Sertifika yönetimini manuel yapmak;

• Zaman ve efor kaybı
• Beklenmedik servis kesintileri ve güvenlik zafiyetleri
• İtibar kaybı
• Ve sonunda artan maliyetleri beraberinde getiriyor.

SSL Sertifika Yönetimi

Manuel SSL Sertifika Yönetiminde Zaman ve Efor Kaybı

Çoğu kurum bu işlerin yönetilmesi için şirket büyüklüğüne bağlı olarak en az 1 personel istihdam etmek zorunda kalıyor, bu personel çoğunlukla aynı zamanda başka işlerle de ilgilendiği için gözden kaçmış süresi geçmiş bir sertifikanın şirket içinde yol açacağı krizler düşünüldüğünde, o personelin bu konuyla uzun süre uğraşmasına sebep olabilir. Buna sebep vermemek için manuel olarak belirli tablolarda bu SSL sertifikalarını takip etmeye çalışmak, sertifikaların yenilenmesini sağlamak, imzalanması ve gerekiyorsa raporlanması ise farklı bir külfet getirmektedir. Bu personelin yapacağı diğer işlerin, bu işlerle uğraşırken sekteye uğraması demektir. Manuel sertifika yönetimi hem zaman hem efor kaybı anlamına gelmektedir.

Veri Güvenliği

Beklenmedik Servis Kesintileri ve Güvenlik Zafiyetleri

Sertifika yönetiminin başarısızlıkla sonuçlanmasının en ağır cezasıdır. Beklenmedik bir anda çalışan sistemlerin durması, bunun sebebinin anlaşılıp müdahale edilmesi ve arada geçen zaman ve bu zamandaki güvenlik açıklarıyla maruz kalınan saldırılar…

Şu ana kadar dünyada bununla ilgili gerçekleşmiş en yüksek bireysel mağduriyete sebep olan örneklerden biri; Equifax 2017 krizi

Equifax, milyonlarca insanın kişisel bilgilerini tehlikeye atan 2017 saldırısını, süresi dolmuş bir dijital sertifika olmasaydı çok daha erken keşfedebilirdi. Equifax, sertifikanın süresinin dolmasının ardından on ay boyunca kendi ağı üzerinden akan trafiği denetleyemedi. Bu da, sertifika nihayet değiştirilene ve denetim yeniden başlatılana kadar 76 gün boyunca yüksek profilli ihlali kaçırmasına neden oldu. Bu süre içinde kaç milyon kişinin hangi bilgilerinin çalındığı ise tahmini rakamlarla ortaya konmuştur.

Bir sonraki aşama ise itibarı geri kazanmak için yapılan çalışmalar ve alınan sayfalarca önlemin raporlanması….

Domain ve Markanın İtibar Kaybı

Bir önceki örnekten yola çıkarak ve yukarıdaki tabloda etkilenen kişilerin bilgilerini de düşünerek yaklaşık 143 milyon kişinin güvenini tekrar kazanmak ne kadar sürer? Muhtemelen bir daha firma ne yaparsa yapsın tam geri dönüş alamayacağı bir teknoloji kazası geçirmiştir.

Bu büyüklükte bir felaket olmayabilir, daha küçük etkileri de olabilir ancak her kurumun başına gelebilecek etkisini düşünelim. Web tarayıcınızda bir alışveriş sitesine girdiğinizde ya da bir firmayı araştırırken karşınıza çıkan aşağıdaki uyarı, araştırdığınız ya da alışveriş yaptığınız bir sitede karşınıza çıktığında sizde uyandırdığı güven sorunu ne seviyede olur? Eğer ilk defa keşfettiğiniz bir yer ise bir daha muhtemelen o siteye girmezsiniz ve sizi o anda kaybeder.

Manuel SSL Sertifikası Yönetiminde Artan Maliyetler

• Sertifikaları manuel yürütmek, bir personel istihdam etmek ya da 3.parti şirketlere bu işi devretmenin maliyeti
• Sertifikaları manuel yürütürken gözden kaçabilecek sertifika yenileme, geçerliliği bitmiş sertifikalar eşliğinde gelecek güvenlik açıklarıyla oluşan maliyet, denetim/uyumluluk zorunlukları olan kurumlara uygulanacak cezaların maliyeti, güven kaybetmenin maliyeti
• Tüm sertifika yaşam döngüsünün manuel yürütülmesinin operasyonel maliyeti

Yukarıda bahsettiğimiz maliyetleri alt alta topladığımızda altından kalkılamayacak zararlara uğranılacağı aşikardır.

SSL Kimlik Doğrulama Sistemlerinde Verimlilik

SSL Sertifikaları Daha Verimli Yönetmenin Yolları Nelerdir?

SecTrail CM SSL Sertifika Yönetim Yazılımı, pazarda bu ihtiyaçtan yola çıkılarak üretilmiş tamamen yerli bir yazılım çözümüdür.

SecTrail CM Sertifika Yönetim Portalı’nde, Şirketinizde bulunan SSL/TLS protokolleri destekli sertifikaları keşfedebilir, portal üstünde listelenmesini sağlayabilir, keşfin belirli periyotlar ayarlanarak çalıştırılmasını isteyebilir, sertifika geçerlilik süresi bitiş tarihi yaklaşanları görüntüleyebilir, raporlayabilirsiniz. Dijital sertifika yönetimini uçtan uca yapabileceğiniz aşağıdaki yaşam döngüsünü size sunar.

Sectrail Sertifika Yaşam Döngüsü

Bir portal aracılığıyla tüm süreci görüntüleyebilir, istediğiniz kuralları çalıştırabilir ve alarm uyarı mekanizması sayesinde sertifikalarınız ile ilgili sorun yaşamazsınız.

Eylül 2020 itibariyle sertifika geçerlilik süreleri 13 aya indirilmiştir. Kısa süreler içerisinde güncellenmesi gerekli sertifika yönetiminin zorluklarını bertaraf etmek için SecTrail CM yazılım çözümünün sağladığı ayrıcalık ve kolaylıklar ile güvenli sertifika yönetimini sağlar, olumsuz maliyet yüklerinden kurtulmuş olursunuz.

Manuel yönetimin getireceği risklerle yüzleşmeden Sertifika Yönetimi için SecTrail CM ile tanışmak için aşağıdaki formu doldurabilirsiniz..

Değişen ihtiyaçlar ve gelişen teknolojiyi yakından takip eden F5 Networks, monolotik düzende ilerlettiği VIPRION ve iSerilerinin yerine Docker, Ansible, Kubernetes  ile entegre olmuş başarılı bir mimari ile sektöre yön vermeye devam ediyor.

F5 VELOS Mimarisi ve Terminolojisi

F5 Networks, BIG-IP Viprion ve BIG-IP iSerisi cihazlarda tek katmanda yönettiği operasyon yerine F5 VELOS (F5OS-C) ve r Serilerinde (F5OS-A) yeni ve birbirinden bağımsız katmanlı bir mimari ile yola devam ediyor.

Terminolojik olarak F5 VELOS (F5OS-C) katmanlarını açıklamak gerekirse,

Hangi Katmanda Hangi Servisler Çalışıyor ?

F5OS-C System Controller Katmanı

F5OS-C System Controller, donanımdaki işletim sistemi yazılımıdır. F5OS-C System controller sisteminin network, partition, tenant ve kullanıcılar gibi çeşitli yapılandırmalarını yönetir. F5OS-C System Controller, Base OS ve Service Component olarak 2 bileşenden oluşur.

System Controller Base OS bileşeni aşağıdaki servis ve hizmetleri üzerinde barındırır.

• CentOS Linux
• Docker
• Ansible
• KubeVirt-VELOS

System Controller Service Component bileşeni aşağıdaki servis ve hizmetleri üzerinde barındırır.

• KubeVirt
• OpenShift
• Multus
• F5-produced software (Örneğin, Qkview ve platform’a özel servisler gibi )

F5OS-C Partition Katmanı

F5OS-C Partition katmanı tıpkı System Controller’da olduğu gibi Base OS ve Service Component olarak 2 bileşenden oluşur.

F5OS-C Partition Base OS bileşeni aşağıdaki servis ve hizmetleri üzerinde barındırır.

• CentOS Linux
• Docker
• Ansible
• Flannel

F5OS-C Partition Service Component bileşeni aşağıdaki servis ve hizmetleri üzerinde barındırır.

• F5-produced blade-specific packages, (Örneğin, Partition özelinde Qkivew, Lisans Servisi, Field-Programmable Gate Array (FPGA) yöneticisi gibi )
• Partition webUI
• tcpdump

F5OS-C Tenant Katmanı

BIG-IP Viprion (vCMP)’a benzer bir şekilde oluşturulacak olan BIG-IP’lerin konfigürasyonlarının yapıldığı katmandır.

• Tenantların hangi blade’ler üzerinde çalışacağı
• Tenantlar için çalışacak blade’ler üzerinde Disk imajları oluşturulması
• Kullanılacak BIG-IP F5 versiyonunu disk üzerine kurulması,

işlemleri bu katmanda yapılmaktadır.

F5 VELOS katmanları ile ilgili F5 Networks’un Overview of the VELOS system architecture: Partition, tenant, controller, and blade makalesini de inceleyebilirsiniz.

Modern Mimariye Geçiş

V14.1 ile hayata başlayan BIG-IP F5 VELOS (F5OS-C) mevcut BIG-IP F5 Viprion ve BIG-IP F5 iSerilerinden geçişi kolaylaştırabilmek adına, güncel ve güçlü chip’lerle üretilen yeni şase’lerin üzerine F5OS işletim sistemini çalıştırarak, sanal olarak BIG-IP’leri üzerinde çalıştırıyor. Kısacası multi-tenancy yapıya geçmiş oluyoruz. F5 VELOS ile ilgili daha temel bilgilere daha önce yayınladığımız Yeni Nesil F5 VELOS Hazır! isimli yazımızı inceleyebilirsiniz.

Modern mimariye hızlı ve kolay uyum sağlayabilmek adına v14.1 versiyonu ile hayatına başlayan F5OS üzerinde çalışan tenant’lar, güncel olarak v15.1.5’den hizmet vermeye devam ediyor.

Aslında benzer yapı BIG-IP F5 Viprion’dan bizlere tanıdık gelecektir. Centos Linux üzerinde çalışan sanallaştırma ile (vCMP) bare-matel olarak bu imkan bize sağlanıyordu.

Yenilenen tasarım ile geçiş aşamasında bu imkan bizlere F5OS katmanında sağlanmaya başlayarak, birbirinden izole farklı partition ve tenantlar oluşturarak aynı şase üzerinde farklı amaçlara hizmet eden servisleri birbirinden izole olarak kesintisiz hizmet sağlanabilir.

Benzer mimari r Serisi (F5OS-A) olarak piyasaya sürülen donanımlarda da ortak olacaktır. F5OS-A rSerisi tek partition üzerinde çalışan birbirinden bağımsız tenant’ları (ya da tek bir tenant) aynı platform üzerinde çalıştırabilecektir.

Hikayenin bu noktasına kadar sanallaştırılmış BIG-IP F5’den ileriye gidememiş gibi gözüküyoruz. Ancak ilerleyen süreçte sanallaştırılmış BIG-IP F5 tenant’ları yerine, ihtiyaç duyulacak olan modül Container olarak derlenerek hizmet verilmesi amaçlanmıştır.

Yeni mimari ile birlikte tek bir BIG-IP Tenant üzerinde farklı modüllere hizmet vermek tarihe karışıyor !

Mevcut BIG-IP Viprion ve BIG-IP iSerileri’nden Geçiş Nasıl Olacak ?

BIG-IP Viprion ve BIG-IP Viprion’lardan F5 VELOS ve F5 rSerilerine geçiş için konfigürasyon yazım hiyerarşisinde değişiklik olduğu için bire bir geçiş imkan bulunmuyor. Ancak bu işlemi kolaylaştırmak için mevcut konfigürasyon dosyası üzerinde değişiklikler yapılarak, yeni hiyerarşiye uygun hale getirmek için F5 Journeys Tools‘u kullanabiliriz.  Diğer F5 destek ihtiyaçlarınızda olduğu gibi yeni nesil F5 VELOS ve F5 rSerisi cihazlara migration işlemleriniz için bizimle iletişime geçebilirsiniz.

Günümüzde yaygın olarak kullanılan ve bir kullanıcı kimliği, parola ile sağlanan oturum açma yönteminin en büyük eksikliklerinden birisi, parolanın ele geçirilme ihtimalidir. Bu durum, hem bireysel hem de kurumsal firmalar için büyük zararlar doğurabilecek tehlikenin sinyalini vermektedir.

Eset Threat Report 2021 araştırmasına göre parola tahmini ile ağ saldırıları %53 oranında olduğu açıklanmıştır. Bu tür durumları engellemek için hesabı kilitlemek bir çözüm gibi görünse de, bilgisayar korsanlarının sistem erişimi için başka yöntemleri de var. Nitekim kimlik avı dolandırıcılığının 43 milyar dolarlık kayba sebep olduğu geçtiğimiz sene gazete afişlerinde yer alıyordu.

2021 yılında kullanılan saldırı çeşitlerini ve CVE numaralarını aşağıda bulabilirsiniz.

• Password guessing
• MS Exchange CVE-2021-26855
• SMB.DoublePulsar scan
• Apache Struts2 CVE-2017-5638
• Apache Log4j CVE-2021-44228
• MS IIS CVE-2015-1635
• Pulse Secure CVE-2019-11510
• MS SMB1 EternalBlue
• MS Exchange CVE-2021-34473
• MS SMB3 CVE-2020-0796
• MS RDP CVE-2019-0708 BlueKeep
• Other web-based attacks and probes

Çok Faktörlü Kimlik Doğrulama Nedir ve Nasıl Çalışır?

Güvenliğimizi tehdit eden bu unsurlardan yola çıkarak geliştirilen çok faktörlü kimlik doğrulama kavramı, bir hesaba erişmek için iki veya daha fazla doğrulama faktörü sağlamasını gerektirir. Sistem, yetkisiz bir kişinin erişim için gerekli faktörleri sağlayamaması ihtimali üzerine kuruludur. Bir erişim girişiminde parçalardan en az birinin eksik olması ya da hatalı sağlanması durumunda, kullanıcının kimliği doğrulanamayacak ve erişimi istenen alan ve/veya veri ulaşılamaz durumda olacaktır.

Kimlik doğrulama faktörleri içindeki en yaygın doğrulama unsurları; bilgi faktörü, sahip olma faktörü ve kalıtım faktörleridir.

• Bilgi faktörü; bilgiye dayalı kimlik doğrulama, kullanıcının bildiği bir unsuru kullanarak erişim sağlamasını işaret etmektedir. Kişisel şifreler, nümerik parolalar(pin) bilgi faktörü yöntemlerine örnek olarak verilebilir.
• Sahip olma faktörü; kullanıcıların akıllı kart (smart card), fiziksel anahtar (hardware token), mobil cihaz (softotp, push notification) gibi erişim için belirli bir donanıma sahip olmasını gerektiğini işaret etmektedir.
• Kalıtım faktörü; kullanıcının erişim için herhangi bir biyolojik özelliğinin kullanılmasını gerektiğini işaret etmektedir. Kalıtım faktörü; retina iris taraması, parmak izi, sesli kimlik, yüz tanıma gibi biyometrik teknolojileri içerir.

Kullanıcı konumu ve zamana dayalı kimlik doğrulama da bu faktörler ile beraber değerlendirilebilecek metotlar arasında yer almaktadır. Küresel konumlandırma sistemi izleme özelliğine sahip mobil cihazlar, oturum açma konumunun güvenilir bir şekilde onaylanmasını sağlarken; zamana dayalı faktör ise günün belli bir saatinde (belli bir lokasyonda) varlığını tespit ederek kimlik kanıtlanması için kullanılır.

Çok faktörlü kimlik doğrulama metodlarından yaygın olarak iki faktörlü kimlik doğrulama (2FA) tercih edilir. İki faktörlü kimlik doğrulamada (2FA) amaç yüksek düzeyde güvenliği sağlarken son kullanıcı işlemlerini mümkün olduğunca basit tutmaktır.

Kullanıcı adı ve parola sonrasında SMS mesajı ile iletilen dinamik geçici şifre(OTP), kayıtlı cihaza özel üretilen zamana bağlı şifre(SoftOTP) ve mobil uygulamaya push bildirimleri , 2fa nın yaygın biçimleri olarak karşımıza çıkmaktadır. Dinamik olarak oluşturulan geçici parolaların kullanımı, kullanım kolaylığı, donanım, yazılım ve kişisel kimlik seviyelerinde güvenlik katmanları eklenebilmesi, maliyet uygunluğu gibi avantajlar çok faktörlü kimlik doğrulamayı güvenli erişim için cazip kılmaktadır.

SecTrail MFA çok faktörlü kimlik doğrulama ürünü olarak uzun yıllardır, telekomünikasyon, bankacılık, finans, sağlık gibi pek çok sektörde hizmet vermekte olan kararlı bir çözümdür. Yazılım ekibimiz tarafından bünyemizde geliştirilmekte olan ürün yerli yazılım statüsündedir. Geliştirilebilir, modüler yapısıyla değişik entegrasyon senaryolarına uyum sağlayabilmektedir. Detaylı bilgi için SecTrail ürün sayfamızı ziyaret edebilirsiniz.

i4600 ve i4800 modellerinin Öne Çıkan Özellikleri Nelerdir?

Cihazların önemli özellikleri aşağıda maddeler halinde özetlenebilir. Bütün donanım özelliklerini ise yazımızın alt kısmındaki tabloda bulabilirsiniz.

• F5’in ürünlerinde kullandığı 600 ve 800 serilerinin farkı bu cihazlarda da mevcut durumda. Yani lisans ile bir üst modele geçiş imkanı tanınıyor. Ancak bu durum tabi ki aynı fiziksel cihaz olmasına rağmen i4600’ün biraz daha düşük kapasite ile hizmet vermesi anlamına da geliyor.
• L4 ve L7 kapasite değerleri her 2 cihazda da değişkenlik göstermekle beraber her 2 cihaz için de 20Gbps band genişliği değeri mevcut.
• Günümüzde en önemli değerlerden olan SSL TPS limitlerinde ise i4800 modeli i4600’e göre yaklaşık 2 kat daha yüksek değere sahip. Bu da i4800’ün daha fazla HTTP/HTTPS isteğe cevap verebileceği anlamına geliyor.
• F5’in x800 cihazlarında donanımda yaptığı compression özelliği x600 cihazlarında yazılımsal olarak yapılıyor.
• Hem i4600 hem i4800 serisinde sanallaştırma özelliği bulunmuyor. Bu durum cihazların tamamen izole tenant şeklinde kullanılamayacağı anlamına geliyor.
• 1 adet 4-core fiziksel işlemci, 8 vCPU ile toplam 4 TMM özelliği, 1TB HDD ve 32 Gb DDR4 RAM her 2 model için de geçerli.
• Tam güç yedekliliği için bu cihazları sipariş verirken kitlistinize yedek Power Supply da eklemelisiniz.
• 8 adet 1G Fiber SFP ve 4 adet 10G Fiber SFP+ interface girişi bulunmaktadır. 40G’lik port bu modellerde bulunmamaktadır.
• Bu seri cihazlar için açıklanmış bir end of life tarihi bulunmuyor. Bu da en az 3 sene daha full support şeklinde kullanılabilir anlamına geliyor.

F5 Networks’ün BIG-IP i4x00 serisi cihazlar ile ilgili hazırlamış olduğu bilgilere ise ingilizce olarak https://techdocs.f5.com/en-us/hw-platforms/platform-guide-i2000i4000-series.html adresinden ulaşabilirsiniz.

Aşağıda cihazın ön ve arka kısımlarının görüntülerini, SFP portlarını ve cihaz boyutlarını görebilirsiniz.

Yukarıda önemli kısımlarını paylaştığımız i4600/i4800 cihazının datasheet değerlerinin tamamını aşağıdaki tabloda bulabilirsiniz. Bu tablonun pdf halini ise F5-BIG-IP-i4600-i4800-datasheet dosyamızda bulabilirsiniz.

F5 Networks i4600 ve i4800 Datasheet Değerleri

F5 Networks BIG-IP i4600 ya da i4800 hakkında daha detaylı bilgi almak, demo yapmak ya da sipariş vermek için aşağıdaki formu doldurarak bize ulaşabilirsiniz.

Bu yazımızda 2021 yılında yayınlanan en güncel listenin üzerinden geçip F5 BIG-IP Advanced WAF modülü ile bu güvenlik açıklıklarından nasıl korunabileceğimizden bahsedeceğiz.

OWASP Top 10 – 2017 Listesinde Hangi Kategoriler Vardı?

4 yıl önce yayınlanan ve bir çok saldırı tipinin geçmişte olduğu gibi günümüzde de değişmediğini bizlere gösteren OWASP Top 10 listesi olan 2017 ‘ye göz atalım.

• A1 Injection
• A2 Broken Authentication
• A3 Sensitive Data Exposure
• A4 XML External Entities (XXE)
• A5 Broken Access Control
• A6 Security Misconfiguration
• A7 Cross-Site Scripting
• A8 Insecure Deserialization
• A9 Using Components with Known Vulnerabilities
• A10 Insufficient Logging & Monitoring

OWASP Top 10 – 2021 Güvenlik Açıklıkları Nelerdir?

Çalışma alışkanlıklarının değişmesi ile güncellenen 2021 OWASP TOP 10 listesine göz atacak olursak;

• A1 Broken Access Control
• A2 Cryptographic Failures
• A3 Injection
• A4 Insecure Design
• A5 Security Misconfiguration
• A6 Vulnerable and Outdated Components
• A7 Identification and Authentication Failures
• A8 Software and Data Integrity Failures
• A9 Security Logging and Monitoring Failures
• A10 Server-Side Request Forgery

OWASP Top 10 – 2021’de Neler Değişti?

Bu sene yayınlanan listede, 2017 listesinden farklı olarak eklenen 3 yeni kategori dikkat çekiyor. İlk yayınlandığı 2003 tarihinden bu yana bazı atak tiplerinin hala listede olduğunu düşünürsek, 3 değişiklik bize şimdi ve özellikle gelecekte yeni saldırılara hazır olmamız gerektiğini göstermiştir.

Injection, XSS , Broken Access Control gibi atak tipleri, OWASP ‘ın yayınlanan ilk listesinden bu yana yerini korumaktaydı. 2017 ve 2021 de açıklanan OWASP listelerinin karşılaştırmasını aşağıda görebilirsiniz.

Öncelikle listeye 2021 yılında yeni eklenen saldırı tiplerinden bahsedersek;

A4-Insecure Design

Listede yeni yer bulmasına rağmen 4. Sırada yer alıyor.  OWASP ‘ın kuruluş amacı özellikle geliştiricileri ve web güvenliği uzmanlarının güvenli tasarım kaideleri gibi konulara uymalarını sağlamak ve firmalardaki yazılım geliştirme kültürünün güvenli geliştirme temelleri üzerine kurulmasına yardımcı olması içindir. Bu saldırı tipi için özellikle F5 AWAF ile birlikte gelen Bot koruması ve L7  Behavioral DDoS korumasının açılmasını önermekteyiz. İstek öncesi Bot denetlemesi seçeneği ile, sunucularınıza yük yaratılmadan gerçek kullanıcı ve Bot ayrımını yapabilirsiniz.

F5 AWAF Bot Defense ile ilgili sorunuz olması durumunda bizlere iletişim sayfamızdan ulaşabilirseniz teknik ekibimiz sizlere yardımcı olmaktan mutluluk duyacaktır.

A8-Software and Data Integrity Failures

Listede 8. sırada bulunan Software and Data Integrity Failures, 2017 listesinde yer alan Insecure Deserialization saldırı tiplerini de kapsayan, yazılım güncellemeleri, CI/CD süreçlerini de içeren saldırı kategorisidir. Hem yazılım geliştirme hem de sistem bakım süreçlerinin düzene uygun yapılması hedeflenmektedir. Bu kategoride aşağıdaki güvenlik açıklıkları için zafiyetler yer almaktadır.

• Cache Poisoning
• Code injection
• Command execution
• Denial of Service

Bu saldırı tipleri için F5 WAF modülünde aşağıdaki imza setlerini aktifleştirmeniz gerekmektedir.  Bu atak imzalarının yanı sıra content profilleri de (XML-JSON) kullanılabilir.

• Buffer Overflow
• Command Execution
• Denial of Service
• Server Side Code Injection

A10-Server-Side Request Forgery

Bu yılın listesinde ki son yeni saldırı tipi, Server-Side Request Forgery. Tam olarak istenilen veri toplanamamış olsa da, OWASP bu saldırı tipine dikkat çekmek için listeye eklemiştir. Hem ağ hem de uygulama katmanını hedef alan SSRF atakları için basitçe ağ güvenlik duvarı ürününüzde ki kuralları gözden geçirmeniz önerilmektedir. F5 AFM (Advanced Firewall Manager) ile kural yaratmak ve yönetmek oldukça pratiktir. Uygulama katmanında ise F5 AWAF koruması ile önlendirmeler kontrol edilmeli. Kullanıcı tarafından gönderilen tüm giriş verileri kontrol edilmeli ve filtreden geçirilmelidir. F5 AWAF ‘da yarattığınız Policy üzerinde Meta karakter kontrolü ve SQL Injection korumaları yapabilirsiniz.

OWASP 2017 Listesinden Geçerliliğini Koruyan Ataklar Nelerdir?

A1-Broken access control

Kullanıcının, hesabına tanımlanandan daha fazla yetkiye sahip olmasıyla gerçekleştirilen atak tipleridir. Kullanıcıların erişim ve yetki kontrolleri için F5 AWAF üzerinde öncelikle imzalar aktif edilebilir. Eğer daha yüksek düzeyde koruma istenirse URLs flow enforcement ile kişinin sadece doğrulandıktan sonra belirtilen adreslere erişimi sağlanabilir. Doğrulama ve yetkilendirmenin F5 üzerine alınması istenirse F5 APM (Access Policy Manager) modülünden faydalanılabilir.

A2-Cryptographic failures

Müşteri veya kurum için hassas olan veriler saklanırken mutlaka şifrelenmelidir. Bu bilgiler çalınsa dahi saldırganların anlamlandıramayacağı veri bütününden oluşmalıdır.  Öncelikle kullanıcı ve sunucu arasında ki haberleşmenin şifreli olması gerekmektedir. F5 üzerinde güvenli Client ve Server SSL profilleri tanımlanmalıdır. Referans için alttaki belgeye göz atabilirsiniz.

K14783: Overview of the Client SSL profile (11.x – 15.x)

Eğer F5 AWAF lisansına sahipseniz, sizin için çok kritik veri içeren servislere atanmış policy ler üzerinde Dataguard özelliğinin açılmasını önermekteyiz. Belirlenen desene uygun veri çıkışı olursa F5 WAF bu cevabın saldırgana ulaşmasını engelleyecektir.

A3-Injection

Uzun zamandır listenin değişmeyen ataklarından Injection Saldırılar HTTP/HTTPS protokolünden gelse dahi son olarak Apache Log4j açığında gördüğümüz gibi farklı protokolleri hedef alabilirler. HTTP isteklerinin içerisinden LDAP veya SMTP sunucularını hedef alan ataklar yapılabilir ve veritabanınızda ki hassas bilgilere ulaşılabilir. Injection ataklarının savunması tek bir koruma ile değil birden çok farklı korumanın harman edilerek uygulamanızın koruması ile sağlanabilir.

Injection saldırıları için AWAF üzerinde devreye alabileceğiniz korumalar ;

• Attack Signatures
• Evasion techniques
• Disallowed meta characters in parameters
• HttpOnly cookie attribute enforcement

A5-Security misconfiguration

2017 listesinde A4:2017-XML External Entities (XXE) ismiyle yer alan bu açıklık kategorisi 2021 yılında bu kategoriye dahil olmuştur.

Bir web uygulamasında harici koruma çözümlerinin kullanılmasından da önemli, uygulama geliştiricilerin ve sistem sorumlarının uyması gereken bazı kurallar vardır. İlgili saldırılar hatalı yapılandırılan servislerden kaynaklanabilir. Bu yüzden uygulamanızın üzerinde çalıştığı servisin yapılandırmasını mutlaka gözden geçirmeli ve gerekirse tecrübeli kurumlardan destek almalısınız. Zaman içinde karşımıza çıkan sorunlarda sıkça gördüğümüz servis yapılandırmaları eksik veya hatalı olduğunda hem güvenlik açıklarına davet çıkarılıyor hem de cihaz kaynaklarını tam anlamıyla kullanılamıyor.

F5 AWAF üzerinde aktif edebileceğiniz korumalar ;

• Attack Signatures
• URLs flow enforcement
• Allowed Methods
• Disallowed file types

Bir çok saldırının engellemesinde rol oynayan Attack Signatures korumasını burada da listenin 1. sırasına yazıyoruz.

A6-Vulnerable and outdated components

Her şeyi kuralına uygun yapsanız dahi Zero-day ataklar veya henüz yaması çıkmamış açıklar yüzünden hala saldırı tehlikesiyle karşı karşıya olabilirsiniz. Hem işletim sistemi hem de servis düzeyinde mutlaka testlerinizi tamamladıktan sonra yazılımları güncel versiyonlarında kullanmanızı önermekteyiz. F5 AWAF üzerinde yine imza tabanlı bir koruma ile uygulamanızın güvenliğini sağlayabilirsiniz. F5 uygulamaya göre koruma yapmak amaçlı Server Technologies isimli bir özellik geliştirmiştir. Server Technologies sayesinde siz ilgili imzaları devreye almamış olsanız da F5 AWAF size kullandığınız servisle ilgili imza önerileri sunacaktır.

A7-Identification and authentication failures

Kullanıcılarının giriş bilgilerinin çalışması ile saldırı gerçekleştirilir. Kullanıcı bilgileri kimi zaman kullanıcı adı ve şifre kimi zaman ise sadece bir çerez olabilir. Listenin en üst sırasına yazacağımız koruma, MFA (Multi-factor Authentication) dir. BNTPRO olarak yerli ve milli çok aşamalı doğrulama yazılımı Sectrail kolayca F5 APM ile entegre olabilmekte ve kullanıcıların şifresi çalınsa dahi sisteme erişimi engelleyebilmektedir.

Bunun yanında yine AWAF ile kullanıcı giriş işlemleri ve hareketleri takip edilebilir, oturum hırsızlığının önüne geçmek için ise çerezlerin içerikleri korunabilmektedir. Bizim yine sıkça müşterilerimizde kullandığımız hem dinamik hem de statik verilerle çalışabilen Brute Force koruması ve bununla birlikte gelen Captcha özelliğini şiddetle kullanmanızı önermekteyiz.

Uygulamanızda ki giriş sayfalarının Login Page List ve AWAF ile entegrasyonu sonrası loglarda dahi kullanıcı adı/müşteri numarası ile IP adresleri farklı olsa da tam izleme gerçekleştirebileceksiniz.

A9-Security logging and monitoring failures

2017’de Insufficient Logging & Monitoring ismiyle listede yer alan bu açıklıkta  sorun büyümeden harekete geçebilmek için, doğru izleme ortamının kurulması önemlidir. İzleme mümkün olduğunca insandan bağımsız yapılmalı ve yapay zeka destekli ürünler kullanılmalıdır. F5 Networks , bu konuda müşterilerine ücretsiz olarak sunduğu AVR (Application Visibility Reporting) modülü ile de oldukça başarılı bir çözüm sağlamaktadır.

F5 Advanced WAF modülünde ise kullanıcı isteklerini tamamını ya da sadece illegal isteklerin loglarını hem F5 üzerine hem de kurumunuzda kullandığınız SIEM ürününe gönderebilirsiniz.  F5 AWAF (Advanced Web Application Firewall) ise kendi raporlama ve loglama ara yüzüne sahiptir. Tabi ki bu verilerin uzun dönem korelasyonu için mutlaka SIEM ürününe gönderilmesini önermekteyiz.

İllegal istekleri loglayarak kazandığınız görünürlüğü aynı şekilde Bot Defense konfigurasyonunda da elde edebilirsiniz. Bu sayede SIEM ürününde oluşturacağınız özel alarmlar sayesinde çok daha güvenli bir politika oluşturabilirsiniz.

Tüm bunları yanında F5 AWAF ile gelen ve Security  ››  Overview : OWASP Compliance menüsünden ulaşabildiğiniz OWASP Compliance Dashboard özelliği, müşterilere uygulamalarını koruma ve ne kadar korunduğu görme açısından fikir verecektir. Policy için hazırlanan bu raporda, koruma yüzdesi düşük olan maddeler için F5 ‘nin ilgili atak tipinin detayında önerdiği ayarlarla koruma seviyesinizi arttırabilirsiniz.

F5 Networks’un OWASP Top 10-2021 listesinde yer alan atak tiplerinin F5 Advanced WAF’da yer alan özellikler ile korunması için hazırlamış olduğu videolardan oluşan OWASP Top 10 -2021 oynatma listemize BNTPRO Youtube adresimizden ulaşıp izleyebilirsiniz.

Configuring F5 Advanced Waf Eğitimi ve daha fazla eğitim seçenekleri için Türkiye’de tek F5 Networks resmi eğitim ortağı olarak bize ulaşabilirsiniz.

