13
ספט
14

סיכונים בהפעלת שירותי רשת

ברשת גדולה הכוללת נתבים ומתגים רבים, עולה הצורך מצד מנהלי הרשת לנהל את רכיבי הרשת מקונסול מרכזי. הניהול יכלול ממשק להגדרות והפעלת מתגים, וגם ממשק לניטור. גם מערכות אבטחת מידע מנטרות ציוד רשת באופן דומה.

ברשתות המורכבות משכבות תקשורת שונות, לא כל המידע עולה לשכבות גבוהות יותר ולתתי רשתות אחרות (Broadcast Domain). בכדי לקבל מידע עשיר יותר במערכות הניהול והניטור, נהוג להפעיל שירותים ופרוטוקולים שונים המעשירים את נתוני הרשת.

לא תמיד מנהל אבטחת המידע מודע לשירותים אלה, ולא תמיד הוא מודע לסיכונים הנובעים מכך. אציג כאן דוגמא אחת, אך הדיון אינו סביב השירות הספציפי הזה, אלא על העובדה כי קיימים סיכונים סביב שירותי רשת כאלה.

הדוגמא להלן מציגה שירות רשת שהופך לנפוץ בזמן האחרון. שירות NetFlow מאפשר למתגים ונתבים התומכים בכך לדווח למעלה על אגרגציה של תעבורת IP. המידע מאפשר למערכות הניהול והניטור לקבל חיוויים על חיבורי מחשבים חדשים לרשת באופן מהיר.

הסיכון במקרה זה אינו בפרוטוקול עצמו, אלא נובע מהסיכון שבשימוש בו. כלומר, גם אם לא ידועה כרגע פירצה בפרוטוקול המסכנת את הרשת, ישנה דרך לנצל את חולשת הפרוטקול. NetFlow שולח דיווחים בפרוטוקול UDP. זה מאפשר לתוקף לנסות להתחזות למתג ולשלוח מידע כוזב (Spoofing) למערכת הניהול כך שיוצגה בה מידע שגוי.

השימוש ב – UDP מעצם טבעו אינו מאפשר הזדהות (Authentication) של המקור. בנוסף, המידע נשלח ב – Clear Text כך שניתן להאזין לו ע"י Sniffer. לכן, לפני ש – CISO מאשר הפעלת שירות כזה, כדאי שיבחן את וקטור התקיפה והאפשרות לשלוח מידע כוזב ע"י גורם לא מורשה, והסיכונים והתועלות הנובעים משירות רשת כזה. במקרים בהם ניתן להפעיל שירות מסוים על גבי TCP, רצוי לעבוד במוד זה. במקרים בהם ניתן לשלוח את המידע על גבי תווך מוצפן (למשל IPSEC), מומלץ מאוד להגדיר את התווך כמאובטח.

 

מודעות פרסומת

0 Responses to “סיכונים בהפעלת שירותי רשת”



  1. להגיב

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s


ספטמבר 2014
א ב ג ד ה ו ש
« אוג   אוק »
 123456
78910111213
14151617181920
21222324252627
282930  

%d בלוגרים אהבו את זה: