Neler yeni

Web Application Firewall(WAF)’ları Bypasslamak -1 (1 Viewer)

Beloved 

icq: belo_ved
girlsss
Mesajlar
309
Credits
1,618
Web Application Firewall(WAF)’ları Bypasslamak -1
1*cxyFOXHczxwszFdeWZstRA.png

Öncelikle merhaba arkadaşlar, Bugünkü yazımda size web güvenlik duvarlarını nasıl bypass edebileceğimizi göstereceğim. Bu yazı serisini 6 farklı bölüme ayırdım. Yazının tüm serilerini makalenin sonunda yazdıkça paylaşacağım. Hemen makalemize geçelim. İyi okumalar dilerim.

Birçoğumuzunda bildiği gibi WAF’lar site ile kullanıcı arasında bulunurlar. WAF’lar kullanıcının siteye ulaşmak için gönderdiği isteği alır, analiz eder, ve siteye gönderir. Bu güvenlik duvarının temel yapıtaşı istemci ile sunucu arasındaki iletişimi yöneten HTTP Protokolüdür. Bu protokolde WAF’ların yaptığı şey, HTTP’den gelen istekleri kurallamaktır bir diğer terimle filtrelemektir. Aksi bir şekilde eğer kullanıcıdan gelen olağan dışı bir istek görür ise ‘hizmet veremiyoruz’ adı altındaWAF’lar IP adresini bloklar. Bu filtrelemeler siteyi XSS, Sql Injection gibi bu alanda yaygın saldırılardan korur. Ancak WAF’lar herzaman bu saldırıları engelleyemezler.

Reverse Proxy adı verilen güvenlik duvarlarını duymuş olabilirsiniz. Bunun nedeni ise WAF’ların sadece sunucu tarafını korumasıdır, ve bir proxy istemciyi koruyabileceğini söylersek o zaman bir Reverse Proxy sunucuyu koruyabilir. Ayrıca HTTP’nin sabit olduğunu ve Web Uygulamalarında da aynı durumun geçerli olduğu unutulmamalıdır. Bu aynı zamanda bir Web Uygulamasında HTTP’den gelen işlem bilgilerini kullanırken HTTP’nin kullanılmadığı anlamında gelir. Bu birçok kez hata ile sonuçlanır ancak yazımızın konusu bypass olduğu için analiz kısmına girmeyeceğim.

Sunucu eklentileri, filtreler ve hatta belirli bir uygulama için özelleştirilmiş güvenlik duvarları gibi birçok WAF’la karşı karşıya gelebilirsiniz. Ayrıca aşağıdaki gibi 3 kategoride ayırt edebileceğimiz farklı güvenlik duvarları vardır. Şöyle 3'e ayırmak gerekirse;

1- Cihaz tabanlı güvenlik duvarları,

2- Cloud(Bulut) ve Hybrid Web güvenlik duvarları

3- Entegre(Yazılımsal) Web güvenlik duvarları

1- En başta yazan yani 1. Kategorimiz ‘Cihaz tabanlı güvenlik duvarları’ Donanımsaldır, sunucu yönetiminden sorumlu kişinin fiziksel olarak eklediği donanımsal WAF’larla alakalıdır. Sunucunun web ağını denetlemesi için web altyapısının önüne yerleştirilir. WAF Servisleri için uzak bir sunucuya bağlanma ihtiyacının olmaması büyük bir avantaja sahiplik eder. Hızlı ve güvenilir olmasının yanında her Network ortamı için de uygundur. Sorunları kendiniz birebir çözebilirsiniz. Çoğu zaman bu olumsuz bir durum oluşturabilir, çünkü aciliyet gerektiren bir durumda Network alanında uzman bir personele ihtiyaç olacaktır. Bü tür donanımsal waf’lar cihaz tabanlı waf’lar olarak adlandırılmaktadır. Bu WAF sistemleri sunucunuzun sahip olabileceği tüm ağ trafiğini ve protokol gereksinimlerini ele alır. Bu nedenle kurulum zamanının olması herhangi bir durum için ayarlanması gerekir. Aksi takdirde sorunlarla başbaşa kalabilme ihtimali de göz önünde bulundurulmalıdır.

2- Cihaz tabanlı güvenlik duvarları’ndan fazlasıyla farklı olan bir kategori olan Cloud ve Hybrid güvenlik duvarları ve adından da anlaşılacağı üzere bulut tabanlı duvarlardır. Çoğu WAF sağlayıcısının uzak sunucuların kurulurlar veya şirketin ve WAF firmasının sunucuları arasında bulunabilirler. Tam olarak bulut tabanlı WAF durumunda son 10 yılda ortak bir tehdit olan servis dışı bırakma (DDoS) saldırılarına karşı ciddi koruma üstlenirler. Bir diğer yandan birden fazla sunucu lokasyonu olan firmalar için dağıtılmış bir çözüm olarak kullanılabilir ve tüm lokasyonlarda fiziksel bir çözüme ihtiyaç duymazlar.

