Değişen ihtiyaçlar ve gelişen teknolojiyi yakından takip eden F5 Networks, monolotik düzende ilerlettiği VIPRION ve iSerilerinin yerine Docker, Ansible, Kubernetes  ile entegre olmuş başarılı bir mimari ile sektöre yön vermeye devam ediyor.

F5 VELOS Mimarisi ve Terminolojisi

F5 Networks, BIG-IP Viprion ve BIG-IP iSerisi cihazlarda tek katmanda yönettiği operasyon yerine F5 VELOS (F5OS-C) ve r Serilerinde (F5OS-A) yeni ve birbirinden bağımsız katmanlı bir mimari ile yola devam ediyor.

Terminolojik olarak F5 VELOS (F5OS-C) katmanlarını açıklamak gerekirse,

Hangi Katmanda Hangi Servisler Çalışıyor ?

F5OS-C System Controller Katmanı

F5OS-C System Controller, donanımdaki işletim sistemi yazılımıdır. F5OS-C System controller sisteminin network, partition, tenant ve kullanıcılar gibi çeşitli yapılandırmalarını yönetir. F5OS-C System Controller, Base OS ve Service Component olarak 2 bileşenden oluşur.

System Controller Base OS bileşeni aşağıdaki servis ve hizmetleri üzerinde barındırır.

• CentOS Linux
• Docker
• Ansible
• KubeVirt-VELOS

System Controller Service Component bileşeni aşağıdaki servis ve hizmetleri üzerinde barındırır.

• KubeVirt
• OpenShift
• Multus
• F5-produced software (Örneğin, Qkview ve platform’a özel servisler gibi )

F5OS-C Partition Katmanı

F5OS-C Partition katmanı tıpkı System Controller’da olduğu gibi Base OS ve Service Component olarak 2 bileşenden oluşur.

F5OS-C Partition Base OS bileşeni aşağıdaki servis ve hizmetleri üzerinde barındırır.

• CentOS Linux
• Docker
• Ansible
• Flannel

F5OS-C Partition Service Component bileşeni aşağıdaki servis ve hizmetleri üzerinde barındırır.

• F5-produced blade-specific packages, (Örneğin, Partition özelinde Qkivew, Lisans Servisi, Field-Programmable Gate Array (FPGA) yöneticisi gibi )
• Partition webUI
• tcpdump

F5OS-C Tenant Katmanı

BIG-IP Viprion (vCMP)’a benzer bir şekilde oluşturulacak olan BIG-IP’lerin konfigürasyonlarının yapıldığı katmandır.

• Tenantların hangi blade’ler üzerinde çalışacağı
• Tenantlar için çalışacak blade’ler üzerinde Disk imajları oluşturulması
• Kullanılacak BIG-IP F5 versiyonunu disk üzerine kurulması,

işlemleri bu katmanda yapılmaktadır.

F5 VELOS katmanları ile ilgili F5 Networks’un Overview of the VELOS system architecture: Partition, tenant, controller, and blade makalesini de inceleyebilirsiniz.

Modern Mimariye Geçiş

V14.1 ile hayata başlayan BIG-IP F5 VELOS (F5OS-C) mevcut BIG-IP F5 Viprion ve BIG-IP F5 iSerilerinden geçişi kolaylaştırabilmek adına, güncel ve güçlü chip’lerle üretilen yeni şase’lerin üzerine F5OS işletim sistemini çalıştırarak, sanal olarak BIG-IP’leri üzerinde çalıştırıyor. Kısacası multi-tenancy yapıya geçmiş oluyoruz. F5 VELOS ile ilgili daha temel bilgilere daha önce yayınladığımız Yeni Nesil F5 VELOS Hazır! isimli yazımızı inceleyebilirsiniz.

Modern mimariye hızlı ve kolay uyum sağlayabilmek adına v14.1 versiyonu ile hayatına başlayan F5OS üzerinde çalışan tenant’lar, güncel olarak v15.1.5’den hizmet vermeye devam ediyor.

Aslında benzer yapı BIG-IP F5 Viprion’dan bizlere tanıdık gelecektir. Centos Linux üzerinde çalışan sanallaştırma ile (vCMP) bare-matel olarak bu imkan bize sağlanıyordu.

Yenilenen tasarım ile geçiş aşamasında bu imkan bizlere F5OS katmanında sağlanmaya başlayarak, birbirinden izole farklı partition ve tenantlar oluşturarak aynı şase üzerinde farklı amaçlara hizmet eden servisleri birbirinden izole olarak kesintisiz hizmet sağlanabilir.

Benzer mimari r Serisi (F5OS-A) olarak piyasaya sürülen donanımlarda da ortak olacaktır. F5OS-A rSerisi tek partition üzerinde çalışan birbirinden bağımsız tenant’ları (ya da tek bir tenant) aynı platform üzerinde çalıştırabilecektir.

Hikayenin bu noktasına kadar sanallaştırılmış BIG-IP F5’den ileriye gidememiş gibi gözüküyoruz. Ancak ilerleyen süreçte sanallaştırılmış BIG-IP F5 tenant’ları yerine, ihtiyaç duyulacak olan modül Container olarak derlenerek hizmet verilmesi amaçlanmıştır.

Yeni mimari ile birlikte tek bir BIG-IP Tenant üzerinde farklı modüllere hizmet vermek tarihe karışıyor !

Mevcut BIG-IP Viprion ve BIG-IP iSerileri’nden Geçiş Nasıl Olacak ?

BIG-IP Viprion ve BIG-IP Viprion’lardan F5 VELOS ve F5 rSerilerine geçiş için konfigürasyon yazım hiyerarşisinde değişiklik olduğu için bire bir geçiş imkan bulunmuyor. Ancak bu işlemi kolaylaştırmak için mevcut konfigürasyon dosyası üzerinde değişiklikler yapılarak, yeni hiyerarşiye uygun hale getirmek için F5 Journeys Tools‘u kullanabiliriz.  Diğer F5 destek ihtiyaçlarınızda olduğu gibi yeni nesil F5 VELOS ve F5 rSerisi cihazlara migration işlemleriniz için bizimle iletişime geçebilirsiniz.

i4600 ve i4800 modellerinin Öne Çıkan Özellikleri Nelerdir?

Cihazların önemli özellikleri aşağıda maddeler halinde özetlenebilir. Bütün donanım özelliklerini ise yazımızın alt kısmındaki tabloda bulabilirsiniz.

