Https zaafından bahsettik ancak http protokolünden hiç bahsetmedik. Https için geçerli olan tüm riskler http için de geçerlidir. Dolayısı ile bu yazı https ve http güvenliğini kapsar. Web güvenliğini düşündüğümüzde 4 temel güvenlik adımı üzerinde durabiliriz.

Güvenli Yazılım

Tüm güvenlik açıkları hatalı kod yazılması ile ortaya çıkar. Açık istemiyorsak kodlarımız sağlam olmalıdır. Güvenli yazılım için yazılım ekibini eğitimli ve tecrübeli kişilerden oluşturmalıyız. Elbette tek etken bu değil. Neticede bir web uygulamasında binlerce aktif sayfa çalışır ve insan hatası sebebiyle bazılarında hata bulunması kaçınılmazdır. Hatalı kod üretimini engellemek için kodları analiz eden ve hataları tespit edip önerilerde bulunan yazılımlar kullanılmalıdır. Yazılım geliştirme platformu oldukça geniş bir yelpazeye sahiptir. Bu sebeple uygun kod denetimi yazılımını bulmak için güvenlik danışmanınıza ve uygulama geliştirme platformu üreticinize danışmanızı öneririm.

Sunucu Tabanlı Atak Engelleme Sistemi

Sonuçta tüm https ve http istekleri web sunucuları üzerinde işleme tabi tutulur. Sunucu Tabanlı Atak Engelleme Sistemleri (HIPS) bilinen ve bilinmeyen açıklara karşı koruma sağlayabilir. Doğru HIPS seçimi için korunacak sistemin analizi yapılması gerekir. Örneğin korumamız gereken platformda bir Microsoft SQL sunucusu bulunuyorsa, kullanacağımız HIPS sisteminin de Microsoft SQL destekli bir ürün olması gerekir. HIPS üreticilerinin bazılarında değişik platformlar için değişik çözümler mevcuttur. Doğru seçimi ve konfigürasyonu yaratmak için güvenlik danışmanınıza başvurmanız gerekir.

Application Firewall

Application Firewall ürünleri uygulamaları korumak üzere dizayn edilmiş özel ürünlerdir. Bu ürünlerde Cookie/session poisoning, Sql injection veya Cross-site scripting gibi atakların tamamına karşı koruma kalkanı bulunur.

Yukarıda bahsettiğimiz gibi yazılım geliştirme ekibi binlerce sayfa kod yazarken bazılarında hata yapmış olabilir. Application Firewall ürünü atak tiplerini bildiği için gözden kaçmış bu hatalı kodlara yapılacak atakları engeller. Ayrıca uygulamada hata bulunmasa bile, sisteme özel bilgileri web ziyaretçilerinden ve atak yapanlardan saklayacaktır.

Application Firewall piyasası oldukça karmaşık görünüyor. 1.000USD fiyatı olan ürünler de mevcut 30.000USD fiyatı olan ürünler de. Tabi fiyatı düşük ürünlerin bu kadar ucuza satılması bir tesadüf değil. Nitekim Microsoft tarafından ücretsiz olarak sağlanan yazılımlar ile (IISLock ve URLScan) bu ucuz Application Firewall ürünleri arasında çok büyük bir fark bulunmuyor.

Ancak çok ciddi işler yapabilen ürünler de mevcut. Bunların bir kısmı yazılım olarak sunuluyor bir kısmı da kendi özel donanımlara sahip. F5 Networks TrafficShield, SecureComputing G2 Firewall/Security Appliance, Imperva, InterDo, NetContinuum, AirLock ve e-Gap gibi ürünler sektörde yer edinmiş ve kaliteleri ile kendilerini ispatlamış ürünlerdir.

Application Firewall ürününü seçerken yine koruyacağımız bilgiyi ve platformu göz önünde bulundurmamız gerekiyor.

Öncelikle koruyacağımız uygulamayı belirlemeliyiz. Sadece web uygulaması koruyacaksak işimiz daha kolay. Ancak bilgi bankalarını koruyacaksak kullanabileceğimiz ürünler azalıyor.

Seçim sırasında önemli olan diğer bir nokta da platformumuz. Application Firewall ürünlerinin bir kısmı direk web sunucusu üzerine yükleniyor. Microsoft IIS için geliştirilmiş bir ürünü Linux sistemimiz için düşünemeyiz normal olarak. Kendi donanımına sahip olan ürünler bu noktada öne çıkıyor, çünkü platform bağımsız. Web sunucu parkımız değişse bile Application Firewall ürünümüzü kullanmaya devam edebiliriz.

Dikkat etmemiz gereken son nokta ise ssl desteği Her üründe https/ssl desteği bulunmuyor.

Penetration Test

O kadar çok güvenlik ürünü kullanıyoruz ki. Firewall, antivirus sistemleri, ağ tabanlı ve sunucu tabanlı IDS/IPS sistemleri, güvenlik tarama yazılımları, SSL Accelerator, VPN, Application Firewall, Security Enabled Router ve Switch’ler. İnsan yazmaktan yoruluyor.

Yine de sistemler hack ediliyor. Öyleyse internet korsanlarından daha hızlı davranmalıyız. Kurumsal güvenlik prosedürümüzü belirlemeli ve denetimlerini yapmalıyız. Aynı zamanda bu denetimleri güvenlik uzmanları ile paylaşmalıyız. Güvenlik sorunlarının yegane sebebinin insan hataları olduğunu unutmamalıyız.

Hataları internet korsanlarından önce bulmak için önce şirket içi denetimleri yeterli hale getirmek daha sonra güvenlik uzmanlarınca gerekli denetim ve testlerin yapılmasını sağlamak akıllıca bir yol olacaktır. Aynı zamanda bugüne kadar yapmış olduğunuz güvenlik yatırımının ne kadar verimli çalıştığını ölçmek için de güvenlik denetimi ve penetration test hizmetlerinin alınması gerekir.

Bir sonraki sayımızda Atak Engelleme Sistemlerini hakkındaki yazımla Beyaz Şapka’da yer alacağım. Türkiye’de satılan tüm IPS ürünlerinin bağımsız test sonuçları, Gartner raporları, Türkiye’de desteği ve teknik özellikleri konusunda yorumlarımı paylaşacağım. Ayrıca IPS ürünlerinin birkaç yıl sonra ne gibi yeniliklerle karşımıza çıkacağını da gelecek yazımda bulabilirsiniz