İleri Güvenlik Çözümleri

1) WEB UYGULAMALARINA YÖNELİK SALDIRILAR VE OWASP

Kurumsal Web Uygulama Güvenlik Duvarları , açık web uygulama güvenliği projesi anlamına gelen OWASP ‘ın güncel web zafiyet listesine göre mekanizmasını ayakta tutar.

1.1) OWASP

Açık web uygulama güvenliği projesi anlamına gelen OWASP, güvensiz yazılımların oluşturduğu problemlere karşı mücadele etmek için kurulmuş bir topluluktur. OWASP’ın tüm araçları, dokümanları, listeleri, ve bölümleri ücretsiz olarak her yazılım güvenliği çalışanı ve meraklısına sunulmuştur.

OWASP’ın listesine göre web uygulamalarında bulunan zafiyetlerinden birkaçı şu şekildedir:

• SQL Injection; Injection saldırıları, kullanıcılardan gelen dataların kontrol edilmeden komutlarda veya veri tabanı sorgularında kullanılmasıyla meydana gelir.
• Cross Site Script; Cross Site Scripting, saldırganın zararlı kodlarını web uygulamasına dahil etmesidir, bu kodlar uygulamayı ele geçirmeye kadar gidebilir.
• Cross Site Request Forgery; CSRF açıkları, gelen taleplerde oturum kontrolü yapılmasının unutulması nedeniyle gerçekleşir.
• Broken Authentication and Session Management; Web uygulaması, kullanıcıları tanımlamak için oluşturduğu session ID’lerini clear text veya kolay kırılarbilir bir şifreleme ile oluşturuyorsa meydana gelen bir zafiyettir.
• Insecure Cryptographic Storage; Veri tabanı sistemlerinde, hassas bilgilerin şifrelenmeden tutulması durumunda oluşmaktadır.
• Using Components with Known Vulnerabilities; Bilinen güvenlik açıklarına sahip bileşenleri kullanan uygulamalar ve API’ler, uygulama savunmalarını zayıflatabilir ve çeşitli saldırılara kapı açabilir.

2) GÜVENLİK DUVARI VE YÖNTEMLERİ

2.1) Uygulama Tabanlı Güvenlik Duvarı

Uygulama tabanlı güvenlik duvarı, ağlar arasında erişim izni veren veya erişimi engelleyen bir yazılım paketidir. Girmek isteyenlerin ve içeri girilenlerin ne yaptığına dair kayıt tutulabilir. İçeriden veya dışarıdan her host bağlantısını kabul etmez. Kullanıcı düzeyinde kimlik doğrulama sağlar. Veri paketlerindeki zararlı kodları tespit edebilir. Veri trafiğindeki özel aktiviteleri kayıt tutar.

Bu tip güvenlik duvarlarının eksi yönü, diğer güvenlik duvarı yaklaşımlarına göre daha yavaş olmasıdır.

2.2) Paket Filtreleme

Paket filtreleme, uygulama yönünden en basit güvenlik duvarıdır. Konfigüre etmek oldukça basittir. Yönlendiriciler, paket içeriğini önceden tanımlanmış koşul ölçütlerine göre karşılaştırarak paketleri filtrelemek üzere yapılandırılır. Bir yönlendiriciye bir paket filtresi eklemek, ek bir performans yükü oluşturmaz. Paket filtreleme işlemi ağ ve taşıma katmanında gerçekleşir, yani tüm uygulamalarda kullanılabilir. Paket filtresi çeşitli yöntemlerle tehlikeye düşebilir. Olası davetsiz misafirler gelen paketlerin kaynağını kabul edilebilir bir kaynaktan kaynaklanmış gibi maskeleyerek aldatarak maskeleyebilirler. Bir yönlendiricideki paket filtrelemenin karmaşıklığı arttıkça, yönlendirici performansı düşecektir. Bazı durumlarda, filtreleme, performans geliştirme için yaygın olarak kullanılan belirli ön bellekleme stratejileri ile uyuşmaz.

2.3) Durum Denetleme

Durum denetleme, paket filtre teknolojisinin geliştirilmiş halidir. 90′larda Checkpoint firması tarafından geliştirilmiştir. Zamanla bir standart haline gelmiştir. Dinamik paket filtreleme olarak da bilinir. Tek tek paket içeriği incelenir. Düşük maliyet, yüksek performans sağlar. Paket filtreleme yönteminde olduğu gibi durum denetleme yöntemi de ağ ve taşıma katmanında çalışmaktadır. Yani ekstra bir istemci konfigürasyonu ve yazılımı gerektirmez.

2.4) Vekil

Vekil, internet üzerindeki sunucular ile iç sunucular arasında aracı bir bağlantı sağlar. Gelen paketler için vekil, iç ağdaki istemcilere bir sunucu görevi görür. Giden paketler için ise, dış ağdaki sunuculara veri gönderen bir istemci gibi davranır. Vekil servisi, uygulama katmanında çalıştığı için yüksek güvenlik sağlar. Ayrıca kullanıcı seviyeli kimlik doğrulama sağlar. Proxy sistemleri, zayıf veya hatalı IP uygulamaları için otomatik olarak koruma sağlar ve filtreleme konusunda başarılıdır.

