[Owasp-turkey] Web Application Firewall

Bedirhan Urgun bedirhanurgun at gmail.com
Tue May 18 04:07:30 EDT 2010


netsparker+sslharden+owasp ssl sayfasi+wireshark kullanarak ufak bir test
yaptim. ek'te screenshotlar;

1.jpg: laptopumdaki sslharden sonuclari, hemen hemen butun cipher suite'ler
enabled
2.jpg: netsparker ile crawl ediyorum
https://www.owasp.org/index.php?title=Special:UserLogin&returnto=Turkey,
wireshark client hello goruntusu. 11 suite support ediliyor
3.jpg: sslharden ile sadece 3DES'i enable birakiyorum
4.jpg: netsparker ile crawl ediyorum, wireshark client hello goruntusu.
sadece 2 tane 3DES support ediliyor.
tam bir test degil ama oluyor gibi mi... Netsparker'a eklenebilecek bir
ozellik gibi. ;)

kolay gelsin.
18 Mayıs 2010 10:46 tarihinde Ferruh Mavituna <ferruh at mavituna.com> yazdı:

> Sanirim o ayarlar sadece IIS ve benzer server tabanli windows
> component'larinda calisiyor ama acikcasi emin degilim.
>
> 2010/5/18 Bedirhan Urgun <bedirhanurgun at gmail.com>
>
>  kurulu oldugu windows makinede ssl yapilandirmasini degistirsek olmuyor
>> mu? http://www.gorlani.com/publicprj/CipherControl/ ile mesela...
>> cok iyi bulgu bu arada.
>>
>> 18 Mayıs 2010 10:38 tarihinde Ferruh Mavituna <ferruh at mavituna.com>yazdı:
>>
>>  Cipher olayi ilgincmis. Kesin nedenini bilen var mi? Dokumante edilmis
>>> bir sey oldugunu zannetmiyorum belki de CPU load'i yukseldiginde ayni eski
>>> switch'lerin hub donmesi gibi kontrol yapmamaya basliyor olabilir. Tabii ki
>>> network WAF'larindan bahsediyorum mod_security de o sorun yoktur muhtemelen.
>>>
>>>
>>>> Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
>>>
>>> da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)
>>>
>>>
>>> :) Maalesef yok ama teorik olarak ssltunnel gibi bir sey yapilarak
>>> halledilebilir gibi geldi bana.
>>>
>>> 2010/5/18 Deniz CEVIK <denizcev at gmail.com>
>>>
>>>> Merhaba,
>>>>
>>>> Ben uzun bir süredir web uygulama firewallarına yönelik belirli
>>>> kontrollerin nasıl atlatılabileceğine dair çalışmalar yapıyorum.
>>>> Gözlemlerim eğer bir yapılandırma hatası yapılmamış ise veya sistem
>>>> doğru konumlandırılmış ise oldukça etkin çalışıyorlar. F5 ve Imperva
>>>> oldukça yaygın olarak kullanılıyor. Her ikisini de denemenizi tavsiye
>>>> ederim. Seçim yaparken aşağıdaki linkteki dökümanlardan yardım
>>>> alabilirsiniz.
>>>>
>>>>
>>>> http://projects.webappsec.org/Web-Application-Firewall-Evaluation-Criteria
>>>>
>>>> Hazır konu açılmışken bu sistemlerin doğru yapılandırılması hakkında
>>>> bir kaç şeyde eklemek istiyorum. Bu tip sistemleri bypass etmek için
>>>> kullanılabilecek en basit yöntem, eğer uygulamalar SSL üzerinden de
>>>> sunuluyorsa ve WAF SSL için yapılandırılmamışsa ki çok karşılaşılan
>>>> bir durum, trafiği bu kanal üzerinden yönlendirmek. Ancak son yaptığım
>>>> bir kaç tesde bu sistemlerin SSL için ayarlanmış olsa bile, SSL chiper
>>>> için güçlü şifreleme algoritmaları seçildiği zaman, yine WAF
>>>> sisteminin devre dışı bırakılabildiğini fark ettim. Benzer sorun IPS
>>>> sistemlerinde de var. DHE tabanlı chiper'ları genelde bu sistemler
>>>> eÄŸer bridge modda veya dinleme modunda kurulmuÅŸ ise kontrol
>>>> edemiyorlar.
>>>>
>>>> Örneğin istekler aşağıdaki gibi zayıf bir chiper ile yollanırsa WAF
>>>> yakalarken
>>>>
>>>> openssl s_client -connect sunucu:443 -tls1 -cipher RC4-SHA
>>>>
>>>> aşağıdaki gibi güçlü bir chiper kullanılarak yapılan istekleri kontrol
>>>> edemiyor.
>>>>
>>>> openssl s_client -connect sunucu:443 -tls1 -cipher DHE-RSA-AES256-SHA
>>>>
>>>> Özellikle DHE tabanlı chiperla yollanan isteklerin açılabilmesi için
>>>> bu sistemlerin reverse-proxy olarak konumlandırılması gerekiyor. Ancak
>>>> perfomans nedeni ile bu tip bir yapılandırma genelde kabul görmüyor.
>>>> Eğer kurumunuzda SSL servisleri için WAF konumlandırılmış ise bir kaç
>>>> saldırı paternini yukarıdaki komutlar ile yollarak yakalanıp
>>>> yakalanmadığını kontrol edebilirsiniz.Bu durum nasıl olsa WAF
>>>> kullanıyoruz diye uygulama problemlerinin giderilmesini göz ardı
>>>> etmenin zararlarını da ortaya koyuyor.
>>>>
>>>> Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
>>>> da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)
>>>>
>>>> İyi Çalışmalar.
>>>>
>>>> 2010/5/18 Ömer Altundal <omeraltundal at hotmail.com>:
>>>>  > Merhaba,
>>>> >
>>>> > Web Application Firewall'larla ilgili bir araştırma yapıyorum.
>>>> Aranızda bu
>>>> > yönde çalışma yapmış veya şuanda çalıştığı kurumda kullanan var mı?
>>>> >
>>>> > Hangi ürünleri önerirsiniz?
>>>> >
>>>> > Yardımlarınız için teşekkürler.
>>>> >
>>>> >
>>>> >
>>>> >
>>>> >
>>>> > Ömer Faruk Altundal.
>>>> >
>>>> > omeraltundal at hotmail.com
>>>> >
>>>> >
>>>> >
>>>> >
>>>> >
>>>> > ________________________________
>>>> > Hotmail has tools for the New Busy. Search, chat and e-mail from your
>>>> inbox.
>>>> > Learn more.
>>>>  > _______________________________________________
>>>> > Owasp-turkey mailing list
>>>> > Owasp-turkey at lists.owasp.org
>>>> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>> >
>>>> >
>>>> _______________________________________________
>>>> Owasp-turkey mailing list
>>>> Owasp-turkey at lists.owasp.org
>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>
>>>
>>>
>>>
>>> --
>>> .fm
>>>
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>>
>>
>>
>> --
>> Bedirhan Urgun
>> http://www.webguvenligi.org
>> http://www.owasp.org/index.php/Turkey
>>
>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>>  https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
>
> --
> .fm
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Bedirhan Urgun
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100518/1758d49e/attachment-0001.html 
-------------- sonraki bölüm --------------
Yaz� olmayan bir eklenti temizlendi...
�sim: 1.jpg
T�r: image/jpeg
Boyut: 89852 bayt
Tan�m: kullan�lam�yor
Url: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100518/1758d49e/attachment-0004.jpg 
-------------- sonraki bölüm --------------
Yaz� olmayan bir eklenti temizlendi...
�sim: 2.jpg
T�r: image/jpeg
Boyut: 90949 bayt
Tan�m: kullan�lam�yor
Url: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100518/1758d49e/attachment-0005.jpg 
-------------- sonraki bölüm --------------
Yaz� olmayan bir eklenti temizlendi...
�sim: 3.jpg
T�r: image/jpeg
Boyut: 89640 bayt
Tan�m: kullan�lam�yor
Url: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100518/1758d49e/attachment-0006.jpg 
-------------- sonraki bölüm --------------
Yaz� olmayan bir eklenti temizlendi...
�sim: 4.jpg
T�r: image/jpeg
Boyut: 39043 bayt
Tan�m: kullan�lam�yor
Url: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100518/1758d49e/attachment-0007.jpg 


More information about the Owasp-turkey mailing list