EN
EN

WAF Nedir ve Fortigate Üzerinde WAF Profili Nasıl Yapılandırılır

25 Temmuz 2022


Bir web uygulaması güvenlik duvarı (WAF), web uygulamalarını siteler arası komut dosyası çalıştırma (XSS), SQL Injection ve ARP Spoofing gibi uygulama katmanı saldırılarından korumak için geliştirilmiş bir teknolojidir.

WAF, web uygulamanıza giden zararlı HTTP/S trafiğini filtreleyerek, izleyerek ve engelleyerek web uygulamalarınızı korur. Doğru WAF ürünü ve konfigürasyonu ile bu saldırıların önüne geçilebilir.

WAF üzerinde varsayılan profil özelleştirebilir veya trafiğe erişim kuralları ve HTTP protokolü kısıtlamaları uygulamak için kendi profilinizi oluşturabilirsiniz. Inspection mode proxy-based olarak uygulandığında, WAF profili firewall policy uygulanabilir.

Veri ihlallerinde uygulamalara yönelik saldırılar giderek artmaktadır.  En çok bilinen atak türleri şunlardır:

1-Cross-Site Scripting: Cross-site scripting attack (XSS) yani siteler arası komut dosyası çalıştırma saldırısı, bir bilgisayar korsanının, iyi huylu ve güvenilir olarak görülen bir web sayfasının içeriğine, genellikle istemci tarafı komut dosyası biçiminde kötü amaçlı kod enjekte etmesiyle oluşur. Kötü amaçlı komut dosyası genellikle, JavaScript ve HTML olan istemci tarafı programlama dillerinde yazılır.

2-SQL Injection: Web uygulamasının yaptığı SQL sorgusuna müdahale edilerek veri tabanında bulunan verilere yetkisiz erişim yöntemidir. Bir müşteri sisteme girerken kendi kullanıcı adı ve şifresini vererek, giriş izni alır. Bu izin sadece kendi verilerini görmeye yetki verir. SQL injection yönteminde ise bir saldırgan bununla birlikte diğer kullanıcıların ve web uygulamasının diğer verilerine erişebilir. Buradaki SQL injection açığı ile saldırgan verileri transfer edebilir, değiştirebilir, silebilir. Yani eriştiği tüm verileri manipüle edebilir hale gelir.

3-Trojan: Trojan virüs, meşru görünen ancak bilgisayarınızın kontrolünü ele geçirebilen bir tür kötü amaçlı kod veya yazılımdır. Verilerinize veya ağınıza zarar vermek, bozmak, çalmak veya başka zararlı eylemler uygulamak için tasarlanmıştır. Diğer bilgisayar virüslerinden farklı olarak diğer dosyalara veya bilgisayarlara bulaşarak kendi kendine çoğalmaz.

4-Information Disclosure: Bilinmemesi veya görünmemesi gereken hassas bilgilerin açığa çıkması/ifşa olması anlamına gelir. Web siteleri her türlü bilgiyi potansiyel bir saldırgana sızdırabilir, örneğin: Kullanıcı adları, finansal bilgiler, hassas ticari veya iş verileri, web sitesi hakkındaki teknik detaylar.

Web Uygulamaları Çalıştıran Bir Sunucuyu Koruma

FortiMail gibi bir web uygulaması çalıştıran bir sunuyu korumak için web application firewall (WAF) kullanılabilir.

 

Fortigate Üzerinde WAF Profili Oluşturma

 WAF profilleri, Signatures ve Constraints adı verilen çeşitli seçeneklerle oluşturulur. Bu seçenekler etkinleştirildiğinde, eylemi izin vermek, izlemek veya engellemek için ayarlanabilir. Önem derecesi göre yüksek, orta veya düşük olarak filtreleme uygulanabilir.

 Varsayılan profilde, SQL Injection ve genel saldırılar engelli olarak gelir.

Sunucuyu korumak için WAF’ın aktif edilmesi:

1. Web Application Firewall (WAF) açılmalıdır.

2. WAF profili düzenlenmelidir. (SQL Injection ve Generic atakların engellenmesi)

A. Security profiles -> Web Application Firewall
B. Signature profili düzenle
-SQL Injection ve Generic Attacks etkinleştrin
-Her iki Signature için de action: Block ve severity: High olarak ayarlayın
-Uygulayın

3. Security policy uygulanması

A. Policy&Objects -> IPv4 Policy

4. Web Application Firewall, üzerinde web trafiğinin engellendiğinin doğrulanması:

-Bir web sunucuda SQL Injection atağını simüle etmek için aşağıdaki URL’yi kullanın ve server’ın IP adresini değiştirin.

 http://<serverIP>/index.php?username=1'%20or%20'1'%20=%20'1&password=1'%20or%20'1'%20=%20'1

-Web Application Firewall, trafiği engellediğini belirten bir hata mesajı görüntülenir.

FortiWeb Offloading

Bir FortiWeb'iniz varsa, web uygulaması kontrolünün işlevlerini FortiWeb'inize devredebilirsiniz. Bu seçeneğin mevcut olup olmadığını öğrenmek için cihaz uyumluluğu hakkında bilgi için FortiOS veya FortiWeb dökümanlarından yararlanabilirsiniz. FortiWeb’e offload için aşağıda verilen işlemler izlenir.

1. Security Fabric -> Settings
2. Enable Fabric Devices
3. Cihaz için aşağıdaki bilgiler girilir.

a. Name (FortiWeb)
b. FortiWeb IP address
c. HTTPS service port

4. Generate butonuna tıklanır.

5. Kimlik bilgileri için Access token girildikten sonra işlem tamamlanır.

Yazar: Furkan Tunçel/BeyazNet Ağ Güvenlik Mühendisi