Üç katmanlı web mimarisinde internete açık
ve/veya lokal ağda çalışan kritik uygulamaların güvenliğini sağlarken, her
katmanda ayrı ayrı güvenlik önlemleri alınır. Bu önlemlerin büyük bölümü
firewall katmanına bırakılır ve firewall’dan sonrası büyük çoğunlukça
önemsenmez.
ve/veya lokal ağda çalışan kritik uygulamaların güvenliğini sağlarken, her
katmanda ayrı ayrı güvenlik önlemleri alınır. Bu önlemlerin büyük bölümü
firewall katmanına bırakılır ve firewall’dan sonrası büyük çoğunlukça
önemsenmez.
Oysa saldırıların ve güvenlik zaafların büyük çoğunluğu eski
çalışanlar, sistemi detaylı bilenler veya ağ içerisindeki kullanıcılar
tarafından yapılır. O bakımdan kiritik uygulamaların güvenlik önlemleri uygulama
sunucuları seviyesinde de dikkate alınmalıdır.
Oracle
WebLogic uygulama sunucusu kurumsal java dünyasında yaygın olarak kullanılan
bir uygulama sunucusudur. Fakat WebLogic kurulumları çoğunlukla varsayılan
konfigürasyonlar ile bırakılır. Eğer aşağıdaki hizmetlere yönelik bir “WebLogic
Domain”i yönetiyor ve operasyonunu yürütüyorsanız;
WebLogic uygulama sunucusu kurumsal java dünyasında yaygın olarak kullanılan
bir uygulama sunucusudur. Fakat WebLogic kurulumları çoğunlukla varsayılan
konfigürasyonlar ile bırakılır. Eğer aşağıdaki hizmetlere yönelik bir “WebLogic
Domain”i yönetiyor ve operasyonunu yürütüyorsanız;
- · Bankacılık Uygulamaları
- · Resmi Kamu Kurum
Uygulamaları - · İnternete açık e-Ticaret
Web Uygulamaları
Üzerinde kritik uygulamanın çalıştığı, yönetimini ve sahipliğini
yaptığınız “WebLogic Domain”in güvenliğini güçlü bir şekilde sağlayıp; iç ve
dış saldırılara (hacking attacks) karşı önlem almalısınız.
yaptığınız “WebLogic Domain”in güvenliğini güçlü bir şekilde sağlayıp; iç ve
dış saldırılara (hacking attacks) karşı önlem almalısınız.
Bu
kritik uygulamalar için hayati önem taşıyan ve büyük çoğunluğu olmazsa olmaz
niteliğinde olan teknik detayları aşağıda madde madde sıralıyorum. Ve bu
önlemler alındığı takdirde uygulama sunucusu katmanında da ciddi güvenlik önlemleri
almış olacaksınız.
kritik uygulamalar için hayati önem taşıyan ve büyük çoğunluğu olmazsa olmaz
niteliğinde olan teknik detayları aşağıda madde madde sıralıyorum. Ve bu
önlemler alındığı takdirde uygulama sunucusu katmanında da ciddi güvenlik önlemleri
almış olacaksınız.
Böylelikle yönetimini yapmış olduğunuz sistem saldırılara
karşı çok daha güvenilir ve güçlü olacaktır.
- Varsayılan port numaraları/değerleri
kullanılmamalı. (7001, 7002… vb. gibi) - WebLogic Domain için
varsayılan admin kullanıcısı olarak “weblogic” değeri tercih edilmemeli. - WebLogic başlangıç
scriptlerinde admin “kullanıcıadı|parola” bilgileri parameter olarak
geçilmemeli. Bunun yerine “-Dweblogic.system.BootIdentityFile=$PATH/boot.properties”
değişkeni ve şifrelenmiş “boot.properties” dosyası kullanılmalıdır. - WebLogic için
“Administration Port” özelliği aktiflenmeli. - “Cross Domain Security”
özelliği aktif olmalı. - WebLogic domain admin
konsol için varsayılan “console” context path değeri değiştirilmeli. - Custom Identity ve
Custom Trust (JKS) kullanılmalı. - Gerçek ve geçerli SSL
sertifikaları WebLogic instance’lara yüklenmeli ve iç trafik de https olarak
düzenlenmeli. - “Custom Hostname
Verifier” kullanılmalı. - “Max Post Size” değeri
belirlenmeli. Varsayılan ayar limitsiz şeklindedir. - “Frontend Host” ve
“Frontend Https Port” değerleri girilmeli - “Minimum, Maximum, IO
Buffer Sizer” değerleri belirlenip girilmeli - JMS kaynakları güvenli
hale getirilmeli - LDAP otantikasyon ve
yetkilendirilme ayarları yapılmalı - WebLogic domain için
“Administration auditing” açılmalı ve detayları kütüğün yazılması sağlanmalı
WebLogic üzerinde çalışan kiritik canlı sistem
uygulamaların domain yönetiminde, yukarıda sıraladığım konfigürasyonların büyük
çoğunluğu yapılmamaktadır ve %99 oranında bu konfigürasyonlar yapılmamış olarak
hizmet vermektedir.
uygulamaların domain yönetiminde, yukarıda sıraladığım konfigürasyonların büyük
çoğunluğu yapılmamaktadır ve %99 oranında bu konfigürasyonlar yapılmamış olarak
hizmet vermektedir.
Bu konfigüsyonlar yapılmadığı müddetçe, her bir
madde için ayrı saldırı çeşitleri mevcut olup, ilgili WebLogic domain bu
saldırılar kaşısında savunmasız durumdadır.
madde için ayrı saldırı çeşitleri mevcut olup, ilgili WebLogic domain bu
saldırılar kaşısında savunmasız durumdadır.
Eğer önemli bir sistemin WebLogic uygulama
yönetimini yapıyorsanız, iki defa düşünün. Güvenlik ayarlarınızı yeniden gözden
geçirerek iç ve dış saldırılara karşı güvenliğinizi arttırmanızı önemle tavsiye
ediyorum.
yönetimini yapıyorsanız, iki defa düşünün. Güvenlik ayarlarınızı yeniden gözden
geçirerek iç ve dış saldırılara karşı güvenliğinizi arttırmanızı önemle tavsiye
ediyorum.
Uygulamaların güvenliğini sağlamak her zaman
meşakkatli ve daha fazla bilgi birikimi gerektiriyor. Bu anlamda bu süreç
sancılı olabilir fakat en nihayetinde daha güçlü bir kale inşa edeceksinizdir.
Uygulama sunucularının güvenlik konfigürasyonları için bir uzmandan destek
almaktan kaçınmayınız.
meşakkatli ve daha fazla bilgi birikimi gerektiriyor. Bu anlamda bu süreç
sancılı olabilir fakat en nihayetinde daha güçlü bir kale inşa edeceksinizdir.
Uygulama sunucularının güvenlik konfigürasyonları için bir uzmandan destek
almaktan kaçınmayınız.
Kullanıcı kitlemize daha güvenli bir sistem
sunmak için herkese ayrı ayrı görevler düşüyor. Siber saldırılara karşı “uygulama sunucusu” katmanında da bu
önlemleri almak, uygulama güvenlik duvarını daha da güçlendirecektir.
sunmak için herkese ayrı ayrı görevler düşüyor. Siber saldırılara karşı “uygulama sunucusu” katmanında da bu
önlemleri almak, uygulama güvenlik duvarını daha da güçlendirecektir.
M.Fevzi
Korkutata (Certified Associate
Middleware Consultant) <fevzi.korkutata @
admineer.com >
Korkutata (Certified Associate
Middleware Consultant) <fevzi.korkutata @
admineer.com >