AWS - WAF Enum

AWS WAF

AWS WAF, web uygulama güvenlik duvarıdır ve web uygulamalarını veya API'leri çeşitli web saldırılarına karşı korur. Bu saldırılar, uygulamaların kullanılabilirliğini, güvenliğini veya kaynak tüketimini etkileyebilir. AWS WAF, kullanıcıların SQL enjeksiyonu veya cross-site scripting gibi tipik saldırı vektörlerini engelleyen güvenlik kuralları ve özel filtreleme kuralları belirleyerek gelen trafiği kontrol etmelerini sağlar.

İzleme Kriterleri (Koşullar)

Koşullar, AWS WAF'ın izlediği gelen HTTP/HTTPS isteklerinin unsurlarını belirtir. Bu unsurlar XSS, coğrafi konum (GEO), IP adresleri, boyut kısıtlamaları, SQL enjeksiyonu ve desenler (dize ve regex eşleşmesi) içerir. Ülkeye dayalı olarak CloudFront seviyesinde kısıtlanan istekler WAF'a ulaşmayacaktır.

Her AWS hesabı aşağıdakileri yapılandırabilir:

• Her tür için 100 koşul (yalnızca Regex için 10 koşul izin verilir, ancak bu sınırlama artırılabilir).

• 100 kural ve 50 Web ACL.

• Maksimum 5 hız tabanlı kural.

• WAF bir uygulama yük dengeleyici ile uygulandığında saniyede 10.000 istek işleme kapasitesi.

Kural Yapılandırması

Kurallar belirtilen koşullar kullanılarak oluşturulur. Örneğin, bir kural belirli 2 koşulu karşılayan bir isteği engelleyebilir. İki tür kural vardır:

1. Normal Kural: Belirtilen koşullara dayalı standart kural.

2. Hız Tabanlı Kural: Belirli bir IP adresinden gelen istekleri beş dakikalık bir süre içinde sayar. Burada kullanıcılar bir eşik belirler ve bir IP adresinden gelen isteklerin sayısı bu sınırlamayı beş dakika içinde aşarsa, o IP adresinden gelen sonraki istekler eşikten düşene kadar engellenir. Hız tabanlı kurallar için minimum eşik değeri 2000 istektir.

Eylemler

Her kurala İzin Ver, Engelle veya Say seçenekleri atanır:

• İzin Ver: İstek uygun CloudFront dağıtımına veya Uygulama Yük Dengeleyici'ye iletilir.

• Engelle: İstek hemen sonlandırılır.

• Say: Kuralın koşullarını karşılayan istekleri sayar. Bu, kuralın doğruluğunu Allow veya Block olarak ayarlamadan önce kuralın test edilmesi için kullanışlıdır.

Bir istek, Web ACL içindeki herhangi bir kurala uymazsa, varsayılan eyleme (İzin Ver veya Engelle) tabi tutulur. Bir Web ACL içinde tanımlanan kural yürütme sırası önemlidir ve genellikle aşağıdaki sırayı izler:

1. Beyaz Listelenen IP'leri İzin Ver.

2. Kara Listelenen IP'leri Engelle.

3. Zararlı imzalarla eşleşen istekleri Engelle.

CloudWatch Entegrasyonu

AWS WAF, izleme için CloudWatch ile entegre olur ve AllowedRequests, BlockedRequests, CountedRequests ve PassedRequests gibi metrikler sunar. Bu metrikler varsayılan olarak her dakika raporlanır ve iki hafta boyunca saklanır.

Numaralandırma

Kapsam ayrıca CLOUDFRONT olabilir, ancak CLoudfront ile ilgili olmayan bir WAF için kontrol etmek için REGIONAL kullanmanız gerekmektedir.

# Get web acls
aws wafv2 list-web-acls --scope REGIONAL
aws wafv2 get-web-acl --scope REGIONAL --name <name> --id <id>
aws wafv2 list-resources-for-web-acl --web-acl-arn <web-acl-arn> #Resources associated with the ACL
aws wafv2 get-web-acl-for-resource --resource-arn <arn> # Get web acl of the resource

# Rule groups
aws wafv2 list-rule-groups --scope REGIONAL
aws wafv2 get-rule-group --scope REGIONAL --name <name> --id <id>

# Get IP sets
aws wafv2 list-ip-sets --scope=REGIONAL
aws wafv2 get-ip-set --scope=REGIONAL --name <name> --id <id>

# Get regex patterns
aws wafv2 list-regex-pattern-sets --scope REGIONAL

# Get logging config (buckets storing the logs)
aws wafv2 list-logging-configurations --scope=REGIONAL

Son Aşama Saldırısı / Atlama

TODO: PR'lar kabul edilir

Referanslar

• https://www.citrusconsulting.com/aws-web-application-firewall-waf/#:~:text=Conditions%20allow%20you%20to%20specify,user%20via%20a%20web%20application.