WAF (Web Application Firewall) isi isiniyor

19-3-2007

Öncelikle konumuz WAF yani Web Application Firewall' ları. Bunlar genelde IPS / IDS / Firewall etrafında dolanan uygulamalar.  Web server' a yada önündeki reverse proxy, load balancer vs. ye kurabiliyorsunuz çoğunu. Bu durum yazılımdan yazılıma farklılık gösteriyor.

ModSecurity, Apache için bu tarz popüler yazılımlardan biri, bunun yanında şu an bir çok ticari ve open source benzerleri bulunmakta. ASP.NET in yapısı bu tip eklemelere çok açık olduğundan tabii ki onun için de yeni WAF' lar çok sık karşımıza gelmeye başladı. Bunlardan biri de Fortify Defender (bende henüz security buddha da okudum).

Herşeyden öte herkesin bilmesi gerekiyor ki "out-of-the-box-protection" diye bir şey yok, bu tip korumaların hepsi geçilecektir, ama gene herkes bilmeli ki "defense-in-depth" bizim en önemli silahımızdır ve boş bırakılmamalıdır. Özellikle ASP.NET ve out of the box konusuna bir kaç ay içerisinde gene değineceğiz.

Nessus sisteminizde bir şey bulamadı ya da yılda 15.000$ ödediğiniz program sitenizde bir şey bulamadı diye sisteminizin güvenli olduğunu sandığınız gibi WAF kurduktan sonra da sitenizin güvenli olacağını sanıyorsanız güvenlik anlayışınızı bir daha gözden geçirmeniz gerekiyor.

Bu arada pardon ama o çok pahalı ve sexy kutulu firewall' unuzun da sizin kıçınızı kurtarma yeteneğine sahip değil.

Özetle,

 

İngilizce karakterli başlıklardan dolayı kusura bakmayın, aptal bir bug yüzünden ve üşenip bunu düzeltmediğimden bir süre bu şekilde idare edeceğiz.

Recent Blog Posts

See all of the blog posts