M.Fevzi Korkutata | Certified Associate Middleware Consultant
Kontak / Email: fevzi.korkutata @ admineer.com
Üç katmanlı web mimarisinde internete açık ve/veya lokal ağda çalışan kritik uygulamaların güvenliğini sağlarken, her katmanda ayrı ayrı güvenlik önlemleri alınır. Bu önlemlerin büyük bölümü firewall katmanına bırakılır ve firewall’dan sonrası büyük çoğunlukça önemsenmez. Oysa saldırıların ve güvenlik zaafların büyük çoğunluğu eski çalışanlar, sistemi detaylı bilenler veya ağ içerisindeki kullanıcılar tarafından yapılır. O bakımdan kiritik uygulamaların güvenlik önlemleri uygulama sunucuları seviyesinde de dikkate alınmalıdır.
Oracle WebLogic uygulama sunucusu kurumsal java dünyasında yaygın olarak kullanılan bir uygulama sunucusudur. Fakat WebLogic kurulumları çoğunlukla varsayılan konfigürasyonlar ile bırakılır. Eğer aşağıdaki hizmetlere yönelik bir “WebLogic Domain”i yönetiyor ve operasyonunu yürütüyorsanız;
- Bankacılık Uygulamaları
- Resmi Kamu Kurum Uygulamaları
- İnternete açık e-Ticaret Web Uygulamaları
Üzerinde kritik uygulamanın çalıştığı, yönetimini ve sahipliğini yaptığınız “WebLogic Domain”in güvenliğini güçlü bir şekilde sağlayıp; iç ve dış saldırılara (hacking attacks) karşı önlem almalısınız.
Bu kritik uygulamalar için hayati önem taşıyan ve büyük çoğunluğu olmazsa olmaz niteliğinde olan teknik detayları aşağıda madde madde sıralıyorum. Ve bu önlemler alındığı takdirde uygulama sunucusu katmanında da ciddi güvenlik önlemleri almış olacaksınız. Böylelikle yönetimini yapmış olduğunuz sistem saldırılara karşı çok daha güvenilir ve güçlü olacaktır.
- Varsayılan port numaraları/değerleri kullanılmamalı. (7001, 7002… vb. gibi)
- WebLogic Domain için varsayılan admin kullanıcısı olarak “weblogic” değeri tercih edilmemeli.
- WebLogic başlangıç scriptlerinde admin “kullanıcıadı|parola” bilgileri parameter olarak geçilmemeli. Bunun yerine “-Dweblogic.system.BootIdentityFile=$PATH/boot.properties” değişkeni ve şifrelenmiş “boot.properties” dosyası kullanılmalıdır.
- WebLogic için “Administration Port” özelliği aktiflenmeli.
- “Cross Domain Security” özelliği aktif olmalı.
- WebLogic domain admin konsol için varsayılan “console” context path değeri değiştirilmeli.
- Custom Identity ve Custom Trust (JKS) kullanılmalı.
- Gerçek ve geçerli SSL sertifikaları WebLogic instance’lara yüklenmeli ve iç trafik de https olarak düzenlenmeli.
- “Custom Hostname Verifier” kullanılmalı.
- “Max Post Size” değeri belirlenmeli. Varsayılan ayar limitsiz şeklindedir.
- “Frontend Host” ve “Frontend Https Port” değerleri girilmeli
- “Minimum, Maximum, IO Buffer Sizer” değerleri belirlenip girilmeli
- JMS kaynakları güvenli hale getirilmeli
- LDAP otantikasyon ve yetkilendirilme ayarları yapılmalı
- WebLogic domain için “Administration auditing” açılmalı ve detayları kütüğün yazılması sağlanmalı
WebLogic üzerinde çalışan kiritik canlı sistem uygulamaların domain yönetiminde, yukarıda sıraladığım konfigürasyonların büyük çoğunluğu yapılmamaktadır ve %99 oranında bu konfigürasyonlar yapılmamış olarak hizmet vermektedir.
Bu konfigüsyonlar yapılmadığı müddetçe, her bir madde için ayrı saldırı çeşitleri mevcut olup, ilgili WebLogic domain bu saldırılar kaşısında savunmasız durumdadır.
Eğer önemli bir sistemin WebLogic uygulama yönetimini yapıyorsanız, iki defa düşünün. Güvenlik ayarlarınızı yeniden gözden geçirerek iç ve dış saldırılara karşı güvenliğinizi arttırmanızı önemle tavsiye ediyorum.
Uygulamaların güvenliğini sağlamak her zaman meşakkatli ve daha fazla bilgi birikimi gerektiriyor. Bu anlamda bu süreç sancılı olabilir fakat en nihayetinde daha güçlü bir kale inşa edeceksinizdir. Uygulama sunucularının güvenlik konfigürasyonları için bir uzmandan destek almaktan kaçınmayınız.
Kullanıcı kitlemize daha güvenli bir sistem sunmak için herkese ayrı ayrı görevler düşüyor. Siber saldırılara karşı “uygulama sunucusu” katmanında da bu önlemleri almak, uygulama güvenlik duvarını daha da güçlendirecektir.
“Weblogic Danışmanlık” , “Weblogic Destek” , “Weblogic Uzmanlık” , “Weblogic Bilgi”, “Weblogic Hizmet”