Siber Güvenlik

Netinternet WAF İlk İzlenimler5 min read

Haz 20, 2021 4 min

Netinternet WAF İlk İzlenimler5 min read

Okunur: 4 dakika

R10, hızlıresim gibi Türkiye’de çokça ziyaret edilen web siteleri şu an da bu servisi aktif bir şekilde kullanmakta. Kapalı beta sürecinden yakın zamanda açık beta sürecine geçen ve hosting şirket sahipleri dışında bireysel kullanıma da sunulan Netinternet WAF hizmetine göz atalım.

Şimdiden uyarayım burada görmüş olduğunuz görsellerdeki ayarlar ilerleyen zamanlarda değişiklik gösterebilir. Sistem 13 Haziran 2021 Tarihi ile Kapalı BETA olarak çalışmaktadır.

Ücretsiz sürümde hangi özellikler bizleri karşılıyor

  • Tüm WAF özellikleri full açık gelmektedir,
  • 10 Alan Adı/Subdomain Kullanım Kotası
  • 5000 GB/ay trafik kotasına kadar kullanılabilmektedir,
  • Volimetrik ataklara karşın temel Anti-DDoS servisi ücretsizdir,
  • 2 ayrı fiziksel worker da alan adınız tanımlanır, yedekli çalışır,
  • CloudFlare ile kullanabilmeniz mümkündür,
  • 2 IPv4 ve 2 IPv6 VRRP IP adresi sağlanır.

Ürünü genel olarak inceleyeceğiz, nedir ne değildir bunları sizlere göstermek istiyorum. Öncelikli olarak proje Türkiye şartlarında Layer 7 atakları için ve özellikle trafik filtreleme için ideal. CloudFlare kullanmaktan çekinen kişiler olduğunu biliyoruz. Bu noktada bu ürünü kendi sistemlerine konumlandırabilirler.

netinternet waf, layer 7 ddos protection, botnet koruma

Burada alan adınızı eklediğiniz anda sizi önemli olan iki özellik karşılıyor, bunlar sırasıyla;

  1. JS Koruma Modu: Bu CloudFlare’de yer alan tarayıcı kontrol özelliğine denk geliyor ve saldırı alıyorsanız otomatize gelen botlardan sizleri bir nebze korumaktadır. Bu noktada kullanıcının tarayıcısı gerçek bir kullanıcı mı değil mi diye kontrol ediliyor.
  2. Captcha Koruma Modu: Gene aynı şekilde hCaptcha gelen CloudFlare sayfasına denk gelmektedir. Burada gizlilik için reCaptcha keylerini sistem sizden talep etmekte. İlerleyen zamanlarda bu sisteme hCaptcha’nın da ekleneceğini düşünüyorum.

DNS sekmesinde bizim asıl kullanacağımız IP adresleri bulunuyor, bunları direk olarak CloudFlare aracılığı ile veya kullanabileceğiniz DNS yönlendirme araçları ile kullanabilirsiniz. Baştan uyarayım henüz DNS servisleri aktif olmadığı için Nameserver olarak bu ip adresleri KULLANILAMAZ.

netinternet waf dns ayarları, layer 7 ddos koruma, layer 7 atak koruma

Burada DNS Servisleri alanındaki Anycast DNS yapısı ben bu makaleyi yazdığım tarihte kapalıydı, test işlemlerinden hemen sonra aktif edilecek ve kullanılmaya başlanacak. CloudFlare gibi 8ms altında DNS sorgusu beklemeyin ancak Türkiye’de yer alan çoğu sağlayıcıdan daha hızlı DNS sorguları alabileceğinizden emin olabilirsiniz.

waf nasıl kurulur, loadbalance nasıl yapılandırılır, netinternet layer 7 ddos koruması, netinternet ddos koruma, ddos atakları

Bütün olayların döndüğü yere geldik, burada korunacak web sitesinin kaynak rotalarını belirtiyoruz, URL olmak zorunda ve herhangi bir değer olabilir. Yani örnek vermem gerekirse ip adresi üzerinden içerikleri almasını isteyebilirsiniz. Bu noktada Host header’i üzerinden çalışacak ve istekleri işleyecek. Kaynak sunucu mutlaka belirtmelisiniz. Burada dikkat edilmesi gerekenler

  • HTTPS üzerinden ip adresi ile yayın yapılıyorsa mutlaka “TLS Doğrulamayı Iptal Et” seçeneğinin aktif olması gerekmektedir. Aksi taktirde sistem sitenize erişemez.
  • Kaynak olarak herhangi bir alan adı kullanılacaksa ve SSL sertifikası yer alıyorsa mutlaka geçerli olmalı self-signed kabul edilmeyeceğini unutmayınız.(TLS Doğrulamayı Iptal ettiğiniz durumlar hariç)
  • Yük dengeleme modun da çalışacaksa en az iki kaynak eklenmesi gerektiğini unutmayınız.

Geldik ikinci hayati aşamalardan biri olan SSL/TLS ayarlarına, Bu ayarı bazıları SEO için kullanıyor ancak biz güvenlik için kullanacağız. Trafiğin üçüncü gözler tarafından gözetlenmesinin önüne geçeceğiz. İsterseniz Let’s Encrypt isterseniz de benim yaptığım gibi özel sertifikanızı sisteme yükleyebilirsiniz.

Unutmamalısınız Let’s Encrypt entegrasyonu kullanıldığı için yapacağınız bir ve/veya birden fazla yanlış SSL isteğinde ACME servislerinin rate-limitine takılacağınız için ücretsiz SSL alma imkanınız ertesi güne sarkabilir. Lütfen tüm yönlendirmeleri ve işlemleri yapmadan TLS sertifikası almaya çalışmayın.

Ayrıca tahmin ediyorum ki ileride 3.parti bir sağlayıcı kullanarak 1 yıl veya daha uzun süreli SSL sertifikası alma imkanınızda olacaktır.

netinternet waf ayarları, netinternet waf ssl oluşturma

Bunların dışında Optimizasyon ve hızlandırma açısından platform Brotli sıkıştırmasını, asset küçültmeyi ve görsel optimizasyonunu destekliyor. Sistemlerde geliştirme devam ettiği için bu servisler çalışmayabilir merak etmeyin yeni sürümlerde otomatik olarak aktif olacaktır.

netinternet waf görsel sıkıştırma ve optimizasyon

Dinamik kurallar açısından sistem oldukça gelişmiş durumda, bu noktada istediğiniz işlemleri kolay bir şekilde yapabilirsiniz. Örneğin ben wp-admin sayfalarında ve cookie içeren yerlerde cache tutulmasını engelliyorum.

netinternet waf özel kurallar

CloudFlare ile arasında benim gözlemlediğim en bariz farklar ise şu şekilde, olmakla beraber çoğu özellik bizlere ücretsiz olarak sunulmakta.

  • Hiç bir ek ücret gerektirmeden kullanılabilen WAF kuralları
  • Ücretsiz kullanılabilen özelleştirilebilir hata sayfaları
  • Gene ücretsiz kullanılabilen detaylı analiz paneli
  • JS ve Captcha koruma modları arasında özgürce değişiklik yapabilme imkanı
  • Günlük kayıtlarının hiç bir ücret alınmadan syslog sunucularına yönlendirme imkanı
  • Otomatik aktif olabilen Captcha koruma özelliği
  • Yönetilebilir kuralların ücretsiz olması
  • ve dahası

Sistemi Kapalı beta sürecinde test etmek isteyenler ve/veya ileride projelerine dahil etmek isteyenler bu adres aracılığı ile sisteme giriş yapabilirler. Bu süreçte hesap açtırmak isteyenler ise Twitter üzerinden Osman Makal hocamıza ulaşabilirler.

Sistem Uzmanı, Linux Hacısı, El-Kernel