Ya Sanıldığı Gibi Değil İse

Geçmişte tecrübe ettiğimiz, dış unsurlar üzerinden iç kaynaklara direk hedefli siber ataklar, yerini daha öngörülemez ve komplike tehditlere bırakmaktadır. Bu yeni tehdit metodunun en belirgin özellikleri, kaynaklar üzerinde bir süre bekleyen, ortamı öğrenen ve edindiği bilgilere göre farklı kaynaklara atlama yapabilen özelliklere sahip olmasıdır. Bu özellikleri sayesinde güvenlik açıklarının çoğu, zaten güvenli olarak nitelediğimiz sistemler üzerinden kaynaklanmaktadır. Gerçek hayattan bir örnek ile pekiştirmek gerekir ise, son teknoloji güvenlik ekipmanları ile korunan çok güvenli bir ev yaptıktan sonra, evinize hırsızlık niyeti olan kişileri misafir olarak davet etmeye benzemektedir. İçeri girmekte bir zorluk ile karşılaşmayan bu kişiler(tehditler), içerideki ana hedeflerine ulaşmak için güven duygusunu zedelemeyecek şekilde hareket etmektedirler. Belirli bir zamanı geçirip, gerekli esnekliğe kavuştuklarında ise esas hedefleri olan zafiyeti açığa çıkartıp kullanmaktadırlar. Bu tehdit yöntemi bize, art niyetli aktörlerin artık sadece bir erişimi hedeflemek yerine yayılmacı, öngörülemeyen ve yatay hareketi hedefleyen bir yapıya büründüğünü anlatmaktadır.

Güven(me)me Modeli

Yazının bu noktasına kadar detaylandırmaya çalıştığımız tehditler vuku bulduğunda, hedef sistemler üzerinde yetkisiz erişim, sistem kesintileri, veri kaybı ve sızıntılarına sebebiyet verebilmektedirler. Bunun faturası ise işgücü, para, zaman ve itibar kaybı olarak işletmelere yansımaktadır. Sıfır güven mimarisi (Zero Trust Architecture) bu ve benzeri tehdit yaklaşımlarının önüne geçebilmek adına ortaya çıkmış, yeni nesil güvenlik yaklaşımlarının nasıl olması noktasında sektöre referans noktası olmaktadır. Adından da anlaşılabileceği üzere bu model temel olarak, iç yahut dış hiçbir kaynağa tam olarak güvenilmemesi ve sahip olunan verinin, erişmeye ihtiyaç duyanlar harici tüm kaynaklara karşı izole edilmesi prensibine dayanır. Güven duymamaya ek olarak, kaynaklar, kişiler ve erişimler sürekli olarak izlenebilir ve doğrulanabilir olmalıdır. Bir çalışan hesabının, çalışan bilgisayarından uygulama sunucularına bugün erişebiliyor olması, yarın için de yüzde yüz geçerli midir? Temel olarak sıfır güvenlik mimarisi bu doğrulama, izleme ve güvenlik adımlarının tümüne verilen konseptin ismidir. Mikro segmentasyon ise bu konsepti uygulamanın ilk adımı olarak kabul edilir.

Mantıksal Olarak Ayrışma

Segment kelime manası ile bölüm, parça, kesit anlamlarına gelmektedir. Ağ dünyasındaki insanların aslında uzun yıllardır aşina olduğu bir terimdir. Eskiden ağ altyapıları, üzerindeki tüm kullanıcıları tek bir evrensel kümede toplarken, zaman içerisinde ihtiyaçlar sebebi ile sanal ağlar (VLAN) ile daha küçük kümelere yani segmentlere ayrılabilme özelliği kazanmışlardır. Güvenlik duvarı terminolojisinde ise bu ayrışma durumunda kalan bölümlere, “alan” manasına gelen “Zone” terimi uygun görülmüştür. Bu ayrışmaların altında yatan temel sebep, ayrışan kaynakların farklı fonksiyonlara, görevlere ve yetkilere sahip olması ve birbirine kontrollü bir şekilde erişmesi gerekliliğine dayanır. Mikro segmentasyon terimi ise, zaten hali hazırda ayrışmış olan kümelerin daha da ufak bölümlere ayrışmasına verilen isimdir.

Kavram Olarak Mikro Segmentasyon

Sunucu havuzlarının ayrı bir segment olması ve ayrı olan bu kaynaklara erişimin bir güvenlik duvarı üzerinden kontrol edilmesi geçmişte bir çok işletme için yeterli gelmekteydi. Günümüz gereksinimleri göz önünde bulundurulduğunda, mevcut ayrışmanın eksik kaldığı bazı noktalar, bizleri daha mikro seviyede bir ayrışmaya itmektedir. Sunucu havuzlarının büyümesi, uygulama sayılarının artması, uygulamalar arası iletişimin karmaşıklaşması gibi sebepler mevcut durumu daha kompleks bir hale getirmektedir. Ek olarak ayrışma kıstasının sadece “sunucu” gibi geniş bir kavram olması, hedeflenen güvenlik perspektifi için yeterli gelmemeye başlamıştır. Devops uygulama metodlarını da göz önünde bulundurularak, artık uygulamalarımıza öyle bir sınır çizilmeli ki, sınır içerisine sadece gerekli kaynakların erişimleri sağlanmalı, bunun harici bir iletişime izin verilmemesi gerekmektedir. Bu gereksinimin sağlandığı noktada, ayrışmanın kıstası da doğal olarak “sahip olunan uygulamalar” olmaktadır. Böylece uygulamalar artık bizim mikro segmentlerimizi oluşturmakta ve olası güvenlik açıklarının etkileri bu segment dahilinde sınırlanabilmektedir.

Olası Faydalar ve Kazanılan Disiplinler Nelerdir?

Daha küçük segmentlere ayrılmış ağ altyapısı ve bu alt yapıların daimi olarak izlenmesi ile birlikte birçok fayda ortaya çıkmaktadır. Ağ hareketleri üzerinde daha kolay görünülürlük sağlanabilmektedir. Uygulamalara ait trafik akışlarına hakimiyet artmakta, bu da ağ üzerindeki genel farkındalığın artmasına sebebiyet vermektedir. Sıfır güven mimarisi için gerekli olan siber güvenlik disiplinin sağlanması için temel bir altyapı oluşturmaktadır. Art niyetli davranışlar için atak alanı daraltılmakta ve olası tehdit önleme hamleleri kolaylaşmaktadır. Sunucu ve uygulama geliştirme ekipleri için ağ ve güvenlik açısından belirli bir standardizasyon sağlamaktadır. Multi disiplin bir yaklaşım olması sebebi ile, farklı ekipler arasında altyapı farkındalığının artmasına katkı sağlamaktadır. Güvenlik yaklaşımlarının ve poliçe yönetiminin, altyapının farklı noktalarında tutarlı bir şekilde ilerlemesine katkı sağlamaktadır. Ölçeklenebilirlik açısından ciddi bir operasyonel zaman kazancı sağlamaktadır.

Nereden Başlamalı?

Başarılı bir mikro segmentasyon projesi için birincil koşul doğru envanterin eksiksiz olarak çıkartılmasıdır. Çıkartılan envantere ait uygulama ve proseslerin ilişkisel ağlarının tanımlanması, ikincil adım olacaktır. Bu ilişkisel ağ ile birlikte envanterimizin hangi uygulamalara, hangi proseslere sahip olduğunu, bunların gerek farklı sistemler gerekse farklı kişiler ile nasıl bir iletişim içerisinde olduğunun ortaya çıkması hedeflenmektedir. Üçüncü evre olarak, kontrol ve izlenebilirlik evresi gelmektedir. Bu evrede çeşitli çözümler ile birlikte ilişkisel ağın, gerçek ağ trafiği ortaya çıkartılmakta, detaylı olarak uygulama bağlılık analizleri ortaya çıkmaktadır. Bu üç evre sonucunda, günümüzde geçerli ağ ve bilgi güvenliği çözümlerini, mevcut altyapımız üzerine uygulama noktasında karışıklığı ortadan kaldırmış ve sıfır güven mimarisine bir adım daha yaklaşılmaktadır.

Altyapınıza uygulayabileceğiniz çözümler ve uygulanmış örnekler ile ilgili bilgi almak için bizimle iletişime geçebilirsiniz.

Son güncelleme: 23 Aralık 2021 09:26

Açıklıktan BIG-IP F5 etkileniyor mu?

Hayır etkilenmiyor. https://support.f5.com/csp/article/K19026212 adresinde detaylarını ve güncel durumu bulabildiğiniz üzere ortaya çıkarılan bu açıklıktan mevcut BIG-IP F5 versiyonları etkilenmemektedir.

Apache log4j2 kullananlar açıklıktan nasıl kurtulabilir?

