[Owasp-turkey] Web Application Firewall

Ferruh Mavituna ferruh at mavituna.com
Tue May 18 03:38:59 EDT 2010


Cipher olayi ilgincmis. Kesin nedenini bilen var mi? Dokumante edilmis bir
sey oldugunu zannetmiyorum belki de CPU load'i yukseldiginde ayni eski
switch'lerin hub donmesi gibi kontrol yapmamaya basliyor olabilir. Tabii ki
network WAF'larindan bahsediyorum mod_security de o sorun yoktur muhtemelen.


> Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker

da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)


:) Maalesef yok ama teorik olarak ssltunnel gibi bir sey yapilarak
halledilebilir gibi geldi bana.

2010/5/18 Deniz CEVIK <denizcev at gmail.com>

> Merhaba,
>
> Ben uzun bir süredir web uygulama firewallarına yönelik belirli
> kontrollerin nasıl atlatılabileceğine dair çalışmalar yapıyorum.
> Gözlemlerim eğer bir yapılandırma hatası yapılmamış ise veya sistem
> doğru konumlandırılmış ise oldukça etkin çalışıyorlar. F5 ve Imperva
> oldukça yaygın olarak kullanılıyor. Her ikisini de denemenizi tavsiye
> ederim. Seçim yaparken aşağıdaki linkteki dökümanlardan yardım
> alabilirsiniz.
>
> http://projects.webappsec.org/Web-Application-Firewall-Evaluation-Criteria
>
> Hazır konu açılmışken bu sistemlerin doğru yapılandırılması hakkında
> bir kaç şeyde eklemek istiyorum. Bu tip sistemleri bypass etmek için
> kullanılabilecek en basit yöntem, eğer uygulamalar SSL üzerinden de
> sunuluyorsa ve WAF SSL için yapılandırılmamışsa ki çok karşılaşılan
> bir durum, trafiği bu kanal üzerinden yönlendirmek. Ancak son yaptığım
> bir kaç tesde bu sistemlerin SSL için ayarlanmış olsa bile, SSL chiper
> için güçlü şifreleme algoritmaları seçildiği zaman, yine WAF
> sisteminin devre dışı bırakılabildiğini fark ettim. Benzer sorun IPS
> sistemlerinde de var. DHE tabanlı chiper'ları genelde bu sistemler
> eğer bridge modda veya dinleme modunda kurulmuş ise kontrol
> edemiyorlar.
>
> Örneğin istekler aşağıdaki gibi zayıf bir chiper ile yollanırsa WAF
> yakalarken
>
> openssl s_client -connect sunucu:443 -tls1 -cipher RC4-SHA
>
> aşağıdaki gibi güçlü bir chiper kullanılarak yapılan istekleri kontrol
> edemiyor.
>
> openssl s_client -connect sunucu:443 -tls1 -cipher DHE-RSA-AES256-SHA
>
> Özellikle DHE tabanlı chiperla yollanan isteklerin açılabilmesi için
> bu sistemlerin reverse-proxy olarak konumlandırılması gerekiyor. Ancak
> perfomans nedeni ile bu tip bir yapılandırma genelde kabul görmüyor.
> Eğer kurumunuzda SSL servisleri için WAF konumlandırılmış ise bir kaç
> saldırı paternini yukarıdaki komutlar ile yollarak yakalanıp
> yakalanmadığını kontrol edebilirsiniz.Bu durum nasıl olsa WAF
> kullanıyoruz diye uygulama problemlerinin giderilmesini göz ardı
> etmenin zararlarını da ortaya koyuyor.
>
> Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
> da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)
>
> İyi Çalışmalar.
>
> 2010/5/18 Ömer Altundal <omeraltundal at hotmail.com>:
> > Merhaba,
> >
> > Web Application Firewall'larla ilgili bir araştırma yapıyorum. Aranızda
> bu
> > yönde çalışma yapmış veya şuanda çalıştığı kurumda kullanan var mı?
> >
> > Hangi ürünleri önerirsiniz?
> >
> > Yardımlarınız için teşekkürler.
> >
> >
> >
> >
> >
> > Ömer Faruk Altundal.
> >
> > omeraltundal at hotmail.com
> >
> >
> >
> >
> >
> > ________________________________
> > Hotmail has tools for the New Busy. Search, chat and e-mail from your
> inbox.
> > Learn more.
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>



-- 
.fm
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100518/bb317e8c/attachment-0001.html 


More information about the Owasp-turkey mailing list