• F5’in ürünlerinde kullandığı 600 ve 800 serilerinin farkı bu cihazlarda da mevcut durumda. Yani lisans ile bir üst modele geçiş imkanı tanınıyor. Ancak bu durum tabi ki aynı fiziksel cihaz olmasına rağmen i4600’ün biraz daha düşük kapasite ile hizmet vermesi anlamına da geliyor.
• L4 ve L7 kapasite değerleri her 2 cihazda da değişkenlik göstermekle beraber her 2 cihaz için de 20Gbps band genişliği değeri mevcut.
• Günümüzde en önemli değerlerden olan SSL TPS limitlerinde ise i4800 modeli i4600’e göre yaklaşık 2 kat daha yüksek değere sahip. Bu da i4800’ün daha fazla HTTP/HTTPS isteğe cevap verebileceği anlamına geliyor.
• F5’in x800 cihazlarında donanımda yaptığı compression özelliği x600 cihazlarında yazılımsal olarak yapılıyor.
• Hem i4600 hem i4800 serisinde sanallaştırma özelliği bulunmuyor. Bu durum cihazların tamamen izole tenant şeklinde kullanılamayacağı anlamına geliyor.
• 1 adet 4-core fiziksel işlemci, 8 vCPU ile toplam 4 TMM özelliği, 1TB HDD ve 32 Gb DDR4 RAM her 2 model için de geçerli.
• Tam güç yedekliliği için bu cihazları sipariş verirken kitlistinize yedek Power Supply da eklemelisiniz.
• 8 adet 1G Fiber SFP ve 4 adet 10G Fiber SFP+ interface girişi bulunmaktadır. 40G’lik port bu modellerde bulunmamaktadır.
• Bu seri cihazlar için açıklanmış bir end of life tarihi bulunmuyor. Bu da en az 3 sene daha full support şeklinde kullanılabilir anlamına geliyor.

F5 Networks’ün BIG-IP i4x00 serisi cihazlar ile ilgili hazırlamış olduğu bilgilere ise ingilizce olarak https://techdocs.f5.com/en-us/hw-platforms/platform-guide-i2000i4000-series.html adresinden ulaşabilirsiniz.

Aşağıda cihazın ön ve arka kısımlarının görüntülerini, SFP portlarını ve cihaz boyutlarını görebilirsiniz.

Yukarıda önemli kısımlarını paylaştığımız i4600/i4800 cihazının datasheet değerlerinin tamamını aşağıdaki tabloda bulabilirsiniz. Bu tablonun pdf halini ise F5-BIG-IP-i4600-i4800-datasheet dosyamızda bulabilirsiniz.

F5 Networks i4600 ve i4800 Datasheet Değerleri

F5 Networks BIG-IP i4600 ya da i4800 hakkında daha detaylı bilgi almak, demo yapmak ya da sipariş vermek için aşağıdaki formu doldurarak bize ulaşabilirsiniz.

Bu yazımızda 2021 yılında yayınlanan en güncel listenin üzerinden geçip F5 BIG-IP Advanced WAF modülü ile bu güvenlik açıklıklarından nasıl korunabileceğimizden bahsedeceğiz.

OWASP Top 10 – 2017 Listesinde Hangi Kategoriler Vardı?

4 yıl önce yayınlanan ve bir çok saldırı tipinin geçmişte olduğu gibi günümüzde de değişmediğini bizlere gösteren OWASP Top 10 listesi olan 2017 ‘ye göz atalım.

• A1 Injection
• A2 Broken Authentication
• A3 Sensitive Data Exposure
• A4 XML External Entities (XXE)
• A5 Broken Access Control
• A6 Security Misconfiguration
• A7 Cross-Site Scripting
• A8 Insecure Deserialization
• A9 Using Components with Known Vulnerabilities
• A10 Insufficient Logging & Monitoring

OWASP Top 10 – 2021 Güvenlik Açıklıkları Nelerdir?

Çalışma alışkanlıklarının değişmesi ile güncellenen 2021 OWASP TOP 10 listesine göz atacak olursak;

• A1 Broken Access Control
• A2 Cryptographic Failures
• A3 Injection
• A4 Insecure Design
• A5 Security Misconfiguration
• A6 Vulnerable and Outdated Components
• A7 Identification and Authentication Failures
• A8 Software and Data Integrity Failures
• A9 Security Logging and Monitoring Failures
• A10 Server-Side Request Forgery

OWASP Top 10 – 2021’de Neler Değişti?

Bu sene yayınlanan listede, 2017 listesinden farklı olarak eklenen 3 yeni kategori dikkat çekiyor. İlk yayınlandığı 2003 tarihinden bu yana bazı atak tiplerinin hala listede olduğunu düşünürsek, 3 değişiklik bize şimdi ve özellikle gelecekte yeni saldırılara hazır olmamız gerektiğini göstermiştir.

Injection, XSS , Broken Access Control gibi atak tipleri, OWASP ‘ın yayınlanan ilk listesinden bu yana yerini korumaktaydı. 2017 ve 2021 de açıklanan OWASP listelerinin karşılaştırmasını aşağıda görebilirsiniz.

Öncelikle listeye 2021 yılında yeni eklenen saldırı tiplerinden bahsedersek;

A4-Insecure Design

Listede yeni yer bulmasına rağmen 4. Sırada yer alıyor.  OWASP ‘ın kuruluş amacı özellikle geliştiricileri ve web güvenliği uzmanlarının güvenli tasarım kaideleri gibi konulara uymalarını sağlamak ve firmalardaki yazılım geliştirme kültürünün güvenli geliştirme temelleri üzerine kurulmasına yardımcı olması içindir. Bu saldırı tipi için özellikle F5 AWAF ile birlikte gelen Bot koruması ve L7  Behavioral DDoS korumasının açılmasını önermekteyiz. İstek öncesi Bot denetlemesi seçeneği ile, sunucularınıza yük yaratılmadan gerçek kullanıcı ve Bot ayrımını yapabilirsiniz.

F5 AWAF Bot Defense ile ilgili sorunuz olması durumunda bizlere iletişim sayfamızdan ulaşabilirseniz teknik ekibimiz sizlere yardımcı olmaktan mutluluk duyacaktır.

A8-Software and Data Integrity Failures

Listede 8. sırada bulunan Software and Data Integrity Failures, 2017 listesinde yer alan Insecure Deserialization saldırı tiplerini de kapsayan, yazılım güncellemeleri, CI/CD süreçlerini de içeren saldırı kategorisidir. Hem yazılım geliştirme hem de sistem bakım süreçlerinin düzene uygun yapılması hedeflenmektedir. Bu kategoride aşağıdaki güvenlik açıklıkları için zafiyetler yer almaktadır.

• Cache Poisoning
• Code injection
• Command execution
• Denial of Service

Bu saldırı tipleri için F5 WAF modülünde aşağıdaki imza setlerini aktifleştirmeniz gerekmektedir.  Bu atak imzalarının yanı sıra content profilleri de (XML-JSON) kullanılabilir.

• Buffer Overflow
• Command Execution
• Denial of Service
• Server Side Code Injection

A10-Server-Side Request Forgery

Bu yılın listesinde ki son yeni saldırı tipi, Server-Side Request Forgery. Tam olarak istenilen veri toplanamamış olsa da, OWASP bu saldırı tipine dikkat çekmek için listeye eklemiştir. Hem ağ hem de uygulama katmanını hedef alan SSRF atakları için basitçe ağ güvenlik duvarı ürününüzde ki kuralları gözden geçirmeniz önerilmektedir. F5 AFM (Advanced Firewall Manager) ile kural yaratmak ve yönetmek oldukça pratiktir. Uygulama katmanında ise F5 AWAF koruması ile önlendirmeler kontrol edilmeli. Kullanıcı tarafından gönderilen tüm giriş verileri kontrol edilmeli ve filtreden geçirilmelidir. F5 AWAF ‘da yarattığınız Policy üzerinde Meta karakter kontrolü ve SQL Injection korumaları yapabilirsiniz.

OWASP 2017 Listesinden Geçerliliğini Koruyan Ataklar Nelerdir?

A1-Broken access control

Kullanıcının, hesabına tanımlanandan daha fazla yetkiye sahip olmasıyla gerçekleştirilen atak tipleridir. Kullanıcıların erişim ve yetki kontrolleri için F5 AWAF üzerinde öncelikle imzalar aktif edilebilir. Eğer daha yüksek düzeyde koruma istenirse URLs flow enforcement ile kişinin sadece doğrulandıktan sonra belirtilen adreslere erişimi sağlanabilir. Doğrulama ve yetkilendirmenin F5 üzerine alınması istenirse F5 APM (Access Policy Manager) modülünden faydalanılabilir.

A2-Cryptographic failures

Müşteri veya kurum için hassas olan veriler saklanırken mutlaka şifrelenmelidir. Bu bilgiler çalınsa dahi saldırganların anlamlandıramayacağı veri bütününden oluşmalıdır.  Öncelikle kullanıcı ve sunucu arasında ki haberleşmenin şifreli olması gerekmektedir. F5 üzerinde güvenli Client ve Server SSL profilleri tanımlanmalıdır. Referans için alttaki belgeye göz atabilirsiniz.

K14783: Overview of the Client SSL profile (11.x – 15.x)

Eğer F5 AWAF lisansına sahipseniz, sizin için çok kritik veri içeren servislere atanmış policy ler üzerinde Dataguard özelliğinin açılmasını önermekteyiz. Belirlenen desene uygun veri çıkışı olursa F5 WAF bu cevabın saldırgana ulaşmasını engelleyecektir.

A3-Injection

Uzun zamandır listenin değişmeyen ataklarından Injection Saldırılar HTTP/HTTPS protokolünden gelse dahi son olarak Apache Log4j açığında gördüğümüz gibi farklı protokolleri hedef alabilirler. HTTP isteklerinin içerisinden LDAP veya SMTP sunucularını hedef alan ataklar yapılabilir ve veritabanınızda ki hassas bilgilere ulaşılabilir. Injection ataklarının savunması tek bir koruma ile değil birden çok farklı korumanın harman edilerek uygulamanızın koruması ile sağlanabilir.

Injection saldırıları için AWAF üzerinde devreye alabileceğiniz korumalar ;

• Attack Signatures
• Evasion techniques
• Disallowed meta characters in parameters
• HttpOnly cookie attribute enforcement

A5-Security misconfiguration

2017 listesinde A4:2017-XML External Entities (XXE) ismiyle yer alan bu açıklık kategorisi 2021 yılında bu kategoriye dahil olmuştur.

Bir web uygulamasında harici koruma çözümlerinin kullanılmasından da önemli, uygulama geliştiricilerin ve sistem sorumlarının uyması gereken bazı kurallar vardır. İlgili saldırılar hatalı yapılandırılan servislerden kaynaklanabilir. Bu yüzden uygulamanızın üzerinde çalıştığı servisin yapılandırmasını mutlaka gözden geçirmeli ve gerekirse tecrübeli kurumlardan destek almalısınız. Zaman içinde karşımıza çıkan sorunlarda sıkça gördüğümüz servis yapılandırmaları eksik veya hatalı olduğunda hem güvenlik açıklarına davet çıkarılıyor hem de cihaz kaynaklarını tam anlamıyla kullanılamıyor.

F5 AWAF üzerinde aktif edebileceğiniz korumalar ;

• Attack Signatures
• URLs flow enforcement
• Allowed Methods
• Disallowed file types

Bir çok saldırının engellemesinde rol oynayan Attack Signatures korumasını burada da listenin 1. sırasına yazıyoruz.

A6-Vulnerable and outdated components

Her şeyi kuralına uygun yapsanız dahi Zero-day ataklar veya henüz yaması çıkmamış açıklar yüzünden hala saldırı tehlikesiyle karşı karşıya olabilirsiniz. Hem işletim sistemi hem de servis düzeyinde mutlaka testlerinizi tamamladıktan sonra yazılımları güncel versiyonlarında kullanmanızı önermekteyiz. F5 AWAF üzerinde yine imza tabanlı bir koruma ile uygulamanızın güvenliğini sağlayabilirsiniz. F5 uygulamaya göre koruma yapmak amaçlı Server Technologies isimli bir özellik geliştirmiştir. Server Technologies sayesinde siz ilgili imzaları devreye almamış olsanız da F5 AWAF size kullandığınız servisle ilgili imza önerileri sunacaktır.

A7-Identification and authentication failures

Kullanıcılarının giriş bilgilerinin çalışması ile saldırı gerçekleştirilir. Kullanıcı bilgileri kimi zaman kullanıcı adı ve şifre kimi zaman ise sadece bir çerez olabilir. Listenin en üst sırasına yazacağımız koruma, MFA (Multi-factor Authentication) dir. BNTPRO olarak yerli ve milli çok aşamalı doğrulama yazılımı Sectrail kolayca F5 APM ile entegre olabilmekte ve kullanıcıların şifresi çalınsa dahi sisteme erişimi engelleyebilmektedir.

Bunun yanında yine AWAF ile kullanıcı giriş işlemleri ve hareketleri takip edilebilir, oturum hırsızlığının önüne geçmek için ise çerezlerin içerikleri korunabilmektedir. Bizim yine sıkça müşterilerimizde kullandığımız hem dinamik hem de statik verilerle çalışabilen Brute Force koruması ve bununla birlikte gelen Captcha özelliğini şiddetle kullanmanızı önermekteyiz.

Uygulamanızda ki giriş sayfalarının Login Page List ve AWAF ile entegrasyonu sonrası loglarda dahi kullanıcı adı/müşteri numarası ile IP adresleri farklı olsa da tam izleme gerçekleştirebileceksiniz.

A9-Security logging and monitoring failures

2017’de Insufficient Logging & Monitoring ismiyle listede yer alan bu açıklıkta  sorun büyümeden harekete geçebilmek için, doğru izleme ortamının kurulması önemlidir. İzleme mümkün olduğunca insandan bağımsız yapılmalı ve yapay zeka destekli ürünler kullanılmalıdır. F5 Networks , bu konuda müşterilerine ücretsiz olarak sunduğu AVR (Application Visibility Reporting) modülü ile de oldukça başarılı bir çözüm sağlamaktadır.

F5 Advanced WAF modülünde ise kullanıcı isteklerini tamamını ya da sadece illegal isteklerin loglarını hem F5 üzerine hem de kurumunuzda kullandığınız SIEM ürününe gönderebilirsiniz.  F5 AWAF (Advanced Web Application Firewall) ise kendi raporlama ve loglama ara yüzüne sahiptir. Tabi ki bu verilerin uzun dönem korelasyonu için mutlaka SIEM ürününe gönderilmesini önermekteyiz.

İllegal istekleri loglayarak kazandığınız görünürlüğü aynı şekilde Bot Defense konfigurasyonunda da elde edebilirsiniz. Bu sayede SIEM ürününde oluşturacağınız özel alarmlar sayesinde çok daha güvenli bir politika oluşturabilirsiniz.

Tüm bunları yanında F5 AWAF ile gelen ve Security  ››  Overview : OWASP Compliance menüsünden ulaşabildiğiniz OWASP Compliance Dashboard özelliği, müşterilere uygulamalarını koruma ve ne kadar korunduğu görme açısından fikir verecektir. Policy için hazırlanan bu raporda, koruma yüzdesi düşük olan maddeler için F5 ‘nin ilgili atak tipinin detayında önerdiği ayarlarla koruma seviyesinizi arttırabilirsiniz.

F5 Networks’un OWASP Top 10-2021 listesinde yer alan atak tiplerinin F5 Advanced WAF’da yer alan özellikler ile korunması için hazırlamış olduğu videolardan oluşan OWASP Top 10 -2021 oynatma listemize BNTPRO Youtube adresimizden ulaşıp izleyebilirsiniz.

Configuring F5 Advanced Waf Eğitimi ve daha fazla eğitim seçenekleri için Türkiye’de tek F5 Networks resmi eğitim ortağı olarak bize ulaşabilirsiniz.

Son güncelleme: 23 Aralık 2021 09:26

Açıklıktan BIG-IP F5 etkileniyor mu?

Hayır etkilenmiyor. https://support.f5.com/csp/article/K19026212 adresinde detaylarını ve güncel durumu bulabildiğiniz üzere ortaya çıkarılan bu açıklıktan mevcut BIG-IP F5 versiyonları etkilenmemektedir.

Apache log4j2 kullananlar açıklıktan nasıl kurtulabilir?

F5 arkasındaki sunucularda yer alan uygulamalarda eğer Apache log4j2 kütüphanesi (Versiyon 2.0 – 2.14.1) kullanılıyorsa bu açıklıktan F5 AWAF kullanıcıları sistemlerinde imza seti güncellemesi yaparak uygulamalarını koruyabilirler.

F5 Networks tarafından yayınlanan ve bu set içerisinde yer alan  200104768 ve 200104769 ID’li imzalar ile bu açıklığa maruz kalan uygulamaları koruma altına alınabilirsiniz. Bu 2 imzaya ek olarak Server Side Code Injection Signature Setinde yer alan  200004450, 200004451, 200004474, 200104770 ,200104771, 200104772 ,200104773,200104774 ,2001047745 ve 2001047746  ID’li imzaları da kullandığınız imza setine eklemeniz gerekmektedir.

• 1. Server Side Code Injection signature 200104768 for JNDI Injection Attempt (Parameter)
  2. Server Side Code Injection signature 200104769 for JNDI Injection Attempt (Header)
  3. Server Side Code Injection Signature 200004451 forJSP Expression Language Expression Injection (2) (Header)
  4. Server Side Code Injection Signature 200004450 for JSP Expression Language Expression Injection (2) (Parameter)
  5. Server Side Code Injection signature 200104770 for JSP Expression Language Expression Injection (3) (Parameter)
  6. Server Side Code Injection signature 200104771 for JSP Expression Language Expression Injection (3) (Header)
  7. Server Side Code Injection signature 200104772 for JNDI Injection Attempt (Content)
  8. Server Side Code Injection signature 200104773 for JSP Expression Language Expression Injection (3) (Content)
  9. Server Side Code Injection Signature 200004474 for JSP Expression Language Expression Injection (3) (URI)
  10. Server Side Code Injection signature 200104774 for Log4j2 Lookup expression
  11. Server Side Code Injection signature 200104775 for Log4j2 Lookup expression (Parameter)
  12. Server Side Code Injection signature 200104776 for Log4j2 Lookup expression (Header)

Eğer F5 AWAF modülü kullanıyorsanız ve uygulamanız Apache log4j2 kütüphanesinin açıklığa maruz versiyonlarını kullanıyorsa F5 üzerinde yer alan WAF Attack signature’ları güncellemeniz ve ilgili politikada imza setlerini enforce modda kullanmanız yeterli olacaktır.

Kullanılacak güncel attack signature setini downloads.f5.com adresinde kullandığınız F5 versiyonunun altında ASM-AttackSignatures_20211222_103347.im ismiyle olarak bulabilirsiniz.

F5 Advanced WAF olmadan Apache Log4j2 kullanan uygulamalar korunabilir mi?

Evet, eğer Apache Log4j2 kütüphanesini kullanıyor ancak F5 AWAF lisansına sahip değilseniz, F5 LTM modülünde aşağıdaki irule ile kullandığınız sunucular için koruma sağlayabilirsiniz. Ancak en kısa sürede F5 Networks’ün web firewall ürünü olan F5 AWAF (eski adıyla ASM) lisansını elde ederek bundan sonra çıkacak 0-Day ataklar için daha hazırlıklı olabilirsiniz.

# F5 iRule for Mitigation of log4j Vulnerabilities
# For additional information please see https://support.f5.com/csp/article/K59329043
#
# Version 2.5 - 2021-12-17 04:15 Eastern
# - New payload seen, regexp updated
# Version 2.4 - 2021-12-16 18:55 Eastern
# - Optimization of regexp
# - Additional comments for clarity
# Version 2.3 - 2021-12-16 03:40 Eastern
# - Moved regexp to static variable
# - Updated regexp to handle more encodings/evasions
# - Added controls to logging levels - beware logging the exploit to a vulnerable log server
# - Performance improvements
# Version 2.2 - 2021-12-13 19:00 Eastern
# - Added PUT method payload check
# Version 2.1 - 2021-12-13 17:00 Eastern
# - Revision to header & body regexp for new evasions
# - Made default URI regexp less aggressive to avoid false positives - same as header & body now
# - Added while loop limit
# Version 2.0 - 2021-12-11 23:40 Eastern
# - Handling nested URI encoding
# - Improved matching
# Version 1.0 - 2021-12-11 06:10 Eastern
# - Initial release
#

when RULE_INIT {
# To switch to a much more aggressive regexp uncomment the first line and comment the second.
#    set static::log4j_regex {(?i)(\$|\\+(0?44|([u0]00|x)24))'?(\{|\\+(0?173|([u0]00|x)7b))'?}
    set static::log4j_regex {(?i)(\$|\\+(0?44|([u0]00|x)24))'?(\{|\\+(0?173|([u0]00|x)7b))'?\s*((j|b|\\+(0?1[5140]2|([u0]00|x)[64][a2]))|((\$|\\+(0?44|([u0]00|x)24))?'?(\{|\\+(0?173|([u0]00|x)7b))'?.+?'?(\}|\\+(0?175|([u0]00|x)7d))'?))}
}

when HTTP_REQUEST {
# set debugLogging to 0 not to log, 1 to log without exploit, 2 to log exploit
set debugLogging 1

# URI blocking
# Be sure you're patched for CVE-2021-22991 or remove -normalized
    set tmpUri [HTTP::uri -normalized]
    set uri [URI::decode $tmpUri]
    set loopLimit 5
    set loopCount 1
    while { $uri ne $tmpUri } {
        if {$loopCount >= $loopLimit} {
            if {$debugLogging == 1} {
                log local0. "log4j_rce_detection drop on URI loop limit: $loopCount"
            }
            if {$debugLogging == 2} {
                log local0. "log4j_rce_detection drop on URI loop limit: $loopCount $uri"
            }
            drop
            event disable all
            return
        } else {
            set tmpUri $uri
            set uri [URI::decode $tmpUri]
            incr loopCount
        }
    }

    if {$uri matches_regex $static::log4j_regex} {
        if {$debugLogging == 1} {
            log local0. "log4j_rce_detection drop on URI"
        }
        if {$debugLogging == 2} {
            log local0. "log4j_rce_detection drop on URI: $uri"
        }
        drop
        event disable all
        return
    }

# Header blocking
    set tmpReq [HTTP::request]
    set req [URI::decode $tmpReq]
    set loopLimit 5
    set loopCount 1
    while { $req ne $tmpReq } {
        if {$loopCount >= $loopLimit} {
            if {$debugLogging == 1} {
                log local0. "log4j_rce_detection drop on header loop limit: $loopCount"
            }
            if {$debugLogging == 2} {
                log local0. "log4j_rce_detection drop on header loop limit: $loopCount $req"
            }
            drop
            event disable all
            return
        } else {
            set tmpReq $req
            set req [URI::decode $tmpReq]
            incr loopCount
        }
    }

    if {$req matches_regex $static::log4j_regex} {
        if {$debugLogging == 1} {
            log local0. "log4j_rce_detection drop on header"
        }
        if {$debugLogging == 2} {
            log local0. "log4j_rce_detection drop on header: $req"
        }     
        drop
        event disable all
        return
    }

# POST & PUT Payload blocking collection
# NOTE: This only collects the first 1MB by default - edit 'collectSize' to change
    set collectSize 1048576
    if {([HTTP::method] eq "POST") || ([HTTP::method] eq "PUT")} {
    # Trigger collection for up to 1MB of data
        if {[HTTP::header "Content-Length"] ne "" && [HTTP::header "Content-Length"] <= $collectSize}{
            set content_length [HTTP::header "Content-Length"]
        } else {
            set content_length $collectSize
        }
        # Check if $content_length is not set to 0
        if { $content_length > 0} {
            HTTP::collect $content_length
        }
    }
}

when HTTP_REQUEST_DATA {
# POST & PUT Payload blocking
# set debugLogging to 0 not to log, 1 to log without exploit, 2 to log exploit
    set debugLogging 1

    set tmpPayload [HTTP::payload]
    set payload [URI::decode $tmpPayload]
    set loopLimit 5
    set loopCount 1
    while { $payload ne $tmpPayload } {
        if {$loopCount >= $loopLimit} {
            if {$debugLogging == 1} {
                log local0. "log4j_rce_detection drop on payload loop limit: $loopCount"
            }
            if {$debugLogging == 2} {
                log local0. "log4j_rce_detection drop on payload loop limit: $loopCount $payload"
            }         
            drop
            event disable all
            return
        } else {
            set tmpPayload $payload
            set payload [URI::decode $tmpPayload]
            incr loopCount
        }
    }

    if {$payload matches_regex $static::log4j_regex} {
        if {$debugLogging == 1} {
            log local0. "log4j_rce_detection drop on payload"
        }
        if {$debugLogging == 2} {
            log local0. "log4j_rce_detection drop on payload: $payload"
        }
        drop
        event disable all
        return
    }
}

Konuyla ilgili detaylı teknik bilgiye aşağıdaki linklerden ulaşabilirsiniz.

• https://support.f5.com/csp/article/K19026212
• https://support.f5.com/csp/article/K32171392
• https://support.f5.com/csp/article/K24554520
• https://support.f5.com/csp/article/K59329043
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
• https://www.randori.com/blog/cve-2021-44228/
• https://nvd.nist.gov/vuln/detail/CVE-2021-44228
• https://github.com/apache/logging-log4j2/pull/608
• https://access.redhat.com/security/cve/cve-2021-44228#cve-cvss-v3

Eğer F5 kullanıyorsanız, cihazın üzerindeki yapılandırmayı, istatistikleri ve logları incelemek için cihazınızdan bir Qkview dosyası alıp iHealth’e yüklediğinizde problemi tespit etmek daha kolay olacaktır. Bu yazımızda Qkview dosyasının oluşturulması ve F5 iHealth’e yüklenmesi aşamalarını anlatacağız.

Her ne kadar BNTPRO olarak müşterilerimizden bize iletilen sorunların yaklaşık %90 kadar kısmını kendi ekibimizin tecrübeleriyle çözüme kavuşturuyor olsak da zaman zaman bug ya da donanımsal problemlerde sorunu vendor seviyesine taşımamız gerekebiliyor. Bu durumda F5 Networks’e açacağımız case’de Qkview dosyasına ihtiyaç duyulacaktır. F5 mühendisleri elde ettikleri bu Qkview dosyasında yer alan sistemin bütün verilerini inceleyerek yaşanan soruna çözüm bulmaya çalışacaktır.

Cluster yapıda çalışan cihazlarda her bir cihazın Qkview dosyası birbirinden farklı olacağı için her cihaz için ayrı ayrı QKview oluşturmanız gerekecektir.

1. Qkview dosyası elde etmek için neler gereklidir?

• Qkview dosyası oluşturmak için CLI ya da GUI üzerinden F5 cihazlarınıza erişmeniz gerekmektedir.
• Oluşturulan dosyaları indirmek için FTP veya SCP programlarıyla F5 cihazlarına erişilmesi gerekmektedir.
• Qkview dosyasını doğrudan ihealth.f5.com’a yüklenmesi isteniyorsa cihazlarda gerekli erişimlerin ayarlanması gerekmektedir.

2. GUI üzerinden qkview nasıl oluşturulur?

1. F5’e GUI üzerinden giriş yapın.
2. Menüden System > Support yolunu takip edin.
3. New Support Snapshot butonuna tıklayın.
4. Health Utility bölümünde, Generate QKView seçin.
5. Start butonuna tıklayın.
6. Çıktı dosyasını indirmek için, Download butonuna tıklayın.

Aşağıda ise Qkview oluştururken karşınıza gelen seçeneklerin açıklamalarını bulabilirsiniz.

Normal şartlarda bu seçeneklerden sadece “unlimited snaplen” seçeneğini seçmeniz yeterli olacaktır.  Ancak eğer hassas bilgilerinizin Qkview dosyasında yer almasını istemiyorsanız F5’in K55559493: Obfuscating sensitive data in a QKView file makalesini inceleyebilirsiniz.

Eğer BNTPRO olarak sizlere F5 Danışmanlığı verdiğimiz için bu yazıya yönlendirildiyseniz yukarıdaki adımların sonucunda elde ettiğiniz Qkview dosyalarını sizinle paylaştığımız SFTP adresine yükleyebilirsiniz.

Bu konuyla ilgili daha detaylı bilgi edinmek isterseniz yazımızın bundan sonraki kısmını okumaya devam edebilirsiniz.

3. QKView dosyası oluşturulurken iHealth.f5.com’a nasıl yüklenir?

1. F5’e GUI üzerinden giriş yapın.
2. Menüden System > Support yolunu takip edin.
3. New Support Snapshot butonuna tıklayın.
4. Health Utility bölümü için, Generate and Upload QKView to iHealth’i seçin.
5. iHeath User ID ve iHealth Password kısımlarını doldurun. (ihealth.f5.com üzerinden ücretsiz bir şekilde hesap oluşturabilirsiniz.)
6. Start butonuna tıklayın.

Upload işleminin başarılı olabilmesi için F5 cihazlarının aşağıdaki adreslerin 443 portuna erişmesi gerekmektedir.

• api.f5.com
• ihealth-api.f5.com

4. CLI üzerinden qkview dosyası nasıl oluşturulur?

1. CLI üzerinden F5’e giriş yapın.
2. QKView dosyasını oluşturmak için komut satırına aşağıdaki komutu kullanabilirsiniz.

#qkview -s0

Oluşacak dosyanın adını yukarıdaki komut tamamlandıktan sonra ekranda göreceksiniz. Cihazdaki konfigurasyon sayınıza göre bu süre artablilir.  Oluşturulan dosyayı Ftp veya Scp programları yardımıyla /var/tmp/ dizininde bulabilirsiniz.

5. CLI üzerinden qkview seçenekleri nelerdir?

CLI üzerinden qkview alırken kullanabileceğimiz seçeneklerinin listesini görüntülemek için CLI üzerinde aşağıdaki komutu yazabilirsiniz.

#qkview -h

Örneğin, qkview dosyası alırken cihaz üzerinde oluşabilecek olası performans yükünü azaltmak için aşağıdaki komutu girerek Linux işletim sisteminin bir özelliği olan nice komutu ile qkview’i mümkün olan en düşük öncelikte çalıştırabilirsiniz.

#nice -n 19 qkview -s0

Not: Obje sayısı fazla olan sistemler için, nice -n 19 seçeneğini kullanırken qkview’in çalışmasını tamamlaması uzun zaman alabilir.

qkview komutunu çalıştırmak ve izin verilen dosya boyutunu belirlemek için qkview -s seçeneğini kullanabilirsiniz.

Örneğin, dosya boyutu sınırı belirtmek için aşağıdaki komutu kullanabilirsiniz.

#qkview -s0

6. QKView dosyası iHealth’e nasıl yüklenir?

Öncelikle oluşturmuş olduğumuz QKView dosyasınız iHealth’e yüklemek için F5 Login sayfasına giriş yapın. Bir hesabınız var ise onunla giriş yapabilirsiniz. Bir hesabınız yoksa alt kısımda bulunan “Create one” seçeneği ile ücretsiz bir hesap oluşturabilirsiniz.

Oluşturduğunuz F5 hesabınızla giriş yaptıktan sonra F5 iHealth bölümüne geçebilirsiniz.

Önceki adımlarda oluşturduğunuz QKView dosyalarını Upload butonuna tıklayarak yükleyebilirsiniz.

Qkview dosyasını ihealth.f5.com’a yüklemiş oldunuz. Bundan sonraki aşamada ihtiyacınız olan detaylara iHealth kullanımı ile ilgili daha sonra yayınlayacağımız blog yazımızda bulabileceksiniz.

Bu cümlenin felsefesi hayatımızın her alanında kendisini göstermektedir.  Kurumların üretimleri , pazarlamaları , satışları , satış sonrası hizmetleri çok iyi olabilir.  Ancak gerek kurum içine gerekse de kurum dışına hizmet veren IT departmanları yeri geldiğinde müthiş bir savunma yaparak maçın kazanılmasında önemli rol oynar.  Artık IT departmanının önemini anlamayan kalmadı diyebiliriz. Bu noktada kullanılan bütçenin doğru alana verimli şekilde aktarılması esas teşkil etmektedir.

Günümüzdeki önemi nedeni ile  F5 Advanced Web Application Firewall’a değinmek isterim. Veri ihlallerinin önde gelen en önemli nedeni web saldırılarıdır. Firmalarda güvenli uygulama ve yama yönetimi  gibi güvenlik çözümleri olmasına rağmen, bir çok uygulama savunmasız veya etkisiz kalabiliyor. F5 Advanced Web uygulama güvenlik duvarları (F5 AWAF) ile güvenlik açıklarını, gidererek uygulamalarınızı veri ihlallerinden korur ve saldırıları durdurabilirsiniz. F5 Advanced WAF aynı zamanda, ileri seviye bot korumasını, uygulama katmanı şifrelemesini, API’leri ve davranış analizini hedefleyen saldırılara karşı korunmanıza yardımcı olur.

Özellikle son zamanlarsa saldırganlar, uygulamalardaki güvenlik açıklarını bot sistemler yardımıyla otomatik tarayarak elde ettikleri bilgiler ile servis kesintisine  (DDoS) neden olacak yaklaşımı benimsemişlerdir.

F5 Networks ; saldırganların  kullandığı bu bot sistemlere karşın , proaktif savunma ile otomatik saldırıları durdurur, bot trafiğini tanımlar, filtreler ve davranışa dayalı tekniklerin bir kombinasyonunu kullanarak bu kötü niyetli botları durdurmaktadır. Böylece saldırıların çoğunu ortadan kaldırabilirsiniz. F5 Advanced WAF sadece uygulamanızı korumaz, kullanıcıyı da sorgulayan bir mekanizmaya dönüşür. Tam katmanlı bir güvenlik sunmayı amaçlar.

