07
דצמ
12

גלישה מאובטחת והפרדה מהאינטרנט

אם בשנה-שנתיים האחרונות המונח התקפות סייבר הפכו לביטוי חביב ע"י עיתונאים (מבלי שהם ואנחנו בטוחים למה הכוונה), הרי שעכשיו ארגונים מתחילים להפנים את הסכנות הנובעות מהתקפות כאלה. אם בעבר היה 'מספיק' שרת AV ומערכת Firewall להגן על הרשת, כיום הארגון נדרש להגן על עצמו מפני התקפות APT. אם בעבר התקינו ביציאה מהרשת, לכיוון האינטרנט, שרת Proxy, היום מבינים שקיימים סיכונים רבים לקישור הרשת הפנימית ישירות לאינטרנט (גם עם פרוקסי).

כיצד ארגון יכול להתגונן מפני התקפות ממוקדות שנועדו ליצור פירצה קבועה מהרשת הפנימית, לצורך זליגת מידע רגיש, אל העולם החיצוני? בחלוקה גסה ישנן שתי גישות לכך:
פתרון שני מחשבים למשתמש: ניתוק מוחלט של רשת ה – LAN מהאינטרנט, ותקשורת החוצה מרשת חיצונית ('שחורה').
פתרון ניתוק לוגי: חסימת תקשורת בכל הפורטים בין רשת ה – LAN לבין האינטרנט.

הגישה הראשונה, ניתוק פיזי של המחשב הפנים-ארגוני מהאינטרנט וחיבור מחשב שני, ללא קישוריות פנים ארגונית, אל האינטרנט, רווחה בעבר בבנקים ועדיין רווחת בגופים בטחוניים. עם זאת, זוהי ארכיטקטורה כמעט בלתי אפשרית כיום ברוב הארגונים שרוצים לעמוד בקצב המהיר של השוק. עובדים פנימיים זקוקים לתקשורת עם גופים חיצוניים כגון ספקים, לקוחות, מתחרים (תתפלאו), נותני שירותים ועוד. אפילו עם רגולטורים. לכן, זוהי תפיסה שכנראה תישאר רק בקרב גופים בטחוניים וברשתות מיוחדות כגון  SCADA.

הגישה השנייה, ניתוק לוגי, תפסה חזק בשנים האחרונות במגזר הפיננסי בארץ ונותנת מענה טוב מאוד לרוב האיומים. כאן, הרשת הפנימית, ה – LAN, מתקשרת עם העולם החיצוני דרך מתווכים, ולמעשה הגלישה לא נעשית ממחשב המשתמש אלה דרך טרמינל. כך, סיכונים ומתקפות מהאינטרנט לא פוגעות במחשב המשתמש, אלא לכל היותר בשרת טרמינל הנמצא ברשת אחרת.

תיאור קצר של הארכיטקטורה של פתרון הניתוק הלוגי (הגישה השניה) ולאחר מכן שרטוט סכמתי:

רשת טרמינלים

הקמת רשת טרמינלים המיועדים לגלישה לאינטרנט בלבד. הרשת הזו היא מעין DMZ שאינה מכילה מערכות נוספות (למעט שרתי סינוני תוכן). המשתמש מתחבר מתחנת העבודה שלו אל שרת הטרמינל וגולש דרכו החוצה. ישנם כיום פתרונות המספקים למשתמש חווית משתמש דומה מאוד לגלישה ישירות מהתחנה. הוא למעשה לא יודע שהוא גולש מרשת טרמינלים ולא מהמחשב שלו. בתצורת עבודה כזו, נדרש פתרון להלבנת קבצים שהמשתמש מוריד מהאינטרנט לפני כניסתם לרשת הפנימית.

חסימת תקשורת

מגדירים ב – Firewall החוצץ בין רשת ה – LAN לבין חוות הטרמינלים חוק המאפשר למשתמשים גישה בפורט ייעודי לשרת הגלישה. מגדירים חוק נוסף (Deny) החוסם כל תקשורת אחרת (כל הפורטים) בין רשת העובדים לבין האינטרנט. הדרך היחידה החוצה לאינטרנט מתבצעת רק משרת הטרמינל.

מיילים

כאן יש חריג אחד. לרוב, הארכיטקטורה הזו מספקת פתרון לגלישה, ולא למייל. לכן, נדרש להשאיר עדיין פורט פתוח ב – Firewall למיילים בין רשת המשתמשים החוצה. במקרה כזה, התקפה מסוג APT שתכלול הכנסת סוס טרויאני במייל שיגרום לזליגת מידע רגיש דרך שירות המייל, תהיה אפשרית. עם זאת, התקפות APT אחרות לא יעבדו, גם אם יצליחו להכניס סוס כזה לרשת ולגרום לו לעבוד, כיוון שהוא ינסה לצאת החוצה בפורטים חסומים ע"י ה – Firewall.