F5 arkasındaki sunucularda yer alan uygulamalarda eğer Apache log4j2 kütüphanesi (Versiyon 2.0 – 2.14.1) kullanılıyorsa bu açıklıktan F5 AWAF kullanıcıları sistemlerinde imza seti güncellemesi yaparak uygulamalarını koruyabilirler.

F5 Networks tarafından yayınlanan ve bu set içerisinde yer alan  200104768 ve 200104769 ID’li imzalar ile bu açıklığa maruz kalan uygulamaları koruma altına alınabilirsiniz. Bu 2 imzaya ek olarak Server Side Code Injection Signature Setinde yer alan  200004450, 200004451, 200004474, 200104770 ,200104771, 200104772 ,200104773,200104774 ,2001047745 ve 2001047746  ID’li imzaları da kullandığınız imza setine eklemeniz gerekmektedir.

• 1. Server Side Code Injection signature 200104768 for JNDI Injection Attempt (Parameter)
  2. Server Side Code Injection signature 200104769 for JNDI Injection Attempt (Header)
  3. Server Side Code Injection Signature 200004451 forJSP Expression Language Expression Injection (2) (Header)
  4. Server Side Code Injection Signature 200004450 for JSP Expression Language Expression Injection (2) (Parameter)
  5. Server Side Code Injection signature 200104770 for JSP Expression Language Expression Injection (3) (Parameter)
  6. Server Side Code Injection signature 200104771 for JSP Expression Language Expression Injection (3) (Header)
  7. Server Side Code Injection signature 200104772 for JNDI Injection Attempt (Content)
  8. Server Side Code Injection signature 200104773 for JSP Expression Language Expression Injection (3) (Content)
  9. Server Side Code Injection Signature 200004474 for JSP Expression Language Expression Injection (3) (URI)
  10. Server Side Code Injection signature 200104774 for Log4j2 Lookup expression
  11. Server Side Code Injection signature 200104775 for Log4j2 Lookup expression (Parameter)
  12. Server Side Code Injection signature 200104776 for Log4j2 Lookup expression (Header)

Eğer F5 AWAF modülü kullanıyorsanız ve uygulamanız Apache log4j2 kütüphanesinin açıklığa maruz versiyonlarını kullanıyorsa F5 üzerinde yer alan WAF Attack signature’ları güncellemeniz ve ilgili politikada imza setlerini enforce modda kullanmanız yeterli olacaktır.

Kullanılacak güncel attack signature setini downloads.f5.com adresinde kullandığınız F5 versiyonunun altında ASM-AttackSignatures_20211222_103347.im ismiyle olarak bulabilirsiniz.

F5 Advanced WAF olmadan Apache Log4j2 kullanan uygulamalar korunabilir mi?

Evet, eğer Apache Log4j2 kütüphanesini kullanıyor ancak F5 AWAF lisansına sahip değilseniz, F5 LTM modülünde aşağıdaki irule ile kullandığınız sunucular için koruma sağlayabilirsiniz. Ancak en kısa sürede F5 Networks’ün web firewall ürünü olan F5 AWAF (eski adıyla ASM) lisansını elde ederek bundan sonra çıkacak 0-Day ataklar için daha hazırlıklı olabilirsiniz.

# F5 iRule for Mitigation of log4j Vulnerabilities
# For additional information please see https://support.f5.com/csp/article/K59329043
#
# Version 2.5 - 2021-12-17 04:15 Eastern
# - New payload seen, regexp updated
# Version 2.4 - 2021-12-16 18:55 Eastern
# - Optimization of regexp
# - Additional comments for clarity
# Version 2.3 - 2021-12-16 03:40 Eastern
# - Moved regexp to static variable
# - Updated regexp to handle more encodings/evasions
# - Added controls to logging levels - beware logging the exploit to a vulnerable log server
# - Performance improvements
# Version 2.2 - 2021-12-13 19:00 Eastern
# - Added PUT method payload check
# Version 2.1 - 2021-12-13 17:00 Eastern
# - Revision to header & body regexp for new evasions
# - Made default URI regexp less aggressive to avoid false positives - same as header & body now
# - Added while loop limit
# Version 2.0 - 2021-12-11 23:40 Eastern
# - Handling nested URI encoding
# - Improved matching
# Version 1.0 - 2021-12-11 06:10 Eastern
# - Initial release
#

when RULE_INIT {
# To switch to a much more aggressive regexp uncomment the first line and comment the second.
#    set static::log4j_regex {(?i)(\$|\\+(0?44|([u0]00|x)24))'?(\{|\\+(0?173|([u0]00|x)7b))'?}
    set static::log4j_regex {(?i)(\$|\\+(0?44|([u0]00|x)24))'?(\{|\\+(0?173|([u0]00|x)7b))'?\s*((j|b|\\+(0?1[5140]2|([u0]00|x)[64][a2]))|((\$|\\+(0?44|([u0]00|x)24))?'?(\{|\\+(0?173|([u0]00|x)7b))'?.+?'?(\}|\\+(0?175|([u0]00|x)7d))'?))}
}

when HTTP_REQUEST {
# set debugLogging to 0 not to log, 1 to log without exploit, 2 to log exploit
set debugLogging 1

# URI blocking
# Be sure you're patched for CVE-2021-22991 or remove -normalized
    set tmpUri [HTTP::uri -normalized]
    set uri [URI::decode $tmpUri]
    set loopLimit 5
    set loopCount 1
    while { $uri ne $tmpUri } {
        if {$loopCount >= $loopLimit} {
            if {$debugLogging == 1} {
                log local0. "log4j_rce_detection drop on URI loop limit: $loopCount"
            }
            if {$debugLogging == 2} {
                log local0. "log4j_rce_detection drop on URI loop limit: $loopCount $uri"
            }
            drop
            event disable all
            return
        } else {
            set tmpUri $uri
            set uri [URI::decode $tmpUri]
            incr loopCount
        }
    }

    if {$uri matches_regex $static::log4j_regex} {
        if {$debugLogging == 1} {
            log local0. "log4j_rce_detection drop on URI"
        }
        if {$debugLogging == 2} {
            log local0. "log4j_rce_detection drop on URI: $uri"
        }
        drop
        event disable all
        return
    }

# Header blocking
    set tmpReq [HTTP::request]
    set req [URI::decode $tmpReq]
    set loopLimit 5
    set loopCount 1
    while { $req ne $tmpReq } {
        if {$loopCount >= $loopLimit} {
            if {$debugLogging == 1} {
                log local0. "log4j_rce_detection drop on header loop limit: $loopCount"
            }
            if {$debugLogging == 2} {
                log local0. "log4j_rce_detection drop on header loop limit: $loopCount $req"
            }
            drop
            event disable all
            return
        } else {
            set tmpReq $req
            set req [URI::decode $tmpReq]
            incr loopCount
        }
    }

    if {$req matches_regex $static::log4j_regex} {
        if {$debugLogging == 1} {
            log local0. "log4j_rce_detection drop on header"
        }
        if {$debugLogging == 2} {
            log local0. "log4j_rce_detection drop on header: $req"
        }     
        drop
        event disable all
        return
    }

# POST & PUT Payload blocking collection
# NOTE: This only collects the first 1MB by default - edit 'collectSize' to change
    set collectSize 1048576
    if {([HTTP::method] eq "POST") || ([HTTP::method] eq "PUT")} {
    # Trigger collection for up to 1MB of data
        if {[HTTP::header "Content-Length"] ne "" && [HTTP::header "Content-Length"] <= $collectSize}{
            set content_length [HTTP::header "Content-Length"]
        } else {
            set content_length $collectSize
        }
        # Check if $content_length is not set to 0
        if { $content_length > 0} {
            HTTP::collect $content_length
        }
    }
}

when HTTP_REQUEST_DATA {
# POST & PUT Payload blocking
# set debugLogging to 0 not to log, 1 to log without exploit, 2 to log exploit
    set debugLogging 1

    set tmpPayload [HTTP::payload]
    set payload [URI::decode $tmpPayload]
    set loopLimit 5
    set loopCount 1
    while { $payload ne $tmpPayload } {
        if {$loopCount >= $loopLimit} {
            if {$debugLogging == 1} {
                log local0. "log4j_rce_detection drop on payload loop limit: $loopCount"
            }
            if {$debugLogging == 2} {
                log local0. "log4j_rce_detection drop on payload loop limit: $loopCount $payload"
            }         
            drop
            event disable all
            return
        } else {
            set tmpPayload $payload
            set payload [URI::decode $tmpPayload]
            incr loopCount
        }
    }

    if {$payload matches_regex $static::log4j_regex} {
        if {$debugLogging == 1} {
            log local0. "log4j_rce_detection drop on payload"
        }
        if {$debugLogging == 2} {
            log local0. "log4j_rce_detection drop on payload: $payload"
        }
        drop
        event disable all
        return
    }
}

Konuyla ilgili detaylı teknik bilgiye aşağıdaki linklerden ulaşabilirsiniz.

