Bu yazı içerisinde Web Application Firewall hakkında bilmediklerinizi giderebileceğinizi umuyorum. İlk olarak genel bir tanım yaparak konuyu daha iyi kavramanızı sağlamaya çalışacağım. Şunu iyi bilmeliyiz ki bilgisayar ortamında farklı güvenlik duvarları mevcuttur. Bilgisayarlar için anti virüsler ve güvenlik duvarları mevcut iken web ortamında ise kullanılan güvenlik duvarları mevcuttur. Özellikle de geçen yıldan beri bu konu üzerinde gelişmeler hızlı bir şekilde devam etti. Bu gelişmelerin en önemli olanı ise WAF (Web Uygulaması Güvenlik Duvarı) ile atıldı. Detayları ve genel açıklamaları aşağıda bulabilirsiniz. Konunun uzun olması sizin daha iyi kavramanız için detaylara yer vermemden kaynaklanıyor.
Web Application Firewall dilimiz karşılığı Web Uygulaması Güvenlik Duvarı ve internet ortamında WAF olarak telaffuz edilmektedir. Adından da anlaşılacağı üzere web uygulaması güvenlik duvarı olan bu application, HTTP işlemlerinde özellikle geçerlidir. HTTP uygulamaları için güvenlik duvarı görevini üstlenir. WAF, herhangi bir HTTP sohbetine bir dizi kuralı uygulayarak olabilecek saldırıların önüne geçmeye çalışır. Bu yaygın saldırıların ne olduğunu da belirtmemiz gerekirse;
Proxyler genelde istemcileri korumak üzere hazırlanırken WAFler ise sunucuları korur. Yukarıda HTTP yazmamızın nedenini de anlamışsınızdır. Herhangi bir web uygulaması yahut uygulamaları bir WAF tarafından korunduğunu unutmayın. Bir WAF, ters bir Proxy olarak kabul edilmektedir.
WAFler farklı biçimlerde olabilir ve uygulamalara göre özelleştirilebilir. Bir cihaz, sunucu eklentisi yahut filtre biçiminde de olabildiklerini ve uygulamalara has olarak özelleştirilebileceğini unutmayın. Yine bu özelleştirmenin gerçekleştirme çabası önemlidir ve uygulama değiştirildiğinde sürdürülmesi gerekmektedir. Buna ek olan ve bilmeniz gerektiğini düşündüğüm ifadeler; OWASP Projeleridir.
OWASP Projeleri
Web Uygulaması Güvenlik Duvarı (WAF)
WAF üzerinde Microsoft şirketinin de çalıştığını hatırlatarak Microsoft dilinde bir açıklamaya da yer vermek istedim.
Web uygulaması güvenlik duvarı (WAF), yukarıda belirttiğim gibi web uygulamalarında bulunan açıklardan yararlanma ve güvenlikteki açıklara karşı merkezi koruma yürüten bir Application Gateway özelliği taşır.
WAF bu işlemi yaparken; OWASP çekirdek kural kümeleri 3.0 yahut 2.2.9da olan kuralları uygular. Web uygulamalarının, bilinen en yaygın saldırı hedefleri olduğuna değinelim. Buradaki güvenlik açıkların en bilinenleri ise yukarıda belirttiğim gibi SQL ve XSS açıklarıdır. Şimdi ise WAF kullanımı hakkında detaylara yer verelim.
WAF (Web Uygulaması Güvenlik Duvarı) Kullanım Açıklaması
Sunucuları saldırıdan korumak için WAF politikasını kullanma hakkında görsellere bakarak daha iyi kavrayabilirsiniz.
Günümüzde web uygulamalarına geçişler oldukça fazla. Neredeyse her kurum kendi web uygulamasını geliştiriyor. Bu da açıkların çoğalacağı anlamına gelir. Geleneksel olan güvenlik duvarları, IPS sistemleri 3. ve 4. katmanlarındaki saldırı tehditlerini tespit etmek için etkili olduğunu kabul ediyoruz. Fakat uygulamalardaki katmanların mantığını yorumlayamadığı için herhangi bir koruma sağlayamaz. İşte WAF (Web Application Firewall) sırf bu amaç için hazırlandı. Uygulamalardaki güvenliği sağlamak!