3- Entegre(Kodla) Web güvenlik duvarları sadece yazılım tabanlı ve çoğu zaman web kodunda değişiklik yapan veya sunucuya oturan entegre kod çözümleri vardır. Anlayacağınız gibi, donanıma ihtiyaç duymayan çözümler onu ucuz, düzeltmesi kolay ve yenilenebilir(güncellenebilir) hale getiriyor. Yine de şirketlerde uzmanlık gerektiren şeylere ihtiyaç olduğu için WAF iyi oluşturulmuş ve kurulmuş ise işleri bir o kadar da kolaylaştırır ki bir bilişim uzmanına bile gerek kalmadan sorunlarla başa çıkılabilir.

Web Sunucuları ve WAF Yerleşimi

Web sunucuları temelde bu yazıda bahsettiğimiz web uygulamalarının ve WAF’ların sunucusudur. İstemci ve Sunucu arasındaki iletişimi HTTP ve FTP gibi çeşitli protokollerle yöneten özel donanom ve yazılımdan oluşur. Web sunucuları çoğu zaman web sayfalarına hizmet verebilmek için kullanılır, ve donanım tarafında web sayfasının yapısı için gerekli dosyaları depolayani istemciye sunan bir bilgisayara oldukça benzer. Yazılım tarafı, birçok farklı uygulama ile dosya sisteminin iletişimi ve erişim kontrolünü yönetir.

1*KrDgxbgxgOa4ePd1bshPvg.jpeg

Web sunucusuna bir WAF yerleşimi durumunda web sunucusundaki diğer tüm donanımların önünde duran ayrı bir sistem olduğunu tahmin edebilirsiniz. Tüm trafiğin önüne geçmesi ve WAF tarafından filtrelenmesi gerekir. Böylece herşey ona bağlanır. Bulut tabanlı duvarlarda sistem ve hizmet bizden uzakta olacaktır ancak trafiğin önce bulut sunucusundan geçtiği, filtrelendiği ve daha sonra web sunucusuna yönlendirdiği bir solüsyondur(çözümdür). Son olarak, dediğimiz gibi web sunucusundaki diğer tüm yazılımların önünde duran, tüm tafiği filtreleyen ve diğer web uygulamalarına izin veren veya engelleyen entegre kodlar vardır.

1*VfjMEppC1o4JTIvfW4Q26g.jpeg

Ayrıca WAF’ın kendi güvenlik politikalarını geliştiriken izleyebileceği olumlu veya olumsuz iki model vardır. Pozitif güvenlik politikalarında WAF iyi hale gelen trafiğin geçmesine izin verir, diğer tüm trafiği engeller. Negatif model ise WAF’ın tüm trafiği geçirmesine izin verir. Çoğu zaman WAF bu modellerin her ikisini de kullanır ancak işler karıştığı için çoğu kez ikisinden biri seçilir.

Güvenlik modellerinin yanı sıra, bir WAF’ın çalışma modlarına da sahibiz. Bir WAF, istediğimiz kullanıma göre farklı şekillerde çalıştırılabilir. Her birinin olumlu ve olumsuz yönleri vardır. Şirketlerin WAF türü seçerken dikkate alması gereken ciddi bir kısımdır, ki WAF modlarını hemen açıklayayım.

Reverse Proxy: Yazımızından başında söylediğim gibi, birWAF ters proxy olarak kullanılabilir. Çünkü sunucunun önünde bulunur ve gelen tüm trafiği filtreleme imkanı sunar. Çoğu zaman bu mod da gecikmeler rastlanabilir. Hizmetler aşırı yüklenme gibi bir durumda DDoS olarak algılayabilir. Ancak çalışma mantığı olarak WAF’ın kendi IP adresi vardır. Tüm trafik de bu adresten geçer.

Transparent Proxy: Bu proxy, IP adresine sahip olmaması ile birlikte Reverse Proxy ile aynı koşullara sahiptir. Bunun nedeni ise başka bir güvenlik duvarının arkasında bulunması ve sunucu tarafında herhangi bir network altyapısı değişikliğine ihtiyaç duymamasıdır.

Layer 2 Köprü: Bu mödülde ise, WAF tekrar güvenlik duvarının arkasında durur. Diğerleri ile aynı fonksiyonlara sahiptir. Yüksek performanslı ve sunucuda tarafında değişiklik yapılmayan bir moddur.

Ağ İzleme: Bu modda ise WAF, web sunucusuna giden tüm trafiği izler ve web dışında olan tüm değerleri filtreler. Aynı bulut tabanlı waf’lar gibi davranan bu mod TCP den gelen istekleri sıfırlar ve istenmeyen trafiğini engeller.

WAF’ların kurulumdan sonra varsayılan olarak gelen bazi filtrelemeli vardır. Elbette birçok kez bunlar değişeceği için varsayılan olarak gelen filtelemeler kötü(işlevsiz) olur. Bu nedenle sunucuya bir istek gönderildiğinde WAF bunu izin verilenlerin dışında olarak algılar. WAF bunu bu filtreler ile karşılaştırı. Bir istek önceden belirlenmiş filtrelerden biri ise saldırgan(kötü niyetli) olarak algılar ve istek engellenir. Ayrıca kurumsal olarak WAF solüsyonlarının(çözümlerinin) çoğunda bu filtreler gizlidir, ve hiçkimse bunlara erişemez veya göremez. Bunun nedeni, geliştiricilerin bu filtreler kullanıcıların bunları bilmeyeceğine ve saldırganların da bilmeyeceğine, dolayısıyla kullanıcıları kolay atlama tekniklerinden koruduğuna inanmalarıdır. Tabii ki, bu kurallar sonraki modüllerde inceleyeceğimiz birçok yoldan atlanabilir. Filtreleri atlamak için bazı yaygın yöntemler vardır. Öte yandan, açık kaynaklı WAF’ların kodları şöyledir;


1*zFFl4oRvoqHWEdt7HMzCtQ.jpeg

Değişik bypass kodlarının engellenmesi.
Bir hedef WAF’nin manuel olarak parmak izini almanın başka bir yolu, bir WAF’nin uygulayabileceği Başlık değişikliklerini incelemektir. Yine Netscaler gibi bazı WAF ürünleri, başlığın yeniden yazılmasına izin verir ve ayrıca web sunucusunun yaygın olanlardan farklı HTTP yanıtları üretmesini sağlayabilir. Bu, çoğu kez saldırganın veya kullanabileceğimiz otomatik araçların kafasını karıştırabilir. Örnek;

1*zpji4xfHwvf835EsVDtnDQ.jpeg

NetScaler WAF
Örnek olarak önceden belirlediğimiz ‘Connect’ nnCoection şeklinde dahil edersek WAF’ların algılamaları daha da zorlaşacaktır.

Hedef şaşmadan bugünlük WAF’ları inceledik. Bir diğer bölümde ise nasıl waf ları tespit edebiliriz onu göstereceğim.


Yazım bu kadardı. Github adresime göz atabilir, Projelerime ve Profilime abone olabilir. Beğendiğiniz projelerime yıldız bırakabilirsiniz.(takip edebilirsiniz.) Esen kalın.
Github: Z3DX2 (Z3DX Sec. | Soft.)
güzel konu
 

drjacob

✪✪✪✪✪
majorrr
Mesajlar
1,701
Credits
8,081
Web Application Firewall(WAF)’ları Bypasslamak -1
1*cxyFOXHczxwszFdeWZstRA.png

Öncelikle merhaba arkadaşlar, Bugünkü yazımda size web güvenlik duvarlarını nasıl bypass edebileceğimizi göstereceğim. Bu yazı serisini 6 farklı bölüme ayırdım. Yazının tüm serilerini makalenin sonunda yazdıkça paylaşacağım. Hemen makalemize geçelim. İyi okumalar dilerim.

Birçoğumuzunda bildiği gibi WAF’lar site ile kullanıcı arasında bulunurlar. WAF’lar kullanıcının siteye ulaşmak için gönderdiği isteği alır, analiz eder, ve siteye gönderir. Bu güvenlik duvarının temel yapıtaşı istemci ile sunucu arasındaki iletişimi yöneten HTTP Protokolüdür. Bu protokolde WAF’ların yaptığı şey, HTTP’den gelen istekleri kurallamaktır bir diğer terimle filtrelemektir. Aksi bir şekilde eğer kullanıcıdan gelen olağan dışı bir istek görür ise ‘hizmet veremiyoruz’ adı altındaWAF’lar IP adresini bloklar. Bu filtrelemeler siteyi XSS, Sql Injection gibi bu alanda yaygın saldırılardan korur. Ancak WAF’lar herzaman bu saldırıları engelleyemezler.

