shadowsocks yazısı elden geçirildi

ag_guvenlik_duzenleme
AA 4 years ago
parent 6f7907a1e9
commit 25c0618372
Signed by untrusted user: AA
GPG Key ID: 471A839AB4DD8E6D
  1. 1
      src/SUMMARY.md
  2. 54
      src/ag_guvenligi/shadow.md

@ -17,6 +17,7 @@
- [Anahtarın Kağıt Yedeğini Almak](yazisma_guvenligi/gpg/paperbackup/paperbackup.md)
- [GnuPG ile E-posta Sifreleme](yazisma_guvenligi/gpg/eposta-sifreleme.md)
- [Şifreli E-Posta Hizmetleri](yazisma_guvenligi/sifreli-eposta-hizmetleri.md)
- [Anlık Yazışma](yazisma_guvenligi/anlik_yazisma.md)
- [OTR İle Anlık Yazışma](yazisma_guvenligi/otr.md)
- [OMEMO İle Anlık Yazışma](yazisma_guvenligi/omemo/omemo.md)
- [Signal İle Anlık Yazışma](yazisma_guvenligi/signal/signal.md)

@ -1,18 +1,26 @@
## Shadowsocks nedir?
Shadowsocks socks5 protokolünü temel alan bir proxy uygulamasıdır. 2012’de Çin Halk Cumhuriyeti’nin ünlü güvenlik duvarını aşabilmek için Python dilinde geliştirilmiştir. İlerleyen zamanlarda farklı dil ve platformlarda da sunucu ve istemcileri yazılmıştır, en popülerleri shadowsocks-rust, shadowsocks-libev ve go-shadowsocks2 yazılımlarıdır. Linux, BSD türevleri, MacOS, ve Windows işletim sistemleri için Qt5 temelli bir istemcisi vardır (shadowsocks-qt5), ayrıca Android, iOS ve Windows için özel yazılmış istemcileri de bulunmaktadır. Hâlâ orjinal python sunucu/istemcisi pip paket yöneticisi ile kurulabilmektedir. Akan veriyi şifrelemek için AES ve ChaCha algoritmalarını kullanmaktadır, ayrıca bu algoritmaların üzerine AEAD yani İlişkili Verilerle Kimlik Doğrulamalı Şifreleme yapmaktadır. Bu sayede veri hem şifreli hem de kimliği doğrulanmış şekilde taşınmaktadır. Shadowsocks’u diğer proxy yöntemlerinden ayrıştıran bir nokta da TCP’nin yanında UDP trafiğini de taşıyabilmesidir. Ek olarak standart bir eklenti sistemi de bulunmaktadır ve v2ray en popüler eklentilerden biridir, kullanım amacı akan verinin şeklini gizlemektir, bu plugin sayesinde akan trafik HTTP, HTTPS veya QUIC protokollerini taklit edebilir.
[Shadowsocks](https://en.wikipedia.org/wiki/Shadowsocks), socks5 protokolünü temel alan bir proxy uygulamasıdır. 2012’de [Çin Halk Cumhuriyeti’nin ünlü güvenlik duvarını](https://en.wikipedia.org/wiki/Great_Firewall) aşabilmek için [Python dilinde](https://www.python.org/) geliştirilmiştir. İlerleyen zamanlarda farklı dil ve platformlarda sunucu ve istemcileri de yazılmıştır. En popülerleri; shadowsocks-rust, shadowsocks-libev ve go-shadowsocks2 yazılımlarıdır. GNU/Linux, BSD türevleri ile MacOS ve Windows işletim sistemleri için Qt5 grafik arayüz içeren [shadowsocks-qt5](https://github.com/shadowsocks/shadowsocks-qt5/releases) adında bir istemcisi vardır. Ayrıca Android, iOS ve Windows için özel yazılmış istemcileri de bulunmaktadır. Orjinal python sunucu/istemcisi PIP paket yöneticisi ile kurulabilmektedir.
Shadowsocks, akan veriyi şifrelemek için [AES](https://en.wikipedia.org/wiki/Advanced_Encryption_Standard) ve [ChaCha](https://www.cryptopp.com/wiki/ChaCha20) algoritmalarını kullanmaktadır. Ayrıca bu algoritmaların üzerine [AEAD(Authenticated Encryption with Associated Data)](https://en.wikipedia.org/wiki/Authenticated_encryption) yani "İlişkili Verilerle Kimlik Doğrulamalı Şifreleme" yapmaktadır. Bu sayede veri hem şifreli hem de doğrulanmış şekilde iletilmektedir.
Shadowsocks’u diğer proxy yöntemlerinden ayrıştıran bir nokta da TCP’nin yanında UDP trafiğini de taşıyabilmesidir. Ek olarak bir eklenti sistemi de bulunmaktadır ve [v2ray](https://github.com/v2ray/v2ray-core) bu eklentilerden en popüleridir. v2ray'ın kullanım amacı akan verinin şeklini gizlemektir. Bu eklenti sayesinde akan trafik HTTP, HTTPS veya QUIC protokolleri gibi bir ağda doğal olarak beklenen trafiği taklit edebilir.
## Basit bir sunucu istemci kurulumu
### Sunucu tarafında
Tercihinize bağlı bir sunucu yazılımı seçip çalıştırabilmeniz gerekmektedir. Ben shadowsocks-rust sunucusunu kullanmayı tercih edeceğim ama ayar json dosyası neredeyse bütün istemciler için aynı olacaktır.
Tercihinize bağlı olarak sunucunuzda bir shadowsocks yazılımını seçip çalıştırmanız gerekmektedir. Bu rehber shadowsocks-rust kurulumunu takip edecektir fakat json ayar dosyası neredeys tüm istemciler için benzer olacaktır.
[github/shadowsocks-rust](https://github.com/shadowsocks/shadowsocks-rust/releases/) adresinden en güncel yayınlanmış sürümü seçip detaylarına göz gezdirin. Bu rehberin yazıldığı tarihteki en güncel sürüm v1.8.12'dir. Platformunuza göre yayınlanan bir kurulum dosyasını seçmeniz gerekmekte. Rehber GNU/Linux üzerinden ilerleyeceği için Gnu/Linux dağıtımları için derlenmiş olan dosya kullanılacaktır.
[github/shadowsocks-rust](https://github.com/shadowsocks/shadowsocks-rust/releases/) adresinden en güncel yayınlanmış sürümü seçip detaylarına bakıyorum. Bu belge yazılırkenki en güncel sürüm v1.8.12 olarak yayınlanmıştı. Platformunuza göre yayınlanan bir dosyayı seçmeniz gerekmekte, ben Gnu/Linux dağıtımları için derlenmiş olan halini indireceğim. Önümde iki seçenek var, Glibc ve MUSL. Ben Glibc için derlenmiş pakedi seçeceğim, eğer bir Gnu/Linux değil Busybox/Linux dağıtımı kullanıyorsanız MUSL için derlenmiş halini seçmeniz gerekecektir.
Karşınıza iki seçenek çıkacaktır: Glibc ve MUSL. Tercihimiz Glibc olacak lakin bir **GNU/Linux değil Busybox/Linux dağıtımı** kullanıyorsanız **MUSL** için derlenmiş halini seçmeniz gerekecektir.
shadowsocks-v1.8.12.x86_64-unknown-linux-gnu.tar.xz dosyasını indirdikten sonra evimdeki sunucumda açıyorum ve içindeki dört çalıştırılabilir dosyayı, komut dizinlerimden birine koyuyorum. Ben /usr/local/sbin/ dizinini tercih ediyorum çünkü bu dizinin amacı root yetkisi ile çalıştırılacak ama paket yöneticisi vasıtasıyla kurulmamış uygulamaları barındırmaktır.
"shadowsocks-v1.8.12.x86_64-unknown-linux-gnu.tar.xz" dosyasını indirdikten sonra sunucuda dosyayı açıp içindeki dört çalıştırılabilir dosyayı, komut dizinlerinden birine koyun. /usr/local/sbin/ dizinini tercih edilebilir çünkü bu dizinin amacı root yetkisi ile çalıştırılacak ama paket yöneticisi vasıtasıyla kurulmamış uygulamaları barındırmaktır.
Daha sonrasında /etc/ dizini altında shadowsocks-config.json adında bir dosya oluşturup içine şunları yazıyorum.
Daha sonrasında /etc/ dizini altında shadowsocks-config.json adında bir dosya oluşturup içine aşağıdakileri yazın;
```json
{
@ -26,15 +34,15 @@ Daha sonrasında /etc/ dizini altında shadowsocks-config.json adında bir dosya
- *server* kalemi shadowsocks’un dinleyeceği, sunucunuzun IP adresini seçmenizi sağlar. Tek ağ kontrolcüsü olan cihazlarda tek bir IP olacağından işiniz kolay olacaktır. Eğer birden fazla ağ kontrolcünüz varsa hangisinde çalışmasını istediğinize siz karar vermelisiniz, yahut 0.0.0.0 yazarak bütün ip adreslerinizi dinlemesini sağlayabilirsiniz.
- _server_port_ kalemi yazılımın kullanacağı IP adreslerinde dinlemesini istediğiniz portu belirttiğiniz yerdir, standart 8388 kullanılır. Ben kendi sunucumda daha önce bahsettiğim v2ray pluginini kullandığımdan 443 HTTPS portunu kullanmaktayım. Böylece trafik HTTPS portuna akmakta, veri HTTPS trafiği gibi gözükmekte, dolayısıyla DPI (derin paket incelemesi) yapan güvenlik duvarları tarafından shadowsocks takip edilememektedir.
- _server_port_ kalemi yazılımın kullanacağı IP adreslerinde dinlemesini istediğiniz portu belirttiğiniz yerdir, standart 8388 kullanılır. Örnek sunucumuzda önceki bölümde bahsedilen v2ray pluginini kullanıldığından 443 HTTPS portunu kullanılmakta. Böylece trafik HTTPS portuna akmak ile veri HTTPS trafiği gibi gözükmekte, dolayısıyla [DPI (derin paket incelemesi)](https://en.wikipedia.org/wiki/Deep_packet_inspection) yapan güvenlik duvarları tarafından shadowsocks takip edilememektedir.
- _password_ parolanızı belirttiğiniz yer, basit bir şekilde çalıştığından ötürü güvenli bir parola kullanmanız şart.
- _password_ parolanızı belirttiğiniz yer, basit bir şekilde çalıştığından ötürü güvenli bir parola kullanmanız şart. Bunun için [Zarola](https://zarola.oyd.org.tr) kullanmanızı hararetle öneririz.
- _timeout_ bağlantı zaman aşımını belirttiğiniz ayar kalemi, 300 saniye makul bir süre.
- _timeout_ bağlantı zaman aşımının belirlendiği ayar kalemi, 300 saniye makul bir süre.
- _method_ şifreleme algoritmanızı seçtiğiniz yer, ben aes-256-gcm kullanıyorum, bu algoritma 256bitlik bir anahtar kullanarak simetrik blok şifreleme yapan bir algoritma ve ihtiyacımı karşılayacak kadar hızlı ve şu an desteklenen en güçlü algoritma.
- _method_ şifreleme algoritmanız bu bölümde belirlenir, tercihimiz aes-256-gcm. Bu algoritma [256 bitlik bir anahtar kullanarak simetrik](https://en.wikipedia.org/wiki/Symmetric-key_algorithm) blok şifreleme yapan bir algoritma. Genel ihtiyaçlara yetecek kadar hızlı ve şu an desteklenen en güçlü algoritma.
Bu dosyayı kaydettikten sonra servis yöneticinize bir servis yazmanız gerekmekte. Bu kısmı sizin tercihinize bırakıyorum, lakin ben systemd kullandığımdan basit bir servis yazdım.
Bu dosyayı kaydettikten sonra servis yöneticinize bir servis yazmanız gerekmekte. Bu kısım tercihinize kalmış, lakin örnek sunucumuz systemd kullandığından systemd için basit bir servisi aşağıdaki gibi yazabilirsiniz:
```
[Unit]
@ -48,11 +56,14 @@ ExecStart=/usr/local/sbin/ssserver -c /etc/shadowsocks-config.json
WantedBy=multi-user.target
```
Daha sonrasında bu servisi aktif hale getirip başlangıçta çalışacak şekilde ayarladım. Ve sunucum çalışır durumda.
Daha sonrasında bu servisi aktif hale getirip başlangıçta çalışacak şekilde ayarlanması gerekiyor. Ardından shadowsocks sunucunuz hizmet vermeye hazır olacak.
[systemd'de bu servisin aktif hale getirilmesini anlatarak katkıda bulunabilirsiniz](https:/git.oyd.org.tr)
### İstemci Tarafında
Aslında sunucu tarafındaki ayarların aynısını yaptım, neredeyse her şey aynı, lakin ayar dosyamı şu şekilde değiştirdim.
Teknik olarak sunucu tarafındaki ayarların aynısı istemci için de geçerli fakat ayar dosyasınun şu şekilde değiştirilmesi gerekli:
```json
{
@ -66,10 +77,11 @@ Aslında sunucu tarafındaki ayarların aynısını yaptım, neredeyse her şey
}
```
- _local_address_ kalemi istemciniz üzerinde, sslocal'ın (shadowsocks istemcinizin) dinleyecegi, programlarinizi yönlendireceginiz yerel adresi seçtiginiz yer.
- _local_port_ kalemi, istemci olarak kullandığınız bilgisayarda, localhost’ta hangi port üzerinden socks5 yayını yapacağını seçtiğimiz yer. Bazı istemciler bu ayarı kullanmamakta (android istemcisi mesela android’in kendi VPN altyapısını kullandığından yerel bir socks5 bağlantısı yerine tüm trafiği yönetebilmekte) lakin shadowsocks-rust istemcisi ve diğer bir çok istemci bu ayarı kullanıyor.
- _local_address_ kalemi istemciniz üzerinde, sslocal'ın (shadowsocks istemcinizin) dinleyecegi, programlarinizi yönlendireceginiz yerel adresin seçildiği yer.
- _local_port_ kalemi, istemci olarak kullandığınız bilgisayarda, localhost’ta hangi port üzerinden socks5 yayını yapacağınının seçildiği yer. Bazı istemciler bu ayarı kullanmamakta (android istemcisi, android’in kendi VPN altyapısını kullandığından yerel bir socks5 bağlantısı yerine tüm trafiği yönetebilmekte) lakin shadowsocks-rust istemcisi ve diğer bir çok istemci bu ayarı kullanıyor.
Son olarak da systemd servis dosyamı şu şekilde güncelledim.
Son olarak da systemd servis dosyamı şu şekilde düzenleyin:
```
[Unit]
@ -83,6 +95,14 @@ ExecStart=/usr/local/sbin/sslocal -c /etc/shadowsocks-config.json
WantedBy=multi-user.target
```
Ve bu kadar! Artık socks5 destekleyen yazılımlarınızı shadowsocks proxy’si üzerinden internete, farklı bir noktadan çıkartabilirsiniz. Ben kendi bilgisayarımda Firefox, Thunderbird ve Telegram uygulamaları üzerinde bu proxy’i kullanmaktayım. Eğer bütün trafiğinizi shadowsocks üzerinden yönlendirmek istiyorsanız iptables ve redsocks uygulamaları ile bunu sağlayabilirsiniz. Android temelli telefonum üzerinde de shadowsocks kullanmaktayım ve sürekli VPN modu aktif şekilde ayarladım, bu sayede telefonumdan geçen bütün trafik kendi sunucum üzerinden internete çıkmakta, tanımadığım ağlara bağlandığımda iletişimim takip edilememekte ve bütün trafiğim tek bir IP adresine doğru gidiyor gözükmekte.
Ve hepsi bu kadar! Artık socks5 destekleyen yazılımlarınızı shadowsocks proxy’si üzerinden internete, farklı bir noktadan çıkartabilirsiniz. Örnek olarak Firefox, Thunderbird ve Telegram uygulamaları üzerinde bu proxy’i kullanabilirsiniz.
Eğer bütün trafiğinizi shadowsocks üzerinden yönlendirmek isterseniz iptables ve redsocks uygulamaları ile bunu sağlayabilirsiniz.
[iptables ve redsocks ile yönlendirme yapılmasını anlatarak bu rehbere katkı verebilirsiniz.](https://git.oyd.org.tr)
Android temelli cihazlar üzerinde de shadowsocks kullanılabilir. Android VPN ayarlarından "Sürekli VPN modu" etkinleştirilerek bağlantının sürekliliği sağlanabilir.Bu sayede cihazdan geçen bütün trafik sunucunuz üzerinden internete çıkar, güvenli olmayan ağlarda iletişiminiz takip edilemez ve bütün trafik tek bir IP adresine doğru gözükür.
Shadowsocks belki Çin Halk Cumhuriyeti devleti tarafından erişimi engellenmeye çalışılan, önlem geliştirilen ve kısıtlanan bir yazılım olabilir ancak aktif geliştirici kitlesi, eklentileri ve genel basitliği ile sadece Çin vatandaşları tarafından değil aynı zamanda diğer bütün dünya vatandaşları tarafından da tercih edilesi bir noktaya gelmiştir.
Shadowsocks belki Çin Halk Cumhuriyeti devleti tarafından erişimi engellenmeye çalışılan, önlem geliştirilen ve kısıtlanan bir yazılım ve protokol olabilir, ancak aktif geliştirici kitlesi, eklentileri ve genel basitliği ile sadece Çin vatandaşları tarafından değil aynı zamanda diğer bütün dünya vatandaşları tarafından da tercih edilesi bir noktaya gelmiştir. Güncelliğini farklı dil ve platformlarda koruyan ciddi bir geliştirici kitlesi ve aktif kullanıcı kitlesi ile güçlü bir proxy yazılımı olan Shadowsocks umarım sizin de ilginizi çekmiştir.
Güncelliğini farklı dil ve platformlarda koruyan ciddi bir geliştirici kitlesi bulunmakta ve aktif kullanıcı sayısı ile güçlü bir proxy yazılımı olan Shadowsocks kitlesel gözetime karşı etkili bir araçtır.

Loading…
Cancel
Save