04
מרץ
11

טיוב חוקי ANY ב – Firewall

ציינתי כבר את הקושי בניתוח חוקי FW בארגונים גדולים עקב כמות החוקים הגדולה. קושי נוסף נובע מכמות השרתים הגדולה מאוד ברשת הפנימית. אם לא כתבו בעבר תיק מערכת מסודר בעת העברת המערכת לייצור, קשה מאוד לדעת באיזה פורטים/שירותים אפליקציות עושות שימוש. בפרט כאשר החוקים הרלוונטיים לאותה מערכת מכילים ANY Service.

יש מי שיאמר שתקשורת בתוך הרשת הפנימית לא מכילה סיכון גבוה. אבל זה לא נכון. אם שרת נגוע בסוס טרויאני ששולח לשרת באינטרנט מידע ב – FTP, ואם החוק ב – FW שמאפשר תקשורת בין אותו שרת לרכיבי רשת אחרים מאפשר רק פורט אחד (נאמר 8080), הרי שהסוס לא ייצא מהאורווה. דוגמא אחרת עשויה להתרחש כאשר מישהו משתלט על שרת ומנסה להגיע דרכו לשרתים אחרים. חוק הדוק ימנע מהגורם העוין לטייל ברשת. עוד דוגמא שנתקלתי בה יותר מפעם אחת היתה שתוכניתן התקין להנאתו תוכנות אסורות על השרת כיוון שבניגוד למחשב האישי שלו, התקשורת מהשרת לא היתה מוגבלת (כלומר, החוק אפשר ANY פורט).

כיצד ניתן לטייב פורטים ולצמצם את החוק? ישנן מספר דרכים:

  1. לברר עם מפתחי האפליקציות באיזה פורטים המערכת עובדת. הבעיה כאן היא שבד"כ המפתחים לא מבינים בתקשורת ולא יודעים את התשובה. סביר להניח גם שהמפתחים המקוריים כבר לא עובדים בארגון.
  2. לנתח לוגים ב – FW (בתנאי שהפעילו לוגים על אותו חוק). הבעיה כאן היא שהלוג עשוי להכיל מיליוני שורות ויהיה כמעט בלתי אפשרי לעשות זאת אפילו באקסל.
  3. לעשות שימוש ב – Firewall Analyzer. למוצר כזה צריכה להיות יכולת לנתח תעבורה בפועל על חוקים ולפרט באילו פורטים עברה תקשורת בתקופה האחרונה. כעת ניתן לשנות את הגדרת ה- ANY לאותם פורטים אשר היו בשימוש האפליקציה. צריך להזהר לא להשבית את המשתמשים בגלל שפורט מסוים לא הוגדר בחוק עקב שימוש נמוך בפונקציה מסוימת באפליקציה.
מודעות פרסומת

1 Response to “טיוב חוקי ANY ב – Firewall”


  1. 1 אחר
    25/07/2012 ב- 12:09

    לגבי 3 – עדיין צריך להסתמך על לוגים של הFW לגבי אותו חוק ספציפי, או להאזין ישירות לתעבורה שהFW רושם
    ויש גם 4 – ישנם מוצרים ייעודיים שמנתחים את פעילות הFW ופעולה זו היא חלק ממה שהם מבצעים.


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s


מרץ 2011
א ב ג ד ה ו ש
« פבר   אפר »
 12345
6789101112
13141516171819
20212223242526
2728293031  

%d בלוגרים אהבו את זה: