2017'de Equifax'ın 147 milyon kişinin verisini kaptıran ihlali, web uygulama katmanındaki bir açıktan geldi — bir WAF, bu tür enjeksiyon denemelerini uygulamaya ulaşmadan durdurabilir.

Merhaba, ben Güvenlik Uzmanı. Bu kartta WAF'ı (Web Uygulama Güvenlik Duvarı) öğreniyoruz: ne işe yarar, klasik güvenlik duvarından farkı nedir ve kurumda neden vazgeçilmezdir.

NEDİR? WAF (Web Application Firewall — Web Uygulama Güvenlik Duvarı), bir web uygulaması ile internet arasına yerleşip HTTP/HTTPS trafiğini içeriği itibarıyla denetleyen bir güvenlik katmanıdır. Klasik (ağ) güvenlik duvarı paketleri IP adresi, port ve protokol gibi düşük seviyeli bilgilere göre süzerken; WAF, isteğin gövdesine, başlıklarına, çerezlerine ve parametrelerine bakar (7. katman / uygulama katmanı). Amacı, SQL enjeksiyonu, XSS (siteler arası betik), uzaktan dosya dahil etme, oturum kaçırma gibi uygulamaya özel saldırıları yakalayıp engellemektir. NASIL ÇALIŞIR? 1) Konumlanma: WAF, istemci ile web sunucusu arasında ters proxy (reverse proxy) olarak ya da uygulamanın önünde bir eklenti/bulut hizmeti olarak durur. Tüm HTTP istekleri önce ondan geçer. 2) İnceleme: Her isteğin URL'i, sorgu parametreleri, form gövdesi, başlıkları ve çerezleri ayrıştırılır ve normalize edilir (URL kod çözme, küçük/büyük harf birleştirme — saldırganların gizleme/kaçınma tekniklerini etkisizleştirmek için). 3) Karar: İçerik kurallarla değerlendirilir. İki temel model vardır: negatif model (kara liste — bilinen kötü desenleri engelle, ör. OWASP ModSecurity Core Rule Set imzaları) ve pozitif model (beyaz liste — yalnız bilinen iyi/beklenen girdilere izin ver). Modern WAF'lar ikisini birlikte ve giderek anomali skoru / makine öğrenmesi ile kullanır. 4) Eylem: Eşik aşılırsa istek engellenir (403), kaydedilir (log/SIEM'e gönderilir), CAPTCHA ile yavaşlatılır veya yalnız izlenir (monitor/detection modu). NEDEN ÖNEMLİ / İŞ YERİNDE Geliştirme hatalarının tamamı anında düzeltilemez; bir açık tespit edilip yamalanana kadar WAF "sanal yama" (virtual patching) ile saldırı yüzeyini kapatabilir. OWASP Top 10'daki enjeksiyon ve XSS sınıfı saldırılara karşı pratik bir ön savunma sağlar; PCI-DSS gibi uyum standartları da kart verisi işleyen uygulamalar için WAF veya eşdeğer kontrol bekler. Kurumda WAF genellikle CDN/yük dengeleyici, IPS ve SIEM ile birlikte katmanlı savunmanın (defense in depth) bir parçasıdır. DİKKAT / İYİ UYGULAMA WAF tek başına yeterli değildir; güvenli kod yazımının yerini almaz, onu tamamlar. Çok katı kurallar meşru istekleri engelleyebilir (yanlış pozitif), çok gevşek kurallar saldırıyı kaçırabilir (yanlış negatif). Bu yüzden önce izleme (monitor) modunda devreye alıp kuralları uygulamaya göre ayarlamak (tuning), kuralları ve imza setlerini düzenli güncellemek ve uygulamadan önce TLS sonlandırması yaparak şifreli trafiği de denetleyebilmek önerilir.

• WAF, web uygulaması önünde duran ve HTTP/HTTPS trafiğini içeriğine göre (7. katman) denetleyen güvenlik katmanıdır. • Klasik güvenlik duvarı IP/port'a bakar; WAF istek gövdesine/parametrelerine bakarak SQLi, XSS, CSRF gibi uygulama saldırılarını engeller. • Negatif (kara liste/imza) ve pozitif (beyaz liste) modelleri, giderek anomali skoru ile birlikte kullanır. • Güvenli kodun yerini almaz; sanal yama, izleme modu ve düzenli kural ayarı (tuning) ile katmanlı savunmanın parçasıdır.