[Owasp-turkey] Web Application Firewall

Ferruh Mavituna ferruh at mavituna.com
Tue May 18 03:46:41 EDT 2010


Sanirim o ayarlar sadece IIS ve benzer server tabanli windows
component'larinda calisiyor ama acikcasi emin degilim.

2010/5/18 Bedirhan Urgun <bedirhanurgun at gmail.com>

> kurulu oldugu windows makinede ssl yapilandirmasini degistirsek olmuyor mu?
> http://www.gorlani.com/publicprj/CipherControl/ ile mesela...
> cok iyi bulgu bu arada.
>
> 18 Mayıs 2010 10:38 tarihinde Ferruh Mavituna <ferruh at mavituna.com> yazdı:
>
>  Cipher olayi ilgincmis. Kesin nedenini bilen var mi? Dokumante edilmis
>> bir sey oldugunu zannetmiyorum belki de CPU load'i yukseldiginde ayni eski
>> switch'lerin hub donmesi gibi kontrol yapmamaya basliyor olabilir. Tabii ki
>> network WAF'larindan bahsediyorum mod_security de o sorun yoktur muhtemelen.
>>
>>
>>> Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
>>
>> da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)
>>
>>
>> :) Maalesef yok ama teorik olarak ssltunnel gibi bir sey yapilarak
>> halledilebilir gibi geldi bana.
>>
>> 2010/5/18 Deniz CEVIK <denizcev at gmail.com>
>>
>>> Merhaba,
>>>
>>> Ben uzun bir süredir web uygulama firewallarına yönelik belirli
>>> kontrollerin nasıl atlatılabileceğine dair çalışmalar yapıyorum.
>>> Gözlemlerim eğer bir yapılandırma hatası yapılmamış ise veya sistem
>>> doğru konumlandırılmış ise oldukça etkin çalışıyorlar. F5 ve Imperva
>>> oldukça yaygın olarak kullanılıyor. Her ikisini de denemenizi tavsiye
>>> ederim. Seçim yaparken aşağıdaki linkteki dökümanlardan yardım
>>> alabilirsiniz.
>>>
>>>
>>> http://projects.webappsec.org/Web-Application-Firewall-Evaluation-Criteria
>>>
>>> Hazır konu açılmışken bu sistemlerin doğru yapılandırılması hakkında
>>> bir kaç şeyde eklemek istiyorum. Bu tip sistemleri bypass etmek için
>>> kullanılabilecek en basit yöntem, eğer uygulamalar SSL üzerinden de
>>> sunuluyorsa ve WAF SSL için yapılandırılmamışsa ki çok karşılaşılan
>>> bir durum, trafiği bu kanal üzerinden yönlendirmek. Ancak son yaptığım
>>> bir kaç tesde bu sistemlerin SSL için ayarlanmış olsa bile, SSL chiper
>>> için güçlü şifreleme algoritmaları seçildiği zaman, yine WAF
>>> sisteminin devre dışı bırakılabildiğini fark ettim. Benzer sorun IPS
>>> sistemlerinde de var. DHE tabanlı chiper'ları genelde bu sistemler
>>> eğer bridge modda veya dinleme modunda kurulmuş ise kontrol
>>> edemiyorlar.
>>>
>>> Örneğin istekler aşağıdaki gibi zayıf bir chiper ile yollanırsa WAF
>>> yakalarken
>>>
>>> openssl s_client -connect sunucu:443 -tls1 -cipher RC4-SHA
>>>
>>> aşağıdaki gibi güçlü bir chiper kullanılarak yapılan istekleri kontrol
>>> edemiyor.
>>>
>>> openssl s_client -connect sunucu:443 -tls1 -cipher DHE-RSA-AES256-SHA
>>>
>>> Özellikle DHE tabanlı chiperla yollanan isteklerin açılabilmesi için
>>> bu sistemlerin reverse-proxy olarak konumlandırılması gerekiyor. Ancak
>>> perfomans nedeni ile bu tip bir yapılandırma genelde kabul görmüyor.
>>> Eğer kurumunuzda SSL servisleri için WAF konumlandırılmış ise bir kaç
>>> saldırı paternini yukarıdaki komutlar ile yollarak yakalanıp
>>> yakalanmadığını kontrol edebilirsiniz.Bu durum nasıl olsa WAF
>>> kullanıyoruz diye uygulama problemlerinin giderilmesini göz ardı
>>> etmenin zararlarını da ortaya koyuyor.
>>>
>>> Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
>>> da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)
>>>
>>> İyi Çalışmalar.
>>>
>>> 2010/5/18 Ömer Altundal <omeraltundal at hotmail.com>:
>>>  > Merhaba,
>>> >
>>> > Web Application Firewall'larla ilgili bir araştırma yapıyorum. Aranızda
>>> bu
>>> > yönde çalışma yapmış veya şuanda çalıştığı kurumda kullanan var mı?
>>> >
>>> > Hangi ürünleri önerirsiniz?
>>> >
>>> > Yardımlarınız için teşekkürler.
>>> >
>>> >
>>> >
>>> >
>>> >
>>> > Ömer Faruk Altundal.
>>> >
>>> > omeraltundal at hotmail.com
>>> >
>>> >
>>> >
>>> >
>>> >
>>> > ________________________________
>>> > Hotmail has tools for the New Busy. Search, chat and e-mail from your
>>> inbox.
>>> > Learn more.
>>>  > _______________________________________________
>>> > Owasp-turkey mailing list
>>> > Owasp-turkey at lists.owasp.org
>>> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>> >
>>> >
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>
>>
>>
>> --
>> .fm
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
>
> --
> Bedirhan Urgun
> http://www.webguvenligi.org
> http://www.owasp.org/index.php/Turkey
>
> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
.fm
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100518/1aa0c931/attachment.html 


More information about the Owasp-turkey mailing list