FortiWeb- Güçlendirme Güvenliği

FortiWeb- Güçlendirme Güvenliği

FortiWeb, hem web sitelerinizin hem de web uygulamalarınızın güvenliğini arttırması için tasarlanmıştır. FortiWeb cihazınızı tam ve doğru bir şekilde konfigüre ettiğinizde, bir sistemi tehlikeye atmak için saldırganların yaygın olarak kullandıkları açıkları otomatik olarak kapatabilir. Bu makalemizde sizlere FortiWeb cihazınızı daha da güçlendirebilmeniz için FortiWeb Güçlendirme Güvenliği hakkında best practice tavsiyelerimizi paylaşacağız.

Topoloji

  • Web serverlarınızı korumak için, FortiWeb cihazınızı web serverları ile FortiGate gibi genel amaçlı bir firewall arasına kurun. FortiWeb, bu genel amaçlı firewalları tamamlar ancak tamamen yerini almaz. Bu yüzden ayrıca bir genel amaçlı firewall kullanmalısınız. FortiWeb cihazları, özellikle HTTP/HTTPS tehditlerine karşı koruma için tasarlanmıştır. FortiGate gibi genel amaçlı firewallar, networkun alt katmanlarında koruma sağlamak için çok daha fazla özelliğe sahiptir.
  • Web trafiğinin karmaşık bir ağ ortamında FortiWeb cihazını es geçmediğinden emin olun.
  • X-Forwarded-For: ve X-Real-IP: gibi HTTP başlıklarının sızdırılmasını önlemek için diğer güvenilir yük dengeleyicilerin veya web proxy’lerinin IP adreslerini tanımlayın.
  • Trafik almaması gereken tüm network arayüzlerini devre dışı bırakın. Örneğin, management erişimi tipik olarak port1 üzerinden yapılıyorsa, İnternet port2’ye ve web serverları port3’e bağlıysa, port4devre dışı bırakılır (bring down/ görselde olduğu gibi). Bu, fiziksel erişimi olan bir saldırganın bir kabloyu port4’e bağlamasını ve böylece konfigürasyon yanlışlıkla izin verdiğinde saldırganının erişimini engeller.

port2’yi devre dışı bırakma System > Network > Interface

FortiWeb Güçlendirme Güvenliği

Administrator Erişimi

  • İlk FortiWeb kurulumu sırasında yapabildiğiniz en kısa sürede, varsayılan yöneticiye, admin parolası vermelisiniz. Bu super-administrator hesabı, mümkün olan maksimum izin düzeyine sahiptir ve bu izinlere erişim sınırlı sayıda kişi ile sınırlandırılmalıdır.
  • Tüm yönetici parolalarını düzenli periyotlarla değiştirin. Örneğin Her 60 günde bir olabilecek gibi bir policy belirleyin ve düzenli olarak uygulayın. Parola iletişim kutusunu ortaya çıkarmak için Edit Password simgesini tıklayabilirsiniz.
  • FortiWeb cihazına herhangi bir kaynaktan Administrator erişimine izin vermeyin. Bunun yerine, güvenilir dahili host bilgisayarlarla sınırlandırın (::/0 IPv6 girişleri yok sayılır, ancak tüm IPv4 girişlerini konfigüre etmelisiniz.)
  • Yönetim için seçtiğiniz bilgisayarlarda sıkı yama ve güvenlik policyleri uygulayın. Saldırganların olası herhangi bir güvenlik açığından ele geçirebileceği bilgileri azaltmak için bu bilgisayarlara indirdiğiniz herhangi bir FortiWeb konfigürasyonun yedeklemesini her zaman parolayla şifreleyin.
  • Tüm yeni administrator için varsayılan administrator erişim profilini kullanmayın. Yeni administrator hesaplarının sorumluluklarına göre uyarlanmış sınırlı izinlere sahip bir veya daha fazla erişim profili oluşturun.
  • Varsayılan olarak, bir administrator oturumu 5 dakikadan fazla boş kaldığında zaman aşımına uğrar. Bu seçeneği Idle Timeout’ta daha uzun bir bekleme süresi olacak şekilde değiştirebilirsiniz ancak Fortinet bunu önermemektedir. Çünkü oturum boş bırakıldığında, bir web kullanıcı arayüzü veya CLI oturumu, bilgisayarınıza fiziksel erişimi olan herkesin FortiWeb ayarlarını değiştirmesine izin verebilir beş dakika gibi küçük zaman aşımları bu riski azaltır.
  • Yönetici şifreleri en az 8 karakter uzunluğunda ve hem rakam hem de harf içerecek şekilde olmalıdır. Ek güvenlik için, daha güçlü parolaların kullanımını zorlamak üzere Password Policy’ni kullanın.

Parola Dialog’unu Değiştirmek için System > Admin > Administrators

FortiWeb Güçlendirme Güvenliği

Parola Dialog’unu oluşturmak için System > Admin > Administrators

FortiWeb Güçlendirme Güvenliği

Şifreleri ve idle timeout (boşta kalma zamanı) Güçlendirme System > Admin > Settings

FortiWeb Güçlendirme Güvenliği
FortiWeb Güçlendirme Güvenliği

Administrator erişimini tek bir ağ arabirimine (genellikle port1) kısıtlayın ve yalnızca System > Network > Interface’de gereken yönetim erişim protokollerine izin verin

FortiWeb Güçlendirme Güvenliği

Yalnızca en güvenli protokolleri kullanın. Sorun giderme dışında, PING’i devre dışı bırakın. Ağ arabirimi yalnızca güvenilir, özel bir yönetim ağına bağlanmıyorsa, HTTP , SNMP ve Ağ ayarlarını konfigürasyonunu devre dışı bırakın.

System > Network > Interface üzerinde Edit Interface iletişim kutusunda kabul edilen yönetim protokollerini kısıtlama

  • Trafik almaması gereken tüm ağ ara yüzlerini devre dışı bırakın. Örneğin, yönetim erişimi tipik olarak port1 üzerinden yapılıyorsa, İnternet port2’ye ve web sunucuları port3’e bağlıysa, port4’ü devre dışı bırakırsınız (“bring down”). Bu, fiziksel erişimi olan bir saldırganın bir kabloyu port4’e bağlamasını ve böylece konfigürasyonunun yanlışlıkla izin vermesinin önüne geçer.
  • FortiWeb yönetici hesaplarınıza güvenilir ana bilgisayar filtreleri uygulamaya benzer şekilde , güvenilmeyen ağlardan web uygulamalarınızın her birinin yönetici hesaplarına potansiyel olarak kötü niyetli erişimi sınırlamak için URL erişim kontrol kuralları uygulayın.

Kullanıcı erişimi

  • Kullanıcıların kimliklerini yalnızca HTTPS gibi şifrelenmiş kanallar üzerinden doğrulayın ve karşılıklı kimlik doğrulama gerektirir. Web sunucusu veya FortiWeb sertifikasını göstermelidir ancak istemci de aynı zamanda sertifikasını göstererek kimlik doğrulaması yapmalıdır. Parola tabanlı kimlik doğrulama, PKI kimlik doğrulamasından daha az güvenlidir. 
  • Güvenliği ihlal edilmiş sertifikaları hemen iptal edin. Yapabiliyorsanız, sertifika iptal listelerinin dağıtımını otomatik hale getirebilirsiniz.

İmzalar ve yamalar

  • Yeni güvenlik özelliklerinden ve kararlılık geliştirmelerinden yararlanmak için mevcut en son üretici yazılımına yükseltin. 
  • Virüsler, önceden tanımlanmış robotlar, veri türleri, URL kalıpları, itibarsız istemciler ve saldırı imzaları için yeni tanımlardan yararlanmak için FortiWeb hizmetlerini kullanın .
  • Güncelleme yöntemleri şunlardan biri olabilir:
    • Manuel
    • Otomatik

System > Config > FortiGuard

  • FortiWeb FortiGuard Abonelik Hizmetlerini düzenli olarak güncelleyin .
  • Güncellemeleri sık sık planlayın.

Arabelleği Güçlendirme

Trafiği analiz ederken, FortiWeb’in HTTP ayrıştırıcısı, istek veya yanıttaki her bir parçayı çıkarmalı ve ara belleğe almalıdır. Ara belleği (Buffer), FortiWeb’in bitmiş trafiği engellemeye veya iletmeye karar vermeden önce onu taramasını ve tekrardan yazımını sağlar. Arabellek (Buffer) sınırsız değildir. Tüm RAM’lerin doğasında bulunan fiziksel sınırlamalar nedeniyle, onlara bir maksimum boyut tahsis edilmiştir. İsteğin veya yanıtın parçası arabelleğe sığmayacak kadar büyükse, FortiWeb bu parçanını analizini yapmadan trafiği geçmeli ya da durdurmalıdır.

