Sophos Utm’de WAF(Web Application Firewall) nasıl aktif edilir? Ben waf’ı aktif etmek için ssl offloading de yapacağım.

Waf nedir?

Web Application Firewall (WAF) yani Web Uygulaması Güvenlik Duvarı, bir web uygulamasından veya web sitesinden gelen ve giden veri paketlerini izleyen, filtreleyen ve engelleyen bir güvenlik aracıdır. Bir web sitesi sunucusu ve istemci istekleri arasında bir bariyer oluşturarak web sitelerini ve web uygulamalarını saldırılara karşı korumaya yardımcı olur. Uygulama katmanında bulunur ve çok çeşitli tehdit ve tehlikelere karşı güvenlik ve emniyet sağlayabilir.

Ssl Offloading nedir?

SSL offloading , bir web sunucusunu SSL aracılığıyla gönderilen trafiğin şifresini çözme ve/veya şifrelemenin işleme yükünden kurtarmak için gelen trafikten SSL tabanlı şifrelemeyi kaldırma işlemidir. İşlem, özellikle SSL hızlandırma veya SSL sonlandırması için tasarlanmış ayrı bir cihaza aktarılır.

Ben firewall üzerinde Ssl offlading yapacağım için domain’in ssl sertifikasına ihtiyacım var bunun için free bir ssl alacağım. Free ssl almak için zerossl kullanıyorum. Zerossl kayıt olduktan sonra new certificate diyorum.

Enter domains kısmına domain adını yazıyorum.

Validity kısmına gelip 90 günlük certificate alıyorum.

Csr&Contact’a auto diyorum. Siz auto’dan kaldırıp kendi bilgilerinizi girebilirsiniz. Ben uğraşmamak için auto diyorum.

Finalize Your Order gelip free seçili bir şekilde next step diyorum.

Next step dediğimizde ise Verification Method geliyor. Ben burada genelde dns(cname) seçiyorum. Siz diğer doğrulama türlerini de seçebilirsiniz.

Yukarıda belirtilen şekilde cname oluşturuyorum.

Cname girdikten sonra Verify domain diyorum. Cname kaydınız hemen güncellenmeyebilir, bu süre zarfında beklemenizi sonrasında verify domain yapmanızı tavsiye ederim.

Verify edildikten sonra ise install certificate diyorum.

Sertifikayı indirdikten sonra bize lazım iki dosya var, bunlardan biri certificate.crt ve private key. Sophos certificate yüklemek için pfx formatında istiyor. Şimdi ise certificate pfx formatına çevirmemiz gerekiyor.

Sertifikayı pfx çevirmek için sslshopper.com’u kullanıyorum. Sizler bilgisayarınıza kuracağınız openssl uygulaması üzerinde de yapabilirsiniz. SSL Certificate Tools kısmına gelip SSL Converter kısmına geliyorum.

Crt dosyamı ve private key’i yükledikten sonra pfx formatına convert ediyorum.

Pfx formatında certificate aldıktan sonra ise artık sophos tarafına gelip ssl offloading yaparak waf’ı aktif edebiliriz.

Sophos firewall’a bağlanıyoruz. Sol taraf da bulunan Webserver Protection > Certificate Management > New Certificate.. tıklayıp upload seçiyoruz.

Upload ettikten sonra Artık real webserverları tanımlayabiliriz.

Web Application Firewall kısmına geliyoruz. Üst sekmeden real webservers sekmesine tıklıyoruz. Aşağıda şekilde tanımlıyoruz. Ben 80(Http) portu üzerinden yayın yapacağım için firewall tarafında 80 portunu tanımlıyorum. Ssl offloading yapacağım için sunucu üzerinde herhangi bir http/https redirection olmaması lazım.

Real web serverları tanımladık sonra ise Virtual Webservers kısmına geliyoruz. Kullanacağımız public interface seçiyoruz.

Yukarıda şekilde tanımları yapıyorum. Ssl offloading(http-https redirection) yapacağım Encrypted (HTTPS), Redirection enabled seçiyorum.