• https://support.f5.com/csp/article/K19026212
• https://support.f5.com/csp/article/K32171392
• https://support.f5.com/csp/article/K24554520
• https://support.f5.com/csp/article/K59329043
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
• https://www.randori.com/blog/cve-2021-44228/
• https://nvd.nist.gov/vuln/detail/CVE-2021-44228
• https://github.com/apache/logging-log4j2/pull/608
• https://access.redhat.com/security/cve/cve-2021-44228#cve-cvss-v3

Eğer F5 kullanıyorsanız, cihazın üzerindeki yapılandırmayı, istatistikleri ve logları incelemek için cihazınızdan bir Qkview dosyası alıp iHealth’e yüklediğinizde problemi tespit etmek daha kolay olacaktır. Bu yazımızda Qkview dosyasının oluşturulması ve F5 iHealth’e yüklenmesi aşamalarını anlatacağız.

Her ne kadar BNTPRO olarak müşterilerimizden bize iletilen sorunların yaklaşık %90 kadar kısmını kendi ekibimizin tecrübeleriyle çözüme kavuşturuyor olsak da zaman zaman bug ya da donanımsal problemlerde sorunu vendor seviyesine taşımamız gerekebiliyor. Bu durumda F5 Networks’e açacağımız case’de Qkview dosyasına ihtiyaç duyulacaktır. F5 mühendisleri elde ettikleri bu Qkview dosyasında yer alan sistemin bütün verilerini inceleyerek yaşanan soruna çözüm bulmaya çalışacaktır.

Cluster yapıda çalışan cihazlarda her bir cihazın Qkview dosyası birbirinden farklı olacağı için her cihaz için ayrı ayrı QKview oluşturmanız gerekecektir.

1. Qkview dosyası elde etmek için neler gereklidir?

• Qkview dosyası oluşturmak için CLI ya da GUI üzerinden F5 cihazlarınıza erişmeniz gerekmektedir.
• Oluşturulan dosyaları indirmek için FTP veya SCP programlarıyla F5 cihazlarına erişilmesi gerekmektedir.
• Qkview dosyasını doğrudan ihealth.f5.com’a yüklenmesi isteniyorsa cihazlarda gerekli erişimlerin ayarlanması gerekmektedir.

2. GUI üzerinden qkview nasıl oluşturulur?

1. F5’e GUI üzerinden giriş yapın.
2. Menüden System > Support yolunu takip edin.
3. New Support Snapshot butonuna tıklayın.
4. Health Utility bölümünde, Generate QKView seçin.
5. Start butonuna tıklayın.
6. Çıktı dosyasını indirmek için, Download butonuna tıklayın.

Aşağıda ise Qkview oluştururken karşınıza gelen seçeneklerin açıklamalarını bulabilirsiniz.

Normal şartlarda bu seçeneklerden sadece “unlimited snaplen” seçeneğini seçmeniz yeterli olacaktır.  Ancak eğer hassas bilgilerinizin Qkview dosyasında yer almasını istemiyorsanız F5’in K55559493: Obfuscating sensitive data in a QKView file makalesini inceleyebilirsiniz.

Eğer BNTPRO olarak sizlere F5 Danışmanlığı verdiğimiz için bu yazıya yönlendirildiyseniz yukarıdaki adımların sonucunda elde ettiğiniz Qkview dosyalarını sizinle paylaştığımız SFTP adresine yükleyebilirsiniz.

Bu konuyla ilgili daha detaylı bilgi edinmek isterseniz yazımızın bundan sonraki kısmını okumaya devam edebilirsiniz.

3. QKView dosyası oluşturulurken iHealth.f5.com’a nasıl yüklenir?

1. F5’e GUI üzerinden giriş yapın.
2. Menüden System > Support yolunu takip edin.
3. New Support Snapshot butonuna tıklayın.
4. Health Utility bölümü için, Generate and Upload QKView to iHealth’i seçin.
5. iHeath User ID ve iHealth Password kısımlarını doldurun. (ihealth.f5.com üzerinden ücretsiz bir şekilde hesap oluşturabilirsiniz.)
6. Start butonuna tıklayın.

Upload işleminin başarılı olabilmesi için F5 cihazlarının aşağıdaki adreslerin 443 portuna erişmesi gerekmektedir.

• api.f5.com
• ihealth-api.f5.com

4. CLI üzerinden qkview dosyası nasıl oluşturulur?

1. CLI üzerinden F5’e giriş yapın.
2. QKView dosyasını oluşturmak için komut satırına aşağıdaki komutu kullanabilirsiniz.

#qkview -s0

Oluşacak dosyanın adını yukarıdaki komut tamamlandıktan sonra ekranda göreceksiniz. Cihazdaki konfigurasyon sayınıza göre bu süre artablilir.  Oluşturulan dosyayı Ftp veya Scp programları yardımıyla /var/tmp/ dizininde bulabilirsiniz.

5. CLI üzerinden qkview seçenekleri nelerdir?

CLI üzerinden qkview alırken kullanabileceğimiz seçeneklerinin listesini görüntülemek için CLI üzerinde aşağıdaki komutu yazabilirsiniz.

#qkview -h

Örneğin, qkview dosyası alırken cihaz üzerinde oluşabilecek olası performans yükünü azaltmak için aşağıdaki komutu girerek Linux işletim sisteminin bir özelliği olan nice komutu ile qkview’i mümkün olan en düşük öncelikte çalıştırabilirsiniz.

#nice -n 19 qkview -s0

Not: Obje sayısı fazla olan sistemler için, nice -n 19 seçeneğini kullanırken qkview’in çalışmasını tamamlaması uzun zaman alabilir.

qkview komutunu çalıştırmak ve izin verilen dosya boyutunu belirlemek için qkview -s seçeneğini kullanabilirsiniz.

Örneğin, dosya boyutu sınırı belirtmek için aşağıdaki komutu kullanabilirsiniz.

#qkview -s0

6. QKView dosyası iHealth’e nasıl yüklenir?

Öncelikle oluşturmuş olduğumuz QKView dosyasınız iHealth’e yüklemek için F5 Login sayfasına giriş yapın. Bir hesabınız var ise onunla giriş yapabilirsiniz. Bir hesabınız yoksa alt kısımda bulunan “Create one” seçeneği ile ücretsiz bir hesap oluşturabilirsiniz.

Oluşturduğunuz F5 hesabınızla giriş yaptıktan sonra F5 iHealth bölümüne geçebilirsiniz.

Önceki adımlarda oluşturduğunuz QKView dosyalarını Upload butonuna tıklayarak yükleyebilirsiniz.

Qkview dosyasını ihealth.f5.com’a yüklemiş oldunuz. Bundan sonraki aşamada ihtiyacınız olan detaylara iHealth kullanımı ile ilgili daha sonra yayınlayacağımız blog yazımızda bulabileceksiniz.

Değişen dünyanın zorlu rekabet koşulları da göz önünde bulundurulduğunda, kurumsal başarıların en temel taşlarından birisi olarak, altyapıda hizmet veren bu sistemlerin operasyonlarının sorunsuz yürüyor olması yatmaktadır.

İyi bir altyapıyı efektif olarak yönetmenin temel şartlarını üç ana başlık altında toplayabiliriz.

• Stabil operasyon
• Operasyonel verimlilik
• Değişimde çeviklik

Stabilite, Süreklilik ve Yedeklilik

Bu üç başlığın birincisi ve en önem arzedeni, altyapıda gerçekleşen tüm operasyonların problemsiz ve stabil olarak ilerliyor olmasıdır. Bugün bir online ticaret sitesinin müşteriye bakan ara yüzünün yahut bir üretim tesisinin kaynak planlamasının yapıldığı sisteminin bir saat erişilememesinde oluşan maddi ve itibari kayıpları, kurumların günlük/haftalık kazançlarından daha fazla olabilmektedir. Bu sebepledir ki operasyonların yürütüldüğü altyapının stabil olarak çalışması, sistemlerin ayakta kalma süreleri, yedeklilik senaryolarının olması ve gerektiğinde devreye girebilir olması, kurumsal başarılarda kritik rol oynamaktadır.

Yapılan kapsamlı araştırmalara göre, stabil operasyonu olumsuz etkileyen en büyük etmenlerin başında insan kaynaklı hatalar gelmektedir. Hafızalarımızdaki en güncel olay olarak, 2021 yılı Ekim ayında yaşanan Facebook grubuna ait tüm hizmet ve servislere erişememe probleminin kök nedenini incelediğimizde, insan kaynaklı yapılan konfigürasyon hataları silsilesi yatmaktadır.

Yönetilen sistemlerde bu tip insan hatasının ortaya çıkmasını tetikleyen birkaç alt sebep bulunmaktadır. Gerekli yetkinliğe sahip olmama, yapılacak işlemler ile ilgili prosedür eksikliği ve kişinin uhdesine bırakılan kararlar/konfigürasyonlar, hataları ortaya çıkaran sebeplerden bazılarını oluşturmaktadır.

Tekrarlı Operasyonlar, Verimlilik ve Çeviklik

Kurum ihtiyaçları gereğince, altyapıları yöneten bireyler günlük veya dönemsel tekrar eden işlemler gerçekleştirmektedir. Bu tekrarlı işlemlerin her seferinde manuel olarak yapılması, harcanan zaman göz önüne alındığında verimi düşüren bir başka unsur olmaktadır. Ek olarak her işlem tekrarı ise yeni bir hata olasılığını arttırmaktadır.

Donanımsal sistemlerin de artık yazılım tabanlı yönetimlere uygun şekilde tasarlanması, tekrarlı işlerde verimliliğe ciddi oranda katkıda bulunmaktadır. Bu operasyonların insan hatasına minimum mahal verecek şekilde gerçekleşmesi, iş yüklerinin otomatize sistemlere devredilip, insanların ise hataları kontrol eder pozisyona evrilmesi ile mümkün olabilmektedir.

Otomatize sistemler, altyapı yönetimlerini basitleştirmelerine ek olarak değişen ihtiyaçlara çabuk adapte olabilme imkanı da tanımaktadır. Değişen ihtiyaçların çabuk karşılanması, firmaların ticari olarak rekabet güçlerinin artmasına da olanak sağlamaktadır.

Otomasyon ve Orkestrasyon

Otomasyon terimi kavram olarak, “makine işlevlerinin insan gücünün yerini alması” manasına gelirken, orkestrasyon ise sistemler arasındaki mantıksal örgüyü kuran ve ortak akıl ile çalışmasını sağlanması olarak ifade edilebilir. Basitçe örneklendirmek gerekirse, bir enstrümanın kendi kendine çalmasının sağlanması otomasyon, farklı enstrümanların doğru harmonide çalmalarının sağlanması ise orkestrasyon olarak nitelendirilebilir.

Bu iki terimin bilişim dünyasında kullanımı ve uygulama alanları ise sıklıkla birbiriyle karıştırılmaktadır. İki terim birbirinden keskin hatlar ile ayrışmıyor olsalar bile, gerçek dünyada farklı uygulama şekillerinde hayat bulmaktadırlar. Örneğin bir cihazın her gün belli bir vakitte düzenli yedeğinin alınmasının sağlanması bir otomasyon örneği iken, cihazlardan bir probleme ait kayıt geldiğinde ilgili cihazın anlık yedeğinin alınıp, problem ile ilgili otomatik bir servis talebi açılması ise orkestrasyon olarak örneklendirilebilir.

Bir başka örnekte ise, farklı sistemler üzerindeki kapasite gereksinimini izleyip, ihtiyaca göre yeni kaynakları devreye alıp, bunların gerekli konfigürasyonlarını yapabilen bir orkestrasyon çözümü verilebilir. Böyle bir sistem kullanıcılarına ciddi bir çabukluk avantajı sağlarken, yapılandırmalardaki karışıklığın önüne geçerek olası hata paylarını ise minimize etmektedir.

Her iki özelliğin de sistemlerde kullanılması ile birlikte, yazının daha önceki bölümlerinde bahsedilen olumsuz unsurların bertaraf edilmesi, yahut etkilerinin minimize edilmesi sağlanabilmektedir. Otomasyon olanağı sağlayan bir yönetim yazılımı ile insan hatası minimuma indirilebilirken, tekrarlı operasyon gerektiren durumlarda ise ciddi bir verimlilik kazancı sağlanabilmektedir.

Peki ama Nasıl?

Bir ara yüz hayal edelim, veri merkezindeki ağ ekipmanları ile direk temasa geçebiliyor, günlük operasyonel görevleri ön tanımlı bir şekilde yerine getirebiliyor. Bununla yetinmeyip yeni kaynak ihtiyaçları için hazır taslak komut setleri hazırlayabiliyor, sistemi yönetenlere sadece değişken parametreleri girerek saniyeler mertebesinde satırlarca konfigürasyonu, onlarca farklı cihaza yapma imkanı sağlıyor. Daha da ileri giderek, devreye alınacak konfigürasyonun ön kontrolünü yaparak, mevcut konfigürasyon ile çakışabilecek herhangi bir değişikliği yapmayarak, olası hataların önüne geçiyor. Son olarak bir de kullandığımız bu ara yüz üzerinde, farklı cihazlar üzerinde çalıştırma ihtiyacı duyabileceğimiz izleme ve hata giderme komutlarını tek bir noktadan yapabilme imkanı da tanıyor. İşte bu özelliklerin tümünün bulunduğu bir ara yüz, yazının bundan önceki paragraflarında detayları ile bahsedilen dertlere çare olabilmektedir.

BNTPRO olarak örnekleme ve geliştirme fırsatı bulduğumuz bu çözümlerin detaylarını dinlemek isterseniz, bize iletişim kanalları üzerinden ulaşabilirsiniz.

Bu cümlenin felsefesi hayatımızın her alanında kendisini göstermektedir.  Kurumların üretimleri , pazarlamaları , satışları , satış sonrası hizmetleri çok iyi olabilir.  Ancak gerek kurum içine gerekse de kurum dışına hizmet veren IT departmanları yeri geldiğinde müthiş bir savunma yaparak maçın kazanılmasında önemli rol oynar.  Artık IT departmanının önemini anlamayan kalmadı diyebiliriz. Bu noktada kullanılan bütçenin doğru alana verimli şekilde aktarılması esas teşkil etmektedir.

Günümüzdeki önemi nedeni ile  F5 Advanced Web Application Firewall’a değinmek isterim. Veri ihlallerinin önde gelen en önemli nedeni web saldırılarıdır. Firmalarda güvenli uygulama ve yama yönetimi  gibi güvenlik çözümleri olmasına rağmen, bir çok uygulama savunmasız veya etkisiz kalabiliyor. F5 Advanced Web uygulama güvenlik duvarları (F5 AWAF) ile güvenlik açıklarını, gidererek uygulamalarınızı veri ihlallerinden korur ve saldırıları durdurabilirsiniz. F5 Advanced WAF aynı zamanda, ileri seviye bot korumasını, uygulama katmanı şifrelemesini, API’leri ve davranış analizini hedefleyen saldırılara karşı korunmanıza yardımcı olur.

Özellikle son zamanlarsa saldırganlar, uygulamalardaki güvenlik açıklarını bot sistemler yardımıyla otomatik tarayarak elde ettikleri bilgiler ile servis kesintisine  (DDoS) neden olacak yaklaşımı benimsemişlerdir.

F5 Networks ; saldırganların  kullandığı bu bot sistemlere karşın , proaktif savunma ile otomatik saldırıları durdurur, bot trafiğini tanımlar, filtreler ve davranışa dayalı tekniklerin bir kombinasyonunu kullanarak bu kötü niyetli botları durdurmaktadır. Böylece saldırıların çoğunu ortadan kaldırabilirsiniz. F5 Advanced WAF sadece uygulamanızı korumaz, kullanıcıyı da sorgulayan bir mekanizmaya dönüşür. Tam katmanlı bir güvenlik sunmayı amaçlar.

Nasıl ki teknoloji evrimleşiyor ise saldırganlar da kendilerini geliştirerek evrimleşiyorlar. İşte bunun için Türkiye’nin tek yetkili F5 eğitim merkezimizde ; uzman ekibimiz ile uygun çözümlerimizi sizlerle buluşturmak için bekliyoruz.  Gerek F5 AWAF eğitimi ihtiyacınız , gerekse de AWAF kullanımınızda verim artışı istemeniz halinde sizlere destek olmak için sürekli çalışıyoruz.  Bizlerin de amacı tıpkı sizler gibi doğru bütçe ile doğru çözümleri buluşturabilmek.

Kerem Varcan

Kıdemli Satış Yöneticisi