Aşağıdaki görselden de anlaşılacağı üzere; ProxySG WAF cihazı genelde güvenlik duvarının arkasına ve arka uçtaki sunucuların önüne konuşlandırılır. Bu sayede, uzaktan yönetim ve Yönetim Merkezi raporlama hizmetlerini kullanmaya devam ederken gelebilecek saldırıları da analiz eder.
WAF (Web Application Firewall) Tespiti
WAF tespiti, penteslerde bilgi toplama aşaması olarak kullanılmaktadır. Bu sistemde hangi firewall olduğunu öğrenmek için kullanılmaktadır. Bu firewall tespiti yapmak isterken WAFW00F kullanılır. Bu aracın Linux sistemlerde yüklü olduğunu ve herhangi bir kurulum yapmadan kullanabileceğinizi unutmayın.
WAF00F Kullanımı
Web sitelerinde firewall tespiti yapmak için "wafw00f www.hedefsite.com" yazmanız yeterli olacaktır. Bu sayede hangi firewall kullanıldığını wafw00f komutu kullanımı ile görebilirsiniz.
WAF Özellikleri
Web uygulaması güvenlik duvarının (WAF) koruyabildiği yaygın olan güvenlik açıkları şu şekildedir:
WAF Modları
Application Gateway WAF iki modda çalışacak bir şekilde yapılandırılmıştır:
Positive security model (beyaz liste modeli): izin verilenler hariç her objeyi engeller.
Negative security model (kara liste modeli): Aksi olarak yasaklananlar hariç diğer işlemlere izin verir.
Learning-based firewall modeli: Gelen ve giden istekleri inceleyerek sayfa haritasını çıkarır.
İlk konum olduğu için umarım açıklamayı başarmışımdır. Eksiğim varsa yadırgamayın. İleride daha güzel paylaşımlar yapılacağından kuşkunuz olmasın. Esen kalın. #Enigma Kulübü
Web Application Firewall dilimiz karşılığı Web Uygulaması Güvenlik Duvarı ve internet ortamında WAF olarak telaffuz edilmektedir. Adından da anlaşılacağı üzere web uygulaması güvenlik duvarı olan bu application, HTTP işlemlerinde özellikle geçerlidir. HTTP uygulamaları için güvenlik duvarı görevini üstlenir. WAF, herhangi bir HTTP sohbetine bir dizi kuralı uygulayarak olabilecek saldırıların önüne geçmeye çalışır. Bu yaygın saldırıların ne olduğunu da belirtmemiz gerekirse;
- Genel olarak siteler arası komut dosyası oluşturma (XSS)
- SQL Enjeksiyon
Proxyler genelde istemcileri korumak üzere hazırlanırken WAFler ise sunucuları korur. Yukarıda HTTP yazmamızın nedenini de anlamışsınızdır. Herhangi bir web uygulaması yahut uygulamaları bir WAF tarafından korunduğunu unutmayın. Bir WAF, ters bir Proxy olarak kabul edilmektedir.
WAFler farklı biçimlerde olabilir ve uygulamalara göre özelleştirilebilir. Bir cihaz, sunucu eklentisi yahut filtre biçiminde de olabildiklerini ve uygulamalara has olarak özelleştirilebileceğini unutmayın. Yine bu özelleştirmenin gerçekleştirme çabası önemlidir ve uygulama değiştirildiğinde sürdürülmesi gerekmektedir. Buna ek olan ve bilmeniz gerektiğini düşündüğüm ifadeler; OWASP Projeleridir.
OWASP Projeleri
- OWASP ModSecuritynin CRS Projesi
- Web Uygulaması Güvenlik Duvarı Değerlendirme Kriteri (WAFEC)
Web Uygulaması Güvenlik Duvarı (WAF)
WAF üzerinde Microsoft şirketinin de çalıştığını hatırlatarak Microsoft dilinde bir açıklamaya da yer vermek istedim.
Web uygulaması güvenlik duvarı (WAF), yukarıda belirttiğim gibi web uygulamalarında bulunan açıklardan yararlanma ve güvenlikteki açıklara karşı merkezi koruma yürüten bir Application Gateway özelliği taşır.
WAF bu işlemi yaparken; OWASP çekirdek kural kümeleri 3.0 yahut 2.2.9da olan kuralları uygular. Web uygulamalarının, bilinen en yaygın saldırı hedefleri olduğuna değinelim. Buradaki güvenlik açıkların en bilinenleri ise yukarıda belirttiğim gibi SQL ve XSS açıklarıdır. Şimdi ise WAF kullanımı hakkında detaylara yer verelim.
WAF (Web Uygulaması Güvenlik Duvarı) Kullanım Açıklaması
Sunucuları saldırıdan korumak için WAF politikasını kullanma hakkında görsellere bakarak daha iyi kavrayabilirsiniz.
Günümüzde web uygulamalarına geçişler oldukça fazla. Neredeyse her kurum kendi web uygulamasını geliştiriyor. Bu da açıkların çoğalacağı anlamına gelir. Geleneksel olan güvenlik duvarları, IPS sistemleri 3. ve 4. katmanlarındaki saldırı tehditlerini tespit etmek için etkili olduğunu kabul ediyoruz. Fakat uygulamalardaki katmanların mantığını yorumlayamadığı için herhangi bir koruma sağlayamaz. İşte WAF (Web Application Firewall) sırf bu amaç için hazırlandı. Uygulamalardaki güvenliği sağlamak!
Aşağıdaki görselden de anlaşılacağı üzere; ProxySG WAF cihazı genelde güvenlik duvarının arkasına ve arka uçtaki sunucuların önüne konuşlandırılır. Bu sayede, uzaktan yönetim ve Yönetim Merkezi raporlama hizmetlerini kullanmaya devam ederken gelebilecek saldırıları da analiz eder.
WAF (Web Application Firewall) Tespiti
WAF tespiti, penteslerde bilgi toplama aşaması olarak kullanılmaktadır. Bu sistemde hangi firewall olduğunu öğrenmek için kullanılmaktadır. Bu firewall tespiti yapmak isterken WAFW00F kullanılır. Bu aracın Linux sistemlerde yüklü olduğunu ve herhangi bir kurulum yapmadan kullanabileceğinizi unutmayın.
WAF00F Kullanımı
- 1. Linux terminalinde "wafw00f" yazarak aracı açabiliriz.
- 2. Hangi firewall tespit ettiğini ise "wafw00f -1" komutu ile görebilirsiniz.
Web sitelerinde firewall tespiti yapmak için "wafw00f www.hedefsite.com" yazmanız yeterli olacaktır. Bu sayede hangi firewall kullanıldığını wafw00f komutu kullanımı ile görebilirsiniz.
WAF Özellikleri
Web uygulaması güvenlik duvarının (WAF) koruyabildiği yaygın olan güvenlik açıkları şu şekildedir:
- SQL ekleme koruması (SQL Enjeksiyon)
- Siteler arası komut dosyası koruma (XSS)
- Komut ekleme, HTTP isteği, HTTP yanıtını meşgul etme ve uzak dosya ekleme saldırılarına karşı koruma
- HTTP protokolü ihlali
- Gezginler, robotlar ve tarayıcıları önleme
- Yaygın olan yanlış uygulama yapılandırmasını algılama (Apache, ISS gibi)
WAF Modları
Application Gateway WAF iki modda çalışacak bir şekilde yapılandırılmıştır:
- 1. Algılama modu
- 2. Önleme modu
Positive security model (beyaz liste modeli): izin verilenler hariç her objeyi engeller.
Negative security model (kara liste modeli): Aksi olarak yasaklananlar hariç diğer işlemlere izin verir.
Learning-based firewall modeli: Gelen ve giden istekleri inceleyerek sayfa haritasını çıkarır.
İlk konum olduğu için umarım açıklamayı başarmışımdır. Eksiğim varsa yadırgamayın. İleride daha güzel paylaşımlar yapılacağından kuşkunuz olmasın. Esen kalın. #Enigma Kulübü
Son düzenleme:
