TR7 WAF'ta Öğrenme Modundan Sonra Ne Yapılmalıdır? Analiz İşlemi Nedir ve Yapılırken Nelere Dikkat Edilmelidir?

Adım > 1

Learning aşaması tamamlanmış olan ilgili vService'in WAF Yönetimi ekranı açılır. Bunun için "Monitor Mode > İlgili vService > WAF Management" adımları takip edilir.

Adım > 2

İlgili Host grubu için "Analysis and Learning" butouna tıklanarak analiz öncesi konfigürasyon ekranına ulaşılır. Bu ekranda yapılan özelleştirmeler ile bu zamana kadar servise yapılan tüm istekler olabildiğince temiz bir şekilde filtrelenerek site haritasının oluşturulması hedeflenir.

Bu aşamada kullanılan temel analiz kriterleri şunlardır:

• Analyze Date: Analiz yapılacak olan zaman aralığı seçimi yapılır.

• Ignore old rules: Analizi yapılacak olan kuralların mevcut kurallarla birleştirilmesi veya üzerine yazılması ayarlanır.

• Rule Creating Mode: Web servisinin yapısına göre, Comprehensive, Data Based veya Page Independet olarak seçilebilir.

  Comprehensive ile bütün HTTP metotları izinsiz olarak kabul edilir. Bu yüzden varsayılan kurallar üzerinde yeni bir path tanımı yapılmadığı sürece yapılan tüm istekler WAF tarafından bloklanır. Comprehensive ile analiz yapıldığında her bir path tek tek öğrenilir ve bu pathlere uygun kurallar oluşturulur. Böylelikle öğrenilmemiş bir pathe istek geldiğinde, bu istekler WAF tarafından bloklanır.

  Data Based ile Any paths kuralında GET ve HEAD HTTP metotlarına izin verilir. POST gibi veri göndermesi gereken metotlara izin verilmez. Veri bazlı mod ile analiz yapıldığında, POST isteği üzerinden gönderilen bir veri varsa, query içerisinde bir parametre varsa, raw body içerisinde bir veri varsa, XML Json gibi bir veri kullanıcı tarafından sunucu tarafına gönderiliyorsa bu verileri içeren tüm sayfalar tek tek öğrenilir. Öğrenilmiş kurallar çerçevesinde ilgili pathlere istekler yapılabilir. Öğrenilmemiş "photo.jpeg" gibi bir istek yapıldığı zaman Any paths kuralına düşer. İlgili kuralda ise "photo.jpeg"'e sadece GET ile istek yapılmasına izin verilir. Ancak photo.jpeg query parametreleri ile istenirse öğrenilmediği için ilgili istek yine WAF tarafından bloklanır.

  Page Independet ile WAF'ın devreye alınması istenen servis ile ilgili çok fazla detay bilinmiyorsa yani ilgili pathler, istek yöntemleri, değişken yapıları gibi böyle servisler için kullanılır. Temel olarak OWASP tabanlı olarak koruma sağlanır. Path bazlı bir öğrenme yapılmadan öğrenme işlemi Any paths kuralı üzerinden gerçekleştirilir.

• Country Filter: Gelen trafiğin ülkesine göre filtrelenmesi sağlanır. İzin verilen veya engellenen ülkeler belirlenerek yalnızca hedeflenen bölgeden gelen trafiğin kabul edilmesi sağlanır.

• Only Domains: Yalnızca domain ile gelen istekler analize dahil edilir. Bu sayede IP adresi ile yapılan tarama veya ataklar otomatik olarak analiz dışı bırakılır.

• Only Browsers: Gelen isteklerin user agent bilgileri incelenerek şüpheli, uyumsuz tarayıcı ve istemcilerden gelen trafik analize dahil edilmez.

• Skip Blacklist IPs: Blacklist IP adresleri analize dahil edilmez.

• Status Code Filter: Yapılan isteklerin dönen HTTP durum kodları analiz edilerek seçilen durum kodları dışındaki istekler analize dahil edilmez. Anormal veya beklenmeyen durum kodları (örneğin, çok sayıda 404 veya 500 gibi) analiz dışı bırakılır.

• Bot Filter: Bot davranışlarını tespit etmek ve kötü niyetli botları ayıklamak için gelişmiş bir algoritma uygulanır. Bu sayede yalnızca gerçek kullanıcıların trafiği analiz edilerek site haritası oluşturulur.

• Source IP Filter: IP adresine göre filtreleme yapmak için kullanılır.

• Host Filter: Host header'ına göre filtreleme yapmak için kullanılır.

İstenilen parametrelerde "no filter", "use selected" veya "eliminate selected" gibi farklı filtrelemeler yapılabilmektedir.

Adım > 3

"Start Analyzing" butonuna tıklanarak analiz başlatılır.

Böylelikle analiz işlemi başlamış olur ve site haritasının çıkartılması beklenir.