[Owasp-turkey] Web Application Firewall

Ferruh Mavituna ferruh at mavituna.com
Tue May 18 04:21:01 EDT 2010


Harikaymis :)

Ben bunu Netsparker forumlarina da ekleyeyim. Evet eklenebilecek bir
ozellige benziyor, SSL konusunda zaten ekleyecegimiz ozellikler var belki
bunu da o sirada ekleyebiliriz.


Tesekkurler,

2010/5/18 Bedirhan Urgun <bedirhanurgun at gmail.com>

> netsparker+sslharden+owasp ssl sayfasi+wireshark kullanarak ufak bir test
> yaptim. ek'te screenshotlar;
>
> 1.jpg: laptopumdaki sslharden sonuclari, hemen hemen butun cipher suite'ler
> enabled
> 2.jpg: netsparker ile crawl ediyorum
> https://www.owasp.org/index.php?title=Special:UserLogin&returnto=Turkey,
> wireshark client hello goruntusu. 11 suite support ediliyor
> 3.jpg: sslharden ile sadece 3DES'i enable birakiyorum
> 4.jpg: netsparker ile crawl ediyorum, wireshark client hello goruntusu.
> sadece 2 tane 3DES support ediliyor.
> tam bir test degil ama oluyor gibi mi... Netsparker'a eklenebilecek bir
> ozellik gibi. ;)
>
> kolay gelsin.
> 18 Mayıs 2010 10:46 tarihinde Ferruh Mavituna <ferruh at mavituna.com> yazdı:
>
> Sanirim o ayarlar sadece IIS ve benzer server tabanli windows
>> component'larinda calisiyor ama acikcasi emin degilim.
>>
>> 2010/5/18 Bedirhan Urgun <bedirhanurgun at gmail.com>
>>
>>  kurulu oldugu windows makinede ssl yapilandirmasini degistirsek olmuyor
>>> mu? http://www.gorlani.com/publicprj/CipherControl/ ile mesela...
>>> cok iyi bulgu bu arada.
>>>
>>> 18 Mayıs 2010 10:38 tarihinde Ferruh Mavituna <ferruh at mavituna.com>yazdı:
>>>
>>>  Cipher olayi ilgincmis. Kesin nedenini bilen var mi? Dokumante edilmis
>>>> bir sey oldugunu zannetmiyorum belki de CPU load'i yukseldiginde ayni eski
>>>> switch'lerin hub donmesi gibi kontrol yapmamaya basliyor olabilir. Tabii ki
>>>> network WAF'larindan bahsediyorum mod_security de o sorun yoktur muhtemelen.
>>>>
>>>>
>>>>> Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
>>>>
>>>> da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)
>>>>
>>>>
>>>> :) Maalesef yok ama teorik olarak ssltunnel gibi bir sey yapilarak
>>>> halledilebilir gibi geldi bana.
>>>>
>>>> 2010/5/18 Deniz CEVIK <denizcev at gmail.com>
>>>>
>>>>> Merhaba,
>>>>>
>>>>> Ben uzun bir süredir web uygulama firewallarına yönelik belirli
>>>>> kontrollerin nasıl atlatılabileceğine dair çalışmalar yapıyorum.
>>>>> Gözlemlerim eğer bir yapılandırma hatası yapılmamış ise veya sistem
>>>>> doğru konumlandırılmış ise oldukça etkin çalışıyorlar. F5 ve Imperva
>>>>> oldukça yaygın olarak kullanılıyor. Her ikisini de denemenizi tavsiye
>>>>> ederim. Seçim yaparken aşağıdaki linkteki dökümanlardan yardım
>>>>> alabilirsiniz.
>>>>>
>>>>>
>>>>> http://projects.webappsec.org/Web-Application-Firewall-Evaluation-Criteria
>>>>>
>>>>> Hazır konu açılmışken bu sistemlerin doğru yapılandırılması hakkında
>>>>> bir kaç şeyde eklemek istiyorum. Bu tip sistemleri bypass etmek için
>>>>> kullanılabilecek en basit yöntem, eğer uygulamalar SSL üzerinden de
>>>>> sunuluyorsa ve WAF SSL için yapılandırılmamışsa ki çok karşılaşılan
>>>>> bir durum, trafiği bu kanal üzerinden yönlendirmek. Ancak son yaptığım
>>>>> bir kaç tesde bu sistemlerin SSL için ayarlanmış olsa bile, SSL chiper
>>>>> için güçlü şifreleme algoritmaları seçildiği zaman, yine WAF
>>>>> sisteminin devre dışı bırakılabildiğini fark ettim. Benzer sorun IPS
>>>>> sistemlerinde de var. DHE tabanlı chiper'ları genelde bu sistemler
>>>>> eğer bridge modda veya dinleme modunda kurulmuş ise kontrol
>>>>> edemiyorlar.
>>>>>
>>>>> Örneğin istekler aşağıdaki gibi zayıf bir chiper ile yollanırsa WAF
>>>>> yakalarken
>>>>>
>>>>> openssl s_client -connect sunucu:443 -tls1 -cipher RC4-SHA
>>>>>
>>>>> aşağıdaki gibi güçlü bir chiper kullanılarak yapılan istekleri kontrol
>>>>> edemiyor.
>>>>>
>>>>> openssl s_client -connect sunucu:443 -tls1 -cipher DHE-RSA-AES256-SHA
>>>>>
>>>>> Özellikle DHE tabanlı chiperla yollanan isteklerin açılabilmesi için
>>>>> bu sistemlerin reverse-proxy olarak konumlandırılması gerekiyor. Ancak
>>>>> perfomans nedeni ile bu tip bir yapılandırma genelde kabul görmüyor.
>>>>> Eğer kurumunuzda SSL servisleri için WAF konumlandırılmış ise bir kaç
>>>>> saldırı paternini yukarıdaki komutlar ile yollarak yakalanıp
>>>>> yakalanmadığını kontrol edebilirsiniz.Bu durum nasıl olsa WAF
>>>>> kullanıyoruz diye uygulama problemlerinin giderilmesini göz ardı
>>>>> etmenin zararlarını da ortaya koyuyor.
>>>>>
>>>>> Burada hemen Ferruh'a sorulacak bir  soru aklıma geliyor. Netsparker
>>>>> da ssl sitelerini tararken chiper'i seçme olanağımız var mı acaba. :)
>>>>>
>>>>> İyi Çalışmalar.
>>>>>
>>>>> 2010/5/18 Ömer Altundal <omeraltundal at hotmail.com>:
>>>>>  > Merhaba,
>>>>> >
>>>>> > Web Application Firewall'larla ilgili bir araştırma yapıyorum.
>>>>> Aranızda bu
>>>>> > yönde çalışma yapmış veya şuanda çalıştığı kurumda kullanan var mı?
>>>>> >
>>>>> > Hangi ürünleri önerirsiniz?
>>>>> >
>>>>> > Yardımlarınız için teşekkürler.
>>>>> >
>>>>> >
>>>>> >
>>>>> >
>>>>> >
>>>>> > Ömer Faruk Altundal.
>>>>> >
>>>>> > omeraltundal at hotmail.com
>>>>> >
>>>>> >
>>>>> >
>>>>> >
>>>>> >
>>>>> > ________________________________
>>>>> > Hotmail has tools for the New Busy. Search, chat and e-mail from your
>>>>> inbox.
>>>>> > Learn more.
>>>>>  > _______________________________________________
>>>>> > Owasp-turkey mailing list
>>>>> > Owasp-turkey at lists.owasp.org
>>>>> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>> >
>>>>> >
>>>>> _______________________________________________
>>>>> Owasp-turkey mailing list
>>>>> Owasp-turkey at lists.owasp.org
>>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>>
>>>>
>>>>
>>>>
>>>> --
>>>> .fm
>>>>
>>>> _______________________________________________
>>>> Owasp-turkey mailing list
>>>> Owasp-turkey at lists.owasp.org
>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>
>>>>
>>>
>>>
>>> --
>>> Bedirhan Urgun
>>> http://www.webguvenligi.org
>>> http://www.owasp.org/index.php/Turkey
>>>
>>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>>>  https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>>
>>
>>
>> --
>> .fm
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
>
> --
> Bedirhan Urgun
> http://www.webguvenligi.org
> http://www.owasp.org/index.php/Turkey
>
> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
.fm
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20100518/d4264555/attachment.html 


More information about the Owasp-turkey mailing list