S.Aleyküm;
Https zaafindan bahsettik ancak http protokolünden hiç bahsetmedik. Https için geçerli olan tüm riskler http için de geçerlidir. Dolayisi ile bu yazi https ve http güvenligini kapsar. Web güvenligini düsündügümüzde 4 temel güvenlik adimi üzerinde durabiliriz.
Güvenli Yazilim
Tüm güvenlik açiklari hatali kod yazilmasi ile ortaya çikar. Açik istemiyorsak kodlarimiz saglam olmalidir. Güvenli yazilim için yazilim ekibini egitimli ve tecrübeli kisilerden olusturmaliyiz. Elbette tek etken bu degil. Neticede bir web uygulamasinda binlerce aktif sayfa çalisir ve insan hatasi sebebiyle bazilarinda hata bulunmasi kaçinilmazdir. Hatali kod üretimini engellemek için kodlari analiz eden ve hatalari tespit edip önerilerde bulunan yazilimlar kullanilmalidir. Yazilim gelistirme platformu oldukça genis bir yelpazeye sahiptir. Bu sebeple uygun kod denetimi yazilimini bulmak için güvenlik danismaniniza ve uygulama gelistirme platformu üreticinize danismanizi öneririm.
Sunucu Tabanli Atak Engelleme Sistemi
Sonuçta tüm https ve http istekleri web sunuculari üzerinde isleme tabi tutulur. Sunucu Tabanli Atak Engelleme Sistemleri (HIPS) bilinen ve bilinmeyen açiklara karsi koruma saglayabilir. Dogru HIPS seçimi için korunacak sistemin analizi yapilmasi gerekir. Örnegin korumamiz gereken platformda bir Microsoft SQL sunucusu bulunuyorsa, kullanacagimiz HIPS sisteminin de Microsoft SQL destekli bir ürün olmasi gerekir.
HIPS üreticilerinin bazilarinda degisik platformlar için degisik çözümler mevcuttur. Dogru seçimi ve konfigürasyonu yaratmak için güvenlik danismaniniza basvurmaniz gerekir.
Application Firewall
Application Firewall ürünleri uygulamalari korumak üzere dizayn edilmis özel ürünlerdir. Bu ürünlerde Cookie/session poisoning, Sql injection veya Cross-site scripting gibi ataklarin tamamina karsi koruma kalkani bulunur.
Yukarida bahsettigimiz gibi yazilim gelistirme ekibi binlerce sayfa kod yazarken bazilarinda hata yapmis olabilir. Application Firewall ürünü atak tiplerini bildigi için gözden kaçmis bu hatali kodlara yapilacak ataklari engeller. Ayrica uygulamada hata bulunmasa bile, sisteme özel bilgileri web ziyaretçilerinden ve atak yapanlardan saklayacaktir.
Application Firewall piyasasi oldukça karmasik görünüyor. 1.000USD fiyati olan ürünler de mevcut 30.000USD fiyati olan ürünler de. Tabi fiyati düsük ürünlerin bu kadar ucuza satilmasi bir tesadüf degil. Nitekim Microsoft tarafindan ücretsiz olarak saglanan yazilimlar ile (IISLock ve URLScan) bu ucuz Application Firewall ürünleri arasinda çok büyük bir fark bulunmuyor.
Ancak çok ciddi isler yapabilen ürünler de mevcut. Bunlarin bir kismi yazilim olarak sunuluyor bir kismi da kendi özel donanimlara sahip. F5 Networks TrafficShield, SecureComputing G2 Firewall/Security Appliance, Imperva, InterDo, NetContinuum, AirLock ve e-Gap gibi ürünler sektörde yer edinmis ve kaliteleri ile kendilerini ispatlamis ürünlerdir.
Application Firewall ürününü seçerken yine koruyacagimiz bilgiyi ve platformu göz önünde bulundurmamiz gerekiyor.
Öncelikle koruyacagimiz uygulamayi belirlemeliyiz. Sadece web uygulamasi koruyacaksak isimiz daha kolay. Ancak bilgi bankalarini koruyacaksak kullanabilecegimiz ürünler azaliyor.
Seçim sirasinda önemli olan diger bir nokta da platformumuz. Application Firewall ürünlerinin bir kismi direk web sunucusu üzerine yükleniyor. Microsoft IIS için gelistirilmis bir ürünü Linux sistemimiz için düsünemeyiz normal olarak. Kendi donanimina sahip olan ürünler bu noktada öne çikiyor, çünkü platform bagimsiz. Web sunucu parkimiz degisse bile Application Firewall ürünümüzü kullanmaya devam edebiliriz.
Dikkat etmemiz gereken son nokta ise ssl destegi Her üründe https/ssl destegi bulunmuyor.
Penetration Test
O kadar çok güvenlik ürünü kullaniyoruz ki. Firewall, antivirus sistemleri, ag tabanli ve sunucu tabanli IDS/IPS sistemleri, güvenlik tarama yazilimlari, SSL Accelerator, VPN, Application Firewall, Security Enabled Router ve Switch’ler. Insan yazmaktan yoruluyor.
Yine de sistemler hack ediliyor. Öyleyse internet korsanlarindan daha hizli davranmaliyiz. Kurumsal güvenlik prosedürümüzü belirlemeli ve denetimlerini yapmaliyiz. Ayni zamanda bu denetimleri güvenlik uzmanlari ile paylasmaliyiz. Güvenlik sorunlarinin yegane sebebinin insan hatalari oldugunu unutmamaliyiz.
Hatalari internet korsanlarindan önce bulmak için önce sirket içi denetimleri yeterli hale getirmek daha sonra güvenlik uzmanlarinca gerekli denetim ve testlerin yapilmasini saglamak akillica bir yol olacaktir.
Ayni zamanda bugüne kadar yapmis oldugunuz güvenlik yatiriminin ne kadar verimli çalistigini ölçmek için de güvenlik denetimi ve penetration test hizmetlerinin alinmasi gerekir.
Bir sonraki sayimizda Atak Engelleme Sistemlerini hakkindaki yazimla Beyaz Sapka’da yer alacagim. Türkiye’de satilan tüm IPS ürünlerinin bagimsiz test sonuçlari, Gartner raporlari, Türkiye’de destegi ve teknik özellikleri konusunda yorumlarimi paylasacagim. Ayrica IPS ürünlerinin birkaç yil sonra ne gibi yeniliklerle karsimiza çikacagini da gelecek yazimda bulabilirsiniz.
KAYNAK:Uygulama-Guvenligi
