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Public+Resolvers Android için PowerTunnel'ın Android versiyonu bulunmakta. Default ayarlarda çalışmakta. DoH desteği var. Aynı şekilde ayarlardan Cloudflare DoH'u etkinleştirebilirsiniz. https://github.com/krlvm/PowerTunnel-Android/releases buradan apk yı indirip kurabilirsiniz. PowerTunnel Çalışmıyorsa FullChunking mode'u etkinleştirmeyi deneyebilirsiniz. Android'de bazen uygulamayı yeninden başlatınca sıkıntılar çözülüyor. ----------------------------------------################################---------------------------------------- Sık Sık Sorulan Sorular Bu yöntemlerin VPN den farkı ne? Bu yöntemin VPN'den farkı kendi ip adresiniz üzerinden internete çıkmanızdır. Bir sanal ağa bağlı olmazsınız. VPN'de yaşadığınız gecikme sürelerindeki artışı yaşamazsınız. İnternet hızınızda da bir kayıp yaşamazsınız. Bağlantım VPN'den daha mı güvenli? Ücretsiz bir VPN kullanan birisiyseniz evet daha güvenli. Bunun dışında paralı ve log tutmayan bir servis kullanıyorsanız VPN her zaman en üst güvenlik hizmetini sağlayacaktır. Daha güvenli bir bağlantı için hangi yöntemleri önerirsiniz? İlk önce DNS trafiğiniz şifrelenmeli. Bunun için SimpleDnsCrypt, Stubby gibi programları veya PowerTunnel'ın DoH özelliğini kullanmalısınız. Ayrıca Router'ınız bu hizmeti destekliyorsa her şeyi kökten Router üzerinden de halledebilirsiniz. Bunun dışında her zaman Https'li bağlantılar kurun. Ve Firefox'un ESNI özelliğini açık tutun. Bu sayede internette neler yaptığınızı neredeyse takip edilemez bir konuma getiriyorsunuz. Ama ESNI her site tarafından desteklenmemekte ve yine sıkıntılar doğurabilmektedir. Güvenli bir bağlantının formülü= DoT veya DoH + HTTPS + firefox ESNI'dir. GoodByeDpi gibi programlar sadece ISS'lerin güvenlik duvarına takılmamanızı sağlar. Bağlantınızı dinleyen birisi sizi hala takip edebilir. GoodbyeDPI mı powertunnel mi? Powertunnel bazen sıkıntı yaşatabiliyor ama en basit yöntemdir. GoodByeDPI ise çok daha gelişmiş bir program. ISS ler daha agresif bir filtreleme yaparsa gelecekte işimize yarayacaktır.

Giriş

Mesaj

Der Meister.

Yarbay

10+

4788 Mesaj

"çok beğenilen": En az 2.500 beğeni aldı. 7 seviyeli bu başarı rozetinin 5. seviyesine sahip.

"müdavim": En az 5.000 mesaj yazdı. 3 seviyeli bu başarı rozetinin 2. seviyesine sahip.

"takdirci": En az 1.000 beğeni verdi. 1 seviyeli bu başarı rozetinin 1. seviyesine sahip.

"vefalı": En az 50 mention yanıtladı. 1 seviyeli bu başarı rozetinin 1. seviyesine sahip.

Tüm Başarılarını Gör

19 Mayıs 2021 20:31:16

Mesaj Linkini Kopyala
Şikayet

quote:

Orijinalden alıntı: superfatcat

Hocam pi-hole blok listesini 3 milyon yaptığınızda hiç sıkıntı yaşadınızmı? Tavsiye edeceğiniz listeler varmı?

Alıntıları Göster

Onu test amaçlı kullanmıştım. Sıkıntı yaşamamıştım çünkü geniş whitelist kullanıyordum. 3-5 milyon blacklist'ten ziyade işlevi ve FPs yaşatmaması önemli. Normalde sadece bu listeyi kullanıyorum ve öneriyorum. Geliştiricisi içerisindeki listeleri ölü ve FPs domainlerden arındırıp tek listede birleştiriyor. Yaklaşık 1 yıldır hiç whitelist kullanmadığım halde sıkıntı yaşatmadı. Google'ın "www.google-analytics.com" adresi ve buna benzer iş için kullanılan birkaç adres bilerek hariç bırakılmış. Kayıtlarda engellenmediğini görürseniz şaşırmayın, o zaten reklam adresi değil. Engellemek istiyorsanız elle blacklist'e alabilir veya benim gibi RegEx oluşturarak kelime bazlı engelleyebilirsiniz.

