Posts Tagged ‘NetFlow

13
ספט
14

סיכונים בהפעלת שירותי רשת

ברשת גדולה הכוללת נתבים ומתגים רבים, עולה הצורך מצד מנהלי הרשת לנהל את רכיבי הרשת מקונסול מרכזי. הניהול יכלול ממשק להגדרות והפעלת מתגים, וגם ממשק לניטור. גם מערכות אבטחת מידע מנטרות ציוד רשת באופן דומה.

ברשתות המורכבות משכבות תקשורת שונות, לא כל המידע עולה לשכבות גבוהות יותר ולתתי רשתות אחרות (Broadcast Domain). בכדי לקבל מידע עשיר יותר במערכות הניהול והניטור, נהוג להפעיל שירותים ופרוטוקולים שונים המעשירים את נתוני הרשת.

לא תמיד מנהל אבטחת המידע מודע לשירותים אלה, ולא תמיד הוא מודע לסיכונים הנובעים מכך. אציג כאן דוגמא אחת, אך הדיון אינו סביב השירות הספציפי הזה, אלא על העובדה כי קיימים סיכונים סביב שירותי רשת כאלה.

הדוגמא להלן מציגה שירות רשת שהופך לנפוץ בזמן האחרון. שירות NetFlow מאפשר למתגים ונתבים התומכים בכך לדווח למעלה על אגרגציה של תעבורת IP. המידע מאפשר למערכות הניהול והניטור לקבל חיוויים על חיבורי מחשבים חדשים לרשת באופן מהיר.

הסיכון במקרה זה אינו בפרוטוקול עצמו, אלא נובע מהסיכון שבשימוש בו. כלומר, גם אם לא ידועה כרגע פירצה בפרוטוקול המסכנת את הרשת, ישנה דרך לנצל את חולשת הפרוטקול. NetFlow שולח דיווחים בפרוטוקול UDP. זה מאפשר לתוקף לנסות להתחזות למתג ולשלוח מידע כוזב (Spoofing) למערכת הניהול כך שיוצגה בה מידע שגוי.

השימוש ב – UDP מעצם טבעו אינו מאפשר הזדהות (Authentication) של המקור. בנוסף, המידע נשלח ב – Clear Text כך שניתן להאזין לו ע"י Sniffer. לכן, לפני ש – CISO מאשר הפעלת שירות כזה, כדאי שיבחן את וקטור התקיפה והאפשרות לשלוח מידע כוזב ע"י גורם לא מורשה, והסיכונים והתועלות הנובעים משירות רשת כזה. במקרים בהם ניתן להפעיל שירות מסוים על גבי TCP, רצוי לעבוד במוד זה. במקרים בהם ניתן לשלוח את המידע על גבי תווך מוצפן (למשל IPSEC), מומלץ מאוד להגדיר את התווך כמאובטח.

 

מודעות פרסומת



אפריל 2018
א ב ג ד ה ו ש
« פבר    
1234567
891011121314
15161718192021
22232425262728
2930  
מודעות פרסומת