Bunlara karşıt olarak, konfigürasyonu en karmaşık güvenlik duvarıdır.

2.5) Ağ Adresi Çevirisi

Ağ adresi çevirisi, bir ağın dahili olarak bir takım ağ adreslerini ve harici ağlarla çalışırken farklı bir set kullanmasını sağlar. Ağ adresi çevirisi kendiliğinden herhangi bir güvenlik sağlamaz, ancak dahili ağ düzenini gizlemeye ve bağlantıların bir tıkanma noktasından geçmesine yardımcı olur.

2.6) Sanal Bir Özel Ağ

Sanal bir özel ağ, şifreleme ve bütünlük koruması kullanır;

Bir kamu ağı (İnternet), özel bir ağmışmış gibi kullanabilirsiniz. Sanal özel ağlar, güvenliği güç protokolleri uzaktan kullanmanıza izin verir. Bunlara karşın, sanal özel ağlar tehlikeli ağ bağlantıları içerir.

3) WEB UYGULAMA GÜVENLİK DUVARI ÇALIŞMA MODLARI

3.1) Reverse Proxy(Ters Vekil)

Reverse Proxy, web uygulama güvenlik duvarı arasında en yaygın ve zengin özelliklere sahip dağıtımıdır. Tüm trafik WAF üzerinden geçer. Gelen istekler için Server, arkadaki web sunucusu için ise client görevi görür. Fakat uygulamalar için gecikmeyi artırabilir.

3.2) Şeffaf Vekil

Bu modda ise WAF, Güvenlik Duvarı ve Web Sunucu arasında bulunur fakat IP adresi yayınlamaz. Reverse Proxy gibi davranır.

3.3) Köprü

Bu yöntemde WAF cihazının web sunucuların önüne bridge modda yerleştirilerek trafiği üzerinden geçirmesi ve incelemesi sağlanır. Tek dezavantajı sistemde yaşanacak bir arıza sonrası web trafiğinin kesilmesi olasılığıdır.

3.4) Hat Dışı Ağ İzleme

Bu yerleşkede ise WAF hatta değildir. Dışarıdan ağı izlemek için idealdir. WAF bu yerleşkede istenmeyen trafiği kesmek için TCP sıfırlama mesajı göndererek trafiği engelleyebilir.

3.5) Sunucu Tabanlı

Bu yerleşkede WAF web sunucusunun üzerindedir. Korunmak istenen sistemlerin sayısı azsa tercih edilebilir. Fakat sunucuyu yorar.

4) WEB UYGULAMA GÜVENLİK DUVARI VE YÖNTEMLERİ

WAF daha çok web ve uygulama sunucularına yönelik güvenlik tehditlerine karşı geliştirilmiş bir saldırı önleme sistemidir. Tipik bir IPS sistemine göre uygulama sunucularına karşı daha üst seviyede güvenlik koruması sağlar.

4.1) İmza Tabanlı WAF

Gelen http/https isteklerinin özelliklerinin bilinen saldırı imzalarının özellikleri ile karşılaştırılması sonucunda saldırıların tespit edilmesi sağlanır. Bu yüzden http/https isteklerinin başlık bilgisi ve içeriğinin incelenmesi ve bilinmesi önemlidir. Fakat sürekli değişen saldırılar dahilinde imzalar güncellenmez ise kullanımı sırasında birçok değişime uğramış zararlı istek web güvenlik duvarını atlatır. Saldırı tespit sistemlerinin amacı yetkisiz erişimler, bilgi sistemlerine sızma, istenmeyen ve kötücül ağ trafiğinin tespitidir ve virüsler, truva atları ve solucanlar gibi kötücül yazılımların zararlarını en aza indirmektedir.

İmza tabanlı yaklaşım diğer yaklaşımlara göre daha az yanlış uyarı üretmesinden dolayı gerçek dünyada daha kabul edilebilir bir yaklaşımdır. Fakat üstte de belirtildiği gibi yeni zararlı yazılımlara karşı yetersiz olabilmektedir.

4.2) Anormallik Tabanlı WAF

Anormallik tabanlı saldırı tespit sistemi daha önceden belirlenen bir davranış referansı üzerinden çalışmaktadır. Davranış belirleme işleminde çeşitli kaynaklardan alınan; işlemci kullanımı, TCP bağlantı sayısı, izleme olayları, basılan tuş kayıtları, sistem çağrıları, ağ paketleri, kullanıcıların oturum süreleri, eposta sayısı, dosya sistemlerine erişim ve güvenli çalışma şartları gibi çeşitli bilgiler kullanılmaktadır.

HTTP trafiği ile ilgili , HTTP mesajlarında Protokol özellikleri ile ilgili anormallikler, bir web uygulamasının çağrılmasındaki anormallikler ve HTTP üzerinden taşınan mesaj içeriğindeki Anormallikler olmak üzere anormallik tabanlı web uygulama güvenlik duvarı projeleri yürütülmektedir. Bu çalışmalar ile imza tabanlı WAF eksiklikleri giderilip zararlı isteklerin güvenlik duvarını aldatmasını en aza düşürmek hedeflenmiştir.

İmza ve anormallik tabanlı yöntemleri kendi siteminizin ihtiyaçları doğrultusunda seçip kullanabilirsiniz.