Buradaki advanced kısmında bahsetmek gerekirse;

Disable compression support: Varsayılan olarak, devre dışıdır ve istemci sıkıştırılmış veri istediğinde içerik sıkıştırılmış olarak gönderilir. Sıkıştırma, aktarım hızını artırır ve sayfa yükleme süresini azaltır. Ancak, web sitelerinin hatalı görüntülenmesi veya kullanıcıların web sunucularınıza erişirken içerik kodlama hataları yaşaması durumunda, sıkıştırma desteğini devre dışı bırakmak gerekebilir. Etkinleştirildiğinde ise WAF, bu sanal web sunucusunun gerçek web sunucularından sıkıştırılmamış verileri talep edecek ve HTTP isteğinin kodlama parametresinden bağımsız olarak, sıkıştırılmamış olarak client’a gönderecektir.

Rewrite HTML: Bağlantıların geçerli kalması için Sophos UTM’nin döndürülen web sayfalarının bağlantılarını yeniden yazmasını sağlamak için bu seçeneği seçin. Örnek: Gerçek web sunucusu örneklerinizden biri, şirketiniz.yerel ana bilgisayar adına sahip ancak sanal web sunucusunun Sophos UTM’deki ana bilgisayar adı, şirketiniz.com’dur. Bu nedenle, müşteriye teslim edilmeden önce bağlantı <a href=”http://sirketiniz.com/”> adresine yeniden yazılmazsa, <a href=”http://sirketiniz.local/”> gibi mutlak bağlantılar bozulacaktır. . Ancak, web sunucunuzda firmanız.com yapılandırılmışsa veya web sayfalarınızdaki dahili bağlantılar her zaman göreceli bağlantılar olarak gerçekleştiriliyorsa bu seçeneği etkinleştirmeniz gerekmez. Seçeneğin Microsoft’un Outlook Web Access ve/veya Sharepoint Portal Sunucusu ile kullanılması önerilir.

Pass host header: Bu seçeneği seçtiğinizde, client tarafından talep edilen ana bilgisayar başlığı korunacak ve web isteğiyle birlikte web sunucusuna iletilecektir. Ancak ortamınızda ana bilgisayar başlığının geçmesinin gerekli olup olmadığı web sunucunuzun yapılandırmasına bağlıdır.

Diğer waf özelliklerini kullanmak için Site Path Routing’e girebiliriz. İlk yaptığımız path’e gelip edit diyebiliriz.

Path kısmında bahsetmek gerekirse path’inizi “/” yapmak yerine /aykut.html yapabilirsiniz. Domain’e gelenlerini hepsi / gitmek yerine direk aykut.html gideceklerdir.

Reverse authentication: Bu site yolu yoluna erişimi olması gereken kullanıcılar veya gruplarla kimlik doğrulama profilini seçin. Profil seçilmediğinde, kimlik doğrulama gerekmez

Access control: Belli iplere izin verebilir ve engelleyebilirsiniz.

Enable hot-standby mode: Tüm istekleri ilk seçilen gerçek web sunucusuna göndermek ve diğer web sunucularını yalnızca yedek olarak kullanmak istiyorsanız bu seçeneği seçin. Yedek sunucular yalnızca ana sunucunun arızalanması durumunda kullanılır. Ana sunucu tekrar çalışmaya başlar başlamaz, Yapışkan oturum tanımlama bilgisini etkinleştir seçeneğini belirlemediyseniz, oturumlar geri dönecektir.

Enable WebSocket passthrough: WebSocket iletişimine izin vermek istiyorsanız bu seçeneği seçin. Bu şekilde WebSocket trafiği hiçbir şekilde WAF tarafından kontrol edilmez ve WAF’ta etkinleştirmiş olabileceğiniz diğer seçenekler WebSocket trafiğine uygulanmaz.

Request Redirection kısmına gelip istediğiniz requestleri tanımlayabilirsiniz. Advanced sekmesine gelip gerekli olan diğer waf özelliklerini açabilirsiniz.

Webserver Protection kısmında bulunan Firewall Profiles kısmında gerekli olan profilleri aktif edebilirsiniz. Bu profilde ise Exceptions girerek gerekli tanımları yapabilirsiniz.

Sophos UTM firewawll’da genel olarak waf bu şekilde yapılmaktır. Herhangi bir sorunuz olmadı durumunda yorumlardan bana ulaşabilirisiniz.

Görüşmek üzere…