[Owasp-turkey] Web Application Firewall

Bedirhan Urgun bedirhanurgun at gmail.com
Tue May 18 03:42:34 EDT 2010


kurulu oldugu windows makinede ssl yapilandirmasini degistirsek olmuyor mu?
http://www.gorlani.com/publicprj/CipherControl/ ile mesela...
cok iyi bulgu bu arada.

18 Mayıs 2010 10:38 tarihinde Ferruh Mavituna <ferruh at mavituna.com> yazdı:

> Cipher olayi ilgincmis. Kesin nedenini bilen var mi? Dokumante edilmis bir
> sey oldugunu zannetmiyorum belki de CPU load'i yukseldiginde ayni eski
> switch'lerin hub donmesi gibi kontrol yapmamaya basliyor olabilir. Tabii ki
> network WAF'larindan bahsediyorum mod_security de o sorun yoktur muhtemelen.
>
>
>> Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
>
> da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)
>
>
> :) Maalesef yok ama teorik olarak ssltunnel gibi bir sey yapilarak
> halledilebilir gibi geldi bana.
>
> 2010/5/18 Deniz CEVIK <denizcev at gmail.com>
>
>> Merhaba,
>>
>> Ben uzun bir süredir web uygulama firewallarına yönelik belirli
>> kontrollerin nasıl atlatılabileceğine dair çalışmalar yapıyorum.
>> Gözlemlerim eğer bir yapılandırma hatası yapılmamış ise veya sistem
>> doğru konumlandırılmış ise oldukça etkin çalışıyorlar. F5 ve Imperva
>> oldukça yaygın olarak kullanılıyor. Her ikisini de denemenizi tavsiye
>> ederim. Seçim yaparken aşağıdaki linkteki dökümanlardan yardım
>> alabilirsiniz.
>>
>> http://projects.webappsec.org/Web-Application-Firewall-Evaluation-Criteria
>>
>> Hazır konu açılmışken bu sistemlerin doğru yapılandırılması hakkında
>> bir kaç şeyde eklemek istiyorum. Bu tip sistemleri bypass etmek için
>> kullanılabilecek en basit yöntem, eğer uygulamalar SSL üzerinden de
>> sunuluyorsa ve WAF SSL için yapılandırılmamışsa ki çok karşılaşılan
>> bir durum, trafiği bu kanal üzerinden yönlendirmek. Ancak son yaptığım
>> bir kaç tesde bu sistemlerin SSL için ayarlanmış olsa bile, SSL chiper
>> için güçlü şifreleme algoritmaları seçildiği zaman, yine WAF
>> sisteminin devre dışı bırakılabildiğini fark ettim. Benzer sorun IPS
>> sistemlerinde de var. DHE tabanlı chiper'ları genelde bu sistemler
>> eÄŸer bridge modda veya dinleme modunda kurulmuÅŸ ise kontrol
>> edemiyorlar.
>>
>> Örneğin istekler aşağıdaki gibi zayıf bir chiper ile yollanırsa WAF
>> yakalarken
>>
>> openssl s_client -connect sunucu:443 -tls1 -cipher RC4-SHA
>>
>> aşağıdaki gibi güçlü bir chiper kullanılarak yapılan istekleri kontrol
>> edemiyor.
>>
>> openssl s_client -connect sunucu:443 -tls1 -cipher DHE-RSA-AES256-SHA
>>
>> Özellikle DHE tabanlı chiperla yollanan isteklerin açılabilmesi için
>> bu sistemlerin reverse-proxy olarak konumlandırılması gerekiyor. Ancak
>> perfomans nedeni ile bu tip bir yapılandırma genelde kabul görmüyor.
>> Eğer kurumunuzda SSL servisleri için WAF konumlandırılmış ise bir kaç
>> saldırı paternini yukarıdaki komutlar ile yollarak yakalanıp
>> yakalanmadığını kontrol edebilirsiniz.Bu durum nasıl olsa WAF
>> kullanıyoruz diye uygulama problemlerinin giderilmesini göz ardı
>> etmenin zararlarını da ortaya koyuyor.
>>
>> Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
>> da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)
>>
>> İyi Çalışmalar.
>>
>> 2010/5/18 Ömer Altundal <omeraltundal at hotmail.com>:
>>  > Merhaba,
>> >
>> > Web Application Firewall'larla ilgili bir araştırma yapıyorum. Aranızda
>> bu
>> > yönde çalışma yapmış veya şuanda çalıştığı kurumda kullanan var mı?
>> >
>> > Hangi ürünleri önerirsiniz?
>> >
>> > Yardımlarınız için teşekkürler.
>> >
>> >
>> >
>> >
>> >
>> > Ömer Faruk Altundal.
>> >
>> > omeraltundal at hotmail.com
>> >
>> >
>> >
>> >
>> >
>> > ________________________________
>> > Hotmail has tools for the New Busy. Search, chat and e-mail from your
>> inbox.
>> > Learn more.
>>  > _______________________________________________
>> > Owasp-turkey mailing list
>> > Owasp-turkey at lists.owasp.org
>> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
>> >
>> >
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>
>
>
> --
> .fm
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Bedirhan Urgun
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100518/e00bd54f/attachment.html 


More information about the Owasp-turkey mailing list