ארכיון עבור 3rd ב-נובמבר, 2009

03
נוב
09

הגנה מפני חיבור מחשבים ניידים של זרים לרשת

האקרים המנסים לפרוץ לרשת הארגונית מהאינטרנט מוצאים שזה לא קל. זאת מכיוון שרוב החברות מתקינות אמצעי הגנה כגון Firewall, ו – IPS (מערכת למניעת פריצה לרשת). ישנה תפיסה שגורמת לאנשים לחשוב שאם אני מגן על שער הכניסה, לא יפרצו לי למערכות. (ראו הפוסט הראשון שכתבתי בבלוג).

מכירים את התופעה בארגונים גדולים, לפעמים עם מספר סניפים, שנכנסים אנשים זרים לבניין (לאחר שעברו את השומר בכניסה) ומחפשים עצמאית את המנהל שהם אמורים להפגש איתו? פעם הקדמתי בהרבה לפגישה בחברת תקשורת והתיישבתי בחדר ישיבות לעבוד על המחשב הנייד שלי (כחצי שעה) עד שהגיע זמן הפגישה. אף אחד לא שאל מי אני ומה אני עושה שם. אף אחד לא נתן דעתו לאפשרות שהייתי מתחבר עם המחשב הנייד לשקע בקיר ומתחיל לשוטט ברשת הפנימית? בביקור נוסף באותו מקום גיליתי שכל מחשב אורח יכול להתחבר לפורט ולקבל גישה לאינטרנט דרך הרשת הפנימית.

כדי למנוע התחברות לא מורשית כזאת, פיתחו חכמי האינטרנט פרוטוקול הנקרא 802.1x המאפשר לחסום קבלת כתובת IP במחשבים שאינם מורשים. אני לא אכנס לפרטי הפרוטוקול והאפשרויות השונות שלו. במשפט אחד, ניתן לממש אותו בכמה שיטות כולל עפ"י כתובת MAC של המחשב, תעודה דיגיטלית שנשתלה במחשב ארגוני (פרוטוקול EAP) ועוד. לכל שיטה יש יתרונות וחסרונות וזה לא רלוונטי לדיון הזה.

מה שחשוב הוא לחסום את הפורטים בקיר, בכל חדר ועמדה, ובעיקר במקומות ציבוריים כגון חדרי ישיבות. בעיקר כיום, כאשר כל איש מכירות מצויד במודם סלולרי בצמוד למחשב הנייד שלו, אני לא רואה שום צורך לאפשר לאף גורם זר להתחבר אלי לרשת. אני רוצה למנוע זליגת מידע או הדבקות בוירוס.




נובמבר 2009
א ב ג ד ה ו ש
1234567
891011121314
15161718192021
22232425262728
2930