ארכיון עבור נובמבר, 2009

19
נוב
09

הדור הבא של פיירוול

כמה שזה יישמע מצחיק, אחד ממוצרי אבטחת המידע המסורתיים הכי ותיקים, ה – Firewall, נשאר מאחור. הוא כבר לא מספק את הסחורה. ולא משנה מאיזה חברה. הוא אומנם ממשיך לעשות את עבודתו נאמנה והוא כנראה המוצר השני שמכניסים לארגון (הראשון זה כנראה אנטי וירוס), אבל העובדה שהוא כמעט ולא התפתח ביכולות שלו בזמן שהטכנולוגיה קפצה רחוק, גורמת לו למחשבות על הפנסיה המתקרבת.

על מה אני מקשקש? קחו את התרחיש הבא ותבינו איזה חורים יש בו.

פעם, גלשת בדפדפן וקראת אתרים בפרוטוקול HTTP על TCP Port 80. תעבורת הרשת היחידה שרצה על פורט 80 היתה HTTP. אז יכולת לחסום ב – Firewall כל פורט נכנס או יוצא, ולפתוח רק את פורט 80. עכשיו היית מוגן.

היום, המון דברים רצים על פורט 80. הרבה אפליקציות שפעם נחסמו בגלל ה – Firewall, רצות היום על פורט 80. איזה אפליקציות תשאלו? תוכנות צ'אטים, שיתוף קבצים, Skype, השתלטות על מחשבים מרחוק ועוד רבים. השרטוט הבא מציג את מה שקורה היום. 

ng-firewalls.jpg

רגע, לא פתחנו את פורט 80 פנימה או החוצה? מה עושים?

לפני שאציג את התשובה, בואו נראה עוד בעיות שרצות ברשת הפנימית ו – Firewall אף פעם לא ידע לתת להן מענה. מיילים שעוברים בין משתמשים בתוך הארגון לא נבדקים באנטי וירוס הרשתי (שממוקם לרוב בכניסה לרשת). כלומר, המחשבים תלויים בעדכניות של תוכנת האנטי וירוס על התחנות שלהם (אם בכלל תוכנה כזו רצה). עכשיו, מה קורה אם איכשהו נכנס וירוס לרשת והמייל המכיל את הוירוס הזה מופץ בין מאות עובדים?

כאן נכנס הדור הבא של משפחת הפיירוולים. היכולות החדשות מאפשרות ל – Firewall להיות ערים לסוגי האפליקציה שרצות (Application Aware) ולא לעבוד לפי מספר הפורט. גם אם יש 5 אפליקציות שרצות על פורט 80, ניתן יהיה לזהות את האפליקציות השונות. עכשיו ניתן לחסום או לפתוח גישה לפי אפליקציה ולא לפי מספר פורט. למשל, לאפשר רק HTML ולחסום eMule, Webex. זה גם יאפשר להוריד את המיקוד על מה מותקן בתחנת המשתמש, כיוון שאם חוסמים את האפליקציה (ולא רק את הפורט) ב – Firewall, אותן התקנות אסורות פשוט לא יעבדו למשתמש.

יותר מזה, הסוג החדש של ה – Firewall, מספק לרוב יכולות נוספות כגון זיהוי וחסימת Malware בתעבורת רשת (בניגוד לקבצים שנשלחים לשרת אנטי וירוס ייעודי), ואפילו חסימת אתרים לעובדים עפ"י קטגוריות שונות. כמו כן, ניתן לספק רוחבי פס משתנים בהתאם לאפליקציות. למשל, רוחב פס נמוך לגלישה פרטית לאינטרנט, אבל רוחב פס רחב לאפליקציות עסקיות ידועות לארגון. 

מודעות פרסומת
04
נוב
09

למה כדאי להגדיר מדיניות ולאכוף אותה על כל המשתמשים רטרואקטיבית

מתי בדקת את עצמך בפעם האחרונה, מנהל אבטחת מידע יקר? אני מתכוון, מתי ערכת סקירה מדוקדקת על החלטות והגדרות שביצעת בעבר?

למשל, נניח שיש לך מערכת DLP או SIEM או אפילו Firewall. מתי עברת על כל החוקים, אחד אחד, ובדקת שכולם פעילים, כולם מוגדרים נכון וכולם עדיין רלוונטיים? נלך על דוגמא עוד יותר פשוטה. מתי בדקת שהרשאות שניתנו בעבר לקבוצת עובדים, עדיין נדרשות ורצויות?

אנחנו נוטים לסמוך על החלטות ועבודה שעשינו, או שמישהו אחר ביצע, בעבר. הנה כמה דוגמאות לדברים שגיליתי תוך כדי כך שלא אישרתי אוטומטית בקשות למשתמשים 'על סמך מה שהיה בעבר'.

