Ultrasurf Program zerinde Bir nceleme

Yazdm bu yazmda ultrasurf programnn ne amala kullanld ve alma mant ile ilgili bilgilere yer verdim.Bu bilgileri edinebilmek iin kullandm aralardan taradm kaynaklardan bahsettim.Umarm faydal olur. Ultrasurf yazlmn kurup denemenin yan sra, ultrasurf hakknda geerli bilgiler edinebilmek iin yazlmn kaynana yneldim ve yazlmcnn hazrlad kullanc rehberini evirmeye baladm .Rehber hem yazlmn kullanm hem de alma mant ile ilgili bilgileri barndryordu ,Asl amalar,yazlmn k noktas ,hedefleri ve kullancya eriim hizmetini salarken izledikleri yollardan bahsediliyordu.

Sar kilit session nzn SSL zerinden kurulduunun gstergesi ,sar kilit e sa tklayp sertifikann nereden alndn grebilirsiniz .

UltraSurf Users Guide

Ultrasurf UltraReach Internet Corp tarafndan karlm -en iyi- (anti-sansr) sansrkart rnlerinin sancak gemisidir.Kullanclarn internet mahremiyetini korur ve baskc internet sansrlerinin yaand lkelerde herhangi bir sitenin gvenle ve zgrce ziyaret edilebilmesini salar.

Program yeil bir yazlmdr ,bilgisayara kurmaya gerek yoktur.altrlabilir dosyay (.exe uzantl dosya)ift tklayarak basite program balatabilirsiniz . Kullanclar bu exe uzantl dosyay flash bellekte veya e-mail kutusunda barndrabilir. Ve bu program herhangi bir bilgisayarda hi iz brakmadan kullanabilirsiniz .

(Ultrasoft iconu ,dnyayann heryerine yelken am bir yelkenlidir.) Gvenliiniz iin dosya ismini yada uzantsn dilediiniz gibi deitirebilirsiniz. Ultrasurf kullanclarn internet gizliliini ve gizli gezintisini korur. Ip adresini ve location u (konumu)gizler; browsing gemiini,cookieleri ve daha fazlasn da tabi.

Ultrasurf standart gl ifreleme ileyii olan ve genellikle online bankaclk ,online alveri gibi ticari data transferi iin kullanlan SSL(Sequre Sockets Layer) kullanr . Ultrasofta gelen tm datalar eriini kullancdan baka hikimsenin gremeyeceinden emin olacanz biimde kuvvetle ifrelenir.

Ultrasurf https tunneling (https tnelleme) yi destekler.Kullanclar web sitelerini ziyaret ederken Https ile gezinirler.nk Https li ierik zaten ifrelenmitir.Bu tarz web sitelerdeki ierik Ultrasuft ile (ift kat) double ifrelenmi olur.

Ultrasurf ierisinde web mail ,http tabanl data ak ,javascript ve DHTML de olmak zere ,tm http tabanl protocolleri destekler.

Ayrca ultrasoft gl hem download u hem de upload kuvvetle ifrelenmi biimde yapabilmenize de olanak salar.

Ultrasoft bir trojan yada virs mdr ,sorusuna gelecek olursak; Aslnda hibiri ,Ultrasoft kullnclara firewall u gvenle krmalarn salayacak ileri bir teknoloji sunar .Bu bir anti sansr yazlmdr ve trojan yada virs deildir.Baz antivirus yazlmlar ultrasoft u bir trojan olarak nitelendirebiliyor ,nk ultrasoft firewalllar krabiliyor.tabi ki bu yanl bir nitelendirmedir.Ultrasoftun bilgisayarnzdaki herhangi bir dkmana dokunmayacana inanabilirsiniz.

Ek Bilgi

-- Firewall --

Tnelleme yntemiyle firewall lar alabilir.Firewallar ksaca zetleyecek olursak ,bu sistemler paket filtreleme,durum denetimi ve proxy service ile alr ,Paket balklarndaki protokol bilgilerini kullanmann yansra, IP adresi ve port numarsna gre de engelleme yapabilirler. L7 firewallar (bu firewall lar imza yada davran tabanl zmleme yaparlar )hari gnderilen paketin ierii ile ilgilenmezler.

Paket gnderip ,dnen cevaplar inceleyerek ,sistemde firewall olup olmad anlalabilir.

Firewall lar SSL kullanlarak(L7 firewallar da dahil olmak zere) ,ip paralama ve encoding yntemi ile atlatlabilir.

Buraya kadar herey mkemmel ,madem sistem SSL (Sequrty Socket Layer )ve HTTPS tnelleme kullanyor , biz de bu konularn mant nedir biraz inceleyelim.