Nasıl ki teknoloji evrimleşiyor ise saldırganlar da kendilerini geliştirerek evrimleşiyorlar. İşte bunun için Türkiye’nin tek yetkili F5 eğitim merkezimizde ; uzman ekibimiz ile uygun çözümlerimizi sizlerle buluşturmak için bekliyoruz.  Gerek F5 AWAF eğitimi ihtiyacınız , gerekse de AWAF kullanımınızda verim artışı istemeniz halinde sizlere destek olmak için sürekli çalışıyoruz.  Bizlerin de amacı tıpkı sizler gibi doğru bütçe ile doğru çözümleri buluşturabilmek.

Kerem Varcan

Kıdemli Satış Yöneticisi

01220001:3: TCL error: /Common/Xsession_mobilA <HTTP_RESPONSE> - Prerequisite operation not in progress (line 1) (line 1)     invoked from within "persist add uie [HTTP::cookie "XSESSIONID"]"

Ne var ki bu hata mesajı için bir düzenden bahsetmek pek mümkün değil. Tamamen rastgele zamanlarda ortaya çıkan “invoked from within” hatasını Google ile aratınca pek bir şey çıkmamasından dolayı, probleme daha yakından bakalım.

Daha önce programlama ile ilgilenenlerin tanıdığı bir durumdan bahsetmek gerekirse klavyeden bir değer girilmesini isteyen bir uygulama yazdığınızı düşünelim. Kullanıcılar genelde, herhangi bir tuş kombinasyonu ile anlamlı ya da anlamsız bir veri girip “ENTER” karakterine basarlar. Sistem, girilen değerin sonunda gönderilen “ENTER” karakterini aldığında, veriyi alır ve girişi okuma işlemini sonlandırır. Genelde bu bilgi bir değişken içinde saklanır ve uygulamayı geliştiren kişinin amacına göre işlenir. Sonrasında ne olduğu ile şu an ilgilenmiyoruz.

Buraya kadarki kısımda, ya kullanıcı klavyeden adını, soyadını, ya da istenen bilgiye karşılık gelen veriyi girmek yerine “CRTL + D” tuşlarına bassa ? Bu durum bir veri girişi yerine geçer ve sistem yine okuma işlemini tıpkı “ENTER” karakterine basmışsınız gibi sonlandırır. Ancak bu veri tampon bellekten okunmaya çalışıldığında “BOŞ” olarak adlandırılan bir değer döner. Bu durumda bir exception oluşur. Sonuç olarak bir değişkeniniz var fakat içi ‘boş’ ile doludur.

Burada verilen örnek ile yaşanılan sorun bire bir uyumlu ancak bu örnek bir web yazılımından ziyade daha alt seviyeli olan C ve C++ gibi dillerde görebileceğiniz bir durumdur. Örnek bir kod şöyle olabilir.

#include <stdio.h>
#include <stdlib.h>
int main(int argc, char **argv){
char a[10] = "\0";
puts("Type any word : ");
fgets( a, 10, stdin);
puts(a);
return 0;
}

Yaşadığımız soruna geri dönersek, sorun sunucunun XSESSIONID isimli cookie’yi oluşturup içine herhangi bir veri yazmamasından dolayı oluşuyor. Örneği gerçek hayata uygulamak isterseniz, aşağıda php ile yazılmış basit bir web sayfası kodu var.

<?php
setcookie("XSESSIONID")
?>

Temelde yaptığı şey sadece, istekte bulunan kişiye, ismi “XSESSIONID” olan içi boş bir cookie göndermek.

Bu kodu bu haliyle bir web sunucusuna aktarıp sayfayı curl ile çağıralım ve ne olduğunu görelim.

[plymouth@red ~]$ curl -v "http://10.34.23.127/test1.php"
* About to connect() to 10.34.23.127 port 80 (#0)
*   Trying 10.34.23.127… connected
* Connected to 10.34.23.127 (10.34.23.127) port 80 (#0)
> GET /test1.php HTTP/1.1
> User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.18 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2
> Host: 10.34.23.127
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Mon, 16 Nov 2015 14:48:48 GMT
< Server: Apache
< X-Powered-By: PHP/5.3.3
< Set-Cookie: XSESSIONID=
< Content-Length: 0
< Content-Type: text/html; charset=UTF-8
<
* Connection #0 to host 10.34.23.127 left intact
* Closing connection #0

Dönen cevabın içindeki XSESSIONID cookie’sinin herhangi bir değer barındırmadığını “=” karakterinin sağ tarafının tamamen boş olmasından anlayabiliyoruz.

Şimdi F5 üzerinde basit bir virtual server oluşturup, pool’a kodumuzu çalıştırdığımız sunucuyu ekleyerek, testi aşağıdaki iRule ile tekrar edelim.

when HTTP_RESPONSE {
if { [HTTP::cookie exists "XSESSIONID"] } {
   persist add uie [HTTP::cookie "XSESSIONID"]
   }
}
when HTTP_REQUEST {
HTTP::header insert "rlnclientipaddr" [IP::remote_addr] "CLIENTPORT" [TCP::remote_port] "Proxy-Client-IP" [IP::remote_addr]
   if { [HTTP::cookie exists "XSESSIONID"] } {
   persist uie [HTTP::cookie "XSESSIONID"]
  persist:[persist lookup uie [HTTP::cookie "XSESSIONID"]]"
   }
}

Eğer bu iRule’u oluşturduğunuz Virtual Server’a ekledikten sonra /var/log/ltm dosyasını tail ile açarsanız, her yeni istekle birlikte, içi boş olan XSESSIONID isimli cookilerin “TCL Error”  ile başlayan hata loglarının düşmesine neden olduğunu görmeniz mümkün.

Eğer PHP kodunu değiştirip aşağıdaki gibi düzenlerseniz, loglardaki hata mesajlarının artık gelmediğini görürsünüz.

<?php
setcookie("XSESSIONID", "TEST")
?>

Bu kod ile XSESSIONID isimli cookie’ye TEST değerini atamış ve böylece F5 BIG-IP üzerinden geçecek bu tarz bir trafik için TCL Error hatası alınmadan oturumların başarılı bir şekilde kurulmasını sağlamış oluyoruz.

i2600 ve i2800 modellerinin Öne Çıkan Özellikleri Nelerdir?

Cihazların önemli özellikleri aşağıda maddeler halinde özetlenebilir. Bütün donanım özelliklerini ise yazımızın alt kısmındaki tabloda bulabilirsiniz.

• F5’in ürünlerinde kullandığı 600 ve 800 serilerinin farkı bu cihazlarda da mevcut durumda. Yani lisans ile bir üst modele geçiş imkanı tanınıyor. Ancak bu durum tabi ki aynı fiziksel cihaz olmasına rağmen i2600’ün biraz daha düşük kapasite ile hizmet vermesi anlamına da geliyor.
• L4 ve L7 kapasite değerleri her 2 cihazda da değişkenlik göstermekle beraber her 2 cihaz için de 10Gbps band genişliği değeri mevcut.
• Günümüzde en önemli değerlerden olan SSL TPS limitlerinde ise i2800 modeli i2600’e göre yaklaşık 2 kat daha yüksek değere sahip. Bu da i2800’ün daha fazla HTTP/HTTPS isteğe cevap verebileceği anlamına geliyor.
• F5’in x800 cihazlarında donanımda yaptığı compression özelliği x600 cihazlarında yazılımsal olarak yapılıyor.
• Hem i2600 hem i2800 serisinde sanallaştırma özelliği bulunmuyor. Bu durumda bu cihazlar tamamen izole tenant şeklinde kullanılamıyor.
• 1 adet 2-core fiziksel işlemci, 4 vCPU ile toplam 2 TMM özelliği, 1TB HDD ve 16 Gb DDR4 RAM her 2 model için de geçerli.
• Tam güç yedekliliği için bu cihazları sipariş verirken kitlistinize yedek Power Supply da eklemeyi unutmamalısınız.
• 4 adet 1G Fiber SFP ve 2 adet 10G Fiber SFP+ interface girişi bulunmaktadır.

F5 Networks’ün BIG-IP i2x00 serisi cihazlar ile ilgili hazırlamış olduğu bilgilere ise ingilizce olarak https://techdocs.f5.com/en-us/hw-platforms/platform-guide-i2000i4000-series.html adresinden ulaşabilirsiniz.

Aşağıda cihazın ön ve arka kısımlarının görüntülerini, SFP portlarını ve cihaz boyutlarını görebilirsiniz.

Yukarıda önemli kısımlarını paylaştığımız i2600/i2800 cihazının datasheet değerlerinin tamamını aşağıdaki tabloda bulabilirsiniz. Bu tablonun pdf halini ise F5-BIG-IP-i2600-i2800-datasheet dosyamızda bulabilirsiniz.

F5 Networks i2600 ve i2800 Datasheet Değerleri

F5 Networks BIG-IP i2600 ya da i2800 hakkında daha detaylı bilgi almak, demo yapmak ya da sipariş vermek için aşağıdaki formu doldurarak bize ulaşabilirsiniz.

VELOS cihazının GUI sayfasında Tenant Images menüsünde Add butonu ile https://downloads.f5.com/ adresindeki BIGIP-15.1.4-0.0.47.ALL-VELOS.qcow2.zip.bundle linkini kullanarak cihaza yükleyebilirsiniz. VELOS 15.1.4 versiyonu ile hem klasik BIG-IP yazılımında hem de F5 VELOS için özel hazırlanan yazılımda bir çok güvenlik açığı düzeltilmiş durumda.

V15.1.4  sürümünü indirmek için aşağıdaki adımları takip edebilirsiniz.

Bu versiyon ile düzeltilen ya da hala düzeltilemeyen açıklıklar ile daha detaylı bilgiyi F5 Networks’ün çıkardığı yazılımlarda yaptığı değişikliklerin yayınlandığı https://techdocs.f5.com/kb/en-us/products/big-ip_ltm/releasenotes/related/relnote-supplement-bigip-15-1-4.html sayfasında bulabilirsiniz. CX410 şase ve BX110 blade hakkında teknik bilgilere F5 VELOS Datasheet dosyasından ulaşabilirsiniz.

Bu versiyonun aynı zamanda diğer bütün F5 cihazları için olan ISO seçeneğini yine aynı sayfadan indirebilirsiniz. Böylece kullandığınız F5 load balancer cihazını şu anda bütün dünyada stabil bir şekilde kullanılan v15.1.x versiyonuna yükseltebilirsiniz. Bu güncelleme minor bir yükseltme olup daha çok güvenlik açıklıkları için yayınlanmakta ve varsayılan olarak trafiği işleme davranış biçiminde bir değişiklik içermemektedir.

VELOS Demo talepleriniz ve daha fazla bilgi için iletişim sayfamızdan bize ulaşabilirsiniz.

tmm --clientciphers 'DEFAULT'

F5’teki Default SSL Cipher Listesini Görüntüleme

BIG-IP F5 LTM üzerinde çalıştırılan komut çıktısı aşağıda paylaşılmıştır.

IANA SSL Cipher’larının F5’teki Karşılıkları

IANA (Internet Assigned Numbers Authority) ‘da paylaşılan SSL Cipher’larının HEX karşılıklarını F5 LTM üzerinde kullanılan Default Cipher  grubunda bulmak için aşağıdaki komut kullanılabilirsiniz.

tmm --clientciphers 'DEFAULT' | awk 'FNR > 1 {printf "ID %s (0x%x): %s %s\n", $2, $2, $3, $5}'

Güncel olarak IANA’da paylaşılan SSL Cipher’larının detaylarına ise IANA Cipher List linkinden ulaşabilirsiniz.

BIG-IP V15’de kullanılan Default Cipher Listesi

Aşağıdaki tabloda F5 V15.1.x versiyonlarında default olarak gelen clientssl profilindeki cipher setini ve detaylarını bulabilirsiniz.

TLS1.3 eğer özel olarak açılmazsa başlangıçta kapalı durumdadır. TLSv1.3 kullanmak istiyorsanız ilgili client SSL Profilindeki “Enabled Options” kısmından “No TLSv1.3” seçeneğini kaldırmanız gerekmektedir.

Kaynak: https://support.f5.com/csp/article/K02202090

BIG-IP V14.x’de Kullanılan Default Cipher Listesi

Aşağıdaki tabloda F5 V14.x versiyonlarında default olarak gelen clientssl profilindeki cipher setini ve detaylarını bulabilirsiniz.

Kaynak: https://support.f5.com/csp/article/K54125331

Websitenizin SSL Notunu Nasıl Öğrenirsiniz?

Aşağıdaki ekran görüntüsünde https://www.bntpro.com adresimizin Qualys SSL Labs websitesi üzerinde aldığı notu görebilirsiniz.

BNTPRO olarak F5 Eğitimlerinde önem verdiğimiz güvenlik konularından birisi olan kulllanılan SSL Cipher’lar artık günümüzde oldukça önem kazanmaya başlamış durumda. F5 Yük Dengeleyici cihazlarında cipher sıkılaştırması yapmak oldukça kolay hale gelmiş durumdadır.

Zayıf cipher’ların kullanıldığı servislerdeki güvenlik açıklıkları uygulamalarda çok daha büyük sorunlara yol açabiliyorken şirketinizde gerçekleşen denetimlerde de başarısız olmanıza neden olmaktadır. Bu nedenle vakit kaybetmeden https://www.ssllabs.com/ssltest/,  https://observatory.mozilla.org/ gibi SSL güvenlik ayarlarınıza belirli kriterler ile not veren websitelerinde websitenizi/uygulamanızı test etmenizi ve gerekli önlemleri almanızı şiddetle önermekteyiz.