[Owasp-turkey] Web Application Firewall

Deniz CEVIK denizcev at gmail.com
Tue May 18 03:20:20 EDT 2010


Merhaba,

Ben uzun bir süredir web uygulama firewallarına yönelik belirli
kontrollerin nasıl atlatılabileceğine dair çalışmalar yapıyorum.
Gözlemlerim eğer bir yapılandırma hatası yapılmamış ise veya sistem
doğru konumlandırılmış ise oldukça etkin çalışıyorlar. F5 ve Imperva
oldukça yaygın olarak kullanılıyor. Her ikisini de denemenizi tavsiye
ederim. Seçim yaparken aşağıdaki linkteki dökümanlardan yardım
alabilirsiniz.

http://projects.webappsec.org/Web-Application-Firewall-Evaluation-Criteria

Hazır konu açılmışken bu sistemlerin doğru yapılandırılması hakkında
bir kaç şeyde eklemek istiyorum. Bu tip sistemleri bypass etmek için
kullanılabilecek en basit yöntem, eğer uygulamalar SSL üzerinden de
sunuluyorsa ve WAF SSL için yapılandırılmamışsa ki çok karşılaşılan
bir durum, trafiği bu kanal üzerinden yönlendirmek. Ancak son yaptığım
bir kaç tesde bu sistemlerin SSL için ayarlanmış olsa bile, SSL chiper
için güçlü şifreleme algoritmaları seçildiği zaman, yine WAF
sisteminin devre dışı bırakılabildiğini fark ettim. Benzer sorun IPS
sistemlerinde de var. DHE tabanlı chiper'ları genelde bu sistemler
eğer bridge modda veya dinleme modunda kurulmuş ise kontrol
edemiyorlar.

Örneğin istekler aşağıdaki gibi zayıf bir chiper ile yollanırsa WAF yakalarken

openssl s_client -connect sunucu:443 -tls1 -cipher RC4-SHA

aşağıdaki gibi güçlü bir chiper kullanılarak yapılan istekleri kontrol edemiyor.

openssl s_client -connect sunucu:443 -tls1 -cipher DHE-RSA-AES256-SHA

Özellikle DHE tabanlı chiperla yollanan isteklerin açılabilmesi için
bu sistemlerin reverse-proxy olarak konumlandırılması gerekiyor. Ancak
perfomans nedeni ile bu tip bir yapılandırma genelde kabul görmüyor.
Eğer kurumunuzda SSL servisleri için WAF konumlandırılmış ise bir kaç
saldırı paternini yukarıdaki komutlar ile yollarak yakalanıp
yakalanmadığını kontrol edebilirsiniz.Bu durum nasıl olsa WAF
kullanıyoruz diye uygulama problemlerinin giderilmesini göz ardı
etmenin zararlarını da ortaya koyuyor.

Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)

İyi Çalışmalar.

2010/5/18 Ömer Altundal <omeraltundal at hotmail.com>:
> Merhaba,
>
> Web Application Firewall'larla ilgili bir araştırma yapıyorum. Aranızda bu
> yönde çalışma yapmış veya şuanda çalıştığı kurumda kullanan var mı?
>
> Hangi ürünleri önerirsiniz?
>
> Yardımlarınız için teşekkürler.
>
>
>
>
>
> Ömer Faruk Altundal.
>
> omeraltundal at hotmail.com
>
>
>
>
>
> ________________________________
> Hotmail has tools for the New Busy. Search, chat and e-mail from your inbox.
> Learn more.
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


More information about the Owasp-turkey mailing list