Link'ini eklediğim liste de içerisinde 1 milyondan fazla blacklist bulunduruyor. Üstelik bahsettiğim gibi hiç sıkıntı yaşatmıyor ve her gün güncelleniyor.

İnternetimizi Hijack eden ISS'lar | Encrypted SNI ile Korunmak | Gizlilik İçin Programlar

RegEx için örnek olarak bu kurallarıma bakabilirsiniz;

superfatcat

9 Mesaj

"er": Geleneksel rütbe sistemi koşulları geçerlidir.

Tüm Başarılarını Gör

21 Mayıs 2021 00:32:05

Mesaj Linkini Kopyala
Şikayet

@Der Meister. Hocam raspberry pi zero modülü üzerine pi-hole + unbound kullanarak Cloudflare DoT'u aktif ettim. Aşağıdaki komutları unbound config dosyasına ekledim.

#Enable DNS over TLS with Unbound and Cloudflare

tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt

forward-zone:

name: "."

forward-tls-upstream: yes

# Cloudflare DNS

forward-addr: 1.1.1.1@853#cloudflare-dns.com

forward-addr: 1.0.0.1@853#cloudflare-dns.com

forward-addr: 2606:4700:4700::1111@853#cloudflare-dns.com

forward-addr: 2606:4700:4700::1001@853#cloudflare-dns.com

Dns cache işlemini hem unbound hemde pi-hole yaptığı için şu konudaki önemli kısımları uyguladına cache işlemi hızlanıyor.

https://github.com/anudeepND/pihole-unbound

Fakat merak ettiğim bi konu var 1.1.1.1/help testinde bazen DoT kısmında No çıkıyor, bu sizdede oluyormu?

Bu mesaja 2 cevap geldi

Balliba

Yüzbaşı

10+

909 Mesaj

"çok beğenilen": En az 250 beğeni aldı. 7 seviyeli bu başarı rozetinin 2. seviyesine sahip.

"müdavim": En az 1.000 mesaj yazdı. 3 seviyeli bu başarı rozetinin 1. seviyesine sahip.

"vefalı": En az 50 mention yanıtladı. 1 seviyeli bu başarı rozetinin 1. seviyesine sahip.

"gezgin": En az 50 foruma mesaj yazdı. 4 seviyeli bu başarı rozetinin 1. seviyesine sahip.

Tüm Başarılarını Gör

21 Mayıs 2021 06:31:46

Mesaj Linkini Kopyala
Şikayet

superfatcat

kullanıcısına yanıt

Merhaba. O durum bende de oluyor. Sanırım Cloudflare dnsleri bazı isteklerde time outa düşüyor.

Der Meister.

Yarbay

10+

4788 Mesaj

"çok beğenilen": En az 2.500 beğeni aldı. 7 seviyeli bu başarı rozetinin 5. seviyesine sahip.

"müdavim": En az 5.000 mesaj yazdı. 3 seviyeli bu başarı rozetinin 2. seviyesine sahip.

"takdirci": En az 1.000 beğeni verdi. 1 seviyeli bu başarı rozetinin 1. seviyesine sahip.

"vefalı": En az 50 mention yanıtladı. 1 seviyeli bu başarı rozetinin 1. seviyesine sahip.

Tüm Başarılarını Gör

21 Mayıs 2021 14:53:56

Mesaj Linkini Kopyala
Şikayet

superfatcat

kullanıcısına yanıt

No çıkması çalışmadığı anlamına gelmiyor. Ama siz yine de ikisinden birini seçseniz daha iyi olur. Bu rehbere bir göz atın. Public IP alıyorsanız veya VPS'deki VPN sunucuma kuracağım diyorsanız unbound iyidir. Pihole için DoT denemedim ama DoH isterseniz cloudflared doh rehberi var. İlla cloudflare kullanmanız şart değil, konfigürasyon dosyasında değişiklik yapabilirsiniz. Önceden denemiştim ve çalışıyordu.

< Bu mesaj bu kişi tarafından değiştirildi Der Meister. -- 21 Mayıs 2021; 14:59:22 >

Bu mesaja 1 cevap geldi

superfatcat

9 Mesaj

"er": Geleneksel rütbe sistemi koşulları geçerlidir.

Tüm Başarılarını Gör

21 Mayıs 2021 16:00:58

Mesaj Linkini Kopyala
Şikayet

Der Meister.

kullanıcısına yanıt

O rehberdeki DoH kurulumunu denedim fakat rspi zero'da sıkıntı çıkarıyor. Unbound + DoT şuan gayet iyi hocam tavsiye ederim

Gencbeyiin

Binbaşı

10+

1344 Mesaj

"konu açıcı": En az 250 konu açtı. 4 seviyeli bu başarı rozetinin 2. seviyesine sahip.

"çok beğenilen": En az 250 beğeni aldı. 7 seviyeli bu başarı rozetinin 2. seviyesine sahip.

"müdavim": En az 1.000 mesaj yazdı. 3 seviyeli bu başarı rozetinin 1. seviyesine sahip.

"vefalı": En az 50 mention yanıtladı. 1 seviyeli bu başarı rozetinin 1. seviyesine sahip.

Tüm Başarılarını Gör

02 Temmuz 2021 15:43:48

Mesaj Linkini Kopyala
Şikayet

Türk telekom yasaklı sitelere nasıl giriş yapıyorsunuz 2021 yılında

Bu mesaja 1 cevap geldi

Guest-30A640B69

Binbaşı

10+

1551 Mesaj

"konu açıcı": En az 100 konu açtı. 4 seviyeli bu başarı rozetinin 1. seviyesine sahip.

"çok beğenilen": En az 1.000 beğeni aldı. 7 seviyeli bu başarı rozetinin 4. seviyesine sahip.

"müdavim": En az 1.000 mesaj yazdı. 3 seviyeli bu başarı rozetinin 1. seviyesine sahip.

"takdirci": En az 1.000 beğeni verdi. 1 seviyeli bu başarı rozetinin 1. seviyesine sahip.

Tüm Başarılarını Gör

02 Temmuz 2021 15:47:00

Mesaj Linkini Kopyala
Şikayet

Gencbeyiin

kullanıcısına yanıt

Bu konu bununla ilgili değil hocam

StRonK

Çavuş

54 Mesaj

"çavuş": Geleneksel rütbe sistemi koşulları geçerlidir.

Tüm Başarılarını Gör

23 Ocak 2022 16:54:47

Mesaj Linkini Kopyala
Şikayet

GoodbyeDPI güncelleme aldı isteyen deneyebilir

GitHub

ValdikSS/GoodbyeDPI

https://github.com/ValdikSS/GoodbyeDPI

superfatcat

9 Mesaj

"er": Geleneksel rütbe sistemi koşulları geçerlidir.

Tüm Başarılarını Gör

16 Ekim 2022 12:17:00

Mesaj Linkini Kopyala
Şikayet

Cloudflare DoT ile açılmayan bazı sayfalar açılıyordu fakat bitkaç haftadır yine sayfalarda erişim sorunu oluyor. Bu yöndetimide engelledilermi dersiniz?

WoLeRiNe

Yüzbaşı

10+

280 Mesaj

"çok beğenilen": En az 100 beğeni aldı. 7 seviyeli bu başarı rozetinin 1. seviyesine sahip.

"vefalı": En az 50 mention yanıtladı. 1 seviyeli bu başarı rozetinin 1. seviyesine sahip.

"yüzbaşı": Geleneksel rütbe sistemi koşulları geçerlidir.

Tüm Başarılarını Gör

19 Nisan 2023 06:55:35

Mesaj Linkini Kopyala
Şikayet

https://root-servers.org/

Guest-5AAB90F4D

Binbaşı

10+

1188 Mesaj

"çok beğenilen": En az 500 beğeni aldı. 7 seviyeli bu başarı rozetinin 3. seviyesine sahip.

"müdavim": En az 1.000 mesaj yazdı. 3 seviyeli bu başarı rozetinin 1. seviyesine sahip.

"vefalı": En az 50 mention yanıtladı. 1 seviyeli bu başarı rozetinin 1. seviyesine sahip.

"binbaşı": Geleneksel rütbe sistemi koşulları geçerlidir.

Tüm Başarılarını Gör

19 Nisan 2023 13:23:05

Mesaj Linkini Kopyala
Şikayet

Bu başlığı favorilere ekleyin. Nitekim eğer mayıs ayında "malum" şey başımıza gelirse internete girebilmek için her türlü desteğe ihtiyacımız olacak. Anlayan anlamıştır sanırım.

yeni mesaja git

Yeni mesajları sizin için sürekli kontrol ediyoruz, bir mesaj yazılırsa otomatik yükleyeceğiz. Bir Daha Gösterme

İnternetimizi Hijack eden ISS'lar | Encrypted SNI ile Korunmak | Gizlilik İçin Programlar (21. sayfa)