Merhaba, eğer açık kaynaklı almayacaksanız şartnamede eğitim talebinde de bulunun mutlaka. Web tabanlı saldırıları ve atak vektörlerini bilmeniz gerekmekte. Arka planda sunucularda çalışan işletim sisteminin özelliklerinden (OS command injection) uygulamanın yazıldığı dile kadar birçok bileşen var. Sonuçta koruduğunuz sistemler birçok sistemin birleşimi ve her sistemi hedefleyen saldırı tipleri bulunmakta. Örnek olarak yanlış yazılmış ve sql injectiona sebep olabilecek bir yazılımcı kodu yüzünden waf cihazınız bloklama yaptı diyelim haklı olarak ve siz de ilgili kodu yazan birimle iletişime geçtiniz. Normalde yanlış kodun düzeltilmesi gerekli ancak ülkemizde bu kültür maalesef oluşmadığından amiriniz "aman boşver aç gitsin" dedi ve siz de istemeye istemeye açmak durumunda kaldınız, o isteği ve o içeriğe sahip isteklere izin verdiniz. Bunu aslında yapmamanız lazım, sadece kullanıcısından emin olduğunuz ve o olayı açıp incelediğinizde gerçekten bir "false-positive" olarak değerlendirebiliyorsanız izin vermeniz ve bu izni de mümkün olduğu kadar süreli ve ilgili ip adresine ait olacak şekilde tanımlamanız gerekmekte. Bu gibi olaylarda nasıl davranacağınız tamamen waf'ın çalışma mantığını, web uygulamasının nasıl kodlandığını, sunucuların ve veritabanlarının özelliklerini vb. gibi değişkenleri bilmenizle alakalı.
Şahsi önerim, waf devreye alınmadan önce internetteki eğitim içeriklerine ve videolarına bakmanız (f5, imperva vb. gibi), devreye alındığında da öğrenme moduna düzgün alabilmek için uygulama sahipleriyle ortak çalışma yapmanız. Örnek olarak giriş ekranlarında kullanılacak parolalarda hangi karakterler izinli, uzunluk tanımı ne vb. gibi çok fazla değişken bulunmakta. Eğer bunları otomatik öğrenme modunda bırakırsanız ve sonra devreye alırsanız çok fazla false-positive durumu olabilir. Mesela öğrenme modu (2 hafta diyelim) boyunca hiç 15 karakterden uzun bir parola ya da hiç özel karakterlerle karşılaşmamış waf, öğrenme modu bittiğinde gelecek olan "1234512345123451" gibi 16 karakterli ya da "Aa11bb22@" gibi özel karaktere sahip şifrelerin girişini bloklayacaktır. Ama bunu uygulama sahibi ile konuşursanız o size hangi karakter kümelerinin kullanılabileceğini, en fazla ve en az gibi değerleri söyleyeceğinden bu tanımları elle yapma imkanınız bulunmaktadır. Bu tabii ki sadece şifre örneği için sadece, bunun gibi daha niceleri var. Yani sadece eğitim değil diğer birimlerle olacak iletişiminiz de waf yönetiminizi doğrudan etkileyecektir. Waf'ı belli bir koruma seviyesinde açıp sonradan bloklanan istek sahiplerinin geri dönüşüne göre false-positive'leri ayıklayarak erişim izni vermek güvenli bir yol başlangıçta tecrübesiz kişiler için. Bu arada her web uygulamasının "policy" ayarı birbirinden farklı ve ilgili uygulamaya yöneliktir. Ceylan BOZOĞULLARINDAN <[email protected]>, 17 Tem 2020 Cum, 09:32 tarihinde şunu yazdı: > Peki bir WAF nasıl yönetilmeli? Ya da bunun bir rehberi var mıdır? > Yönetecek personeli kendi içimizden seçeceğiz muhtemelen, bu personeli > nasıl kalifiye duruma getirebiliriz? Ya da şöyle soralım: eğer yönetecek > kişi tecrübesizse ha açık kaynak ha ticari aynı mı diyorsunuz? > > M.Oğuzhan Susam <[email protected]>, 16 Tem 2020 Per, 12:52 > tarihinde şunu yazdı: > >> Merhabalar, >> >> F5, Fortinet, Imperva, Citrix vs gibi markalar var fakat önemli olan >> hangi marka alınacağı değil WAF ı yönetecek kişinin araştırılması gerekir >> kanaatindeyim. WAF yönetmek ciddi uzmanlık gerektirir hem sistem hem >> yazılım algoritmaları hem de güvenlik alanlarında. Lakin en iyi WAF ı alıp >> koysanız yönetemedikten sonra çay kaşığından bir farkı yoktur. >> >> İyi çalışmalar. >> >> Ömer Faruk Çakır <[email protected]>, 16 Tem 2020 Per, 11:42 >> tarihinde şunu yazdı: >> >>> Merhaba hocam modsecurity incelemenizi tavsiye ederim >>> >>> 16 Tem 2020 Per, saat 10:42 tarihinde Ceylan BOZOĞULLARINDAN < >>> [email protected]> şunu yazdı: >>> >>>> Merhaba, >>>> >>>> Personeli olduğum Erciyes Üniversitesi için bir WAF araştırması >>>> yapmaktayız. Açık kaynak/ticari seçimini de henüz yapmış değiliz. Öncelikle >>>> bu konuda sizlerin fikirleri gerçekten bizler için çok faydalı olacaktır. >>>> >>>> Diğer bir husus ise hangi ürünü kullanmamız gerektiği. Bu konuda da >>>> kıymetli tavsiyelerinizi bekliyor olacağım. >>>> >>>> İyi çalışmalar, >>>> Ceylan. >>>> ------------------------------------------------- >>>> Üyelikten ayrılmak için >>>> [email protected] adresine mail atabilirsiniz. >>>> >>>> ------------------------------------------------- >>> >>> ------------------------------------------------- >>> Üyelikten ayrılmak için >>> [email protected] adresine mail atabilirsiniz. >>> >>> ------------------------------------------------- >> >> ------------------------------------------------- >> Üyelikten ayrılmak için >> [email protected] adresine mail atabilirsiniz. >> >> ------------------------------------------------- > > ------------------------------------------------- > Üyelikten ayrılmak için > [email protected] adresine mail atabilirsiniz. > > -------------------------------------------------
------------------------------------------------- Üyelikten ayrılmak için [email protected] adresine mail atabilirsiniz. -------------------------------------------------
