Web Application Firewall (WAF), bir web uygulamasının çeşitli güvenlik tehditlerine karşı korunmasını sağlayan bir ağ güvenlik önlemidir. WAF, bir web uygulamasının trafiğini inceleyerek geçersiz veya tehlikeli istekleri filtreleyerek bloke eder. Bu sayede, web uygulamasına saldırıların önüne geçilerek güvenlik açıklarının önlenmesi sağlanır.
WAF kullanım alanları şunlardır:
Web uygulamalarının güvenliğini artırmak
Özel bilgilere erişimi engellemek
Web uygulamalarına yönelik saldırıları bloke etmek
Verilerin kaybını önlemek
Web uygulamalarına yönelik bot saldırılarını engellemek
WAF, web uygulamalarının güvenliğini artırmak için kullanılan bir araçtır. Bu sayede, web uygulamasına yönelik saldırıların önüne geçilerek verilerin kaybı veya çalınması engellenir. WAF, aynı zamanda bot saldırılarına karşı da koruma sağlar ve böylece web uygulamasının performansını artırır.
WAF Konfigürasyonu Adımları
WAF konfigürasyon adımları Configuration -> WAF arayüzünün alt sayfalarında gerçekleştirilir. WAF konfigürasyon arayüzleri ile ilgili ayrıntılı bilgiye aşağıdaki sayfadan ulaşabilirsiniz.
1- Settings
WAF'ı kullanmak için Status aktifleştirilmelidir. Geriye kalan 3 seçenek zorunlu değildir eğer tanımlanmış Syslog Profile veya NFV (Network Function Virtualization) Profile ile eşleştirmek isterseniz seçebilirsiniz.
2- Persistency Policy
Yeni bir Persistency Policy oluşturulması gereklidir. Bu adımda karar verilmesi gereken önemli nokta hangi parametreye göre bir Persistency politikası oluşturulacağıdır. Targitas üzerinde aşağıdaki parametrelere göre Persistency politikası oluşturulabilir;
Source IP
Persistent Cookie
ASP Session ID
PHP Session ID
JSP Session ID
Insert Cookie
HTTP Header
URL Parameter
Source IP adresine göre Persistency Politikası oluşturarak rehbere devam edeceğiz. Aşağıdaki örnek konfigürasyonu Netmask değerini kendi ağınıza uygun düzenleyerek kullanabilirsiniz.
3- Server Profile
Single ve Balanced olmak üzere iki tür Server Profile oluşturulabilir. Single mod ile çalışan Server profili oluşturarak rehbere devam edeceğiz. Aşağıdaki sayfada Balanced mod ile ilgili bilgi alabilirsiniz.
Server Profile içerisinde Server oluşturmamız gereklidir. Aşağıda oluşturduğumuz örnek konfigürasyon bulunmaktadır.
Server'ın çalışacağı IP adresi ve port numarası belirlenmelidir.
Connection Limit ve Weight değerleri opsiyoneldir ve boş bırakılabilir.
Eğer isteniyorsa birden fazla Server oluşturulabilir. Server Profile'a bir isim verildikten sonra kaydedilmesi gereklidir.
4- Matchzone Profile
Bu adımda örnek olarak 2 adet Matchzone Profili oluşturacağız. Targitas sayesinde hem String hem de RegEx türde değer girebilirsiniz. Rehberimizde String türünde değerler gireceğiz.
Signature Politikası oluşturarak XSS, SQL Injection gibi yaygın OWASP Web zafiyetleri ve bilinen zararlı yazılım ve exploitlere ait Targitas içerisinde bulunan imzalar kullanılarak güvenlik önlemi alınabilir.
Signature Politikası ile ilgili varsayılan ayarları kullanabilirsiniz. Belirlenen ayarlar ve özelleştirme ile ilgili ek bilgi almak isterseniz aşağıdaki sayfadan bilgi alabilirsiniz.
Yukarıda varsayılan olarak belirlenmiş Signature Politikasını görebilirsiniz. Sadece Signature politikasının ismini belirleyip kaydedebilirsiniz.
6-Protection Profile
Bu adımda önceki adımlarda oluşturduğumuz WAF politikalarını kullanarak bir Protection profili oluşturacağız.
4.adımda oluşturduğumuz Matchzone profillerini UseURI profilleri içerisinde seçebiliriz.
5.adımda oluşturduğumuz Signature politikasını General Protection içerisinde seçebiliriz.
Protection profiline bir isim verdikten sonra konfigürasyonu kaydederek bu adımı tamamlıyoruz.
7- Block Response Profile
Bu adımda WAF sayesinde bloklanan paketlerden sonra yönlendirilmek istenen bir cevap profili oluşturabiliriz. Aşağıda basit bir örneği bulunmaktadır. Hata mesajının HTTP kodu ve Response belirlenebilir.
8- Web Application Policy
Son adımda önceki adımlarda oluşturduğumuz Politika ve Profilleri birleştirerek WAF Politikası oluşturacağız.
Bu adımda;
WAF'ın çalışacağı IP adresi
3.adımda oluşturduğumuz Server Profili ile eşleştirme
6.adımda oluşturduğumuz Protection Profili ile eşleştirme
7.adımda oluşturduğumuz Block Response Profili ile eşleştirme
yapılması yeterlidir. Diğer ayarlar varsayılan olarak bırakılabilir.
Yukarıdaki örnek konfigürasyon sayesinde WAF konfigürasyon adımlarını bitirebiliriz.
9- WAF CLI Konfigürasyonu
8 adımda Web arayüzünde gerçekleştirilen WAF konfigürasyonunun CLI üzerindeki karşılığı aşağıdaki gibidir:
!
security waf
enable
persistency-policy SourceIP_Persistency
type source-ip
ipv4-netmask /24
ipv6-netmask /128
timeout 600
matchzone-profile Blocked_Matchzone
type string
member /vulnerable
member /block
matchzone-profile Allowed_Matchzone
type string
member /pass
member /clear
block-response-profile Document_HataMesaji
http-code 403
server-profile Example_Document
type single
server Example_Server
ip 10.10.12.104
port 8080
connection-limit 10
weight 10
http2
ssl
enable
signature-policy Document_SignaturePolicy
rule css
action deny
severity high
enable
rule css-extended
action deny
severity high
no enable
rule sql-injection
action deny
severity high
enable
rule sql-injection-extended
action deny
severity high
no enable
rule generic-attacks
action deny
severity high
enable
rule generic-attacks-extended
action deny
severity high
no enable
rule malware
action deny
severity high
enable
rule known-exploits
action deny
severity high
enable
rule trojans
action deny
severity high
enable
protection-profile Document_ProtectionProfile
signature-policy Document_SignaturePolicy
blocked-user-agent-profile Blocked_Matchzone
allowed-user-agent-profile Allowed_Matchzone
blocked-cookie-profile Blocked_Matchzone
allowed-cookie-profile Allowed_Matchzone
blocked-http-header-profile Blocked_Matchzone
allowed-http-header-profile Allowed_Matchzone
blocked-uri-profile Blocked_Matchzone
allowed-uri-profile Allowed_Matchzone
web-application-policy Document_WAF_Policy
listen-ip 10.10.12.104
server-profile Example_Document
client-real-ip
block-proxy-requests
http-port 80
https-port 443
redirect-https
protection-profile Document_ProtectionProfile
monitor-only
block-response-profile Document_HataMesaji
!
WAF Monitoring
WAF Monitoring ile ilgili bilgilere aşağıdaki sayfadan ulaşabilirsiniz.
Komut satır arayüzünden WAF konfigürasyonu gerçekleştirmek için sayfasından ayrıntılı bilgi edinebilirsiniz.