Ek Bilgi

-- HTTPS

Tnelleme --

Tnelleme ilemi HTTPS protokol zerinden yaplyorsa HTTPS Tnelleme adn alr.Bu protokolde veriler browserdan servera yada serverdan browsera gvenli biimde aktarlr.Binary bir protocoldr .

HTTPS tnelleme ,HTTP tnelleme gibi proxy mantyla alr . Kullanc browser kullanarak, HTTPS trafiini proxy zerinden geirebilir. Farkl olarak, data trafii ifreli biimde aktarlr ve a trafiinizi sniff eden nc bir makine olsa bile , trafiiniz p karakterler eklinde grnecei iin nc kii iin bir anlam tamaz.

Trafik proxy zerinden aktarldnda ,veriler bu binary protokol ile gnderildiinden proxy hibirey anlamaz .Proxy nin grevi sadece server- client aras veri deiimi iin binary aka izin vermektir.Bylece proxy server artp herhangi bir servera balanlabilir,veri deiimi gerekletirilebilir.O anda biz ilem yaparken proxy, sadece http aktarm yaptmz sanar

.

Bu tnelleme size browser gibi internet uygulamalarnda ,firewall lara ramen gizli biimde gezinebilmenizi ve Proxy i desteklemeyen protokollere(TELNET,FTP) dorudan tnelleme yapabilmenizi salar.

erik filtrelemek iin https trafiini izlemeniz gerektiinde ,https trafiini proxy zerinden geirerek yada SSL ile ieriini okuyarak filtreleme yapabilirisiniz.

Https zerinden yaplan tnelleme yntemi en ok tercih edilen yntemlerden biridir.

SSL in alma Mant

SSL den bahsedecek olursak ,

SSL bir web server ile bir browser arasnda ifreli bir balat kuran ,standart bir gvenlik teknolojisidir.Bu balant ,web server ile browser arasndaki veri aknn gizli ve bir btn halinde aktn garanti eder.

Bir SSL balants yapabilmek iin web serverlar SSL sertifikas gerektirir.Web server nza web sitenizi ve irketinizi tanmlayan pekok soruya cevap veren bir SSL istei gnderdiinizde web servernz public ve private olmak zere iki kriptografik key yaratr.Bu keyler hakknda ilerleyen paragraflarda daha spesipik ayrntlardan bahsedeceim.Yzeysel bahsetmek gerekirse public key herkesin ulaabilecei bir key dir,tabiri caizse halka ak,umumi .Private key ise sadece sertifika otoritesi tarafndan biliniyor.Neyse devam edelim . Web server mz bizim iin iki key retti.Daha sonra web servera bizim (Certificate Signing Request) sertifika imza isteimiz- CSR miz gidiyor.SSL sertifikas ilenirken sertifika otoritesi kullanc detaylarmz ve SSl kullanmamza izin onay verecek web server sertifikamz private keyimiz ile imzalayacak ve web servermz ,web sitemiz ile client browser arasnda ifreli bir balant aacak.

Dip not :SSL de handshake process (HTTPS) protokol zerinden yaplr.

Dip not :SSL deki simetrik ifreleme session datalarn ifrelemek amacyla kullanlr.SSL deki asimetrik ifreleme ise session key ini gizlice paylamak iin yaplr.Session key public key ile ifrelenir ve sadece client session key i bilebilir.

Dip not : Public anahtarn isteyen kiilerce kullanmn yaygnlatrmak amacyla eriime almasna sertifika denir.

Tabi iler her zaman bu kadar olumlu yrmeyebilir ,eer SSL key lerinin talep edildii adres yanlsa ,sertifikann sresi dolmusa yada bireylerden pheleniliyorsa tarayc ihtiyac olan keyleri alamaz ve sertifika geersiz tanmlanp ,gvenli oturum balatlmaz.

Sertifika Yaam Dngs

Bir Sertifika rnei :

Gelelim bu ifreli balantnn derinliklerine ,

SSL ifrelemelerini ak anahtarl ifreleme yntemine gre yapar.Bu anahtarlar , aslnda digital olarak kodlanm yazlmlardr ve bu yntemde crypt ve encrypt ilemi iin farkl anahtarlar bulunur (public ,private). Alc ve gnderici tarafn her birinde gizli ve ak olmak zere birer ift anahtar bulunur . Ak anahtar sadece gizli anahtar sahibi tarafndan oluturulabilir ve ak anahtar adndan da anlalabilecei gibi herkese aktr.Gizli anahtarn gndericiden alcya aktarm gibi bir durum szkonusu deildir.Bunun yerine veriyi her alc iin ayr ayr ifreleme yntemini kullanyoruz . Bu bize i yk getirsede her kullanc

kendi gizli anahtarn kullanarak ifreyi zebiliyor. Bylece tek bir anahtar alcdan gndericiye ileterek ,anahtarn gvenliini tehlikeye atma durumundan kurtuluyoruz.gndericiden alcya ileteceimiz datann gvenliinden nasl emin olamyorsak ,ayn yntemle gnderilen anahtarn gvenliinden de sz etmek mmkn deildir.

Tabi bu yntem ok gvenli grnmesine ramen henz ispatlanm deildir.Temel mantk ift-tek ynl fonksiyon dnmne dayanr ve fonksiyonun kendisinin hesaplanmas mmknken ,tersinin dnmnn mmkn olmamas ,en azndan polinomal sre ierisinde. Bylece anahtar datm ve elektronik imza zelliklerini asimetrik kriptografinin, gizlilik hizmetini simetrik kriptografinin salad gvenli bir altyapya kavuabiliriz. Dip not : SSL de 128 bitin sadece 48 biti ifrelenmitir. Sertifika Talep Standard ve SSL: Burada sertifikann katmanlarn gryorsunuz.

Peki sertifika kavramn neden bu kadar anlattnz diye soracak olursanz , SSL sertifikalar encryption ve identification iin kullanlr. Yani network trafiiniz gvende mi ?,Doru kiiyle konutuunuza emin misiniz ? Sorularnn cevaplar imdilik bu sertifika uygulamasnda gizli.

Bu kadar sistemi tanttmz yeterli sanrm ,imdi alma mantndan biraz uzaklap sistem gereklemek zerine alalm. Ultrasurf altrmadan nce , internete ktmz ip adresimiz ;

Ultrasurf altrdktan sonra, internete ktmz ip adresimiz ;

Ultrasurf n IP mizi deitirdiini grdk, bunun olduuna wireshark ve tcpdump ile trafik analizi yaparken de ahit olacaz. Peki deien bu ip hangi yolla tanmlanyor ait diye soracak olursanz akas fikir yrtmek g.

alma mantn tespit etmeye balayalm.Bunun iin iki ara kullanacaz. -Wireshark

-Tcpdump

Ultrasurf almaya balar balamaz, gerek domain adreslerine dns sorgular gnderiyor. Bunu yaparken darya ak portlarmzdan rastgele bir seim yapyor ve bu portu kullanarak istek gnderiyor. Sorgulara olumsuz cevaplar gelmeye baladnda dier proxyleri deniyor. Localde ise 9666 portunu kullanyor ve bu porttan http/https proxy kuruyor.IE ayarlarn 127.0.0.1:9666 olarak ayarlyor.

Devamnda internete 443. Portu kullanarak (https balant ile) kyor. Ultrasurf 9666 portunu sadece localhostta kullanmas ve internete karken 443. Portu kullanmas sebebiyle block engeline taklmyor.

Tabi gerek domainlerden sorgu gndermesi bizim iin problem nk Ip ye gre loglanm kaytlardan bloklama yapmay denediimizde lolardan elde ettiimiz bu ip ; domainin gerek ip si olmadndan bu giriimle aslnda ip nin gerek sahibini engellemi oluyoruz.

Zemana gelitiricilerinin farkettii elikili durumlarn bir ksmyla trafii analiz ederken ben de karlatm.Grnen o ki ultrasurf gelitiricileri yazlmlarn tantrken pembe yalanlar sylemiler.Tabi Zemanaclar analiz yaparken kendi yazdklar extra bir simlatr de kullanmlar ve Ultrasurf n SSL kullanmadna eminler.Onlarn tespitine gre ;Ultrasurf 443(https) portunu kulland halde aslnda SSL balants kurmuyor ,uygun portu ve paket baln kullanarak ,SSL protokolym gibi davranyor.

SSL olmasa da, SCSI IOCTL_STORAGE_QUERY_PROPERTY metodunu kullanarak ald HDD seri numarasndan bir key oluturup, bu key ile ifreliyor .Yani Ultrasurf kendine zg bir mutant bir SSL balants oluturuyor. Ayrca programn https balantlarnn ounun fake olduunu grmler ve nmap ile taradklarnda ktlar , Taiwan zerinde Windows bir makineyi iaret etmi. Tabi bu sunucunun ilevi ile ilgili farkl yorumlar var. Sahte https balantya ihtiya duyma sebebi olarak ana firewall un akll kural oluturmasn gletirmek olduunu tahmin ediyorlar.

Dilerseniz bu simulatoru http://download.zemana.com/Products/Anti-UltraSurf/AntiUltraSurf_1.0.1.32.msi linkinden elde edebilirsiniz.

Peki Ultrasurf nasl engelleriz ?

Ultrasurf n almaya balar balamaz internete ktmz ip adresini deitirdiini baka bir ip zerinden internete ktmz gsterdiini farketmitik. Ultrasurf ip bloklayarak engelleyemeyiz.nk

Siz ip bloklama yaparken ultrasurf bo durmuyor, blokladnz ip yi deitirerek baka ip ler denemeye balyor.nternete kmak iin kullanlan 443. Port http zerinden ( https ) ok byk whitelistler oluturmad srece bloklanmyor .Yani 443. Port kapatlmad yada belirli uygulamalarn kullanm iin ayrlmad srece tam anlamyla koruma salanamyor.Sadece belirli uygulamalarn kullanmna sunulan portta ,istenilenlerin dnda hibir uygulama almyor. Koruma salamann bir yolu bu olabilir. Firewall kullanlarak yaplacak bloklamada ,amacmz tam olarak ultrasurf bloklamak deil,kullancy yldrmak,yle ki ,explorer zerinden alan malum programn alt anda 443. Portu dinleyerek ip yi elde edebilir ve elde ettiimiz bu ip ye giden paketlerin bandwith deerlerini byk oranda drrsek,hem ip yi bloklamadmz iin ultrasurf replikasyon yapma gerei duymayacak , hemde balant hzndan sklan kullanc engelli blmlere girme srarndan vazgeecektir. Snort kullanrak engelleme yapmak iin de izlenmesi gereken mantk u ; Ultrasurf n SSL balantsnda kulland ,Client Hello mesajlarnn ultrasurf iin klasik uygulamalardan farkl olduu grlm.Bu tespit kullanlarak ,443. Porttan bu deerin getii paketleri yakalayp engellemek gerek. Normalde (TLS,SSL in gelitirilme srecinde kazandrlan ek zelliklerden sonra TLS olarak anlmaya balanmtr) TLS1 balantlarnda server hello mesajnda sertifika mesaj aranyor,fakat Ultrasurf SSL i taklit ettii iin bu balant yaplyor gibi grnse de sertifika alnmyor ve bo kalyor, ite yukarda sylendii gibi bu sertifika alan bo olan TLS Paketlerini engelleyerek kesin bir zm getirebileceimizden bahsediliyor. Elde ettiimiz Ip sahiplerini ,ip lerinin byle bir amala kullanldndan haberdar etmek de dar kapsamda bir zm olabilir.Bir baka yntem olarak , squid kullanlarak tm SSL balantlar loglanabilir.Ultrasurf 443.porttan interneternete karken ip leri kullanyordu.Eer 433.porta balanm hedef olarak ip adresi seen istekler bloklanrsa ultrasurf bloklanablir. Aratrdm bir baka kaynakta da Application Control uygulayan UTM cihazlarn incelemenin faydal olacandan bahsedilmiti. UltraSurf program bir kere balantkdan sonra temp klasrne baz dosyalar atyor ve bu dosyalardaki bilgileri kullanarak IPS uygulanm ,HTTPS yasaklanm olsa bile ,dilediinde k yapabiliyor. Ultrasurf firewall arkasndan almas iin yazlm bir uygulama ve srekli gncelleniyor.Firewall larn aklklarndan faydalanarak atlatma yapyor. Srekli gncellendii iin UTM cihazlarnn bu uygulama karsnda pek de baarl olmadna deinilmi. Ayn zamanda bilgisayarnzdaki portlarn kapal olmasnn ok da nemi yok ,vpn kullanarak girdii makinede sanal port aarak ,balant gerekletirebiliyor. Ultrasurf ile internette gezinmenin gzel bir yntemi de verileriniz, https ve ultrasurf un harddiskten elde ettii key ile ift kat ifrelendii iin ,kamusal alanda ortak bir networke balandnzda a trafiini sniff eden birileri olsa bile ,ieriini anlamalar mmkn deil

Dinlediiniz in Teekkrler !

Kaynaklar:

http://www.bga.com.tr http://blog.lifeoverip.net/2008/07/23/ultrasurf-engelleme/ http://blog.lifeoverip.net/2009/05/17/ultrasurf-bloklama-iisnort-openbsd-pf/ http://www.enderunix.org/docs/openvpn.pdf http://www.kamusm.gov.tr/tr/Bilgideposu/Belgeler/teknik/aaa/index.html?kriptolojinedir.html http://necil.wordpress.com/2008/07/29/ssl-sertifikasi-nedir-ne-ise-yarar http://info.ssl.com/article.aspx?id=10241

http://www.cozumpark.com/forums/post/178834.aspx http://www.cozumpark.com/forums/post/254206.aspxhttp://blog.zemana.com/2009/01/ultrasurf-proxy-analizi.html