Güvenlik, bir çok alanda karşımıza çıkan en önemli sorunlardan biridir. En basitinden bir mail adresi almak istediğinizde bir çok e-posta servis sağlayıcısı kayıt esnasında sizlerden yüksek güvenlikli şifreler belirlemenizi ister. Özellikle internete açık tüm uygulamalar, web sayfaları açık bir tehdit altındadır.
Weblogic sunucularımız her ne kadar çoğunlukla internete doğrudan kapalı olsalar da yaptıkları iş gereği kendilerine gelen trafiği filtrelemelerinde fayda vardır. Kontrolsüz olarak erişime açık bulunan weblogic sunucuları hem gereksiz anlık trafiklere maruz kalabilir, hem de kullanıcı adı ve şifremizi öğrenen olursa domain de istemediğimiz ve geri dönülemez konfigürasyon değişiklikleri yapılabilir.
“Connection Filter” bizlere istenmeyen bağlantıları network seviyesinde engellememizi sağlar. “Connection Filter” internal network’te , server cluster veya şahıs server’larındaki server kaynaklarını korumaya yarar. Kullanılan network güvenlik duvarına bağlı olarak, “connection filter” i yönetim seviyesindeki erişimlere kadar kısıtlamak için kullanılabilir. Weblogic Server’in varsayılan “connection filter” ı weblogic.security.net.ConnectionFilterImpl’dir. Bu “connection filter” kişinin tanımladığı bağlantı kuralları haricinde her gelen bağlantıyı kabul eder.
Weblogic sunucularımız her ne kadar çoğunlukla internete doğrudan kapalı olsalar da yaptıkları iş gereği kendilerine gelen trafiği filtrelemelerinde fayda vardır. Kontrolsüz olarak erişime açık bulunan weblogic sunucuları hem gereksiz anlık trafiklere maruz kalabilir, hem de kullanıcı adı ve şifremizi öğrenen olursa domain de istemediğimiz ve geri dönülemez konfigürasyon değişiklikleri yapılabilir.
“Connection Filter” bizlere istenmeyen bağlantıları network seviyesinde engellememizi sağlar. “Connection Filter” internal network’te , server cluster veya şahıs server’larındaki server kaynaklarını korumaya yarar. Kullanılan network güvenlik duvarına bağlı olarak, “connection filter” i yönetim seviyesindeki erişimlere kadar kısıtlamak için kullanılabilir. Weblogic Server’in varsayılan “connection filter” ı weblogic.security.net.ConnectionFilterImpl’dir. Bu “connection filter” kişinin tanımladığı bağlantı kuralları haricinde her gelen bağlantıyı kabul eder.
“Connection Filter” tanımlamak için
aşağıdaki adımlar iznlenir:
Admin Console’a bağlanılır. “Lock & Edit” butonuna
basılarak değişiklik yapma özelliği açılır. Sonrasında da domain ismine
tıklanır.
Domain’i
açtıktan sonra “Security” ve “Filter” sekmelerine tıklanır. Orada bulunan
“Connection Logger Enabled” seçilir. Bu seçim gelen bağlantıları kaydetme
özelliğini aktif hale getirir. Devamında ise “Connection Filter” yazan yere “weblogic.security.net.ConnectionFilterImpl”
eklenir. Bu
filter eklendikten sonra restart gereklidir.
Sonraki adımda izin verilmek / reddedilmek istenen ip ve
nerelere erişebileceğini belirten kurallar yazılır.
Kural yazımı aşağıdaki
gibidir:
1-Her kural bir satıra yazılmalıdır.
2-Her bir parametre
arasında bir boşluk olmalıdır.
3-(#) simgesi ile comment yapılabilir.
4-(*) simgesi
ile de her port/ip adreslere izin verilmiş olur.
5-İlk yazılan kural “connection
filter” ın nasıl davranacağına karar verir. Eğer bir şey yazılmamışsa her şeye izin
verilir.
Kurallar yazılırken format aşağıdaki gibi olmalıdır:
sourceAddress destinationAddress localPort
action protocols
10.1.xx.xx
10.1.xx.xx 7001 allow http
İlk başta belirttiğimiz izin verilmek / reddedilmek istenen
ip (source ip), ikinci yazılan ise ortamın ip’sidir(destination address). Sonrasında
da hangi port’lara erişim verileceği yazılır ve eylem belirtilir (allow/deny).
Eğer istenirse devamında protocol’ler de belirtilir (http, https, t3, t3s,
giop, giops, dcom, ftp, ldap).
Aşağıdaki kuralı yazarsak da o kuralın üstünde kalan
kurallar dışında her şey reddedilir:
0.0.0.0/0 * * deny
Son olarak da değişiklikler “Save” butonuna basılarak kaydedilir ve ardından “Activate Changes” diyerek “Connection Filter” kuralları aktif hale getirilir.
Hiç yorum yok:
Yorum Gönder