Firewall, WAF, Saldırı Engelleme Sistemi Keşif Çalışması

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Güvenlik cihazlarının ve saldırı engelleme araçlarının keşfedilmesi.

Adımlar:

Güvenlik duvarı keşif çalışmasını 3 aşamada inceleyebiliriz.

1.Adım: Normal bir TCP bağlantısında iletişime geçmek isteyen istemci taraf hedef sistemin ilgili portuna SYN paketi gönderir. Eğer servis çalışıyor ve hizmet veriyor ise karşılık olarak hedef sistem istemciye SYN+ACK paketi ile cevap döner. Bu şekilde servisin açık olduğu görülebilir.

Waf.png


2.Adım: Normal bir TCP bağlantısında iletişime geçmek isteyen istemci taraf hedef sistemin ilgili portuna SYN paketi gönderir. Eğer servis kapalı ve hizmet vermiyor ise karşılık olarak hedef sistem istemciye RST paketi ile cevap döner. Bu şekilde servisin kapalı olduğu görülebilir.

Waf2.png


3.Adım: Bağlantı kurmak isteyen taraf hedef sistem ile iletişime geçtiği zaman gönderdiği SYN paketine cevap alamıyorsa, yani hedef sistem istemci tarafın SYN paketine SYN+ACK ya da RST gibi bir cevap dönmüyorsa hedef sistemin önünde bir güvenlik cihazının olduğundan söz edilebilir. Bu durumda iletişime geçilmek istenen port filtered olarak görünecektir ve erişilemeyecektir.

Waf3.png


Waf Keşif Çalışması

Günümüz internet dünyasında siber saldırıların artması ile savunma tarafındaki önlemler de artmaya başlamıştır. Özellikle web uygulamalarına yönelik gerçekleştirilen saldırılar büyük bir artış göstermiştir. Bu saldırılar karşısında ise Web Application Firewall (WAF) ürünleri değer kazanmıştır. Layer 7’de çalışan bu cihazlar ile web uygulamalarına karşı yapılan saldırılar büyük ölçüde engellenebilmektedir. Herhangi bir sızma testinde atılması gereken başlıca adımlardan birisi, hedef sistem önünde aktif bir güvenlik cihazının olup olmadığının kontrol edilmesidir. Sistemler genelde WAF ya da IPS gibi sistemlerle korunur. Bu durumda test öncesinde bunların tespit edilmesi ve testlerin ona göre gerçekleştirilmesi gerekmektedir. Kali Linux üzerinde hazır olarak gelen wafw00f aracı ile hedef sistem önünde aktif olarak çalışan bir WAF cihazının olup olmadığını anlamak mümkündür. Kullanımı oldukça basit olan bu araç aşağıdaki gibi kullanabilir. Öncelikle -h parametresi kullanılarak aracın hangi özelliklere sahip olduğunu ve parametreleri görülebilir.

Waf4.png


Genel olarak kullanımı ise aşağıdaki gibidir;

root@kali:~# wafw00f waftest.bgabank.com.tr
WAFW00F - Web Application Firewall Detection Tool
By Sandro Gauci && Wendel G. Henrique
Checking waftest.bgabank.com.tr
Generic Detection results:
The site waftest.bgabank.com.tr seems to be behind a WAF
Reason: The server header is different when an attack is detected.
The server header for a normal response is "Microsoft-IIS/7.0", while the server header a response to an attack is "Microsoft-HTTPAPI/2.0.",
Number of requests: 13

Görüldüğü üzere parametre olarak sadece hedef sistemi vermek yeterli olmaktadır. Çok kısa bir sürede hedef sistemin WAF ile korunduğu bilgisini bize vermektedir.