Web Uygulama Güvenlik Duvarı (WAF) Ürünlerinin Genel Özellikleri

Günümüzde web uygulamalarını korumak amacı ile Web Güvenlik Duvarları (WAF) kullanılmaktadır. Bu yazıda Web Güvenlik Duvarları’nın genel özellikleri imcelenecektir.

Günümüzde internet vazgeçilmez bir kaynak olarak hayatımızda yer edinmekte ve bunun beraberinde güvenlik problemleri de çok önemli bir hal aldı. İnsanların gizliliğini ihlal eden zafiyetli sistemlerin denetlenmesi ve kullanıcılara daha iyi bir hizmet sağlanmasının önemi gün geçtikçe daha iyi anlaşılmaktadır.

Web Güvenlik Duvarları, günümüzde hayati önem taşıyan (online bankacılık, hastane randevu vb.) web uygulamalarını kontrol altında tutan mekanizmalar sağlarlar. Web Uygulama Güvenlik Duvarları tek başına yetersizdir. Ağ saldırılarını engellemeye yardımcı olan Güvenlik Duvarlarına da bu raporda değinmek isterim. Güvenlik Duvarları ve Web Uygulama Güvenlik Duvarları arasındaki farklar ve detaylar da ilerleyen sayfalarda yer alacaktır. Ayrıca Web Uygulama Güvenlik Duvarı’nın web uygulamalarını hangi saldırı tiplerinde ne tür standartlara göre koruduğunu belirtmek için OWASP ve saldırı türleri hakkında da bilgiler vereceğim.

 

1) Web Uygulamalarına Yönelik Saldırılar Ve OWASP

Kurumsal Web Uygulama Güvenlik Duvarları , açık web uygulama güvenliği projesi anlamına gelen OWASP ‘ın güncel web zafiyet listesine göre mekanizmasını ayakta tutar. Bu standart WAF tasarımcıları tarafından kabul görmüş ve yol gösterici bir listedir.

 

1.1) OWASP

Açık web uygulama güvenliği projesi anlamına gelen OWASP, güvensiz yazılımların oluşturduğu problemlere karşı mücadele etmek için kurulmuş bir topluluktur. OWASP’ın tüm araçları, dokümanları, listeleri, ve bölümleri ücretsiz olarak her yazılım güvenliği çalışanı ve meraklısına sunulmuştur.

OWASP’ın listesine göre web uygulamalarında bulunan zafiyetlerinden birkaçı şu şekildedir:

• SQL Injection; Injection saldırıları, kullanıcılardan gelen dataların kontrol edilmeden komutlarda veya veri tabanı sorgularında kullanılmasıyla meydana gelir.
• Cross Site Script; Cross Site Scripting, saldırganın zararlı kodlarını web uygulamasına dahil etmesidir, bu kodlar uygulamayı ele geçirmeye kadar gidebilir.
• Cross Site Request Forgery; CSRF açıkları, gelen taleplerde oturum kontrolü yapılmasının unutulması nedeniyle gerçekleşir.
• Broken Authentication and Session Management; Web uygulaması, kullanıcıları tanımlamak için oluşturduğu session ID’lerini clear text veya kolay kırılarbilir bir şifreleme ile oluşturuyorsa meydana gelen bir zafiyettir.
• Insecure Cryptographic Storage; Veri tabanı sistemlerinde, hassas bilgilerin şifrelenmeden tutulması durumunda oluşmaktadır.
• Using Components with Known Vulnerabilities; Bilinen güvenlik açıklarına sahip bileşenleri kullanan uygulamalar ve API’ler, uygulama savunmalarını zayıflatabilir ve çeşitli saldırılara kapı açabilir.

 

2) Güvenlik Duvarı ve Yöntemleri

Altı adet popüler güvenlik duvarı teknolojisi vardır. Çeşitli güvenlik duvarı teknolojilerinin örnekler ve daha ayrıntılı açıklamalarla birlikte artıları ve eksileri aşağıda açıklanmaktadır.

 

2.1) Uygulama Tabanlı Güvenlik Duvarı

Uygulama tabanlı güvenlik duvarı, ağlar arasında erişim izni veren veya erişimi engelleyen bir yazılım paketidir. Girmek isteyenlerin ve içeri girilenlerin ne yaptığına dair kayıt tutulabilir. İçeriden veya dışarıdan her host bağlantısını kabul etmez. Kullanıcı düzeyinde kimlik doğrulama sağlar. Veri paketlerindeki zararlı kodları tespit edebilir. Veri trafiğindeki özel aktiviteleri kayıt tutar.

Bu tip güvenlik duvarlarının eksi yönü, diğer güvenlik duvarı yaklaşımlarına göre daha yavaş olmasıdır.

