Öngöremiyorsunuz madem, iyisi mi siz hep hazır olun!

Exclusive Networks, F5 ve Netsys sponsorluğunda düzenlenen “WAF ile Saldırı Önleme” başlıklı dijital buluşmada WAF mimarisinin önemi üzerinde duruldu.

Günümüz web uygulamaları çok katmanlı yapıda, esnek entegrasyon yetenekleriyle ve farklı teknolojilerin bir araya getirilmesiyle geliştiriliyor. Bu mimarinin operasyonel hızı, var olan güvenlik mimarisine etkileri ve yönetimi gibi başlıklar “Bilişim Zirvesi Özel Proje: WAF ile Saldırı Önleme” dijital etkinliğinde ele alındı.

WAF protokolünün 0.9 olarak kullanılmaya başlamasından bugüne gelinen süreci anlatarak sözlerine başlayan Netsys Kıdemli Danışmanı Ömer İlk, “Bunun da yetmemesi ile HTTP 2.0 geliştirildi. Bu versiyonda 6 ayrı bağlantı talep etmek yerine bir bağlantı açılarak tüm objeler tek bir bağlantı üzerinden istenebilmeye başlandı. Objeler, sıralı olmaksızın cevabı, önce hangisi gelecek ise o şekilde devam ediyor. Bağlantılar üzerinde istekler gönderildiğinde ikinci isteğin yanıtı Versiyon 2.0’da daha önce gelebiliyor. Ancak hala Versiyon 1.1 yoğun olarak kullanılıyor. Tarayıcı, bağlantı noktasında ilk olarak talebin metodunu görür” bilgisini verdi. WAF bu noktada istekteki tüm metotları, URL içindeki tüm değerleri, parametreleri kontrol ediyor. Ömer İlk’in belirttiği gibi, hiçbir protokol, versiyona izin vermemek WAF’ın yaptığı temel kontroller. “WAF, bir miktar yavaşlığa sebebiyet veriyor; fakat F5 Full Proxy adını verdiğimiz bir mimaride çalışır. Tarayıcı ile ayrı, sunucu ile ayrı bir bağlantı oluşturur” bilgisini veren Ömer İlk, şöyle devam etti:

Yazılım yetkinlikleri önem taşıyor

“Tarayıcı F5 ile SSL konuşurken F5, tarayıcı ile SSL konuşmayabilir. SSL konuşma işlemini sunucuya yüklememek, toplamda çok daha kısa sürede cevap vermenizi sağlayabilir. Toplam 10 bin adet yerine 6 birimde yanıt verdiğiniz için web sayfanız daha hızlı çalışmaya başlayabilir. Aradaki trafiği sıkıştırabiliriz, sunucumuza düşen yükü azaltabiliriz, farklı protokoller arasında geçiş sağlayabiliriz. Tüm bu optimizasyon kriterleri çerçevesinde internet sitemiz daha hızlı çalışmaya başlayabilir. WAF kullanılmazsa, güvenliğin sağlanıp sağlanamayacağı sorusu kapsamında, güvenli yazılım geliştirme gerçekleştirildiğinde güvenlik sağlanabilir; fakat bunun garanti edilmesi mümkün değil. Sürekli yeni güvenlik açıkları ortaya çıkıyor ve bunları güncel bir şekilde takip eden ve imza şeklinde sürekli güncellenen bir yapıya kullanmak avantajlar sunuyor. WAF F5’e sadece güvenlik olarak bakmamak lazım. Tek bir sunucunun hizmet veremediği durumlarda birden fazla sunucuyu kullanarak yüksek erişilebilir bir sistemi ortaya çıkarmak şeklinde bize fayda sağlar. WAF’ı yönetebilmek için birtakım yazılım becerileri gerekebilir; ancak burada da F5 WAF cihazının bize sunduğu çeşitli kolaylıklar var. En iyi WAF yönetimine ulaşmak adına öncelikle yanlış engelleme yapmamalıyız. Mümkün olan en kısa sürede engellemeye geçecek şekilde bir konfigürasyon yapmalıyız. Yanlış engelleme yapmamak adına WAF alarmlarını doğru bir şekilde ayarlamak önemli. Uygulama Ping atma desteğine sahip. Bir komutun sonuna noktalı virgülle başka bir komut eklendiğinde gönderilen komutlar farklılaştırılarak zafiyetlere uğruyorsunuz. WAF, bu noktada neden engellendiğine ilişkin logları bize detaylı bir şekilde sunuyor. WAF’ın bir diğer özelliği ise DOS saldırılarına ve botlara karşı gösterdiği yetenek.”

Çeşitlenen saldırılar!

