Bilişim teknolojisinde sistem ve yazılımların güvenliği artık vazgeçilmez olmuştur. Kurumlar da artık kendi güvenliğini sağlamak için kurum ağı içerisinde güvenlik duvarı kullanarak sistemlerini koruma yollarına gitmişlerdir. Güvenlik duvarları hem internet üzerinden gelecek tehditlere karşı hem de kurum içerisinden yapılan art niyetli saldırılara karşı kurumun sistemlerini korur ve kurum içerisindeki yapının yönetimi açısından büyük kolaylık sağlar. Fakat bu cihazlar genelde klasik güvenlik anlayışı ile tasarlandıklarından 4.katmana kadar paket incelemesi yapar. (ip adresi, port numarası, paket numarası, connection bilgileri gibi) Yeni nesil güvenlik duvarlarında ise durum biraz daha farklıdır. Bu yeni nesil güvenlik duvarları ile birlikte uygulama katmanına kadar paket incelemesi yaparak tam koruma seviyesine çıkmak amaçlanmaktadır. Ama bu cihazlar maliyet açısından kurumlara ciddi anlamda yük getirmektedir ve ülkemizde bu cihazları kullanabilen kurum sayısı oldukça düşüktür.
Donanımsal güvenlik duvarlarında genel güvenlik protokolü port kavramına dayanmaktadır. Cihaz üzerinde oluşturulan kurallar genelde port ile ilişkilendirilir. Ama günümüz teknolojisi artık bu porta dayalı güvenlik algısını kırmış uygulama merkezli kurallar yazılmasını zorunlu hale getirmeye başlamıştır. Artık bu cihazlarda 80 portuna izin yazmak yerine http portuna izin yazılmaktadır. Yani kurum http portunu farklı bir porta taşısa bile cihaz bunu algılayarak bağlantı talebinin reddi konusunda bir kural var ise talebi reddedecektir.
Uygulamalar üzerinde tekrar basitleştirme yapamayacağımıza göre Uygulama katmanında güvenlik almamız şarttır. Yukarıda bahsettiğimiz uygulama katmanında paket incelemesi yapan güvenlik duvarları çoğu zaman web tarafından gelen tehditlerde başarısız olmaktadır. Bu yüzden internet üzerinden gelen gelişmiş saldırıları kesebilmek için Web Uygulama Güvenlik Duvarları (WAF) kullanılmaktadır. WAF’lar her geçen gün karmaşıklaşan sistemlerde web trafiği üzerinden gelen anormalilikleri tespit ederek belirlenen kurallar çerçevesinde gelen taleplerden saldırgan amaçli genel talebi engellemek üzerine kurulmuş bir teknolojidir. Diğer bir deyişle “HTTP/HTTPS/SOAP/XML-RPC”gibi protokoller üzerinde detaylı paket analizi yaparak zararlı istekteri bloklamak için yazılan araçtır.

Uluslar arası bazı standartlar WAF kullanımını yoğun bir şekilde tavsiye
etmektedir. Bunların arasında WAF kullanımını zorunlu tutan
standartlardan PCI Veri Güvenliği standardı da bulunmaktadır. Kurumların
karşılaştığı web saldırılarından korunmak için bazı kurumlar kaynak kod
analizi yaptırma yolunu seçerler. Fakat kaynak kod analizinde sadece
incelenen kodun güvenliği denetleneceği için tam koruma sağlamayacaktır.
WAF ise önüne konulduğu sisteme gelen her türlü saldırıyı farkedip
önleyebileceği için kısa vadede daha pratik çözümler sunmaktadır.
Saldırı Tespit Testleri
Konumlandırılacak olan WAF bilinen saldırı türlerini tespit edip
engelleyebiliyor olmalıdır. Hatta veri öğrenmesi metodları ile sıfırıncı
gün saldırılarınıda tespit edebilen WAF lar mevcuttur. Seçilen WAF
öncelikle OWASP’ın listesinde de bulunan aşağıda ki atak türlerini
tespit edebiliyor olmalıdır.
– SQL İnjection
– Cross-Site Scripting
– Command İnjection
– Local File İncluding
– Buffer Overflow
– Brute-Force Attack
– Cookie-Session Posioning
– Session Hijacking
– Sensitive Information Leaks
– Server Misconfiguration
– Wall-known latform Vulnerabilities
– Form-Hidden Field Manipulation
– Parameter Tamper
– Remote File İncluding
– File Upload
Performans Analizi
WAF performansını denetleyebilmek için localde bir sunucu kurum
curl-loader veya siege gibi client simülasyonları ile test yapılabilir.
Bu test bize ileride ürünümüzü canlı ortama çıkarttığımızda karşımıza
çıkabilecek problemler hakkında az çok bilgi verip önceden önlem
almamızı sağlayacaktır.
Zayıflık Analizi
WAF sistemlerinde zayıflık analizi yapabilmek için önceden elimizde
bulundurduğumuz veya internet üzerinde zafiyet barındırdığı bilinen bir
uygulamayı edinerek bir web sunucusuna kurabiliriz. Bunlardan bazıları
“DVWA” veya “bWAPP” gibi üzerinde “OWASP TOP 10” zafiyetleri barındıran
sistemler olabilir. Ardından bu zafiyet dolu siteyi tarayıp bir rapor
oluşturmamız gerekiyor ve aynı testi araya WAF cihazını konumlandırarak
tekrarlamamız gerekiyor. Sonrasında ise çıkan bu iki raporu
karşılaştırmak kalıyor. En kısa şekilde elinizdeki WAF ın ne kadar
başarılı olduğunu bu şekilde test edebilir rotanızı o yönde
çizebilirsiniz. Eğer delta raporunda sizin scriptinizde barınan
zafiyetten farklı bir zafiyet görünüyor ise elinizdeki ürünü alırken
tekrar kere düşünmeniz gerekebilir.
Son Yorumlar