 

2.2) Paket Filtreleme

Paket filtreleme, uygulama yönünden en basit güvenlik duvarıdır. Konfigüre etmek oldukça basittir. Yönlendiriciler, paket içeriğini önceden tanımlanmış koşul ölçütlerine göre karşılaştırarak paketleri filtrelemek üzere yapılandırılır. Bir yönlendiriciye bir paket filtresi eklemek, ek bir performans yükü oluşturmaz. Paket filtreleme işlemi ağ ve taşıma katmanında gerçekleşir, yani tüm uygulamalarda kullanılabilir. Paket filtresi çeşitli yöntemlerle tehlikeye düşebilir. Olası davetsiz misafirler gelen paketlerin kaynağını kabul edilebilir bir kaynaktan kaynaklanmış gibi maskeleyerek aldatarak maskeleyebilirler. Bir yönlendiricideki paket filtrelemenin karmaşıklığı arttıkça, yönlendirici performansı düşecektir. Bazı durumlarda, filtreleme, performans geliştirme için yaygın olarak kullanılan belirli ön bellekleme stratejileri ile uyuşmaz.

 

2.3) Durum Denetleme

Durum denetleme, paket filtre teknolojisinin geliştirilmiş halidir. 90′larda Checkpoint firması tarafından geliştirilmiştir. Zamanla bir standart haline gelmiştir. Dinamik paket filtreleme olarak da bilinir. Tek tek paket içeriği incelenir. Düşük maliyet, yüksek performans sağlar. Paket filtreleme yönteminde olduğu gibi durum denetleme yöntemi de ağ ve taşıma katmanında çalışmaktadır. Yani ekstra bir istemci konfigürasyonu ve yazılımı gerektirmez.

 

2.4) Vekil

Vekil, internet üzerindeki sunucular ile iç sunucular arasında aracı bir bağlantı sağlar. Gelen paketler için vekil, iç ağdaki istemcilere bir sunucu görevi görür. Giden paketler için ise, dış ağdaki sunuculara veri gönderen bir istemci gibi davranır. Vekil servisi, uygulama katmanında çalıştığı için yüksek güvenlik sağlar. Ayrıca kullanıcı seviyeli kimlik doğrulama sağlar. Proxy sistemleri, zayıf veya hatalı IP uygulamaları için otomatik olarak koruma sağlar ve filtreleme konusunda başarılıdır.

Bunlara karşıt olarak, konfigürasyonu en karmaşık güvenlik duvarıdır.

 

2.5) Ağ Adresi Çevirisi

Ağ adresi çevirisi, bir ağın dahili olarak bir takım ağ adreslerini ve harici ağlarla çalışırken farklı bir set kullanmasını sağlar. Ağ adresi çevirisi kendiliğinden herhangi bir güvenlik sağlamaz, ancak dahili ağ düzenini gizlemeye ve bağlantıların bir tıkanma noktasından geçmesine yardımcı olur.

 

2.6) Sanal Bir Özel Ağ

Sanal bir özel ağ, şifreleme ve bütünlük koruması kullanır;

Bir kamu ağı (İnternet), özel bir ağmışmış gibi kullanabilirsiniz. Sanal özel ağlar, güvenliği güç protokolleri uzaktan kullanmanıza izin verir. Bunlara karşın, sanal özel ağlar tehlikeli ağ bağlantıları içerir.

 

3) Web Uygulama Güvenlik Duvarı Çalışma Modları

3.1) Reverse Proxy(Ters Vekil)

Reverse Proxy, web uygulama güvenlik duvarı arasında en yaygın ve zengin özelliklere sahip dağıtımıdır. Tüm trafik WAF üzerinden geçer. Gelen istekler için Server, arkadaki web sunucusu için ise client görevi görür. Fakat uygulamalar için gecikmeyi artırabilir.

 

3.2) Şeffaf Vekil

Bu modda ise WAF, Güvenlik Duvarı ve Web Sunucu arasında bulunur fakat IP adresi yayınlamaz. Reverse Proxy gibi davranır.

 

3.3) Köprü

Bu yöntemde WAF cihazının web sunucuların önüne bridge modda yerleştirilerek trafiği üzerinden geçirmesi ve incelemesi sağlanır. Tek dezavantajı sistemde yaşanacak bir arıza sonrası web trafiğinin kesilmesi olasılığıdır.

 

3.4) Hat Dışı Ağ İzleme

Bu yerleşkede ise WAF hatta değildir. Dışarıdan ağı izlemek için idealdir. WAF bu yerleşkede istenmeyen trafiği kesmek için TCP sıfırlama mesajı göndererek trafiği engelleyebilir.

 

3.5) Sunucu Tabanlı

Bu yerleşkede WAF web sunucusunun üzerindedir. Korunmak istenen sistemlerin sayısı azsa tercih edilebilir. Fakat sunucuyu yorar.

 

4) Web Uygulama Güvenlik Duvarı ve Yöntemleri

WAF daha çok web ve uygulama sunucularına yönelik güvenlik tehditlerine karşı geliştirilmiş bir saldırı önleme sistemidir. Tipik bir IPS sistemine göre uygulama sunucularına karşı daha üst seviyede güvenlik koruması sağlar.

