F5 WAF 101: Adım Adım Web Uygulama Güvenliği Rehberi

Giriş: Modern Web Uygulama Güvenliğine Genel Bakış

Web uygulamaları, kullanıcı verilerini işlemekten kritik sistemlere erişim sağlamaya kadar çeşitli işlevleri yerine getirir. Bu işlevler, bir yandan modern iş süreçlerinin temelini oluştururken, diğer yandan siber saldırılara açık hale gelir. Bu nedenle, web uygulama güvenliği, her büyüklükteki kuruluş için kritik bir öncelik olmalıdır.

Terminoloji ve Temel Kavramlar

BIG-IP Application Security Manager (ASM), F5’in Web Application Firewall (WAF) çözümüdür ve OSI modelinin 7. katmanında (uygulama katmanı) çalışır. ASM, HTTP/HTTPS trafiğini izleyerek, geleneksel ağ güvenlik duvarlarının ve müdahale tespit sistemlerinin ötesine geçen, uygulamaya özgü güvenlik sağlar.

ASM’nin Pozisyonu ve İşlevi

• BIG-IP Platformu: ASM, F5’in ADC (Application Delivery Controller) ailesinin bir parçası olarak çalışır ve yük dengeleme gibi işlevlerle entegre edilebilir.
• Uygulama Teslim Güvenlik Duvarı: ASM, “Application Delivery Firewall” kavramının bir parçası olarak hem negatif (bilinen saldırı imzaları) hem de pozitif (normal trafik öğrenimi) güvenlik modellerini uygular.

Neden WAF?

Bir WAF, geleneksel ağ güvenlik araçlarından farklı olarak, web uygulamalarını hedef alan karmaşık tehditlere karşı savunma sağlar. Bunlar arasında şunlar yer alır:

• OWASP Top 10: Cross-Site Scripting (XSS), SQL Injection gibi yaygın zafiyetler.
• Dinamik Tehditler: Uygulama mantığını, veri tabanlarını ve altyapıyı hedefleyen saldırılar.
• Veri Koruma: Kredi kartı numaraları, sosyal güvenlik numaraları gibi hassas bilgilerin sızdırılmasını önler.

ASM’nin Ayırt Edici Özellikleri

• Otomatik Öğrenme: ASM, uygulama trafiğini analiz ederek normal davranışı öğrenir ve anormallikleri tespit eder.
• Genişletilebilirlik: Hem hazır imza setleri hem de kullanıcı tanımlı imzalarla özelleştirilebilir.
• Entegrasyon: ASM, BIG-IP yük dengeleyicilerle çalışarak, HTTP isteklerini uygulama sunucusuna ulaşmadan önce kontrol eder ve gerektiğinde trafiği engeller.

A101 Serisinin Amacı

Bu seri, hem temel hem de ileri düzey web uygulama güvenliği konularını kapsar. Kullanıcıların ASM’nin konfigürasyonu, güvenlik politikası oluşturma, saldırı tespiti ve önleme gibi konularda uzmanlaşacaklardır. Seri boyunca şu yetkinlikler kazandırılacaktır:

• Web uygulama zafiyetlerinin tanımlanması ve önlenmesi.
• Güvenlik politikalarının tasarımı, dağıtımı ve optimizasyonu.
• OWASP Top 10 gibi yaygın tehditlere karşı etkili savunma mekanizmalarının uygulanması.
• Gerçek trafik verileriyle güvenlik politikalarının uyarlanması ve geliştirilmesi.

Bu çalışma, F5 Application Security Manager (ASM) ile web uygulama güvenliği hakkında kapsamlı bir rehber sunmaktadır. Adım adım dokümantasyon sayesinde, ASM’yi sıfırdan öğrenerek güvenlik politikalarını uygulama konusunda uzmanlaşabilirsiniz. Bu rehberde, temel kavramlardan başlayıp ileri düzey özelliklere kadar her konuyu detaylı bir şekilde ele alacağız.

1. Web Uygulama Temelleri

Özet: HTTP, HTML ve web uygulama bileşenlerini anlamak, ASM’nin temel işlevlerini öğrenmek için gereklidir.

• Chapter 1:
  • HTTP ve web uygulama bileşenlerinin temelleri.
  • Dosya türleri, URL’ler ve parametrelerin tanıtımı.

---

2. Web Uygulama Zafiyetleri

Özet: OWASP Top 10 listesindeki zafiyetler ve ASM ile bunlara karşı alınabilecek önlemler ele alınır.

• Chapter 2:
  • Web uygulama zafiyetlerinin tanımı.
  • OWASP Top 10 listesinin incelenmesi.

---

3. Güvenlik Politikası Dağıtımı

Özet: ASM ile güvenlik politikaları oluşturmayı ve dağıtmayı öğrenerek uygulamalarınızı koruma altına alabilirsiniz.

• Chapter 3:
  • Yerel trafik politikaları ve ASM.
  • Pozitif ve negatif güvenlik modelleri.
  • Rapid Deployment Template ile güvenlik politikası oluşturma.
  • Data Guard ile veri sızıntısını önleme.

---

4. Saldırı İmzaları

Özet: Farklı saldırı imzası setlerini yöneterek, ASM’nin tehditleri daha etkili şekilde algılamasını sağlayabilirsiniz.

• Chapter 4:
  • Saldırı imzası setleri ve kullanıcı tanımlı imzalar.

---

5. Pozitif Güvenlik Politikası Oluşturma

Özet: Web uygulamalarını korumak için pozitif güvenlik politikası oluşturma yöntemlerini ele alır.

• Chapter 5:
  • Dosya türleri, URL’ler ve parametrelerin güvenlik politikalarına dahil edilmesi.
  • İhlaller, öğrenme şemaları ve sahneleme (staging).

---

6. Çerez Yönetimi ve Başlıklar

Özet: Çerezlerin güvenli bir şekilde işlenmesi ve diğer HTTP başlıklarının yönetimi açıklanır.

• Chapter 6:
  • Çerez işleme ve güvenlik politikası entegrasyonu.

---

7. Raporlama ve İzleme

Özet: ASM’nin sağladığı raporlama araçları ile güvenlik olaylarını izleme ve raporlama yöntemleri ele alınır.

• Chapter 7:
  • Yerel ve uzak loglama.
  • Yanıt loglama.

---

8. ASM Kullanıcı Rolleri ve Dağıtımlar

Özet: ASM’nin kullanıcı rolleri, güvenlik politikası düzenleme ve dağıtım senaryoları hakkında bilgi verir.

• Chapter 8:
  • ASM kullanıcı rolleri ve güvenlik politikası düzenleme.
  • Politika senkronizasyonu ve ASM dağıtım türleri.

---

9. Uygulamalı Projeler

Özet: Gerçek trafik senaryoları üzerinden ASM yapılandırmasını öğrenerek pratik yapabilirsiniz.

• Chapter 9:
  • ASM Uygulama Projesi.

---

10. Gelişmiş Parametre Yönetimi

Özet: Statik ve dinamik parametrelerin yönetimi ile veri sızıntılarını önlemeyi kapsar.

• Chapter 10:
  • Statik ve dinamik parametrelerin korunması.

---

11. Uygulama Güvenlik Şablonları

Özet: ASM’nin sunduğu hazır şablonları kullanarak uygulama güvenliğini hızla sağlamayı öğrenin.

• Chapter 11:
  • Uygulamaya özel güvenlik şablonları.

---

12. Gerçek Trafik Politika Oluşturucu

Özet: Gerçek trafik senaryolarını analiz ederek güvenlik politikaları oluşturmayı kapsar.

• Chapter 12:
  • Trafik politikası oluşturma ve yönetme.

---

13. İleri Düzey Konular

Özet: Anomali algılama, DoS önleme ve IP adres istisnaları gibi ileri düzey güvenlik özellikleri ele alınır.

• Chapter 13:
  • Anomali algılama.
  • Hizmet Reddi saldırılarını (DoS) önleme.
  • Coğrafi konum ve IP adres istisnaları.

14. URL Zorlaması ve Oturum Takibi

Özet: ASM’nin URL güvenliği ve oturum yönetimi özellikleri ile kullanıcı işlemlerini kontrol altında tutun.

• Chapter 14:
  • Giriş sayfaları üzerinden URL zorlaması.
  • Oturum takibi ve akış kontrolü.

---

15. Anomali Algılama ve DoS Mitigasyonu

Özet: Anormal trafik davranışlarını algılayarak DoS saldırılarına karşı sisteminizi koruyun.

• Chapter 16:
  • Anomali algılama teknikleri.
  • DoS (Denial of Service) saldırılarını önleme.
  • Coğrafi konum tabanlı kurallar ve IP adres istisnaları.
  • Web kazıma (scraping) koruması.

---

16. ASM ve iRules

Özet: ASM’nin iRules entegrasyonu ile özelleştirilmiş trafik kontrolü ve güvenlik politikaları oluşturma.

• Chapter 16:
  • iRules kullanımı ve ASM ile entegrasyon.
  • Dinamik trafik yönlendirme ve inceleme.