Özetler pratik olarak oversized istekler pek sık gerçekleşmez ancak oldukları zaman da zararsız olabilirler. Film yüklemeleri yaygın bir örnektir. Şifrelenmiş değerlere sahip birçok veritabanı sorgusunu içeren HTTP GET istekleri başka bir örnektir. Bu durumlarda, arabelleğin güçlendirilmesi normal kullanım sırasında birçok hatalı pozitif sonuç verebilir. Bu tür hatalardan uzak durulmalıdır çünkü yanlış bilgi akışı sizi gerçek saldırılardan uzaklaştırabilir.

Saldırılar açısından, tek bir saldırgandan gelen büyük DoS saldırıları elverişsizdir. Kötü niyetli aktör host bilgisayar kendi bant genişliğini veya CPU’sunu web serverının işleyebileceğinden daha hızlı tüketmesi gerekiyorsa saldırı başarısız olur. Bu nedenle DoS istek trafiğinin aşırı boyutlandırılması olası değildir.

Ancak saldırmaya kararlı saldırganlar, bir istismarı örtmek için genellikle büyük boyutlu istekler oluşturur. Yükü tarama arabelleğinin ötesine taşımak için bir saldırıyı zararsız verilerle doldurma taktikleri, daha bilgili, motive APT saldırganları, Metasploit için istismar paketleri ve nihayetinde komut dosyası çocuklarının eline geçen diğer araçları tercih ederler. Bu buffer saldırılar, arabellek taşması saldırılarına benzer şekilde, doğal sınırları aşmaya ve bunlardan yararlanmaya çalışır. Bir istek arabelleğe sığmazsa, muhtemelen padded bir saldırı olabilir.

Web uygulamalarınızın çalışması için oversized isteklerin çalışması gerekli değilse, büyük boyutlu istekleri engelleyerek güvenliği güçlendirebilirsiniz. Bunun için Hatalı Biçimlendirilmiş İstek vb. ile HTTP kısıtlamalarını konfigüre edin. Ayrıca, müzik veya film yüklemeleri gibi arabellek sınırlamalarını yok saymanızı gerektiren URL’ler için istisnaları da konfigüre edin.

Uygun HTTP kısıtlamalarınızı belirlemek için önce normal trafiğinizi inceleyin. FortiWeb’in arabellek sayıları ve maksimum boyutları ile karşılaştırın .

FortiWeb arabellek yapılandırması

ArabellekLimitOversized istekleri kullanarak engelleme
URL boyutu, eklenen parametreler ve parametre sınırlayıcı ( ? ) (ör. /path/to/app)Genellikle 2 KBHatalı Biçimlendirilmiş İstek
URL parametrelerinin toplam boyutuArabellek BufferToplam URL Parametreleri Uzunluğu
URL parametresinin bireysel boyutuKonfigüre edilebilir. http-cachesize için FortiWeb CLI Referansına bakınHatalı Biçimlendirilmiş İstek
Parametre sayısı64Hatalı Biçimlendirilmiş İstek
HTTP başlık satırlarının toplam boyutu4 KBBaşlık Uzunluğu
HTTP başlık satırının bireysel boyutuBuffer/arabellekToplam URL Parametreleri Uzunluğu
HTTP başlık satırı sayısı32İstekteki Başlık Satırı Sayısı
Çerezlerin toplam boyutu2 KBHatalı Biçimlendirilmiş İstek
Çerez sayısı32Talep Edilen Cookies Sayısı
Adobe Flash (AMF) parametrelerinin toplam boyutuTamponToplam URL Parametreleri Uzunluğu
Adobe Flash (AMF) parametrelerinin sayısı32Hatalı Biçimlendirilmiş İstek
Dosya yüklemelerinin toplam boyutuBuffer / arabbellekGövde uzunluğu
Dosya yükleme sayısı8Hatalı Biçimlendirilmiş İstek

Geçerli, uygulanabilir HTTP’yi zorlama

  • Web sunucunuz GET veya POST dışında bir şey gerektirmiyorsa, saldırı vektörlerini azaltmak için kullanılmayan HTTP yöntemlerini devre dışı bırakın.
  • Açıktan yararlanma girişimlerini önlemek için RFC uyumluluğunu ve back-end web sunucularınıza veya uygulamalarınıza özgü tüm sınırları uygulayın.

HTML uygulama girişlerini temizleme

Çoğu web uygulaması güvenliği düşünerek yazılmamıştır ve bu yüzden de girişi doğru şekilde temizleyemez. Bir imza veya yama kullanıma sunulmadan önce, ASP, PHP, JavaScript veya diğer uygulamaların hedeflenen uygulamalarını potansiyel olarak bozabilecek tüm geçersiz inputları reddederek oluşabilecek yeni saldırıları da engelleyebilirsiniz. 

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »