Delizeka

Diyelim ki, bir yerde çalışıyorsunuz ve çalıştığınız ofiste internete eriÅŸmek için size verilen http proxy ayarını girmek durumunda kalıyorsunuz. Ve bulunduÄŸunuz yerin sistem yöneticileri pop3, smtp portlarına eriÅŸimi de kapattığı için Outlook kullanamıyorsunuz. Proxy girmediÄŸiniz zaman hiçbir siteye eriÅŸemiyor, IP lerini pingleyemiyor ya da telnet ile 80 ve 443 portlarını kontrol ettiÄŸinizde baÄŸlanamadığınızı görüyorsunuz. Ve “sadece outlook ile e-postalarımı kontrol etmek, e-posta gönderebilmek istiyorum” ÅŸeklindeki çok masum bir isteÄŸinizi dile getirdiÄŸinizde sistem yöneticilerinden aldığınız cevap “e-postalarınızı web üzerinden kontrol edebilirsiniz” gibi eskilerin “malumu ilan etmek” dedikleri türden anlamsız yanıtlar alıyorsunuz. Bu durumda ne yapmalısınız ki Outlook’u tıpkı o eski güzel günlerde olduÄŸu gibi :) kullanabilesiniz?

Yukarıdaki paragrafta anlatılanlar gerçek bir hikayeden alınmıştır. Soruyu soran kişi yukarıda bahsettiğim durumu yaşayan bir arkadaşım, bu yardım çağrısının muhatabı da bendim:) Kendisine öncelikle önereceğim çözümü kısaltmak için Outlook yerine Thunderbird kullanmasını önerdim. Çünkü Outlook bildiğim kadarı ile SOCKS proxy desteklemiyor. Fakat Outlook ile sadece e-postalarına değil de exchange server üzerinden güncellediği takvimine de ulaşmak ve exchange serverın diğer bazı özelliklerini de kullanmak istediği için çok ısrar edemedim.

Bu sorunu aÅŸmak için en belirgin yöntemlerden biri putty ile size verilen proxy ayarları ile girerek 443 ya da 80 portundan çalışan bir SSH sunucusuna kullandığınızın makinanın bir portunu baÄŸlamak ve bu sayede bir SOCKS proxy oluÅŸturabilmektir. Yani kullandığımız proxy’nin engelleyemeyeceÄŸi bir port üzerinden (443 - https gibi) bizi herhangi bir ÅŸekilde kısıtlamadan internete açacak bir SSH sunucusuna baÄŸlanacağız. Ve kullanacağımız uygulamaları proxy içinden güvenli bir ÅŸekilde geçecek bu “tünel”e (SOCKS proxy) baÄŸlayarak proxy’nin kurallarını aÅŸmış olacağız.

Fakat arkadaşın içinde bulunduÄŸu durumda aşılması gereken iki sorun daha mevcut idi. Birincisi, Outlook’un hazırlayacağımız SOCKS proxyi kullanamaması; ikincisi ise, arkadaşın kullandığı proxy’nin Microsoft ISA Server olması idi. Kullanılan proxy uygulaması kimlik doÄŸrulaması için NTLM protokolünü kullanıyordu. BaÅŸka bir deyiÅŸle, kullanıcı proxy ayarlarını girerken içinde bulunduÄŸu windows network domain’i de kimlik doÄŸrulama açısından önemli bir rol oynuyordu.

Ä°lk problemi gidermek için “Sockscap” isimli ücretsiz bir programı kullandık. Böylece herhangi bir “exe” nin belirteceÄŸimiz SOCKS proxy ayarları ile internete eriÅŸimini saÄŸladık.

Ä°kinci problemi gidermek için ise, “NTLM Authorization Proxy Server” isimli açık kaynak kodlu python’la hazırlanmış programı kullandık.

Åžimdi sıra ile yukarıda belirttiÄŸim koÅŸullar altındaki bir makinadan nasıl MS Outlook’u hiçbir kısıtlama olmaksızın çalıştırabileceÄŸimizi aktaracağım. EÄŸer Outlook yerine Thunderbird çalıştırıyor olsa idik Sockscap programını kullanmamıza gerek kalmayacaktı. Ve eÄŸer kullanılan http proxy NTLM ile kimlik doÄŸrulama yapmasa idi python kurulumu ve NTLM Authorization Proxy Server ile uÄŸraÅŸmayacaktık.

Kullandığımız proxy’nin baÄŸlandığımız portu 8080 ise ve bilgisayarımızın bulunduÄŸu networkte bir windows domain’e baÄŸlı isek muhtemelen proxy NTLM protokolü kullanıyor demektir. Ya da putty’e proxy ayarlarınızı girdiÄŸinizde “Error 407 Proxy Authentication Required” hatası alıyorsak muhtemelen NTLM kullanılıyor demektir.

Şimdi öncelikle örneğimizde kullanacağımız parametreleri belirleyerek sıra ile yapılması gereken aşamalara geçelim.

Kullandığımız proxy server ayarları ve diğer parametreler:

Kullandığımız proxy ayarları aşağıdaki şekilde olsun:

Proxy IP : 192.168.1.10

Proxy Port : 8080

Proxy Kullanıcı Adı : user1

Proxy Åžifre : sifre1

Bağlı olduğumuz windows domaini : domain1.ofis

Åžimdi de makinamızda kullanacağımız 2 adet port belirleyelim. Port numaraları normalde bilgisayarımızda kullanılan herhangi bir port olmasın diye ben 9000 ve 9999 portlarını örnek olarak kullanacağım. 9000 portunu normalde internete çıkmak için kullandığımız proxy’e kimlik doÄŸrulamasını otomatik yaparak girebilmek için NTLM Authorization Proxy Server kurulumunda kullanacağım. 9999 portunu ise SOCKS proxy portu olarak kullanacağım. EÄŸer bu portlar bilgisayarınızda kullanımda ise (command prompt açarak “netstat -na” komutu ile kullanımdaki portları görebilirsiniz) daha yüksek numaralı iki portu da seçebilirsiniz.

Dışarda bize internete girmemizi sağlayacak ssh sunucusu olan ve ssh a bağlanmak için 443 portunu kullanabildiğimiz bir Linux makina ya da virtual host (VPS) için kullanacağımız örnek bilgiler aşağıdaki gibi olsun.

Makina IP si : 208.77.188.166 (example.com)

SSH portu : 443

SSH kullanıcı adı : sshuser

SSH password : sshpass

NTLM Authorization Proxy Server Kurulumu:

NTLM APS bir python uygulaması olduğu için öncelikle python yorumlayıcısı (interpreter) kurmamız gerekiyor. Bu nedenle aşağıdaki adresten işletim sistemimize uygun bir installer indirip kuruyoruz. Kurulum esnasında kurulumu yaptığımız yerin adresini unutmayalım. (Ben C:\Python25 altına kurduğunuzu varsayacağım)
http://www.python.org/download/

Command promptu açarak kurulum yaptığınız klasöre gidip “python.exe –version” komutunu çalıştırdığınızda karşınıza “Python 2.5.2″ gibi bir versiyon bilgisi geliyorsa python yorumlayıcınız çalışıyor demektir.

Åžimdi ise NTLM APS’i aÅŸağıdaki linkten indirerek daha sonra yazacağımız komutun kısa olması açısından C:\altına indirdiÄŸimiz zip dosyasını açalım. Dolayısıyla zip dosyası içindeki main.py dosyasının adresi C:\ntlmaps-0.9.9\main.py olsun. (Daha güncel versiyonlar varsa indirmek için ÅŸu adrese gidebilirsiniz : http://ntlmaps.sourceforge.net/)

NTLM Authorization Proxy Server

Açtığımız zip dosyasının içinde server.cfg isimli bir dosya olacaktır. Bu dosyada bulunan aşağıdaki parametreleri kullandığınız proxy ayarlarına göre örnekteki gibi değiştirmeniz gerekmektedir. Aşağıdakiler sadece örnektir, parametrelerin karşısına kendi bilgilerinizi girmelisiniz. Yukarıda da belirttiğim gibi ben NTLM APS için 9000 portunu örnek olarak kullanacağım, sizde seçtiğiniz uygun bir portu kullanabilirsiniz.

LISTEN_PORT:9000
PARENT_PROXY:192.168.1.10
PARENT_PROXY_PORT:8080
NT_DOMAIN:domain1.ofis
USER:user1
PASSWORD:sifre1

server.cfg dosyasını kaydetmeden önce isterseniz dosya içindeki “User-Agent:” parametresini aÅŸağıdaki ÅŸekilde deÄŸiÅŸtirerek sistem yöneticilerinizin “Çok ilginç, birisi hala Windows 98 ve Internet Explorer 5.5 kullanıyormuÅŸ” diyerek araÅŸtırma yapmasını engelleyebilirsiniz. AÅŸağıdaki parametreyi deÄŸiÅŸtirdiÄŸinizde, yapacağımız diÄŸer ayarlar ile Outlook kullanmaya baÅŸladığınızda kullandığınız proxy server sizin Windows XP’de Internet Explorer 6.0 ile https bir sayfa açtığınızı sanacaktır.

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Åžimdi NTLM APS’yi çalıştıracağız. Bunun için bir command prompt açarak python yorumlayıcısını parametre olarak yukarıda bahsettiÄŸim main.py’nin tam adresini vererek aÅŸağıdaki gibi çalıştıracağız.

C:\>Python25\python.exe c:\ntlmaps-0.9.9\main.py
NTLM authorization Proxy Server v0.9.9
Copyright (C) 2001-2004 by Dmitry Rozmanov and others.
Now listening at webdev on port 9000

Yukarıdaki gibi bir çıktı alıyorsanız NTLM APS çalışıyor demektir. Açık olan command prompt’u kapatmamamız gerekiyor. Hem command prompt un açık kalmasını istemiyorsanız hem de daha kolay bir ÅŸekilde NTLM APS’yi baÅŸlatmak istiyorsanız C:\ntlmaps-0.9.9 klasörü altındaki runserver.bat dosyasını açarak ikinci satırını yukarıda çalıştırdığınız komutla deÄŸiÅŸtirip kaydedebilirsiniz. Böylece sadece runserver.bat dosyasına tıklayarak NTLM APS’yi baÅŸlatabilirsiniz.

Bu noktada herÅŸeyin doÄŸru ÅŸekilde çalıştığını kontrol etmek için Firefox’u açarak Tools->Options->Network menüsüne gelip “Settings” butonuna tıklayarak aÅŸağıdaki gibi HTTP proxy olarak 127.0.0.1 IP sini ve 9000 portunu (NTLM’i çalıştırdığınız port) ayarlayın. Daha sonra google.com’a girmeye çalışın. EÄŸer Google size merhaba diyorsa herÅŸey doÄŸru demektir. EÄŸer “Proxy server refusing connection” gibi bir hata alıyorsanız ve NTLM APS’nin doÄŸru ÅŸekilde çalıştığından eminseniz, ya server.cfg içindeki proxy ayarlarınızı yanlış girdiniz ya da firefox için yaptığınız ayarda bir hata yapıyorsunuz demektir.

Putty ile SOCKS proxy hazırlanması:

Yukarıdaki aÅŸamayı baÅŸarılı bir ÅŸekilde geçtikten sonra putty programı ile uzaktaki SSH sunucumuza baÄŸlanarak bir SOCKS proxy oluÅŸturacağız. Bu proxy’i makinamızın 9999 portuna baÄŸlayacağız. Bu aÅŸamada özet olarak putty’e NTLM APS’nin bize saÄŸladığı proxy bilgilerini gireceÄŸiz. Sonra 9999 portu için bir tünel oluÅŸturacağız. SSH baÄŸlantısının sürekli kesilmemesi için de baÄŸlantı için keep-alive özelliÄŸini aktif hale getireceÄŸiz. Bu aÅŸamanın sonunda internet kısıtlamalarını aÅŸmış olacağız. Geriye sadece istediÄŸimiz programın sockscap sayesinde SOCKS proxy ile çalışmasını saÄŸlamak kalacak.

Putty’i aÅŸağıdaki adresten indirip çalıştıralım.

http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe

Aşağıdaki gibi bağlanacağımız makinanın IP ve portunu girerek bu bağlantıya bir isim verelim.

Daha sonra soldaki menüden Connection’a tıklayarak “Enable TCP keepalives” seçeneÄŸini seçili hale getirelim.

Sonra, “Connection” altındaki “Proxy” baÅŸlığına tıklayarak NTLM APS’ye baÄŸlanacağımız proxy ayarlarını yapalım. Burada “Proxy Hostname” olarak “127.0.0.1″,  Port olarak “9000″ (ntlm aps’i çalıştırdığımız port) girecek ve Proxy Type olarak da “HTTP”yi seçececeÄŸiz.

Åžimdi ise “Connection->SSH->Tunnels” baÅŸlığına tıklayarak bir port forwarding ayarı yapacağız. Böylece SOCKS proxy için gereken portu SSH baÄŸlantımıza yönlendirmiÅŸ olacağız. Bu kısımda yapacağımız ÅŸey “Source Port” yazan kısma “9999″ (ya da istediÄŸiniz baÅŸka bir uygun port) yazmak ve “Destination” bölümünde hem “Dynamic” hem de “Auto” seçeneklerinin seçili hale getirmek olacak. Bunları yaptıktan sonra “Add” butonuna tıklayarak portu yönlendirme için gereken ayarı tamamlamış olacağız.

Son olarak yapacağımız iÅŸlem soldan en üstteki “Session” baÅŸlığına tıklayarak saÄŸdaki “Save” butonuna tıklayarak tüm ayarlarımızı baÄŸlantıya verdiÄŸimiz isim ile kaydetmek olacak. Böylece her seferinde tekrar tekrar ayarları yapmak durumunda kalmayacağız. Åžimdi “Session” bölümünden ayrılmadan saÄŸdaki “Saved Sessions”ın altında artık yer alan kaydettiÄŸimiz baÄŸlantıya çift tıklayarak baÄŸlantıyı açacağız. Bu iÅŸlem esnasında mutlaka NTLM APS’in çalışıyor olması gerekiyor.Çünkü putty baÄŸlantı için NTLM APS’in saÄŸladığı baÄŸlantıyı kullanacak.

EÄŸer herÅŸey yolunda gitti ise, karşınıza “Login as:” yazan bir ekran gelecektir. Bu ekrana SSH kullanıcı adı ve ÅŸifrenizi (örneÄŸimizde “sshuser” ve “sshpass”) girerek SSH sunucusuna giriÅŸ yapacaksınız. Böylece bilgisayarımızın 9999 portu bizim için SOCKS proxy baÄŸlantımız olacak. Ve bu baÄŸlantı ile internet üzerindeki tüm kısıtlamaları kaldırmış olacağız.

Eğer bu aşama sonucunda bağlantı sağlayamadı iseniz:

• putty ayarlarınızı doÄŸru yaptığınızdan,
• NTLM APS’nin putty’de proxy olarak ayarladığınız portta çalışıyor olduÄŸundan,
• NTLM APS’nin normalde kullandığınız proxy serverınızla baÄŸlantı kurabildiÄŸinden (yukarıda Firefox ile nasıl test edeceÄŸinizi yazmıştım),
• SSH sunucunuzun 443 portundan eriÅŸilebilir ve çalışır durumda olduÄŸundan,
• SSH sunucunuza eriÅŸmek için kullandığınız putty’e session bölümünden “hostname” olarak girdiÄŸiniz alan adı ya da IP’nin kullandığınız proxy tarafından engellenmediÄŸinden emin olmalısınız.

EÄŸer herÅŸey yolunda gitti ve ssh sunucunuza giriÅŸ yapabildiyseniz putty’yi çalışır halde bırakarak bir sonraki aÅŸamaya geçebilirsiniz.

Sockscap ile MS Outlook’un SOCKS proxy ile çalıştırılması

ÖrneÄŸimizde arkadaşım Outlook kullanmak istediÄŸi için Sockscap programı ile Outlook’un nasıl çalıştırılacağını anlatacağım. Aslında bir exe’si olan herhangi bir programı Sockscap ile çalıştırmak Outlook çalıştırmaktan farklı deÄŸil. Sockscap’ın güzel bir özelliÄŸi programa istediÄŸiniz kadar program ekleyebiliyor olmanız. Böylece Sockscap’ı açıp kaydettiÄŸiniz programları tek bir butona tıklayarak tekrar ayar yapmadan çalıştırabilirsiniz.

Öncelikle Sockscap isimli programı indirmemiz gerekiyor. Aşağıdaki linke tıklayarak programın 2.40 versiyonunu bu site üzerinden temin edebilirsiniz.

Sockscap 2.4 link

Programı kurup çalıştırdığınızda genel ayarların yapılacağı bir pencere gelecektir. Bu ayarlara istediÄŸiniz zaman  “File->Settings” menüsü ile eriÅŸebilirsiniz. Ayarlar kısmında SOCKS server olarak “localhost”, port olarak putty’de “tunnels” bölümünde yönlendirdiÄŸiniz portu (örneÄŸimizde 9999 portu) girmelisiniz. Sonra “SOCKS Version 5″i seçerek “Name Resolution” kısmında “Resolve all names locally” seçeneÄŸini iÅŸaretlemeniz gerekmektedir. Bu ayarları yaptıktan sonra “OK” diyerek ayarlarını kaydedin.

Daha sonra yapacağımız ÅŸey programın normal ekranında sol üstteki “New” butonuna tıklayarak Outlook programını programa kaydetmek olacak. Bunun için “New”e tıkladıktan sonra gelen pencerede “Profile Name” olarak herhangi birÅŸey (örnek : “Outlook with Sockscap”) yazıp, “Browse” butonuna tıklayarak Outlook programının exe’sini bulup göstermek gerekecek. Ya da Outlook’u çalıştıran exe’nin tam adresini biliyorsanız “Browse” yapmadan “Command Line” bölümüne elle de yazabilirsiniz. EÄŸer “Browse” ile exe’yi seçerseniz “Working Directory” otomatik olarak tamamlanacaktır. Burada önemli olan sadece doÄŸru exe yi ve bu exe’nin bulunduÄŸu klasörü girmektir. Daha sonra “OK” diyerek programı sockscap’a kaydedebilirsiniz.

MS Outlook için ayarlarımızı yukardaki ÅŸekilde kaydettikten sonra, eÄŸer NTLM APS ve putty çalışıyorsa Sockscap programı ana ekranında kaydettiÄŸimiz Outlook profiline tıklayıp saÄŸ üstteki “Run!” butonuna tıklayarak programı hazırladığımız SOCKS proxy ile çalıştırabiliriz. Böylece amacımıza ulaÅŸmış olduk.

Notlar :

Yukarıda anlattığım yöntemi test ederek ben SSH sunucusu olarak Debian Sarge işletim sistemine sahip bir VPS kullandım.

Putty’de session kısmında hostname olarak ben direkt domain yazdım ancak eÄŸer problem olursa direkt IP yazmak daha saÄŸlıklı olabilir.

SSH sunucu olarak evdeki Linux makinanızı kullanmak isterseniz mutlaka modeminizde 443 portu ile ilgili yönlendirmelerinizi yapmış olmanız ve sabit bir IP’nizin olması gerekir.

Bu yöntemle yapacağınız tüm bağlantılar SSH bağlantısı yaptığınız makinaya da aynen yansıyacaktır. Yani 1 gb trafik yaptı iseniz, SSH sunucusu olduğunuz makina da en az 1 gb trafik yapmış olacaktır.

Bu yöntemde SSH kullandığımız için giden gelen tüm veriler enkripte edilecektir. Dolayısıyla da normalde 10 KB olan bir e-postayı bu yöntemle çekerken şifreleme nedeniyle 10KB den daha fazla bir data trafik olarak yansıyacaktır.

Bu yöntemde izin verilen portlardan biri (443) kullanıldığı için teorik olarak bulunduÄŸunuz network’ün güvenliÄŸine bir kasıt ve tehdit oluÅŸturmamış olursunuz. Ancak sonuçta bulunduÄŸunuz yerdeki kurallar çok farklı olabileceÄŸi için bu yöntemi kullandığınızda başınız belaya girebilir. Bu nedenle ya bu yöntemin bulunduÄŸunuz yerin kurallarına aykırı olmadığından emin olun, ya da bu yöntemi kullanmayın. Ben iÅŸin teorik yönünü paylaÅŸmaya çalıştım, yöntemi kullanıp kullanmamak tamamen sizin kararınızdır. Uyarmış olayım da sonra başınıza bir sıkıntı gelmesin.

Bu yöntem MSN için de kullanılabilir mi? Evet kullanılabilir. Hatta Pidgin (eski adı ile Gaim) SOCKS proxy desteklediÄŸi için Sockscap’a gerek kalmadan MSN için bu yöntemi kullanabilirsiniz.

SSH sunucumuzda 443 yerine baÅŸka bir port kullansak olur mu? Bu bulunduÄŸunuz yerde kullandığınız proxy’nin kısıtlamalarına baÄŸlı. Hemen her HTTP proxy HTTP (port 80) ve HTTPs (port 443) protokollerini kısıtlamadığı için bu portları SSH sunucu portu olarak kullanmak en saÄŸlıklı yöntemdir. Ancak eÄŸer proxy’niz baÅŸka bir porta eriÅŸim saÄŸlıyorsa o portlar da kullanılabilir. Ancak 443 ya da 80 kullanmak proxy’e internette bir site açtığınızı zannettireceÄŸi için farkedilmesi daha zor olacaktır. ÖrneÄŸin 22 portu açık bile olsa, hergün 22 portunda sürekli baÄŸlı kalmak sistem yöneticilerinin ilgisini daha çabuk çekebilir.

Kullandığım proxy sadece belirli sitelere girmeme izin veriyor, hala bu yöntemi kullanabilir miyim? EÄŸer girebildiÄŸiniz siteler ya da IP’ler arasında kullanacağınız SSH sunucunun IP’si ya da adresi de yer alıyorsa kullanabilirsiniz. Ancak zaten proxy ile SSH sunucunuzun IP sine ulaÅŸamıyorsanız, bu yöntem SSH sunucunuza baÄŸlanamadığınız için doÄŸal olarak iÅŸe yaramayacaktır.

Bu konuda aklınıza takılanları yorum olarak iletebilirsiniz.