Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> Web & Server Güvenliği

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.





⚫ Web Application Firewall Nedir ? İnceleme //メ ℳ𝒾𝓉 !!

Web & Server Güvenliği

Yeni Konu aç Cevapla
 
Seçenekler
Alt 2 Hafta önce   #1
  • Albay
  • Üye Bilgileri
Üyelik tarihi
03/2016
Mesajlar
Konular

Teşekkür (Etti): 80
Teşekkür (Aldı): 496


Arrow ⚫ Web Application Firewall Nedir ? İnceleme //メ ℳ𝒾𝓉 !!








Selamın Aleykum TurkHackTeam ailesi,

Bugün Web Application Firewall (WAF) Nedir ? WAF'ların işleyişi hakkında incelemeler yapacağız
ve en son ücretsiz WAF Koruması sağlayan Hizmetlere göz atacağız .







Web Application Firewall (WAF) Korumasının İşleyişi



WAF Koruması 7.Katman olan Application Katmanının korumasını sağlamaktadır .

Bu katmana gelen sıra dışı yapılandırılmış olan usule uygun olmayan GET/POST isteklerini belirler ve yazılan kurala göre ya bloke eder yada gelen istek ip'sini banlar .


Genel olarak WAF'ları sadece uygulama katmanında görüp sadece 7.katmana gelen saldırılara karşı önlemler alıyor gibi görünsede HTTP ve FTP gibi internet uygulamalarını korunaklı hale getirerek HTTPS' ve SFTP ' ye çevirir .

WAF yapılandırılması hakkında en büyük yapılan yanlışlardan birisi WAF Korumasını sadece sunucu ip'isini gizlemek icin kurulum yapıyor bazı kuruluşlar bunun eksi yanı attak yapan kişi eğerki bu işte profesyonelleşmisse saldırıyı WAF'ın koruma sağladıgı alana değil sitenin diğer etkialan uzantılarına yapar ve bu sayede WAF' Korumasını atlamış olur bu tamamen kendi gözlemlerim araştırmalarım ve yaptıgım denemeler sonucunda oluştu .

Mantıklı olan sistem ise sadece WAF'ı sitenin ip'sini değiştirecegi şekilde kurmak yerine komple site trafiğini olduğu gibi WAF' Korumasının içerisinden geçirmek olacaktır .







Web Application Firewall Hangi Saldırılara Karşı Güvenlik Önlemi Sağlar ?



Sitelerin Güvenlik Açıkları - SQL enjeksiyonları ` Kullanıcı alanlarında doğrulama seçenekleri bolca olduğu için bu zaafiyet engellenmiştir .


Otomatik Olarak Waf Koruması Sistemi Tarar `Hackerler tarafından Web sunucu klasörlerine erişim yada geçici klasorlere erişimleri cok daha zor bir hale gelir

Hedef Sistemde Arka Kapı oluşturma` Yapılan şüpeli erişimler canlı olarak koruma firmalarına iletilir ve anında müdahale edilir .


Parametrelerde Yetkisiz Değişimlerde ` Parametrelerle oynanarak oluşturulmaya çalışılan zaafiyetler firma tarafından anında karşılık alır .


7. Katmana Yapılan Olarak Ddos Saldırıları ` Gelişmiş sistemleri ile kullanıcı girişlerini tanıyabilinmektedir kurallar yazılarak tehlike arz etmeden şüpeli girişler engellenir .


Cookie Poisoning Çerez Zehirlenmeleri olarak tanırız ` Çerezlerde tutulan parametrelerin değişimleriyle oluşan bir zaafiyet bununda güvenliği sıkı bir şekilde alınmakta .


Siteler Arası Komut Çalıştırma Zaafiyeti (XSS) ` Site WAF' Korumasının içerisinden geçtiği için bu tehdittende etkilenmicektir.






Bulut Tabanlı Ve Donanım Tabanlı WAF Koruması Nelerdir - Artı Ve Eksi Yönleri





Bulut Tabanlı WAF' ları Öğrenelim Eksilerini ve Artılarını Görelim




Bulut Tabanlı WAF' ların Eksi Yönleri !

Bulut Tabanlı Waf'ların en kötü özelliği site trafiğinin tamamını kapsadığı için siteye ulaşmaya çalışan herkes öncelikle buluttan geçecegi için site trafik analizine dair hiç bir analiz yapma şansı bulunmamaktadır . Sitenin girişleri hakkında hic bir analiz yapılamamakta .

Şimdi bide işin can alıcı en önemli noktasına geldik ? Kardeşim Ben Bulut Tabanlı Waf'lara asla güvenmem !
Şimdi WAF'lar gelen paketlerin içeliğini inceliyor bundan dolayıda ne kadar sifreleme korumaları var bunların hepsini kaldırmanız gerekli , e şimdi bunuda yaptıgınız zaman ne olacak WAF' Firması korudugu sitenin bütün şifrelerini görebilecek , bu yüzden firma sahibi akrabanız falan olması gerek bu kadar güvenebilmeniz için .





Bulut Tabanlı WAF' ların Artı Yönleri !

Bulut Tabanlı WAF'ların prestiji ve itibarı açısından son derece güvenli bir yapıya sahip oldugunu hiç kimse inkar edemez .

Trafiğin tamamı Bulut tabanından geçtiği için saldırının buluttan çıkıp sunucuyu vurması imkansız bir hale geliyor .

Bulut Tabanlı Waf'lar hem ağ güvenliğini sağlarken hemde sitenin sql açıkları gibi açıkların korunmasında da büyük rol oynar .




Donanım Tabanlı WAF' ları öğrenelim , Artı ve Eksi Yönlerini Görelim



Donanım Tabanlı WAF'ların Eksi Yönleri


Donanım tabanlı olan WAF ' ların koruma yazılımlarından tutun kurulumu ve bakımına kadar herşey çok maaliyetli olmakta .

Ayrıca Her ne kadar Bu WAF'Lar çevrimiçi olarak yeni bir tehdit bulunsa anında anti-koruma ile güvenligini güncelleyecek olsada bu bile + olarak maaliyet yansıyacak .

Bu özelligi ile Donanım tabanlı WAF'ların maaliyeti çok yüksek miktarları bulmakta . Bu yapılan Güncellemelere verilen genel isim '' Sanal Yama '' Dır .





Donanım Tabanlı WAF'ların Artı Yönleri

Elde olan birden fazla olan sunucuların bir yük dengeleme sistemine ihtiyacı bulunmakta .

Birleşik bir önbellek gerekli bu sistem için Donanım Tabanlı WAF' ile bu gereksinim tek bir cihazla sağlanmayı başarmıştır .






Ücretli & Ücretsiz Bulut Tabanlı WAF' Koruma Sistemleri Tanıtımı



İncapsula İnc. WAF' Hizmetleri

Ddos attackların korunması açısından dünyanın en büyük Siber Saldırı Savunma Sistemine sahip bir firmadır .

Şirketin Global alanda yanlış hatırlamıyorsam 25 yada 26 Veri Merkezi bulunmakta .

Ayrıca Sadece Sunucum Katmanında (7.katman) da değil bütün katmanlara WAF Filtre sistemi koymakta .

3 Ay Önce Bir şirket için yapılan görüşmelerde en düşük WAF Hizmetinin 300-350 Dolar Arasında oldugunu gördük .


Amazon AWS WAF Hizmetleri


Burada Amozon AWS güvenlik duvarı sadece şirketin web serverleri için kullanılabilmektedir .

Bulut tabanlı oluşundan dolayı ücret olayı 1 ay icinde alınan isteklere paralel olmakla değişmektedir , yani engellenen saldırı süresi ve istegi baz alınarak ücretlendirmeler cıkartılır .



Cloudflare WAF


En popüler saldırı engelleme sistemi Cloudflare WAF Hizmetleri .

Bu sistem üzerinde ki siteye yapılacak botnet saldırılarında botun çıkış kaynagından saldırı yaptıgıı tarayıcının adı ve tarayıcı sürümüne kadar tespit etmektedir .


CloudFlare Koruması / En ince ayrıntıları //xMit !



Akamai Kona Site Savunucusu

Ddos Korumalı WAF Sistemlerinin Devlerinden biriside Akamai Firmasıdır .

Firma içerisinde oluşturulan llaboratuvarlarda bütün saldırı fonksiyonları denenip zaafiyetler şirket kendi kendine cözümünü bulmaktadır .

Global sahada ki hemen hemen bütün açıklar Akamai ' tarafından bulunur ve firma anında sunucularına güncelleme dosyası göndererek cevrimiçi güncelleme sağlanır .



Ücretli & Ücretsiz Donanım Tabanlı WAF' Koruma Sistemleri Tanıtımı

Web uygulamalarının güvenlik duvarlarına istinaden sunulan bir cözümdür Donanım tabanlı Waflar .

Bu Sistem web alt yapısının önüne geçen bir ekipman parçadır .

Ancak Trafikler direk olarak bu cihazlardan gececegi için bu cihazları secmeden önce kendi sunucunuzun Mbps kapasitesinden işlem hacmi kapasitesine kadar bir çok özelligi degerlendirip ona göre bir ürün secimi yapmalısınız .




Imperva SecureSphere


440 SSL TPS ile çalışan 100 Mbps veri hacmine sahip, 10 Gbps ve 9.000 SSL TPS işleyebilmektedir . Benim tavsiye ettigim bir WAF sistemi bütün komplike gelişebilecek ataklara cözümler üretebilmektedir .

100 Dolarlık Paketlerden 10000 Dolara kadar paket fiyatları mevcut .

Küçük şirketler için kullanımı idealdir.

Barracuda Web Uygulaması Güvenlik Duvarı



Küçük ve orta düzeyde ki işletmeler icin ideal bir sistemdir .

Gelişen yeni zaafiyetlere karşılık ücreti karşılıgında cevrimici güncelleme alma şansınız bulunmakta .

360 size 25 Mbps verim verecek ve 2000 SSL TPS gibi oranlara karşı gelebilecek güce sahiptir .




F5 BIG-IP ASM



Bıg-IP Genellikle büyük sirketlere yönelik bir WAF Secenegidir . Ancak hic tavsiye etmiyorum ücretsiz dahil sunulsa bu hizmeti kullanmak istemem ben .

SSL ve TPS oranı vermiyor Bunun yerine alternatif HTTP ' si sunuyor , buda beraberinde ciddi zaafiyetleri getirmekte , hizmet kullanılmaz hale gelmesede saldırılar sırasında cok büyük lag'lar yaşanmakta .















- Kazanımlar -



Web Application Firewall ( WAF ) Nedir Bunu Öğrendik .

Web Application Firewall ( WAF ) ' Ların koruduğu Zaafiyetleri öğrendik .

Donanım ve Bulut Tabanlı WAF' Ların özellikleri - artı ve eksi yönlerini öğrendik .

Donanım ve Bulut Tabanlı WAF' Firmalarını Öğrendik .

Genel olarak WAF' lar hangi katmanı korur ? Sorusuna cevap bulduk .










SaygılarımLa
//メℳ𝒾𝓉 !!
 Offline  
 
Alıntı ile Cevapla
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
Siber Güvenlik
sosyal medya bayilik paneli

wau