ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Güvenlik

Web Application Firewall Barracuda WAF Ürünü Temelleri ve WaaS Hizmeti

Web Application Firewall / Barracuda WAF Ürünü Temelleri ve WaaS Hizmeti

Bu makalemiz içerisinde sizlerle Web Uygulama Güvenliğine dair, ürün, teknoloji, kurulum ve WAF terminolojisinden bahsedeceğim. Bunların ardından WAF konumlandırmak için temel kurulum gereksinimlerini paylaşacağız.

WAF Nedir?  “Web Application Firewall” Web uygulamalarının ve web sitelerinin yayınladığı içeriği korumak için kullanılan güvenlik duvarlarıdır. Bu kapsamda ürün teknolojisi gereği, web uygulama protokolleri ve web yazılım dilleri özelinde koruma gerçekleştirir. Örneğin SQL veri tabanı koruması, Java Script, XSS, CSRF, HTTP/HTTPS protokolleri başta olmak üzere birçok başlıkta güvenli internet servisleri sunmak ve almak için WAF teknolojisini ve ürünlerini kullanmalıyız.

Giriş olarak WAF ürünleri, teknolojisi gereği “OWASP Top 10” veri tabanında yayınlanan en kritik web zafiyetlerine göre veri tabanını günceller ve birtakım panzehirler bu veri tabanına göre hazırlar. Bu noktada panzehrin hazırlanması hususunda WAF ürünlerini üreten üreticilerin teknolojik hızı ve yazılım ekibinin çevikliği önemlidir.

Web uygulama güvenliği çok kritik sonuçlar doğurabilir, örneğin kurum web sitesi herhangi bir zafiyet yaşadığında WEB sayfası içerisi kötü niyetli/hacker vb. art niyetli profiller tarafından manipüle edildiğinde kurum itibarını zedeleyecek içerikler, resmî web sayfalarına yüklenerek kurumu zor durumda bırakmak isteyebilirler.

İşte tamda bu noktada kurum ihtiyaçlarını ve kurumun dijital olarak yüzü olan WEB siteleri ve sitelerin içeriğini korumak maksadı ile WAF çözümleri kullanılmalıdır.

WAF ürünü neleri kontrol ediyor, nasıl bir koruma sağlıyor?

OWASP Top10 üzerinde yayınlanan ve sıkça güncellenen web uygulamalarında en popüler zafiyetlerin yayınladığı ve bu konuda tüm dünyada ortak otorite olarak kabul edilen kaynaktan tüm güvenlik üreticileri faydalanıyorlar.

Aşağıda vermiş olduğum başlıklarda ve geçmişten günümüze gelen web zafiyetlerinin yıllar boyunca detayını kendi web sayfasından protokol detayları ile birlikte okumanızda fayda var. https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Server Cloaking

URL Encryption

Malware Protection and Anti-Virus

API Security

Application Delivery

Data Protection and Compliance

Identity and Access Control

Reporting

Administration

 

WAF Kurulum Modelleri;

Onpremise olarak, WAF Virtual Appliance ve Hardware

Cloud Gen WAF – Virtual veya Hardware Appliance olarak kurabilirsiniz. Lokal Ağ üzerinde yapılandırmalısınız.

Onprem versiyonlarının detaylarını incelemek için, https://www.barracuda.com/products/webapplicationfirewall/models/2

Onprem kurulumu için sanal makine versiyonunu 30 gün ücretsiz kullanmak için, aşağıdaki adresten ilgili ürün ve modeli seçerek faydalanabilirsiniz, işlem adımları resimde tanımlanmıştır.

clip_image002

WaaS- Bulut Tabanlı olarak SaaS olarak sunulan WAF modelidir. WaaS hizmeti detayı ve deneme süresi içerisinde kurulum gerektirmeden detayına ulaşmak için,  https://www.barracuda.com/waf-as-a-service

WaaS servisini 30 Gün süre ile kullanmak için, https://waas.barracudanetworks.com/start-trial?vid=30566660&

 

Public Cloud – WAF hizmetinin Azure ve Amazon bulut servis sağlayıcıları üzerinde konumlandırabilirsiniz.

 

Yukarıda temel detayları aktardıktan ve WAF hizmetinin Barracuda SaaS olarak sunduğu WaaS ürünü özelinde çokça kullanılacak bu servis üzerinden demo’yu gerçekleştirelim.

İşlem adımlarını adım adım yerine getireceğiz.

Öncelikli olarak, portal üzerinde bir email adresi ile kayıt olmanız gereklidir, kayıt için https://waas.barracudanetworks.com/ web sayfasını açtığınızda temel soruları tamamlayarak oturum açabilirsiniz.

Oturum açtınız ve artık WaaS erişim hesabınız var, hiçbir ücret veya yapılandırma sınırı olmadan çok fazla detaya artık ulaşabilir durumdasınız.

Ardından açılan portal’de IP Tabanlı mı? Uygulama tabanlımı WAF demosunu aktif edeceğinize karar vermelisiniz. Uygulama tabanlı olanı tercih etmenizde fayda var.

Cozumpark.com domaini ve Web sunucusu için test başlatabiliriz.

Oturum açtıktan hemen sonra uygulamayı eklemek için alttaki işlem adımlarını takip ediniz.

clip_image004

 

                Aşağıdaki gibi, domaini ve uygulama tarama ismini giriniz,

clip_image006

Devreye alacağınız uygulamanın bulunduğu dış dünyadan erişilen Ip adresi veya DNS kaydının detaylarını girmek için aşağıdaki gibi domain ismine ping atabilirsiniz.

clip_image008

                Aşağıdaki gibi uygulama sunucusuna erişilen protokol ve port numaralarını tanımlayınız.

clip_image010

                Uygulama sunucusunun erişilebilir olduğunu ve test bağlantısı için alttaki işlem adımlarını takip ediniz.

clip_image012

Uygulama sunucusu tarama yapıldıktan sonra, WAF çalışma modunu belirlemeniz gerekli, “Monitör veya Block” mode’da çalıştırabilirsiniz. Doğrudan tepki verip temel öğrenme işini tamamladıktan sonra trafiği güvenli hale getirebilmesi için ben aşağıdaki gibi devam ettim.

clip_image014

Alan adını ve uygulamanın tanımlanması için yazılmış olan domain ve sunucu içeriğine göre biraz zaman alacaktır. Aşağıdaki gibi bekleme ekranını görebilirsiniz ama devam edip işlem adımlarını sonlandırın, işlem arka planda devam edecektir.

clip_image016

Tanımlamaları bitirdikten sonra, eklenmiş olan sunucuların DNS ve http protokol sorgularına cevap vermesini bir müddet bekleyeceksiniz analiz ve güvenli uygulama trafiği için bir müddet öğrenme yapmak durumunda.

clip_image018

Sunuculardan herhangi birinin en az çalışır durumda olduğunu aşağıdaki gibi doğrulamanız gerekli.

clip_image020

Tarama ve öğrenme çalışmaları için sitenin, uygulamanın içerik büyüklüğüne göre birkaç saat vermeniz gerekebilir aktif çalışır durumunu görmek adına, ardından aşağıdaki gibi kontrollerini yapabilirsiniz.

Firewall Log çıktılarında atak orijinin neresi olduğu ve firewall gibi davranıp verdiği tepkiyi görebilirsiniz.

clip_image022               

Erişim logları detayı için aşağıdaki aşamalardan destek alabilirsiniz.

clip_image024

Son olarak kaç adet atak görüldü son 24 saat aralığında ve ne kadarı bloklandı gibi detaylar için aşağıdaki ekrandan destek alabilirsiniz.

clip_image026

30 Gün süreli ücretsiz olarak sunulan web uygulama güvenliği test servisinin yapılandırmasının sonuna geldik. Ancak uygulamanın yeteneklerinin eğer farkındaysanız işlemleri tamamladıktan sonra Firewall ile hiçbir şekilde kıyaslanmayacak yetenekleri ve uygulama, protokol seviyesinde müdahale edildiği için bizim için, web üzerinden hizmet veren, hizmet alan, içerik paylaşan, ticaretini web üzerinden sürdüren yani özetle web sayfası olan her kişisel ve ticari işletme için aslında uygulama güvenlik duvarına fazlasıyla ihtiyaç duyulacaktır.

Çünkü güvenlik duvarları zararlı kaynak kodlarını ve web uygulama protokollerini temel seviyede tanır, kaynak kod analizi ve paket analizinin SQL, XSS, CSRF gibi protokollerin zafiyetlerini analiz edemezler, işte bu sebeple web uygulama servislerinin güvenliği için her kurumun mutlaka WaaS veya WAF ürünü almalıdır.

Son olarak tercih edeceğiniz WAF ürünün NSS LAB çıktılarına bakmalısınız, gartner üzerinde Gartner’ında denetiminde olan gartnerpeerinsight sitesininde teknik değerlendirme detaylarına ulaşmadan doğru WAF çözümü ve kıyaslamasını adresleyemezsiniz.

https://www.gartner.com/reviews/market/web-application-firewall/compare/barracuda-networks-vs-citrix-vs-f5

Kurumunuz ve uygulamalarınız için doğru marka ve model için hassas çalışmanız gereklidir. Fiyat performans kriterinide göz önünde tutmanız gereklidir.

Keyifli uygulamalar.

Tarih : 01 Temmuz 2018 Pazar 21:38 Yayınlayan: Gökhan TATAR

Yorumlar

 

Hakan UZUNER

Eline sağlık Hocam

Temmuz 1, 2018 22:39
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Bu Kategori

Hızlı aktarma

Etiketler