WebLogic Sisteminizi Daha Güvenli Hale Getirmek

Üç katmanlı web mimarisinde internete açık
ve/veya lokal ağda çalışan kritik uygulamaların güvenliğini sağlarken, her
katmanda ayrı ayrı güvenlik önlemleri alınır. Bu önlemlerin büyük bölümü
firewall katmanına bırakılır ve firewall’dan sonrası büyük çoğunlukça
önemsenmez. 

Oysa saldırıların ve güvenlik zaafların büyük çoğunluğu eski
çalışanlar, sistemi detaylı bilenler veya ağ içerisindeki kullanıcılar
tarafından yapılır. O bakımdan kiritik uygulamaların güvenlik önlemleri uygulama
sunucuları seviyesinde de dikkate alınmalıdır.
Oracle
WebLogic uygulama sunucusu kurumsal java dünyasında yaygın olarak kullanılan
bir uygulama sunucusudur. Fakat WebLogic kurulumları çoğunlukla varsayılan
konfigürasyonlar ile bırakılır. Eğer aşağıdaki hizmetlere yönelik bir “WebLogic
Domain”i yönetiyor ve operasyonunu yürütüyorsanız;

  • ·       Bankacılık Uygulamaları
  • ·       Resmi Kamu Kurum
    Uygulamaları
  • ·       İnternete açık e-Ticaret
    Web Uygulamaları
Üzerinde kritik uygulamanın çalıştığı, yönetimini ve sahipliğini
yaptığınız “WebLogic Domain”in güvenliğini güçlü bir şekilde sağlayıp; iç ve
dış saldırılara (hacking attacks) karşı önlem almalısınız.
Bu
kritik uygulamalar için hayati önem taşıyan ve büyük çoğunluğu olmazsa olmaz
niteliğinde olan teknik detayları aşağıda madde madde sıralıyorum. Ve bu
önlemler alındığı takdirde uygulama sunucusu katmanında da ciddi güvenlik önlemleri
almış olacaksınız.

Böylelikle yönetimini yapmış olduğunuz sistem saldırılara
karşı çok daha güvenilir ve güçlü olacaktır.

  • Varsayılan port numaraları/değerleri
    kullanılmamalı. (7001, 7002… vb. gibi)
  • WebLogic Domain için
    varsayılan admin kullanıcısı olarak “weblogic” değeri tercih edilmemeli.
  • WebLogic başlangıç
    scriptlerinde admin “kullanıcıadı|parola” bilgileri parameter olarak
    geçilmemeli. Bunun yerine “-Dweblogic.system.BootIdentityFile=$PATH/boot.properties”
    değişkeni ve şifrelenmiş “boot.properties” dosyası kullanılmalıdır.
  • WebLogic için
    “Administration Port” özelliği aktiflenmeli.
  • “Cross Domain Security”
    özelliği aktif olmalı.
  • WebLogic domain admin
    konsol için varsayılan “console” context path değeri değiştirilmeli.
  • Custom Identity ve
    Custom Trust (JKS) kullanılmalı.
  • Gerçek ve geçerli SSL
    sertifikaları WebLogic instance’lara yüklenmeli ve iç trafik de https olarak
    düzenlenmeli.
  • “Custom Hostname
    Verifier” kullanılmalı.
  • “Max Post Size” değeri
    belirlenmeli. Varsayılan ayar limitsiz şeklindedir.
  • “Frontend Host” ve
    “Frontend Https Port” değerleri girilmeli
  • “Minimum, Maximum, IO
    Buffer Sizer” değerleri belirlenip girilmeli
  • JMS kaynakları güvenli
    hale getirilmeli
  • LDAP otantikasyon ve
    yetkilendirilme ayarları yapılmalı
  • WebLogic domain için
    “Administration auditing” açılmalı ve detayları kütüğün yazılması sağlanmalı
WebLogic üzerinde çalışan kiritik canlı sistem
uygulamaların domain yönetiminde, yukarıda sıraladığım konfigürasyonların büyük
çoğunluğu yapılmamaktadır ve %99 oranında bu konfigürasyonlar yapılmamış olarak
hizmet vermektedir.
Bu konfigüsyonlar yapılmadığı müddetçe, her bir
madde için ayrı saldırı çeşitleri mevcut olup, ilgili WebLogic domain bu
saldırılar kaşısında savunmasız durumdadır.
Eğer önemli bir sistemin WebLogic uygulama
yönetimini yapıyorsanız, iki defa düşünün. Güvenlik ayarlarınızı yeniden gözden
geçirerek iç ve dış saldırılara karşı güvenliğinizi arttırmanızı önemle tavsiye
ediyorum.
Uygulamaların güvenliğini sağlamak her zaman
meşakkatli ve daha fazla bilgi birikimi gerektiriyor. Bu anlamda bu süreç
sancılı olabilir fakat en nihayetinde daha güçlü bir kale inşa edeceksinizdir.
Uygulama sunucularının güvenlik konfigürasyonları için bir uzmandan destek
almaktan kaçınmayınız.

Kullanıcı kitlemize daha güvenli bir sistem
sunmak için herkese ayrı ayrı görevler düşüyor. Siber saldırılara karşı “uygulama sunucusu” katmanında da bu
önlemleri almak, uygulama güvenlik duvarını daha da güçlendirecektir.
M.Fevzi
Korkutata (Certified Associate
Middleware Consultant) <fevzi.korkutata @
admineer.com >