23
אוג
07

הגנה בשכבות

פוסט קודם הכין את הרקע לדיון הזה על הגנה בשכבות. כזכור, בדוגמא ההיא, השומר סינן את הנכנסים לבניין, אך בתוך הבניין לא היתה לו בקרה על הפעולות שלהם. הדיון הזה יהיה בחלקו טכני. עם זאת, גם אם אין לך היכרות עם כמה מהמושגים והטכנולוגיות, לא נורא. זה לא ימנע ממך מלהבין את הצורך בהטמעת מספר שכבות של אבטחת מידע.

התפיסה הקיימת, לרוב בארגונים קטנים, כאילו Firewall (להלן FW) מספק פתרון אבטחת מידע מלא לרשת, עלולה להיות מוטעית. נבחן את הדוגמא בשרטוט 1. נאמר שמבנה הרשת מחולק לפי השרטוט ושה – FW מוגדר לאפשר תעבורה בפורטים 80, 25 בלבד לסגמנט המסומן: 1. לכאורה, הרשת מאובטחת בצורה אידיאלית. אז היכן הבעיה?

שרטוט 1: רשת ארגונית

זוכרים את השומר שסינן באופן דומה את הנכנסים לבניין (גם נותני השירות הם פורט 80)? ה – FW אומנם מאפשר תעבורת Web (פורט 80), אך אין לו מושג מה מכילה תעבורה זו. אם ניקח התקפה ידועה בשם SQL Injection, אשר מזריקה קוד SQL לשדה קלט במסך, הקוד יעבור באופן 'חוקי' לסגמנט המסומן: 2, לכיוון שרת האפליקציה (APP Srv) ומשם לבסיס הנתונים (DB). ברגע זה, הפורץ השיג את יעדו וגנב מידע מה – DB. אז מה הפתרון? הטמעת שכבות הגנה. לצורך הדוגמא, נעשה זום לכמה רכיבים מהשרטוט ונתעלם מהשאר (שרטוט 2).

שרטוט 2: שכבות הגנה

לאחר שהגענו למסקנה ש – FW לא מספיק. נוכל להוסיף שרת  Firewall לשכבת האפליקציה (AFW) שיגן על שרת ה- Web מפני סוג התקפות כאלה ואחרות. נוכל להוסיף (במקום AFW או בנוסף) שרת Firewall לשכבת בסיסי הנתונים (DB FW). רכיבים נוספים אלה (השכבות הנוספות) אמורים למנוע התקפות בשכבת האפליקציה (Layer 7).

לסיכום, אבטחת מידע מושגת ע"י הטמעת שכבות רבות של הגנה. חלק משכבות אלה יהיו רכיבי הגנה רישתים בעוד ששכבות אחרות ימומשו באמצעים אחרים. חשוב לא להשאר נעולים בתפיסה שרכיב אחד ייתן מענה לכל צרכי אבטחת מידע.

CISO

 


4 Responses to “הגנה בשכבות”


  1. 23/08/2007 ב- 23:43

    איש אבטחת מידע טוב אמור לדאוג שהאפליקציה (בדוגמא זו Web application) יכתבו כמו שצריך, בזמנו שהטמעתי Afw רבתי עם המתכנתים שישנו את הקוד כדי שיהיה כתוב יותר טוב, במקרים מסויימים הדרכה לתכנתים יכולה לחסוך קניית Afw …

  2. 2 CISO
    24/08/2007 ב- 12:59

    כתיבת אפליקציה באופן מאובטח הנה הכרח והיא מהווה אחת משכבות ההגנה. בפועל, רוב המתכנתים אינם מכירים מתודולוגיות לפיתוח מאובטח. גם כאשר מעבירים הדרכות למתכנתים, תמיד עלולים לשכוח לעשות בדיקת קלט לשדה אחד שיהווה פרצה. על כך ארחיב בעתיד.
    בנוסף, ישנן מערכות שפועלות כבר מספר שנים ולא פשוט לשנות אותן. הטמעת AFW כשכבת הגנה נוספת מאוד מומלצת במצבים כאלה.

    CISO

  3. 30/10/2007 ב- 11:04

    יש לי בעיה עם הצורה שאתה מציג כאן.
    אנשים נוטים לחשוב שחומת אש זו ההגנה העיקרית.
    אח"כ אתה נותן איזה IPS או משהו בסגנון שיגן על הקלט…
    ישנם מספיק בעיות שהIPS יכול ליצור כאן, וישנן מספיק צורות לעקוץ IPS, זו הסיבה שיש כל כך הרבה honey pots בעולם, בשביל ללמוד את הדרכים החדשות, בנוסף ל zero days.
    במקום שיהיה לך כלי שיחליט בשביל המשתמש/אפליקציה שלך מה נכון ומה לא, אתה צריך לאכוף צורות עבודה מסויימות, ממש כמו שטל הזכיר.
    עכשיו אתה כמובן יכול לדרוש מכל מתכנת ללמוד לתכנת בטוח (http://ik.homelinux.org/index.rhtml/guides/secure_programming מדריך ישן שכתבתי בנושא…) או שאתה יכול ליצור מבנה עבודה מסויים. למשל ליצור פונקציה שתחזיר לך ערך מסונן לפי חוקים שאתה מעביר בתור כלל עבודה. פונקציה כזו עדיין לא תגרום למודעות, אבל תחסוך ממך הרבה בעיות אבטחה. ובתור נוהל עבודה בארגון, יחסוך לך הרבה כאב ראש וכלים שלדעתי האישית מיותרים, וחבל על הכסף שלהם.

  4. 31/10/2007 ב- 11:03

    אתה מחזק את מה שכתבתי למעלה. אני מסכים שרכיב אחד (בין אם זה FW או IPS) אינו מספק ושיש צורך בבניית כמה שכבות הגנה.
    שכבה אחת תכיל FW, שניה IPS, שלישית Application FW, רביעית תכנות מאובטח, חמישית להקשיח את ה – Linux 🙂 וכך הלאה.
    הרעיון לפוסט הזה בא לאחר דיון די סוער שהיה לי עם אנשים שונים שטענו שהם מוגנים כי יש להם FW.

    CISO


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


אוגוסט 2007
א ב ג ד ה ו ש
    ספט »
 1234
567891011
12131415161718
19202122232425
262728293031  

הרשומות הנצפות ביותר


%d בלוגרים אהבו את זה: