Web Application Firewall Barracuda WAF Ürünü Temelleri ve WaaS Hizmeti
Web Application Firewall / Barracuda WAF Ürünü Temelleri ve WaaS Hizmeti
Bu makalemiz içerisinde sizlerle Web Uygulama Güvenliğine dair, ürün, teknoloji, kurulum ve WAF terminolojisinden bahsedeceğim. Bunların ardından WAF konumlandırmak için temel kurulum gereksinimlerini paylaşacağız.
WAF Nedir? “Web Application Firewall” Web uygulamalarının ve web sitelerinin yayınladığı içeriği korumak için kullanılan güvenlik duvarlarıdır. Bu kapsamda ürün teknolojisi gereği, web uygulama protokolleri ve web yazılım dilleri özelinde koruma gerçekleştirir. Örneğin SQL veri tabanı koruması, Java Script, XSS, CSRF, HTTP/HTTPS protokolleri başta olmak üzere birçok başlıkta güvenli internet servisleri sunmak ve almak için WAF teknolojisini ve ürünlerini kullanmalıyız.
Giriş olarak WAF ürünleri, teknolojisi gereği “OWASP Top 10” veri tabanında yayınlanan en kritik web zafiyetlerine göre veri tabanını günceller ve birtakım panzehirler bu veri tabanına göre hazırlar. Bu noktada panzehrin hazırlanması hususunda WAF ürünlerini üreten üreticilerin teknolojik hızı ve yazılım ekibinin çevikliği önemlidir.
Web uygulama güvenliği çok kritik sonuçlar doğurabilir, örneğin kurum web sitesi herhangi bir zafiyet yaşadığında WEB sayfası içerisi kötü niyetli/hacker vb. art niyetli profiller tarafından manipüle edildiğinde kurum itibarını zedeleyecek içerikler, resmî web sayfalarına yüklenerek kurumu zor durumda bırakmak isteyebilirler.
İşte tamda bu noktada kurum ihtiyaçlarını ve kurumun dijital olarak yüzü olan WEB siteleri ve sitelerin içeriğini korumak maksadı ile WAF çözümleri kullanılmalıdır.
WAF ürünü neleri kontrol ediyor, nasıl bir koruma sağlıyor?
OWASP Top10 üzerinde yayınlanan ve sıkça güncellenen web uygulamalarında en popüler zafiyetlerin yayınladığı ve bu konuda tüm dünyada ortak otorite olarak kabul edilen kaynaktan tüm güvenlik üreticileri faydalanıyorlar.
Aşağıda vermiş olduğum başlıklarda ve geçmişten günümüze gelen web zafiyetlerinin yıllar boyunca detayını kendi web sayfasından protokol detayları ile birlikte okumanızda fayda var. https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Server Cloaking
URL Encryption
Malware Protection and Anti-Virus
API Security
Application Delivery
Data Protection and Compliance
Identity and Access Control
Reporting
Administration
WAF Kurulum Modelleri;
Onpremise olarak, WAF Virtual Appliance ve Hardware
Cloud Gen WAF – Virtual veya Hardware Appliance olarak kurabilirsiniz. Lokal Ağ üzerinde yapılandırmalısınız.
Onprem versiyonlarının detaylarını incelemek için, https://www.barracuda.com/products/webapplicationfirewall/models/2
Onprem kurulumu için sanal makine versiyonunu 30 gün ücretsiz kullanmak için, aşağıdaki adresten ilgili ürün ve modeli seçerek faydalanabilirsiniz, işlem adımları resimde tanımlanmıştır.
WaaS- Bulut Tabanlı olarak SaaS olarak sunulan WAF modelidir. WaaS hizmeti detayı ve deneme süresi içerisinde kurulum gerektirmeden detayına ulaşmak için, https://www.barracuda.com/waf-as-a-service
WaaS servisini 30 Gün süre ile kullanmak için, https://waas.barracudanetworks.com/start-trial?vid=30566660&
Public Cloud – WAF hizmetinin Azure ve Amazon bulut servis sağlayıcıları üzerinde konumlandırabilirsiniz.
Yukarıda temel detayları aktardıktan ve WAF hizmetinin Barracuda SaaS olarak sunduğu WaaS ürünü özelinde çokça kullanılacak bu servis üzerinden demo’yu gerçekleştirelim.
İşlem adımlarını adım adım yerine getireceğiz.
Öncelikli olarak, portal üzerinde bir email adresi ile kayıt olmanız gereklidir, kayıt için https://waas.barracudanetworks.com/ web sayfasını açtığınızda temel soruları tamamlayarak oturum açabilirsiniz.
