WAF (Web Application Firewall) isi isiniyor
Okuyucu : 1.397
Günlük Okuyucu : 3,3
Öncelikle konumuz WAF yani Web Application Firewall' ları. Bunlar genelde IPS / IDS / Firewall etrafında dolanan uygulamalar. Web server' a yada önündeki reverse proxy, load balancer vs. ye kurabiliyorsunuz çoğunu. Bu durum yazılımdan yazılıma farklılık gösteriyor.
ModSecurity, Apache için bu tarz popüler yazılımlardan biri, bunun yanında şu an bir çok ticari ve open source benzerleri bulunmakta. ASP.NET in yapısı bu tip eklemelere çok açık olduğundan tabii ki onun için de yeni WAF' lar çok sık karşımıza gelmeye başladı. Bunlardan biri de Fortify Defender (bende henüz security buddha da okudum).
Herşeyden öte herkesin bilmesi gerekiyor ki "out-of-the-box-protection" diye bir şey yok, bu tip korumaların hepsi geçilecektir, ama gene herkes bilmeli ki "defense-in-depth" bizim en önemli silahımızdır ve boş bırakılmamalıdır. Özellikle ASP.NET ve out of the box konusuna bir kaç ay içerisinde gene değineceğiz.
Nessus sisteminizde bir şey bulamadı ya da yılda 15.000$ ödediğiniz program sitenizde bir şey bulamadı diye sisteminizin güvenli olduğunu sandığınız gibi WAF kurduktan sonra da sitenizin güvenli olacağını sanıyorsanız güvenlik anlayışınızı bir daha gözden geçirmeniz gerekiyor.
Bu arada pardon ama o çok pahalı ve sexy kutulu firewall' unuzun da sizin kıçınızı kurtarma yeteneğine sahip değil.
Özetle,
- WAF pazarının büyüyeceği bundan 3-4 sene önceye kadar belliydi ancak şu an piyasada o zamana göre daha kaliteli ve deneyimli bir dizi çözüm bulabiliyoruz,
- WAF sizi kendi kendine koruyamaz ama size çok yardım edebilir ve diğer güvenlik önlemlerinin yanında düşünülmelidir,
- Kendi başına güvenlik açığı taşıyabilecek WAF lar hakkında iki defa düşünülmelidir bence (bu çok kişisel bir görüş ve fazlasıyla argümana açık). Kendi başına güvenlik açığı taşıma potansiyeline en güzel örnek; C/C++ ile yazılmış bir WAF' tır, kendinizi daha güvenli hale getirmeye çalışırken korunması gereken yeni bir servis edinmeye gerek yok.
İngilizce karakterli başlıklardan dolayı kusura bakmayın, aptal bir bug yüzünden ve üşenip bunu düzeltmediğimden bir süre bu şekilde idare edeceğiz.
Yorumlar
Aşağıdaki form aracılığı ile yorumlarınızı ve fikirlerinizi gönderebilirsiniz. Henüz bu konu hakkında bir yorum yazılmamış.
Yorum Ekle
WAF (Web Application Firewall) isi isiniyor ile İlişkili Olabilecek Yazılar - Haberler
Devlet Sistemlerinin GüvenliğiSubsonic PageIndex Problemi ve DoS
Web Güvenlik Topluluğu 9 Mart Kadıköy Buluşması
Hala Güvenli misiniz?
Neden Yazmıyorum? Ne Yazıyorum?
Diğer Yazılar
Watchfire Power Tools
Web 2.0 Kedimi Yedi
Web Güvenliği Günleri
Web Güvenliği Günleri - İzmir
Web Güvenliği Günleri 1 Dosyalar Yayınlandı
Web Güvenliği Günleri 1 Videoları
Web Güvenliği Günleri 2 - Ankara ve 3 İzmir Sunumları
Web Güvenliği Günleri I - İzlenimler
Web Güvenliği Günleri Kayıtları
Web Güvenlik Topluluğu 9 Mart Kadıköy Buluşması
Web İstatistikleri ve Görsellik
Web Robots Database
Web Spam Aracı
Web Uygulamalarında Kullanılabilirlik
Web Uygulaması Güvenlik Uzmanı Anketi
Web Wiz Forums Registration Rules XSS Vulnerability
Web Wiz Forums XSS Açığı
Webbug Makalesi
WeBekci ModSecurity icin web tabanli yonetici
Neredeyim ?
Ferruh.Mavituna » Aç Karna Güvenlik » WAF (Web Application Firewall) isi isiniyor