Dijital etkinlik “DOS Saldırılarının Etkileri ve Buna Karşı Önlemler” başlıklı panelle tamamlandı. BThaber Gazetesi Ankara Temsilcisi Sedef Özkan‘ın yönettiği panelin katılımcıları Ömer İlk ve Vakıfbank Network ve Uygulama Güvenliği Yönetimi Teknik Müdürü Oğuzhan Susam oldu. Oğuzhan Susam’ın belirttiği gibi, dünyada DDoS saldırılarının olmadığı bir saniye bile yok. Hafta sonları, mesai sonraları gibi zamanlarda yapılan saldırılarda karşınızda hemen aksiyon alabilecek bir teknik ekibin olmamasından dolayı süre uzamaları da kaçınılmaz. Dünyada DDoS saldırıları genellikle siyasi sebepler, itibar-maddi kayıp amaçları güdülerek yapılabilir veya tam tersi olarak itibar kazancı adına da gerçekleştirilebilir. Zararlı bir grubun bankalar ya da kamu kurumlarının hizmet vermesine engel olması, o grubun isminin öne çıkmasına sebep olur. “Bu sebeple de bu gruplar, çok ciddi motivasyonlara sahip olurlar” diyen Oğuzhan Susam’ın belirttiği gibi, günümüz dünyasında ciddi yatırım maliyetleri var. Bu pazardan pay kapmak isteyen firmalar da DDoS ürünü alabilecek kurumlara DDoS saldırıları yaparak daha sonra bu saldırılardan korunabileceklerini söyleyebiliyorlar. “Karşıdakinin zararlı olarak bilmediği DDoS saldırıları da var” saptamasını yapan Oğuzhan Susam’a göre, burada ortaya ‘doğal DDoS’ şeklinde bir kavram çıkıyor. Susam, bu saptamasını şöyle örnekledi:

Hizmet veremez hale gelmek!

“Örneğin; İstanbul’da oturduğum semtin bağlı bulunduğu belediye, ödemem gereken emlak vergisinin son gününün geldiğini ve linke tıklayarak vergiyi ödeyebileceğime yönelik bir mesaj gönderdi. Tıkladığımda bir servis açılmadı ve bu aslında belediyenin kendi kendine yaptığı bir DDoS saldırısı. Son zamanlarda uygulama seviyesinde DDoS çeşitleri var. Bu noktada Gateway Flood’a örnek verecek olursak, bir e-ticaret sitesinin ana sayfasını binlerce farklı kaynakla çağırmak, oradaki e-ticaret sitesinin hattını sature edecektir, hem arka taraftaki sunucularını erişilemez hale getirecektir. CCP protokolünün altında CCP Flood saldırıları var. Karşı tarafında hem bağlantı sayılarını artırarak network cihazlarını kullanılmaz hale getirir, hem de hatlarını sature ederek kullanılmaz hale getirir. DDoS saldırısı, birkaç farklı yöntemle olmakla birlikte genel olarak karşıdaki kurumun hizmet verememesine zemin hazırlamak amacıyla yapılır.”

Şikayetler hemen kendini gösteriyor

DDoS saldırıları prensipte iki türlü gerçekleştiriliyor. İlkinde bulut servislerinden binlerce makine ayağa kaldırılıyor. “DDoS uygulamaları üzerinden bir e-ticaret sitesinin ana sayfasını binlerce makineden çağırdığınızda çok kolay bir şekilde DDoS yapılabiliyor” açıklamasını yapan Oğuzhan Susam’ın verdiği bilgiye göre, DDoS’un ikinci ayağı da son kullanıcı bilgisayarlarına yapılan saldırıları içeriyor. Bir Trojan vasıtasıyla sistemlere zararlı yazılım kuruluyor. “Son kullanıcıların lisanslı ürünlerin muadili olarak crack’lere başvuruyorlar. Yapılan araştırmalara göre bu crack’lerin yüzde 99’undan fazlasının bir Trojan ile birlikte geldiği biliniyor. Son kullanıcı olarak lisanslı ürünleri crack’ler üzerinden kullanmamamız gerekiyor. Bağlandığımız siteler güvenilir olmalı. Telefonlarımıza gelen SMS, e-postalarımıza gelen linklere tıklamamamız gerekiyor. Bilgisayarlar, saldırı yeri ve zamanı bilgisini an be an bekliyorlar. Dark Web, Deep Web gibi yerlerde bu servisler satılıyor. Saatlik kullanımlarda bu saldırıları gerçekleştiriliyor” detayını paylaşan Oğuzhan Susam’a göre, DDoS saldırılarının en basit etkisi, binlerce müşteri şikayeti demek. Büyük kurumlar anlık düzeyde binlerce müşteriye hizmet vermekle yükümlü ve 1-2 dakikalık ya da saatler, günlerce kesintiye sebebiyet verebilecek bir DDoS saldırısı, yüz binlerce müşteri şikayetinin nedeni olabilir. Bu aynı zamanda müşteri kaybına da sebebiyet veriyor, büyük bir itibar kaybını beraberinde getiriyor. Finans kuruluşları, kamu kurumları, e-ticaret siteleri, saniyeler mertebesinde yarışacak şekilde çalışıyor ve olası bir saldırı, kayıp çok büyük bir itibar kaydına sebebiyet verebiliyor. “Erişilemeyen sürelerde hizmetlerin yapılamaması çok ciddi maddi kayıplara zemin hazırlıyor” gerçeğine işaret eden Susam, finans sektörü özelinde de şu değerlendirmeleri yaptı:

 “Finans kurumlarına ciddi sayıda DDoS saldırıları oluyor. Siyasi saldırıların çok büyük bir kısmı, kamu kurumlarına geliyormuş gibi görünse de bu saldırılar da finansal kurumlara gelebiliyor. Çünkü ülke olarak ciddi bir mali değer kayıplardan söz ediyoruz. Başka bir başarılı siber saldırı durumunda da borsaya kote olan ticari kurumların çok ciddi derecede değer kayıpları oluyor. Kurum içindeki teknik ekiplerde ise DDoS saldırıları, ciddi bir stres unsuru durumunda. Anlık kararlar vermek zorundasınız. Çalıştığınız kurumunuza olan aidiyetinizden kaynaklı kurumun müşteri ve itibar kaybı olmasını istemezsiniz. Teknik personeller olarak mesai bağımsız olarak duruma müdahale etmek zorundayız. İşin iyi tarafında her saldırı sonrasında çıkardığımız dersler oluyor. Uygulamadaki olası bir yanlışınızı görmenizi sağlıyor. Bir sonraki saldırı için daha net adımlar çıkarabiliyorsunuz. Saldırı anında iş bölümünde kimin nerede iyi olduğunu görüp, sonraki saldırı için buna göre bir plan yapabiliyorsunuz. DDoS saldırılarında asıl amaç; hizmeti durdurmak. Size ekstra bir zarar vermek değil. Diğer saldırılarda ise müşteri bilgileri, kart bilgileri gibi bilgilerin elde edilmesini içeriyor.”

Dayanıklılığınızı hep güçlendirin

Netsys Kıdemli Danışmanı Ömer İlk ise DDoS’u bir yağmur yağdıktan sonra her yerde yaşanan sellere benzetti. Buna göre, şirketin bağlantı hızı dolduğunda şirket çalışamaz hale geliyor. DDoS da bu mantıktan hareketle bant genişliğini doldurmaya çalışıyor, servisi sürekli çağırarak çalışmaz hale getirebiliyor. Rakip firmalar da DDoS saldırıları yaptırabiliyor ve bunun ispatı çok mümkün olamayabiliyor. “DDoS saldırılarına karşı aldığımız önlemlerle sistemi saldırılara en dayanıklı hale getirmeye çalışıyoruz. Hiç kimse yüzde 100 engelleyebileceğini iddia edemez. Ancak olabilecek en dayanıklı haline getirebilirsiniz” vurgusunu yapan Ömer İlk, şöyle devam etti:

“DDoS saldırılarının hangi durumlarda ve nasıl gerçekleştirildiğine baktığımızda, bir kaynak üzerinden çok fazla sayıda virüs oluşturmak, üzerinde durulması gereken bir diğer önemli nokta. Bu durumu, bir derenin yağmurla birlikte taşması olarak düşünebilirsiniz. Sunucularımızın düşük şiddette; ama fazla sayıda gelen isteklerden etkilenme ihtimalleri çok fazla. Yeni trend de bu yönde. Eski trendde, bant genişliğinin kullanılmaz hale getirilmesi birincil amaçtı. Rakipler ve güvenlik ürünü satışını bu anlamda birincil motivasyon olarak görüyorum. DDoS saldırılarının etkilerini ise üçe ayırıyorum. Teknik personel üzerindeki etki, firma prestiji üzerindeki etki ve müşteriler açısından etkisi. Bizim açımızdan etkisi kapsamında, bilgisayarımın cüzdanım gibi olduğunu söyleyebilirim. Sürekli yanımda taşıyorum. Zira enteresan zamanlarda saldırılar gelebiliyor. Müşteri tarafında, müşteri saldırı yapılan bir yere bir daha gelmeyebiliyor. Bu da doğrudan prestij kaybını meydana getiriyor. Sistemin mümkün olduğunca en iyi performanslı şekilde çalıştırılabilir hale getirilmesi gerekiyor. F5 üzerinden yazılımların iyi niyetli-kötü niyetli olduğunu tespit edebileceğimiz sistemler var. Bu silahları devreye sokarak iyi niyetli-kötü niyetlileri ayırt ederek bir başlangıç yapabiliriz. Bulut ortamındaki korumalar devreye girebilir. Bulut ortamında koruma sağlamak üzere F5’in sunduğu çözümler kullanılabilir.”