Https zaafýndan bahsettik ancak http protokolünden hiç bahsetmedik. Https için geçerli olan tüm riskler http için de geçerlidir. Dolayýsý ile bu yazý https ve http güvenliðini kapsar. Web güvenliðini düþündüðümüzde 4 temel güvenlik adýmý üzerinde durabiliriz.
Güvenli Yazýlým
Tüm güvenlik açýklarý hatalý kod yazýlmasý ile ortaya çýkar. Açýk istemiyorsak kodlarýmýz saðlam olmalýdýr. Güvenli yazýlým için yazýlým ekibini eðitimli ve tecrübeli kiþilerden oluþturmalýyýz. Elbette tek etken bu deðil. Neticede bir web uygulamasýnda binlerce aktif sayfa çalýþýr ve insan hatasý sebebiyle bazýlarýnda hata bulunmasý kaçýnýlmazdýr. Hatalý kod üretimini engellemek için kodlarý analiz eden ve hatalarý tespit edip önerilerde bulunan yazýlýmlar kullanýlmalýdýr. Yazýlým geliþtirme platformu oldukça geniþ bir yelpazeye sahiptir. Bu sebeple uygun kod denetimi yazýlýmýný bulmak için güvenlik danýþmanýnýza ve uygulama geliþtirme platformu üreticinize danýþmanýzý öneririm.
Sunucu Tabanlý Atak Engelleme Sistemi
Sonuçta tüm https ve http istekleri web sunucularý üzerinde iþleme tabi tutulur. Sunucu Tabanlý Atak Engelleme Sistemleri (HIPS) bilinen ve bilinmeyen açýklara karþý koruma saðlayabilir. Doðru HIPS seçimi için korunacak sistemin analizi yapýlmasý gerekir. Örneðin korumamýz gereken platformda bir Microsoft SQL sunucusu bulunuyorsa, kullanacaðýmýz HIPS sisteminin de Microsoft SQL destekli bir ürün olmasý gerekir. HIPS üreticilerinin bazýlarýnda deðiþik platformlar için deðiþik çözümler mevcuttur. Doðru seçimi ve konfigürasyonu yaratmak için güvenlik danýþmanýnýza baþvurmanýz gerekir.
Application Firewall
Application Firewall ürünleri uygulamalarý korumak üzere dizayn edilmiþ özel ürünlerdir. Bu ürünlerde Cookie/session poisoning, Sql injection veya Cross-site scripting gibi ataklarýn tamamýna karþý koruma kalkaný bulunur.
Yukarýda bahsettiðimiz gibi yazýlým geliþtirme ekibi binlerce sayfa kod yazarken bazýlarýnda hata yapmýþ olabilir. Application Firewall ürünü atak tiplerini bildiði için gözden kaçmýþ bu hatalý kodlara yapýlacak ataklarý engeller. Ayrýca uygulamada hata bulunmasa bile, sisteme özel bilgileri web ziyaretçilerinden ve atak yapanlardan saklayacaktýr.
Application Firewall piyasasý oldukça karmaþýk görünüyor. 1.000USD fiyatý olan ürünler de mevcut 30.000USD fiyatý olan ürünler de. Tabi fiyatý düþük ürünlerin bu kadar ucuza satýlmasý bir tesadüf deðil. Nitekim Microsoft tarafýndan ücretsiz olarak saðlanan yazýlýmlar ile (IISLock ve URLScan) bu ucuz Application Firewall ürünleri arasýnda çok büyük bir fark bulunmuyor.
Ancak çok ciddi iþler yapabilen ürünler de mevcut. Bunlarýn bir kýsmý yazýlým olarak sunuluyor bir kýsmý da kendi özel donanýmlara sahip. F5 Networks TrafficShield, SecureComputing G2 Firewall/Security Appliance, Imperva, InterDo, NetContinuum, AirLock ve e-Gap gibi ürünler sektörde yer edinmiþ ve kaliteleri ile kendilerini ispatlamýþ ürünlerdir.
Application Firewall ürününü seçerken yine koruyacaðýmýz bilgiyi ve platformu göz önünde bulundurmamýz gerekiyor.
Öncelikle koruyacaðýmýz uygulamayý belirlemeliyiz. Sadece web uygulamasý koruyacaksak iþimiz daha kolay. Ancak bilgi bankalarýný koruyacaksak kullanabileceðimiz ürünler azalýyor.
Seçim sýrasýnda önemli olan diðer bir nokta da platformumuz. Application Firewall ürünlerinin bir kýsmý direk web sunucusu üzerine yükleniyor. Microsoft IIS için geliþtirilmiþ bir ürünü Linux sistemimiz için düþünemeyiz normal olarak. Kendi donanýmýna sahip olan ürünler bu noktada öne çýkýyor, çünkü platform baðýmsýz. Web sunucu parkýmýz deðiþse bile Application Firewall ürünümüzü kullanmaya devam edebiliriz.
Dikkat etmemiz gereken son nokta ise ssl desteði Her üründe https/ssl desteði bulunmuyor.
Penetration Test
O kadar çok güvenlik ürünü kullanýyoruz ki. Firewall, antivirus sistemleri, að tabanlý ve sunucu tabanlý IDS/IPS sistemleri, güvenlik tarama yazýlýmlarý, SSL Accelerator, VPN, Application Firewall, Security Enabled Router ve Switch’ler. Ýnsan yazmaktan yoruluyor.
Yine de sistemler hack ediliyor. Öyleyse internet korsanlarýndan daha hýzlý davranmalýyýz. Kurumsal güvenlik prosedürümüzü belirlemeli ve denetimlerini yapmalýyýz. Ayný zamanda bu denetimleri güvenlik uzmanlarý ile paylaþmalýyýz. Güvenlik sorunlarýnýn yegane sebebinin insan hatalarý olduðunu unutmamalýyýz.
Hatalarý internet korsanlarýndan önce bulmak için önce þirket içi denetimleri yeterli hale getirmek daha sonra güvenlik uzmanlarýnca gerekli denetim ve testlerin yapýlmasýný saðlamak akýllýca bir yol olacaktýr. Ayný zamanda bugüne kadar yapmýþ olduðunuz güvenlik yatýrýmýnýn ne kadar verimli çalýþtýðýný ölçmek için de güvenlik denetimi ve penetration test hizmetlerinin alýnmasý gerekir.
Bir sonraki sayýmýzda Atak Engelleme Sistemlerini hakkýndaki yazýmla Beyaz Þapka’da yer alacaðým. Türkiye’de satýlan tüm IPS ürünlerinin baðýmsýz test sonuçlarý, Gartner raporlarý, Türkiye’de desteði ve teknik özellikleri konusunda yorumlarýmý paylaþacaðým. Ayrýca IPS ürünlerinin birkaç yýl sonra ne gibi yeniliklerle karþýmýza çýkacaðýný da gelecek yazýmda bulabilirsiniz
Saygýlar..
|