Reverse Proxy adı verilen güvenlik duvarlarını duymuş olabilirsiniz. Bunun nedeni ise WAF’ların sadece sunucu tarafını korumasıdır, ve bir proxy istemciyi koruyabileceğini söylersek o zaman bir Reverse Proxy sunucuyu koruyabilir. Ayrıca HTTP’nin sabit olduğunu ve Web Uygulamalarında da aynı durumun geçerli olduğu unutulmamalıdır. Bu aynı zamanda bir Web Uygulamasında HTTP’den gelen işlem bilgilerini kullanırken HTTP’nin kullanılmadığı anlamında gelir. Bu birçok kez hata ile sonuçlanır ancak yazımızın konusu bypass olduğu için analiz kısmına girmeyeceğim.

Sunucu eklentileri, filtreler ve hatta belirli bir uygulama için özelleştirilmiş güvenlik duvarları gibi birçok WAF’la karşı karşıya gelebilirsiniz. Ayrıca aşağıdaki gibi 3 kategoride ayırt edebileceğimiz farklı güvenlik duvarları vardır. Şöyle 3'e ayırmak gerekirse;

1- Cihaz tabanlı güvenlik duvarları,

2- Cloud(Bulut) ve Hybrid Web güvenlik duvarları

3- Entegre(Yazılımsal) Web güvenlik duvarları

1- En başta yazan yani 1. Kategorimiz ‘Cihaz tabanlı güvenlik duvarları’ Donanımsaldır, sunucu yönetiminden sorumlu kişinin fiziksel olarak eklediği donanımsal WAF’larla alakalıdır. Sunucunun web ağını denetlemesi için web altyapısının önüne yerleştirilir. WAF Servisleri için uzak bir sunucuya bağlanma ihtiyacının olmaması büyük bir avantaja sahiplik eder. Hızlı ve güvenilir olmasının yanında her Network ortamı için de uygundur. Sorunları kendiniz birebir çözebilirsiniz. Çoğu zaman bu olumsuz bir durum oluşturabilir, çünkü aciliyet gerektiren bir durumda Network alanında uzman bir personele ihtiyaç olacaktır. Bü tür donanımsal waf’lar cihaz tabanlı waf’lar olarak adlandırılmaktadır. Bu WAF sistemleri sunucunuzun sahip olabileceği tüm ağ trafiğini ve protokol gereksinimlerini ele alır. Bu nedenle kurulum zamanının olması herhangi bir durum için ayarlanması gerekir. Aksi takdirde sorunlarla başbaşa kalabilme ihtimali de göz önünde bulundurulmalıdır.

2- Cihaz tabanlı güvenlik duvarları’ndan fazlasıyla farklı olan bir kategori olan Cloud ve Hybrid güvenlik duvarları ve adından da anlaşılacağı üzere bulut tabanlı duvarlardır. Çoğu WAF sağlayıcısının uzak sunucuların kurulurlar veya şirketin ve WAF firmasının sunucuları arasında bulunabilirler. Tam olarak bulut tabanlı WAF durumunda son 10 yılda ortak bir tehdit olan servis dışı bırakma (DDoS) saldırılarına karşı ciddi koruma üstlenirler. Bir diğer yandan birden fazla sunucu lokasyonu olan firmalar için dağıtılmış bir çözüm olarak kullanılabilir ve tüm lokasyonlarda fiziksel bir çözüme ihtiyaç duymazlar.

3- Entegre(Kodla) Web güvenlik duvarları sadece yazılım tabanlı ve çoğu zaman web kodunda değişiklik yapan veya sunucuya oturan entegre kod çözümleri vardır. Anlayacağınız gibi, donanıma ihtiyaç duymayan çözümler onu ucuz, düzeltmesi kolay ve yenilenebilir(güncellenebilir) hale getiriyor. Yine de şirketlerde uzmanlık gerektiren şeylere ihtiyaç olduğu için WAF iyi oluşturulmuş ve kurulmuş ise işleri bir o kadar da kolaylaştırır ki bir bilişim uzmanına bile gerek kalmadan sorunlarla başa çıkılabilir.

Web Sunucuları ve WAF Yerleşimi

Web sunucuları temelde bu yazıda bahsettiğimiz web uygulamalarının ve WAF’ların sunucusudur. İstemci ve Sunucu arasındaki iletişimi HTTP ve FTP gibi çeşitli protokollerle yöneten özel donanom ve yazılımdan oluşur. Web sunucuları çoğu zaman web sayfalarına hizmet verebilmek için kullanılır, ve donanım tarafında web sayfasının yapısı için gerekli dosyaları depolayani istemciye sunan bir bilgisayara oldukça benzer. Yazılım tarafı, birçok farklı uygulama ile dosya sisteminin iletişimi ve erişim kontrolünü yönetir.

1*KrDgxbgxgOa4ePd1bshPvg.jpeg

Web sunucusuna bir WAF yerleşimi durumunda web sunucusundaki diğer tüm donanımların önünde duran ayrı bir sistem olduğunu tahmin edebilirsiniz. Tüm trafiğin önüne geçmesi ve WAF tarafından filtrelenmesi gerekir. Böylece herşey ona bağlanır. Bulut tabanlı duvarlarda sistem ve hizmet bizden uzakta olacaktır ancak trafiğin önce bulut sunucusundan geçtiği, filtrelendiği ve daha sonra web sunucusuna yönlendirdiği bir solüsyondur(çözümdür). Son olarak, dediğimiz gibi web sunucusundaki diğer tüm yazılımların önünde duran, tüm tafiği filtreleyen ve diğer web uygulamalarına izin veren veya engelleyen entegre kodlar vardır.

1*VfjMEppC1o4JTIvfW4Q26g.jpeg

Ayrıca WAF’ın kendi güvenlik politikalarını geliştiriken izleyebileceği olumlu veya olumsuz iki model vardır. Pozitif güvenlik politikalarında WAF iyi hale gelen trafiğin geçmesine izin verir, diğer tüm trafiği engeller. Negatif model ise WAF’ın tüm trafiği geçirmesine izin verir. Çoğu zaman WAF bu modellerin her ikisini de kullanır ancak işler karıştığı için çoğu kez ikisinden biri seçilir.

Güvenlik modellerinin yanı sıra, bir WAF’ın çalışma modlarına da sahibiz. Bir WAF, istediğimiz kullanıma göre farklı şekillerde çalıştırılabilir. Her birinin olumlu ve olumsuz yönleri vardır. Şirketlerin WAF türü seçerken dikkate alması gereken ciddi bir kısımdır, ki WAF modlarını hemen açıklayayım.

Reverse Proxy: Yazımızından başında söylediğim gibi, birWAF ters proxy olarak kullanılabilir. Çünkü sunucunun önünde bulunur ve gelen tüm trafiği filtreleme imkanı sunar. Çoğu zaman bu mod da gecikmeler rastlanabilir. Hizmetler aşırı yüklenme gibi bir durumda DDoS olarak algılayabilir. Ancak çalışma mantığı olarak WAF’ın kendi IP adresi vardır. Tüm trafik de bu adresten geçer.

Transparent Proxy: Bu proxy, IP adresine sahip olmaması ile birlikte Reverse Proxy ile aynı koşullara sahiptir. Bunun nedeni ise başka bir güvenlik duvarının arkasında bulunması ve sunucu tarafında herhangi bir network altyapısı değişikliğine ihtiyaç duymamasıdır.

Layer 2 Köprü: Bu mödülde ise, WAF tekrar güvenlik duvarının arkasında durur. Diğerleri ile aynı fonksiyonlara sahiptir. Yüksek performanslı ve sunucuda tarafında değişiklik yapılmayan bir moddur.

Ağ İzleme: Bu modda ise WAF, web sunucusuna giden tüm trafiği izler ve web dışında olan tüm değerleri filtreler. Aynı bulut tabanlı waf’lar gibi davranan bu mod TCP den gelen istekleri sıfırlar ve istenmeyen trafiğini engeller.

WAF’ların kurulumdan sonra varsayılan olarak gelen bazi filtrelemeli vardır. Elbette birçok kez bunlar değişeceği için varsayılan olarak gelen filtelemeler kötü(işlevsiz) olur. Bu nedenle sunucuya bir istek gönderildiğinde WAF bunu izin verilenlerin dışında olarak algılar. WAF bunu bu filtreler ile karşılaştırı. Bir istek önceden belirlenmiş filtrelerden biri ise saldırgan(kötü niyetli) olarak algılar ve istek engellenir. Ayrıca kurumsal olarak WAF solüsyonlarının(çözümlerinin) çoğunda bu filtreler gizlidir, ve hiçkimse bunlara erişemez veya göremez. Bunun nedeni, geliştiricilerin bu filtreler kullanıcıların bunları bilmeyeceğine ve saldırganların da bilmeyeceğine, dolayısıyla kullanıcıları kolay atlama tekniklerinden koruduğuna inanmalarıdır. Tabii ki, bu kurallar sonraki modüllerde inceleyeceğimiz birçok yoldan atlanabilir. Filtreleri atlamak için bazı yaygın yöntemler vardır. Öte yandan, açık kaynaklı WAF’ların kodları şöyledir;


1*zFFl4oRvoqHWEdt7HMzCtQ.jpeg

Değişik bypass kodlarının engellenmesi.
Bir hedef WAF’nin manuel olarak parmak izini almanın başka bir yolu, bir WAF’nin uygulayabileceği Başlık değişikliklerini incelemektir. Yine Netscaler gibi bazı WAF ürünleri, başlığın yeniden yazılmasına izin verir ve ayrıca web sunucusunun yaygın olanlardan farklı HTTP yanıtları üretmesini sağlayabilir. Bu, çoğu kez saldırganın veya kullanabileceğimiz otomatik araçların kafasını karıştırabilir. Örnek;

1*zpji4xfHwvf835EsVDtnDQ.jpeg

NetScaler WAF
Örnek olarak önceden belirlediğimiz ‘Connect’ nnCoection şeklinde dahil edersek WAF’ların algılamaları daha da zorlaşacaktır.

Hedef şaşmadan bugünlük WAF’ları inceledik. Bir diğer bölümde ise nasıl waf ları tespit edebiliriz onu göstereceğim.


Yazım bu kadardı. Github adresime göz atabilir, Projelerime ve Profilime abone olabilir. Beğendiğiniz projelerime yıldız bırakabilirsiniz.(takip edebilirsiniz.) Esen kalın.
Github: Z3DX2 (Z3DX Sec. | Soft.)
eline sağlık
 

ACE Veen

Cyxna ~ ACE
uzmannnnn
Mesajlar
605
Credits
2,547
Web Application Firewall(WAF)’ları Bypasslamak -1
1*cxyFOXHczxwszFdeWZstRA.png

Öncelikle merhaba arkadaşlar, Bugünkü yazımda size web güvenlik duvarlarını nasıl bypass edebileceğimizi göstereceğim. Bu yazı serisini 6 farklı bölüme ayırdım. Yazının tüm serilerini makalenin sonunda yazdıkça paylaşacağım. Hemen makalemize geçelim. İyi okumalar dilerim.

Birçoğumuzunda bildiği gibi WAF’lar site ile kullanıcı arasında bulunurlar. WAF’lar kullanıcının siteye ulaşmak için gönderdiği isteği alır, analiz eder, ve siteye gönderir. Bu güvenlik duvarının temel yapıtaşı istemci ile sunucu arasındaki iletişimi yöneten HTTP Protokolüdür. Bu protokolde WAF’ların yaptığı şey, HTTP’den gelen istekleri kurallamaktır bir diğer terimle filtrelemektir. Aksi bir şekilde eğer kullanıcıdan gelen olağan dışı bir istek görür ise ‘hizmet veremiyoruz’ adı altındaWAF’lar IP adresini bloklar. Bu filtrelemeler siteyi XSS, Sql Injection gibi bu alanda yaygın saldırılardan korur. Ancak WAF’lar herzaman bu saldırıları engelleyemezler.

Reverse Proxy adı verilen güvenlik duvarlarını duymuş olabilirsiniz. Bunun nedeni ise WAF’ların sadece sunucu tarafını korumasıdır, ve bir proxy istemciyi koruyabileceğini söylersek o zaman bir Reverse Proxy sunucuyu koruyabilir. Ayrıca HTTP’nin sabit olduğunu ve Web Uygulamalarında da aynı durumun geçerli olduğu unutulmamalıdır. Bu aynı zamanda bir Web Uygulamasında HTTP’den gelen işlem bilgilerini kullanırken HTTP’nin kullanılmadığı anlamında gelir. Bu birçok kez hata ile sonuçlanır ancak yazımızın konusu bypass olduğu için analiz kısmına girmeyeceğim.

Sunucu eklentileri, filtreler ve hatta belirli bir uygulama için özelleştirilmiş güvenlik duvarları gibi birçok WAF’la karşı karşıya gelebilirsiniz. Ayrıca aşağıdaki gibi 3 kategoride ayırt edebileceğimiz farklı güvenlik duvarları vardır. Şöyle 3'e ayırmak gerekirse;

1- Cihaz tabanlı güvenlik duvarları,

2- Cloud(Bulut) ve Hybrid Web güvenlik duvarları

3- Entegre(Yazılımsal) Web güvenlik duvarları

1- En başta yazan yani 1. Kategorimiz ‘Cihaz tabanlı güvenlik duvarları’ Donanımsaldır, sunucu yönetiminden sorumlu kişinin fiziksel olarak eklediği donanımsal WAF’larla alakalıdır. Sunucunun web ağını denetlemesi için web altyapısının önüne yerleştirilir. WAF Servisleri için uzak bir sunucuya bağlanma ihtiyacının olmaması büyük bir avantaja sahiplik eder. Hızlı ve güvenilir olmasının yanında her Network ortamı için de uygundur. Sorunları kendiniz birebir çözebilirsiniz. Çoğu zaman bu olumsuz bir durum oluşturabilir, çünkü aciliyet gerektiren bir durumda Network alanında uzman bir personele ihtiyaç olacaktır. Bü tür donanımsal waf’lar cihaz tabanlı waf’lar olarak adlandırılmaktadır. Bu WAF sistemleri sunucunuzun sahip olabileceği tüm ağ trafiğini ve protokol gereksinimlerini ele alır. Bu nedenle kurulum zamanının olması herhangi bir durum için ayarlanması gerekir. Aksi takdirde sorunlarla başbaşa kalabilme ihtimali de göz önünde bulundurulmalıdır.

2- Cihaz tabanlı güvenlik duvarları’ndan fazlasıyla farklı olan bir kategori olan Cloud ve Hybrid güvenlik duvarları ve adından da anlaşılacağı üzere bulut tabanlı duvarlardır. Çoğu WAF sağlayıcısının uzak sunucuların kurulurlar veya şirketin ve WAF firmasının sunucuları arasında bulunabilirler. Tam olarak bulut tabanlı WAF durumunda son 10 yılda ortak bir tehdit olan servis dışı bırakma (DDoS) saldırılarına karşı ciddi koruma üstlenirler. Bir diğer yandan birden fazla sunucu lokasyonu olan firmalar için dağıtılmış bir çözüm olarak kullanılabilir ve tüm lokasyonlarda fiziksel bir çözüme ihtiyaç duymazlar.

3- Entegre(Kodla) Web güvenlik duvarları sadece yazılım tabanlı ve çoğu zaman web kodunda değişiklik yapan veya sunucuya oturan entegre kod çözümleri vardır. Anlayacağınız gibi, donanıma ihtiyaç duymayan çözümler onu ucuz, düzeltmesi kolay ve yenilenebilir(güncellenebilir) hale getiriyor. Yine de şirketlerde uzmanlık gerektiren şeylere ihtiyaç olduğu için WAF iyi oluşturulmuş ve kurulmuş ise işleri bir o kadar da kolaylaştırır ki bir bilişim uzmanına bile gerek kalmadan sorunlarla başa çıkılabilir.

Web Sunucuları ve WAF Yerleşimi

Web sunucuları temelde bu yazıda bahsettiğimiz web uygulamalarının ve WAF’ların sunucusudur. İstemci ve Sunucu arasındaki iletişimi HTTP ve FTP gibi çeşitli protokollerle yöneten özel donanom ve yazılımdan oluşur. Web sunucuları çoğu zaman web sayfalarına hizmet verebilmek için kullanılır, ve donanım tarafında web sayfasının yapısı için gerekli dosyaları depolayani istemciye sunan bir bilgisayara oldukça benzer. Yazılım tarafı, birçok farklı uygulama ile dosya sisteminin iletişimi ve erişim kontrolünü yönetir.

1*KrDgxbgxgOa4ePd1bshPvg.jpeg

Web sunucusuna bir WAF yerleşimi durumunda web sunucusundaki diğer tüm donanımların önünde duran ayrı bir sistem olduğunu tahmin edebilirsiniz. Tüm trafiğin önüne geçmesi ve WAF tarafından filtrelenmesi gerekir. Böylece herşey ona bağlanır. Bulut tabanlı duvarlarda sistem ve hizmet bizden uzakta olacaktır ancak trafiğin önce bulut sunucusundan geçtiği, filtrelendiği ve daha sonra web sunucusuna yönlendirdiği bir solüsyondur(çözümdür). Son olarak, dediğimiz gibi web sunucusundaki diğer tüm yazılımların önünde duran, tüm tafiği filtreleyen ve diğer web uygulamalarına izin veren veya engelleyen entegre kodlar vardır.

1*VfjMEppC1o4JTIvfW4Q26g.jpeg

Ayrıca WAF’ın kendi güvenlik politikalarını geliştiriken izleyebileceği olumlu veya olumsuz iki model vardır. Pozitif güvenlik politikalarında WAF iyi hale gelen trafiğin geçmesine izin verir, diğer tüm trafiği engeller. Negatif model ise WAF’ın tüm trafiği geçirmesine izin verir. Çoğu zaman WAF bu modellerin her ikisini de kullanır ancak işler karıştığı için çoğu kez ikisinden biri seçilir.

Güvenlik modellerinin yanı sıra, bir WAF’ın çalışma modlarına da sahibiz. Bir WAF, istediğimiz kullanıma göre farklı şekillerde çalıştırılabilir. Her birinin olumlu ve olumsuz yönleri vardır. Şirketlerin WAF türü seçerken dikkate alması gereken ciddi bir kısımdır, ki WAF modlarını hemen açıklayayım.

Reverse Proxy: Yazımızından başında söylediğim gibi, birWAF ters proxy olarak kullanılabilir. Çünkü sunucunun önünde bulunur ve gelen tüm trafiği filtreleme imkanı sunar. Çoğu zaman bu mod da gecikmeler rastlanabilir. Hizmetler aşırı yüklenme gibi bir durumda DDoS olarak algılayabilir. Ancak çalışma mantığı olarak WAF’ın kendi IP adresi vardır. Tüm trafik de bu adresten geçer.

Transparent Proxy: Bu proxy, IP adresine sahip olmaması ile birlikte Reverse Proxy ile aynı koşullara sahiptir. Bunun nedeni ise başka bir güvenlik duvarının arkasında bulunması ve sunucu tarafında herhangi bir network altyapısı değişikliğine ihtiyaç duymamasıdır.

Layer 2 Köprü: Bu mödülde ise, WAF tekrar güvenlik duvarının arkasında durur. Diğerleri ile aynı fonksiyonlara sahiptir. Yüksek performanslı ve sunucuda tarafında değişiklik yapılmayan bir moddur.

Ağ İzleme: Bu modda ise WAF, web sunucusuna giden tüm trafiği izler ve web dışında olan tüm değerleri filtreler. Aynı bulut tabanlı waf’lar gibi davranan bu mod TCP den gelen istekleri sıfırlar ve istenmeyen trafiğini engeller.

WAF’ların kurulumdan sonra varsayılan olarak gelen bazi filtrelemeli vardır. Elbette birçok kez bunlar değişeceği için varsayılan olarak gelen filtelemeler kötü(işlevsiz) olur. Bu nedenle sunucuya bir istek gönderildiğinde WAF bunu izin verilenlerin dışında olarak algılar. WAF bunu bu filtreler ile karşılaştırı. Bir istek önceden belirlenmiş filtrelerden biri ise saldırgan(kötü niyetli) olarak algılar ve istek engellenir. Ayrıca kurumsal olarak WAF solüsyonlarının(çözümlerinin) çoğunda bu filtreler gizlidir, ve hiçkimse bunlara erişemez veya göremez. Bunun nedeni, geliştiricilerin bu filtreler kullanıcıların bunları bilmeyeceğine ve saldırganların da bilmeyeceğine, dolayısıyla kullanıcıları kolay atlama tekniklerinden koruduğuna inanmalarıdır. Tabii ki, bu kurallar sonraki modüllerde inceleyeceğimiz birçok yoldan atlanabilir. Filtreleri atlamak için bazı yaygın yöntemler vardır. Öte yandan, açık kaynaklı WAF’ların kodları şöyledir;


1*zFFl4oRvoqHWEdt7HMzCtQ.jpeg

Değişik bypass kodlarının engellenmesi.
Bir hedef WAF’nin manuel olarak parmak izini almanın başka bir yolu, bir WAF’nin uygulayabileceği Başlık değişikliklerini incelemektir. Yine Netscaler gibi bazı WAF ürünleri, başlığın yeniden yazılmasına izin verir ve ayrıca web sunucusunun yaygın olanlardan farklı HTTP yanıtları üretmesini sağlayabilir. Bu, çoğu kez saldırganın veya kullanabileceğimiz otomatik araçların kafasını karıştırabilir. Örnek;

1*zpji4xfHwvf835EsVDtnDQ.jpeg

NetScaler WAF
Örnek olarak önceden belirlediğimiz ‘Connect’ nnCoection şeklinde dahil edersek WAF’ların algılamaları daha da zorlaşacaktır.

Hedef şaşmadan bugünlük WAF’ları inceledik. Bir diğer bölümde ise nasıl waf ları tespit edebiliriz onu göstereceğim.


Yazım bu kadardı. Github adresime göz atabilir, Projelerime ve Profilime abone olabilir. Beğendiğiniz projelerime yıldız bırakabilirsiniz.(takip edebilirsiniz.) Esen kalın.
Github: Z3DX2 (Z3DX Sec. | Soft.)
eline sağlık
 

Bu konuyu görüntüleyen kullanıcılar