חוויית משתמש

חשוב להבין שחוויית הגלישה נפגעת. אולם, אם מתקשרים (הזכרתי בעבר את החשיבות בשיווק אבטחת מידע) לעובדים את הסיכונים ואת הפתרון, הם יבינו את הסיבה לכך (גם אם ימשיכו לרטון כלפי הפתרון וכלפי הוגה הפתרון). זה לא פתרון קסם, זה מצריך פרויקט הקמה ארוך, ולא נותן 100% הגנה. אך כאשר מבצעים ניהול סיכונים, הפתרון הזה נותן ערך גבוה לארגון ומצמצם עד מאוד את הסיכונים.

 השרטוט הבא מציג גרפית את ארכיטקטורת הרשת לגלישה המאובטחה.

 ארכיטקטורת גלישה מאובטחת

מודעות פרסומת

9 Responses to “גלישה מאובטחת והפרדה מהאינטרנט”


  1. 1 Badapple
    09/12/2012 ב- 8:01

    מאמר מצויין.
    בתור אחד שמיישם את הגישה השניה(התחברות לאינטרנט ע״י גישה לשרתי טרמינל),
    אני חייב לציין שהמון מתקפות אשר היו מיועדות לארגון נמנעו תודות לטופולוגית הרשת. מה גם שהיום מרבית ההתקפות מבוססות social engendering כך שאם אין ברשותינו אמצעי אבטחה (כגון sandbox) הרי שהדבר היחיד שימנע זליגת מידע,זהו הניתוק מהרשת.
    כמובן שאין לשכוח את מודעות העובדים בנושא וכן ההסברה.

  2. 3 Badapple
    10/12/2012 ב- 17:43

    במשך תקופה מסויימת בדקתי מוצרי sandbox אשר מטרתם להריץ את כל ה attachments המצורפים למייל.
    כחלק מתהליך הבדיקה יצרתי קבצי doc/pdf אשר הכילו בתוכם remote execution code ומטרתם הייתה לתקשר עם c&c שיצרתי לצורך הבדיקה. בסופו של התהליך,כשאחד מהקבצים ה״מזיקים״ הצליח לעבור את ה sandbox ואת ה av בתחנת היעד וכש״המשתמש״ הריץ את הקובץ על התחנה, ה malware אומנם רץ על התחנה, אך כל עוד הוא אינו הצליח להוציא מידע החוצה,מבחינתי ההתקפה נמנעה.

    • 4 אחר
      13/03/2013 ב- 0:38

      איך אתה יודע\בודק שלא יצא מידע כזה החוצה?

      • 16/03/2013 ב- 0:06

        התשובה מופעה למעלה בסעיף: חסימת תקשורת.

      • 6 אחר
        23/03/2013 ב- 15:46

        חסימת תקשורת לא מספיק כאשר אתה לא יודע איך יוצאת התשובה ולמשל משתמשת בתקשורת מותרת כמו DNS לפעמים ואף ב דואר אלקטרוני.

  3. 7 מיכאל
    03/05/2013 ב- 10:54

    מה קורה שלכלל המשתמשים בארגון קופצת הודעה של אבטחת WIN הכנסת שם משתמש וסיסמה
    יש אפשרות שהאנטי וירוס גילה משהו והעלה את רמת האבטחה לגבוהה מאוד וכך כל אתר שמנסים לפתוח הוא אתר לא מאובטח .
    גם לאחר שינוי הפרוקסי והגדרות עדין ההודעה קופצת אשמח לפתרון

    • 06/05/2013 ב- 23:46

      שלום מיכאל,

      נשמע לי כמו בעייה בפרוקסי. תיעזר ביצרן.

      • 9 רוני
        19/05/2014 ב- 10:53

        מאמר מצויין
        יש מערכת הפרדה חדשנית שפותחה ע"י חברת {שם החברה נמחקה}.
        החברה לקחו את רעיון ההפרדה לאקסטרים, העובדים בחברה בעצם גולשים על טרמינלים בענן – כך שהטרמינלים אפילו לא חלק מהDMZ של החברה.
        בהתחלה חשבתי שגלישה דרך RDP בענן תהיה איטית ומיגעת אבל החברה הפתיעו לטובה


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s


דצמבר 2012
א ב ג ד ה ו ש
« נוב   פבר »
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

%d בלוגרים אהבו את זה: