[Owasp-turkey] IOSEC .NET/PHP/Wordpress HTTP Anti Flood Security Gateway Module‏ v.1.4

Gökhan Muharremoglu gokmuh at hotmail.com
Fri May 25 00:02:28 UTC 2012



Merhaba,
 
IOSEC HTTP Anti Flood Security Gateway Module v.1.4 artık wordpress plugin olarak da kullanılabiliyor. Haftaya resmi wordpress sitesinde plugin olarak yayınlanması gündemde, yazışmalarımız devam ediyor.
 
Gelen yapıcı öneriler ışığında kod üzerinde düzenleme ve geliştirmelere gittim. Birkaç ufak düzenleme ile bu Script'i .NET ortamlarda da kullanabilirsiniz.
 
Daha fazla bilgi için projenin SourceForge sayfası ==> https://sourceforge.net/projects/iosec/ (http://www.iosec.org) adresindedir.
 
HTTP Flood saldırılarına karşı neden Web uygulaması tasarımı seviyesinde bir çözüm aradığımıza dair sorular için de Tübitak Ulusal Bilgi Güvenliği Kapısın'nda yayınlanacak olan yeni yazımdan bir bölümü bu mail ile beraber paylaşıyorum.
 
İyi çalışmalar,
Gökhan Muharremoğlu
Bilgi Güvenliği Uzmanı   
 



HTTP Flood
Saldırılarına Karşı Web Uygulaması Seviyesinde Yaklaşımlar


Flood saldırıları ile hedeflenen esas amaç, sistemlerin
normal kullanım senaryolarıyla belirlenmiş sınırlarının zorlanıp, aşılarak
hizmetin engellenmesini sağlamaktır.  Bir
veri trafiğinin normal kabul edilen düzeyden anormal kabul edilecek düzeye gelmesi,
bir Flood (sel) saldırısı örneği olabilir. Bu saldırıların belirli bir protokol
üzerinde yapılması ile saldırı adını ve tekniğini o protokole yönelik olarak
değiştirmiş olur. Bunlara örnek olarak; DNS Flood, UDP Flood, SYN Flood, HTTP
Flood gibi saldırılar örnek gösterilebilir. Bu saldırı türlerinin her biri
kendine özgün teknik detaylar içermektedir. Protokollerin var olan
zafiyetlerinden yararlanılarak, normal kabul edilecek trafik düzeyinin artması
ile Flood saldırıları amacına ulaşabilir.


Flood saldırıların başarılı olabilmesinin ardında yatan en
büyük etken, saldırı için kullanılan protokolün tasarımında bulunan güvenlik zafiyetidir.
Bu nedenle protokol’de bulunan zafiyetin de göz önünde bulundurularak bir
sistem tasarımına gidilmesi, güvenlik açısından en etkin yöntem olmaktadır.


HTTP protokolü, uygulama katmanında (OSI 7) bulunan bir
protokol olması nedeniyle, sadece paket içeriğini analiz edebilen güvenlik
cihazları (IPS, IDS, vs.) ile denetlenebilmektedir. Bu güvenlik cihazları
dışındaki cihazlar eğer bu katmanda çalışmıyorsa, paket içeriğini denetleyemez.
Ancak HTTP trafiği için söz konusu Flood saldırılarına geldiğinde, ortaya TCP
protokolünün denetlenebilmesi gibi bir durum ortaya çıkar. Böylece birçok HTTP
Flood saldırısı henüz taşıma katmanında iken engellenebilir. Ancak, HTTP Flood
saldırılarının etkili bir şekilde tespit edilemediği veya engellenemediği
durumlar da vardır. Bu durumların büyük çoğunluğu yetersiz yapılandırmış
güvenlik cihazlarından ortaya çıkmakla beraber, diğer bir büyük çoğunluğu da
ilgili bir güvenlik cihazının hali hazırda bulunmamasından kaynaklıdır. Bu gibi
durumlar için uygulanması en etkili ve en kolay yöntem, Web uygulaması tasarımı
aşamasında Flood şeklinde yapılan isteklerin sistemi minimum etkilemesini
sağlamak ve tasarımı bu yönde geliştirmektir. Aynı zamanda etkileri en aza
indirilen saldırının, TCP üç yollu el sıkışma doğası gereğince Spoof edilemeyen
bir IP adresi üzerinden geldiği göz önüne alınarak IP adresinin tespit edilip,
mümkünse engellenmesi gerekmektedir.


Önünde IPS ve benzeri güvenlik cihazlarının olduğu
sistemlerin birçoğunun günümüzde HTTP Flood saldırılarını tespit edip,
engelleyecek şekilde doğru yapılandırılmadığı görülmektedir. Birçok güçlü SYN,
UDP, DNS, ICMP Flood saldırısından başarı ile kurtulabilen sistemin, tek bir IP
adresi üzerinden gelen HTTP Flood saldırısında hizmet veremeyecek duruma
geldiğine sık sık rastlanmaktadır. Bu nedenle HTTP Flood saldırıları günümüzde
geçerliliğini koruyan, yaygın bir tehdittir. Bu tehdide karşı ek bir önlem
almak isteyen ya da elinde sadece bir Stateless Firewall veya benzeri tek
başına yetersiz ekipman bulunduran bir sistem yöneticisi için en uygun çözüm,
bu saldırılara Web uygulaması düzeyinde bir çözüm geliştirmektir.


Bir Web uygulaması için güvenlik ile ilgili bir çözüm
geliştirirken bir yazılımcının güvenlik konusunda bilgi ve deneyim sahibi
olması, ortaya çıkacak sonucu daha da etkili kılacaktır. Web uygulamasının
diğer katmanlardaki güvenlik cihazları ile konuşuyor olması, HTTP Flood
saldırıları için Web uygulamasını barındıran sistemin de ek bir güvenlik
önlemiyle daha korunması sonucunu doğuracaktır. 


Web uygulaması tabanlı bu çözüm ile saldırı esnasında
tüketilen kaynak (SQL sorguları, CPU, vs.) miktarı azaltılabilir, saldırgan IP
adresleri tespit edilebilir ve/veya otomatik olarak başka bir sistem aracılığı
ile (Htaccess, Iptables veya bir Stateless/Stateful Firewall ile) bu adresler
engellenebilir. Doğası gereği, Web uygulaması zafiyet tarama araçları
(vulnerability scanner),  Brute Force
(kaba kuvvet) parola denemeleri de bir Flood saldırısı mantığı ile çalışabileceğinden dolayı
bu girişimler tespit edilebilir ve/veya yavaşlatılabilir hatta engellenebilir. 


 
  		 	   		   		 	   		  
-------------- sonraki b�l�m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120525/e99a0a3f/attachment.html>


More information about the Owasp-turkey mailing list