[VIP WHITE] Zero-Day Savunması: WAF Kuralları ile Bilinmeyen Saldırıları Engelleme

0 Replies 1 Views
·

Leave a rating: [VIP WHITE] Zero-Day Savunması: WAF Kuralları ile Bilinmeyen Saldırıları Engelleme

You have already rated this thread. Re-rating it will remove your existing rating or review.

Rating:

Raters: [VIP WHITE] Zero-Day Savunması: WAF Kuralları ile Bilinmeyen Saldırıları Engelleme

Participants
Thread Starter #0
⚠️ YASAL ÇERÇEVE VE SORUMLULUK REDDİBu makale, Web Application Firewall (WAF) teknolojilerini kullanarak sistemleri henüz keşfedilmemiş tehditlere karşı koruma (Defense in Depth) stratejilerini anlatır.

WAF kuralları yazmak ve test etmek, trafiğin akışını değiştirebilir. Yanlış yapılandırılmış bir kural, meşru kullanıcıların erişimini kesebilir (False Positive). Bu teknikleri sadece sahibi olduğunuz veya yönetim yetkisine sahip olduğunuz sunucularda uygulamanız gerekmektedir.

Giriş: "Görünmez Adam"ı Nasıl Yakalarsınız?

Klasik antivirüsler ve eski nesil güvenlik duvarları "İmza Tabanlı" (Signature Based) çalışır. Yani, "Eğer gelen pakette WannaCry kodu varsa engelle" derler. Peki ya saldırgan tamamen yeni, kimsenin bilmediği bir yöntemle (Zero-Day) gelirse? İmza yoktur, dolayısıyla engelleme de yoktur.

Zero-Day saldırılarını durdurmanın tek yolu bakış açısını değiştirmektir: "Kötüyü aramayı bırak, sadece iyiye izin ver."

1. Pozitif Güvenlik Modeli (Positive Security Model)

Negatif model "X, Y, Z yasaktır" der. Pozitif model ise "Sadece A serbesttir, gerisi yasaktır" der. Zero-Day savunmasının temeli budur.

  • Whitelist Yaklaşımı:Örneğin, forumunuzda bir "Kullanıcı ID" parametresi var (user_id=123).

    • Negatif Model: SELECT, UNION, DELETE kelimelerini yasaklar. (Saldırgan yeni bir yöntem bulursa geçer.)
    • Pozitif Model: "Bu alana sadece 0-9 arası rakamlar girilebilir" kuralı yazar.
    • Sonuç: Saldırgan buraya ne tür bir Zero-Day payload'ı (RCE, SQLi, LDAPi) sokmaya çalışırsa çalışsın, rakam olmadığı için WAF bunu daha içeriği anlamadan reddeder.

2. Sanal Yamalama (Virtual Patching)

Bir yazılımda (örneğin Xenforo veya bir eklentisi) kritik bir açık çıktığında, geliştiricinin yama yayınlaması günler sürebilir. Saldırganlar ise saatler içinde saldırır.

Strateji: Açığı kaynak kodda kapatmak yerine, WAF katmanında o açığa giden yolu tıkamaktır.

  • Senaryo: search.php dosyasının query parametresinde bir açık bulundu.
  • WAF Kuralı (Regex): "Eğer URL search.php içeriyorsa VE query parametresi içinde < veya > karakterleri geçiyorsa, isteği sunucuya hiç iletme, DROP et."
  • Bu işlem, kodu düzeltmez ama kodun yamalanması için size zaman kazandırır.

3. Jenerik Payload Tespiti (Generic Attack Signatures)

Saldırının adını bilmesek de, saldırıların yapısal "gramerini" biliriz. Çoğu saldırı belirli karakter setlerine ihtiyaç duyar.

  • SQL Injection Kalıpları: Hangi veritabanı olursa olsun, saldırgan genellikle tırnak işareti (') veya yorum satırı (--, #) kullanmak zorundadır.
  • RCE (Remote Code Execution) Kalıpları: Sistem komutu çalıştırmak için saldırganın pipe (|), noktalı virgül (;) veya dolar işareti ($) kullanması gerekir.
Hardening Aksiyonu (OWASP Core Rule Set - CRS):ModSecurity veya Cloudflare WAF kullanıyorsanız, "Paranoya Seviyesi"ni (Paranoia Level) artırın. Bu, sadece bilinen saldırıları değil, "saldırıya benzeyen" anormal karakter dizilimlerini de engeller.

4. Anomali ve Davranış Analizi

Zero-Day saldırganı, sistemin nasıl tepki verdiğini görmek için önce keşif yapar. Bu keşif aşaması çok gürültülüdür.

  • Hız Kısıtlama (Rate Limiting): Bir IP adresi, bir insandan beklenmeyecek hızda farklı URL'leri deniyorsa (Örn: Saniyede 5 istek), WAF bu IP'yi geçici olarak engellemelidir.
  • Status Code Analizi: Bir kullanıcı sürekli 403 (Forbidden) veya 500 (Server Error) hatası alıyorsa, sistemi zorluyor demektir. WAF kuralları ile "Dakikada 10 defa 404 hatası alan IP'yi 1 saat banla" diyebilirsiniz.

5. Protokol Doğrulama (Protocol Validation)

Saldırganlar bazen WAF'ı atlatmak için HTTP protokolünü bozarlar (HTTP Request Smuggling).

  • Kural: HTTP standartlarına (RFC) tam uymayan her isteği reddedin.

    • Eksik Host başlığı.
    • Anlamsız Content-Type.
    • GET isteğinde Body (Gövde) verisi olması.Bu tür gariplikler, genellikle özel olarak hazırlanmış bir exploit'in yan etkileridir.

6. WAF Bypass Testi

Kurallarınızı koyduktan sonra, "Ben bir saldırgan olsam bunu nasıl geçerim?" diye sormalısınız.

  • WAFw00f: Sitenizde hangi WAF'ın olduğunu ve potansiyel zayıflıklarını gösteren araç.
  • Kodlama (Encoding) Teknikleri: Saldırganlar payload'ı URL Encode, Base64 veya Hex formatında göndererek WAF'ı kör etmeye çalışır. WAF'ınızın gelen veriyi önce "Decode" edip sonra analiz ettiğinden emin olun.

Sonuç

WAF, kurşun geçirmez bir yelek değildir; ancak saldırganın işini o kadar zorlaştırır ki, saldırgan "daha kolay bir hedef" aramaya gider. Zero-Day savunmasında amaç, saldırıyı %100 tanımak değil, saldırının yapı taşlarını (anomalileri) tespit edip sistemden uzak tutmaktır.


You must be logged in to reply.

0 quotes selected