Oturum açtınız ve artık WaaS erişim hesabınız var, hiçbir ücret veya yapılandırma sınırı olmadan çok fazla detaya artık ulaşabilir durumdasınız.
Ardından açılan portal’de IP Tabanlı mı? Uygulama tabanlımı WAF demosunu aktif edeceğinize karar vermelisiniz. Uygulama tabanlı olanı tercih etmenizde fayda var.
Cozumpark.com domaini ve Web sunucusu için test başlatabiliriz.
Oturum açtıktan hemen sonra uygulamayı eklemek için alttaki işlem adımlarını takip ediniz.
Aşağıdaki gibi, domaini ve uygulama tarama ismini giriniz,
Devreye alacağınız uygulamanın bulunduğu dış dünyadan erişilen Ip adresi veya DNS kaydının detaylarını girmek için aşağıdaki gibi domain ismine ping atabilirsiniz.
Aşağıdaki gibi uygulama sunucusuna erişilen protokol ve port numaralarını tanımlayınız.
Uygulama sunucusunun erişilebilir olduğunu ve test bağlantısı için alttaki işlem adımlarını takip ediniz.
Uygulama sunucusu tarama yapıldıktan sonra, WAF çalışma modunu belirlemeniz gerekli, “Monitör veya Block” mode’da çalıştırabilirsiniz. Doğrudan tepki verip temel öğrenme işini tamamladıktan sonra trafiği güvenli hale getirebilmesi için ben aşağıdaki gibi devam ettim.
Alan adını ve uygulamanın tanımlanması için yazılmış olan domain ve sunucu içeriğine göre biraz zaman alacaktır. Aşağıdaki gibi bekleme ekranını görebilirsiniz ama devam edip işlem adımlarını sonlandırın, işlem arka planda devam edecektir.
Tanımlamaları bitirdikten sonra, eklenmiş olan sunucuların DNS ve http protokol sorgularına cevap vermesini bir müddet bekleyeceksiniz analiz ve güvenli uygulama trafiği için bir müddet öğrenme yapmak durumunda.
Sunuculardan herhangi birinin en az çalışır durumda olduğunu aşağıdaki gibi doğrulamanız gerekli.
Tarama ve öğrenme çalışmaları için sitenin, uygulamanın içerik büyüklüğüne göre birkaç saat vermeniz gerekebilir aktif çalışır durumunu görmek adına, ardından aşağıdaki gibi kontrollerini yapabilirsiniz.
Firewall Log çıktılarında atak orijinin neresi olduğu ve firewall gibi davranıp verdiği tepkiyi görebilirsiniz.
Erişim logları detayı için aşağıdaki aşamalardan destek alabilirsiniz.
Son olarak kaç adet atak görüldü son 24 saat aralığında ve ne kadarı bloklandı gibi detaylar için aşağıdaki ekrandan destek alabilirsiniz.
30 Gün süreli ücretsiz olarak sunulan web uygulama güvenliği test servisinin yapılandırmasının sonuna geldik. Ancak uygulamanın yeteneklerinin eğer farkındaysanız işlemleri tamamladıktan sonra Firewall ile hiçbir şekilde kıyaslanmayacak yetenekleri ve uygulama, protokol seviyesinde müdahale edildiği için bizim için, web üzerinden hizmet veren, hizmet alan, içerik paylaşan, ticaretini web üzerinden sürdüren yani özetle web sayfası olan her kişisel ve ticari işletme için aslında uygulama güvenlik duvarına fazlasıyla ihtiyaç duyulacaktır.
Çünkü güvenlik duvarları zararlı kaynak kodlarını ve web uygulama protokollerini temel seviyede tanır, kaynak kod analizi ve paket analizinin SQL, XSS, CSRF gibi protokollerin zafiyetlerini analiz edemezler, işte bu sebeple web uygulama servislerinin güvenliği için her kurumun mutlaka WaaS veya WAF ürünü almalıdır.
Son olarak tercih edeceğiniz WAF ürünün NSS LAB çıktılarına bakmalısınız, gartner üzerinde Gartner’ında denetiminde olan gartnerpeerinsight sitesininde teknik değerlendirme detaylarına ulaşmadan doğru WAF çözümü ve kıyaslamasını adresleyemezsiniz.
Kurumunuz ve uygulamalarınız için doğru marka ve model için hassas çalışmanız gereklidir. Fiyat performans kriterinide göz önünde tutmanız gereklidir.
Keyifli uygulamalar.