  • הרשאות לבסיסי נתונים בייצור: אחד המנהלים צעק עלי שלעובד שלו יש כבר שנים הרשאת עדכון, ושאני חייב להחזיר לו מייד ושאני פוגע ברמת השירות בחברה (לך תתווכח עם משפט מנצח כזה…). בשיחה שקיימתי עם אותו עובד, הוא תיאר את העבודה שלו. הוא לא היה צריך הרשאת עדכון ("פשוט היה לו כבר הרבה שנים"). הוא הסתפק בהרשאת קריאה וגם זה רק במקרי תקלות.
  • חיבור ממחשב נייד דרך מודם סלולרי: עובדים מתחברים לרשת ללא טוקן וללא סיסמא על החייגן.
  • חיבור ממחשב נייד דרך מודם סלולרי (עוד אחד): עובד מתחבר ממחשב נייד שלו ולא ממחשב של החברה. מחשב ללא הגנות מינימליות.
  • יוזרים משותפים ברשת: עובדים חולקים את אותו היוזר.
  • הרשאת אדמין על המחשב: זה נוח לעובד, זה בטוח. אבל כמעט אין סיבה שתהיה לו הרשאה כזו. 

ואיך גיליתי את התופעות האלה? בגלל שהחלטתי לא לאשר בקשות שנראו לי לא תקינות. למרות שהעובד טען שזה מה שיש גם לעובדים אחרים. בדקתי כל מיני בקשות כאלה, הגדרתי מדיניות חדשה (לא תמיד ידעתי מה היה מקובל בחברה בעבר), וכפיתי את המדיניות על כל המשתמשים.

כל מי שלא עמד במדיניות, נדרש לספק לי צידוק. לא תאמינו כמה מקרים חריגים, חלקם גובלים בשערוריה (כמו המקרים למעלה), גיליתי. חלק מהעובדים האלה אפילו לא ניסה להתווכח והבין שהמדיניות החדשה הגיונית וצודקת.

03
נוב
09

הגנה מפני חיבור מחשבים ניידים של זרים לרשת

האקרים המנסים לפרוץ לרשת הארגונית מהאינטרנט מוצאים שזה לא קל. זאת מכיוון שרוב החברות מתקינות אמצעי הגנה כגון Firewall, ו – IPS (מערכת למניעת פריצה לרשת). ישנה תפיסה שגורמת לאנשים לחשוב שאם אני מגן על שער הכניסה, לא יפרצו לי למערכות. (ראו הפוסט הראשון שכתבתי בבלוג).

מכירים את התופעה בארגונים גדולים, לפעמים עם מספר סניפים, שנכנסים אנשים זרים לבניין (לאחר שעברו את השומר בכניסה) ומחפשים עצמאית את המנהל שהם אמורים להפגש איתו? פעם הקדמתי בהרבה לפגישה בחברת תקשורת והתיישבתי בחדר ישיבות לעבוד על המחשב הנייד שלי (כחצי שעה) עד שהגיע זמן הפגישה. אף אחד לא שאל מי אני ומה אני עושה שם. אף אחד לא נתן דעתו לאפשרות שהייתי מתחבר עם המחשב הנייד לשקע בקיר ומתחיל לשוטט ברשת הפנימית? בביקור נוסף באותו מקום גיליתי שכל מחשב אורח יכול להתחבר לפורט ולקבל גישה לאינטרנט דרך הרשת הפנימית.

כדי למנוע התחברות לא מורשית כזאת, פיתחו חכמי האינטרנט פרוטוקול הנקרא 802.1x המאפשר לחסום קבלת כתובת IP במחשבים שאינם מורשים. אני לא אכנס לפרטי הפרוטוקול והאפשרויות השונות שלו. במשפט אחד, ניתן לממש אותו בכמה שיטות כולל עפ"י כתובת MAC של המחשב, תעודה דיגיטלית שנשתלה במחשב ארגוני (פרוטוקול EAP) ועוד. לכל שיטה יש יתרונות וחסרונות וזה לא רלוונטי לדיון הזה.

מה שחשוב הוא לחסום את הפורטים בקיר, בכל חדר ועמדה, ובעיקר במקומות ציבוריים כגון חדרי ישיבות. בעיקר כיום, כאשר כל איש מכירות מצויד במודם סלולרי בצמוד למחשב הנייד שלו, אני לא רואה שום צורך לאפשר לאף גורם זר להתחבר אלי לרשת. אני רוצה למנוע זליגת מידע או הדבקות בוירוס.




נובמבר 2009
א ב ג ד ה ו ש
« אוק   דצמ »
1234567
891011121314
15161718192021
22232425262728
2930