 

 

4.1) İmza Tabanlı WAF

Gelen http/https isteklerinin özelliklerinin bilinen saldırı imzalarının özellikleri ile karşılaştırılması sonucunda saldırıların tespit edilmesi sağlanır. Bu yüzden http/https isteklerinin başlık bilgisi ve içeriğinin incelenmesi ve bilinmesi önemlidir. Fakat sürekli değişen saldırılar dahilinde imzalar güncellenmez ise kullanımı sırasında birçok değişime uğramış zararlı istek web güvenlik duvarını atlatır. Saldırı tespit sistemlerinin amacı yetkisiz erişimler, bilgi sistemlerine sızma, istenmeyen ve kötücül ağ trafiğinin tespitidir ve virüsler, truva atları ve solucanlar gibi kötücül yazılımların zararlarını en aza indirmektedir.

İmza tabanlı yaklaşım diğer yaklaşımlara göre daha az yanlış uyarı üretmesinden dolayı gerçek dünyada daha kabul edilebilir bir yaklaşımdır. Fakat üstte de belirtildiği gibi yeni zararlı yazılımlara karşı yetersiz olabilmektedir.

 

4.2) Anormallik Tabanlı WAF

Anormallik tabanlı saldırı tespit sistemi daha önceden belirlenen bir davranış referansı üzerinden çalışmaktadır. Davranış belirleme işleminde çeşitli kaynaklardan alınan; işlemci kullanımı, TCP bağlantı sayısı, izleme olayları, basılan tuş kayıtları, sistem çağrıları, ağ paketleri, kullanıcıların oturum süreleri, eposta sayısı, dosya sistemlerine erişim ve güvenli çalışma şartları gibi çeşitli bilgiler kullanılmaktadır.

HTTP trafiği ile ilgili , HTTP mesajlarında Protokol özellikleri ile ilgili anormallikler, bir web uygulamasının çağrılmasındaki anormallikler ve HTTP üzerinden taşınan mesaj içeriğindeki Anormallikler olmak üzere anormallik tabanlı web uygulama güvenlik duvarı projeleri yürütülmektedir. Bu çalışmalar ile imza tabanlı WAF eksiklikleri giderilip zararlı isteklerin güvenlik duvarını aldatmasını en aza düşürmek hedeflenmiştir.

İmza ve anormallik tabanlı yöntemleri kendi siteminizin ihtiyaçları doğrultusunda seçip kullanabilirsiniz.

 

5) Sonuçlar

Güvenlik duvarları günümüzde bilgisayar ağlarının ve hatta Internet bağlantısı olan bütün bilgisayarların korunması için en gerekli parçalardandır. Çalışmada 2 çeşit güvenlik duvarı incelenmiştir ve bunların birbirlerine karşı avantaj ve dezavantajları vardır. Bunlar arasındaki farklar aşağıdaki gibi özetlenebilir:

İmza tabanlı WAF günde 1 milyon farklı tipi üretilen yeni ve metamorfik/polimorfik zararlı istekleri/yazılımları engellemekte yetersiz kalacaktır.

Anormallik Tabanlı WAF yaklaşımı üzerinde yoğunlaşma yaşanmaktadır, bu tip WAF yeni zararlı yazılımların imzalarını kaydetmek ve güncellemek yerine normal davranış olarak kabul ettiği veriye uygun olmayan şüpheli zararlı yazılımları da tespit edebilir.

Bu güvenlik duvarları kullanılarak değişik güvenlik yapıları oluşturmak mümkündür.

Burada anlatılan imza tabanlı teknolojilerin ilk defa karşılaşılan saldırıları false positive şekilde yorumlaması olasıdır, güncellenmeyen imza veritabanları başlı başına bir zafiyettir. Bundan dolay anormallik tabanlı yöntemler ağırlık kazanacaktır.

 

Kaynaklar:

[1]. Web Application Firewall (WAF) Guide 2nd Edition, IT Security Center, Information-Technology Promotion Agency, JAPAN 2011
[2]. Young, G. An Introduction to Web Application Firewalls. Gartner Research, G00157756, Retrieved November 11, 2008, from http://www.gartner.com/DisplayDocument?ref=g_search&id=677008&subr ef=simplesearch
[3]. Firewall Technologies, IEEE Potentials, February/March 2002
[4]. Jim Beechey,Web Application Firewalls:Defense in Depth for Your Web Infrastructure, SANS Technology Institute, 2009 By https://www.sans.edu/ student-files/projects/200904_01.doc
[5]. EA Nichols, G Peterson – IEEE Security & Privacy, 2007 http://ieeexplore.ieee.org/abstract/document/4140998/
[6]. Web Uygulama Güvenliği Açıklıkları Ve Güvenlik Çözümleri Üzerine Bir Araştırma ,Durmuş AYDOĞDU, M. Sedef GÜNDÜZ Gazi Üniversitesi, Mühendislik Fakültesi, Bilgisayar Mühendisliği Bölümü, Maltepe, Ankara , http://dergipark.gov.tr/download/issue-file/2820
https://meleknurtenyavuz.wordpress.com/2017/06/07/web-uygulama-guvenlik-duvari/