Cloudflare

CloudFlare ile Netinternet WAF Nasıl Entegre Kullanılır?4 min read

Haz 20, 2021 3 min

CloudFlare ile Netinternet WAF Nasıl Entegre Kullanılır?4 min read

Okunur: 3 dakika

Netinternet WAF ile ilgili ilk izlenimlerimi yazdım, sistem CloudFlare arkasında sorunsuz bir şekilde çalışıyor hal böyle olunca da hem test amaçlı hem de ek koruma katmanı olması amacıyla kullanmazsak olmaz.

İşlemlere başlamadan hemen önce kullanacağınız sunucu üzerinde firewall ile sadece aşağıdaki ip adreslerine izin verin. Böylelikle gerçek sunucu IP adresiniz asla açığa çıkmaz ve sunucunuzun güvenliğini sağlayabilirsiniz.

CloudFlare IP rangeleri(https://www.cloudflare.com/ips/)

173.245.48.0/20
103.21.244.0/22
103.22.200.0/22
103.31.4.0/22
141.101.64.0/18
108.162.192.0/18
190.93.240.0/20
188.114.96.0/20
197.234.240.0/22
198.41.128.0/17
162.158.0.0/15
172.64.0.0/13
131.0.72.0/22
104.16.0.0/13
104.24.0.0/14
2400:cb00::/32
2606:4700::/32
2803:f800::/32
2405:b500::/32
2405:8100::/32
2a06:98c0::/29
2c0f:f248::/32

Netinternet WAF ip rangeleri

159.253.40.50/27
159.253.40.49/27

Veya bunun yerine 159.253.40.32/27 kullanabilirsiniz. Bu işlemi yaptıktan hemen sonra bütün http ve https erişiminiz kesilecek ve sadece yukarıdaki ip aralıklarına izin vermiş olacaksınız. Burada sadece Netinternet WAF üzerinden trafiği akıtacaksanız CloudFlare iplerinin firewall tarafından izinli listesine alınmasına gerek yok. Ancak WAF dışında bazı sub domainleri direk CloudFlare üzerinden yayına almak isterseniz işte o zaman iş değişir.

Şimdi web sunucunuzu normal yapılandırın bunu ister kullandığınız kontrol panelinden isterseniz de elle yapılandırın, yapılandırma işleminiz tamamlandığında ip adresine erişilebiliyor olmalı ve içeriği görmelisiniz. Bununla birlikte HTTP/2 200 olarak curl -I ip_address çıktısında da sonuç aşağıdakine benzer olmalı

HTTP/2 200
date: Sun, 20 Jun 2021 14:59:39 GMT
content-type: text/html; charset=utf-8
last-modified: Sun, 20 Jun 2021 14:54:19 GMT
vary: Accept-Encoding
expires: Sun, 20 Jun 2021 15:52:59 GMT
cache-control: public, max-age=31536000
pragma: public

İşlemler tamamsa artık yapılması gereken Netinternet WAF paneline giriş yapmak ve “Sunucular > Kaynak Sunucu > Ekle” seçeneğini seçmek ve kaynağı eklemek olacak. Burada önemli nokta eğer ip adresiniz üzerinde ön tanımlı olarak sadece 443 sunucusu çalışıyorsa ve Self-Signed bir SSL tanımlıysa otomasyon sitenize haliyle erişemeyeceği için “SSL/TLS Doğrulamayı İptal Et” seçeneğinin aktif edilmesi gerekmekte. 80 portunun kullanıldığı senaryolarda bu işlemi yapmanıza gerek yok.

netinternet waf cloudflare entegrasyonu, cloudflare netinternet entegrasyonu, cloudflare ile caching waf kullanımı

Kaynağımızı eklediğimizde şu şekilde otomasyon üzerinde gözükmeye başlayacak, birden fazla kaynak ekleyebilirsiniz. Bu durumda “Yük Dengeleme” seçeneğini de aktif etmeyi unutmayınız.

cloudflare ile netinternet waf kullanımı

Merak etmeyin burada HTTP Durumu temsili olmakla birlikte çoğu HTTPS kullanılan senaryoda erişim sıkıntısı varmış gibi gözükebilir. Bu durum geçici olduğu unutmayın, Otomasyonu kullanırken ilerleyen zamanlarda durum normale dönecektir.

Ardından son aşamada “Koruma > HTTP Durum Kodu” özelliğinden CloudFlare’nin gerekli durumları algılayabilmesi ve sitenizin kapalı olduğunu düşünmemesi için mevcutta yer alan 503 HTTP kodunu, 403 olarak değiştirin. Bu işlemi yaptığınızda koruma modu açılsa dahi sitenize erişim kesilmeyecek. Sadece CloudFlare’nin sitenizin kapalı olduğunu düşünmesi durumu ortadan kalkacaktır.

Değişiklikler uygulandığında son durum “HTTP Durum Kodu” için aşağıdaki gibi olacak.

cloudflare ile netinternet waf kullanımı

İşlem Netinternet WAF otomasyonu üzerinde tamamlandı. Gelelim CloudFlare üzerinden yapılacak işlemlere önce bir süreliğine SSL/TLS ayarını Flexible olarak değiştiriyoruz. Böylelikle tarayıcı ile site arasında trafiği şifrelemiş oluyoruz.

cloudflare ile netinternet waf entegrasyonu nasıl yapılır, cloudflare ile ek waf entegrasyonu

Bunu yapmamızın asıl sebebi WAF üzerinden SSL alacak olmamız, ama derseniz ben otomasyon üzerinde CloudFlare’nin verdiği origin sertifikayı kullanırım o zaman otomasyona sertifikanızı yükleyin ve direk olarak “Full (strict)” seçeneğini seçin.(Geçerli bir SSL kullanmazsanız Full seçeneğini seçmeniz gerektiğini unutmayın.)

Aksi bir işlem yaparsanız web siteniz çalışsa bile CloudFlare araya girecek ve SSL bağlantısını sağlamayacak siteye kimseyi eriştirmeyecektir. SSL kullanmayacaksanız veya aradaki bağlantının doğruluğunun sizin için bir önemi yoksa bu ayarları yapmanıza gerek yok.

Son aşamada ise otomasyonun bize vermiş olduğu IP adresini CloudFlare’de yer alan DNS sekmesinde gerektiği gibi kullanmak.

cloudflare dns ayarları, cloudflare ile netinternet waf nasıl kullanılır

Bu şekilde yaptığımız entegrasyon sonucunda sistem üzerinde Layer 7 yani uygulama katmanı üzerinden gelecek olan HTTP GET vb atakların çoğunun önüne geçmiş olacaksınız. Otomatik aktif olan captcha koruması sayesinde bot trafik filtrelenecek.

Gelelim dikkat etmeniz gerekenlere

  • Kaynak sunucunuz yurt dışında yer alıyorsa şu an için WAF + CloudFlare kullanmayın.
  • Sık sık saldırı almıyorsanız Netinternet WAF ile birlikte CloudFlare entegrasyonu yapmayın.
  • Netinternet WAF konum olarak Türkiye’de yer aldığı için CloudFlare ile entegre edildiğinde 8-11 ms kadar bir gecikme artışına sebep olabilir bu durumun geçici olduğunu unutmayınız.

Sistem Uzmanı, Linux Hacısı, El-Kernel