לימוד עצמי: התקני אבטחת תשתית רשת

התקני תשתית רשת הם רכיבי רשת המעבירה תקשורת הדרושה לנתונים, יישומים, שירותים ומולטימדיה. התקנים אלה כוללים נתבים, חומות אש, מתגים, שרתים, איזון עומסים, מערכות גילוי פרצות אבטחה, מערכות ניהול שמות דומיין ומערכי אחסון.

כאשר אנו מתקשרים דרך הרשת, המידע נשלח דרך תשתיות של רשתות שפועלות באמצעות קילומטרים של טכנולוגיה חוטית ואלחוטית.  העברת הנתונים ממקום אחד למשנהו חושפת את המידע ולכן נוצרת הזדמנות לצותת או לפגוע במידע שזורם במדיה.

מרבית הארגונים משתמשים בגישת Defense-in-Depth – שילוב של התקני רשת ושירותים העובדים יחד כדי לספק הגנה.

מרבית המתגים פועלים בשכבת קישור נתונים (שכבה 2) של דגם OSI (אם כי מודלים חדשים יותר עוברים עכשיו לשכבת הרשת), והם הבסיס לרוב Ethernet based local networks. כל יציאה במתג היא תחום התנגשות נפרד מה שהופך מתגים ליעילים יותר מרכזות (Hubs), אשר בהם כל היציאות שייכות לאותו collision domain, שבו משודרים נתונים עבור לקוח רשת ספציפי בכל יציאות הרכזת, ולא רק על היציאה שאליה נקשר לקוח היעד. הניתוב מבוסס על כתובות MAC של התקנים המחוברים למתג.

בדומה לנתבים, נדרשת אבטחה של הגישה הניהולית למכשירי מיתוג באמצעות סיסמאות קפדניות ופרוטוקולי תקשורת מאובטחים בזמן גישה מרחוק.

אמצעי האבטחה שמספק מתג הם:

• Port Security – מאפשר הגבלת מספר ההתקנים שיוכלו להתחבר לממשק במתג.
  בנוסף ניתן להגדיר כתובת פיסית שהממשק ילמד.
• VLAN
• IEEE 802.1X – זהו תקן שעובד בשכב 3 ומספק מנגנון אימות זהות למכשירים שמבקשים להתחבר לרשת מקומית – קווית (LAN) ואלחוטית (WLAN) וזאת לפני קבלת יכולת להעביר אינפורמציה של ממש ברשת.
  כך ניתן לשלוט מי מתחבר לרשת על ידי הגבלת הגישה למשתמשים מסוימים.
  את ההגדרות אנו מגדירים על מתג/ Access pointשכבה 3.
  שרת האימות יהיה בדרך כלל מסוג Radius/Tacacs+.

נתבים הם מכשירים המשמשים לחיבור בין חלקים שונים ב- LAN ובין LAN ל WAN, לכן הם משמשים כקו גבול ויש להם את היכולת להחליט איזה חבילות יכולות לעבור או לחסום. הם פועלים בשכבת הרשת של OSI (שכבה 3'). נתבים פועלים על ידי בחינת כל המנות שהתקבלו ושימוש באלגוריתמים יחד עם טבלאות ניתוב בכדי לקבוע את הנתיב האופטימלי לנתונים להגיע ליעדם הסופי. נתבים מהווים למעשה את עמוד השדרה של האינטרנט. טבלאות ניתוב מתעדכנות באופן ידני על ידי מנהל מערכת, לצורך הגדרת תצורה אוטומטית תוך שימוש במגוון פרוטוקולים שונים כולל פרוטוקול ניתוב (RIP), פרוטוקול ניתוב שער פנימי (IGRP), פרוטוקול ניתוב משופר לשער פנים (EIGRP) ופתיחת הדרך הקצרה ראשונה (OSPF).

הנתבים כוללים גם אבטחה מסוימת בצורה של רשימות בקרת גישה (ACL) החוסמות מנות על בסיס כללים שהוגדרו מראש, בדיקת מצב וסינון מנות.

סיכון האבטחה הפוטנציאלי הגדול ביותר עבור נתבים כרוך בגישה מרחוק לפונקציות פנימיות ואפשרויות להגדיר תצורה. בשל אופיים המבוזר, כל הנתבים מספקים תכונות של ניהול מרחוק. לכן חיוני כי מיושמים סיסמאות קפדניות וכי משתמשים בתקשורת מוצפנת בעת הכניסה לנתב מרוחק.

מרבית הנתבים תומכים ב- Packet Filtering (ACL).  רבים מהנתבים החדשים יותר מספקים גם פונקציות מתקדמות של חומת אש.

מגוון כלים רחב זמינים למטרות ניטור רשתות ואבחון בעיות. כלים כאלה כוללים פינג, traceroute, nslookup, netstat ו- ifconfig / ipconfig.

כלים אלה עוזרים לאבחן אם קיימת בעיה ברשת, ואם כן, היכן הבעיה עשויה להתקיים.

פרוטוקול Simple Network Management (SNMP) פועל בשכבת היישומים (7) של מודל OSI ונועד לאסוף נתונים סטטיסטיים ממכשירים המחוברים לרשת TCP / IP. תשתית SNMP מכילה חבילה של שלושה רכיבים המורכבים מהצומת המנוהל SNMP, סוכן SNMP ותחנת הניהול של רשת SNMP.

סוכן SNMP פועל במכשירי רשת ומשדר נתונים לתחנת הניהול. גרסאות 2 ו -3 יש רמות אימות טובות (גרסה 2, למשל משתמשת ב- MD5 לצורך אימות).

סינון מנות הוא טכניקת חומת אש המשמשת לבקרת גישה לרשת על ידי מעקב אחר מנות יוצאות ונכנסות ומאפשרת להם לעבור או לעצור על סמך כתובות IP, פרוטוקולי אינטרנט (IP) המקור והיעד.

טכנולוגית Packet Filtering יודעת לסנן חבילות על-בסיס:

• Source/Destination Address
• Source/Destination Port

Packet Filtering לא בודק את תוכן החבילות ולכן נחשב כלא כל כך בטוח ומשמש כסינון ראשוני בלבד.

יתרונות

• הבדיקה שטחית ולכן מאפשרת ביצועים מהירים.
• בגלל שלא מתבצעת בדיקת תוכן החבילות, אין בעיות תאימות עם תוכנות.
• יכול לזהות ניסיונות ביצוע Spoofing. התחזות של כתובת ip שמאפשרת כניסה מחוץ רשת עם כתובת פנימית או ניסיון יציאה מהרשת עם כתובת חיצונית.

חסרונות

• רמת אבטחה נמוכה בגלל שלא נבדקת תוכן החבילה.
• לא מסתמך על מידע שעבר בעבר (logs) ולכן לא ניתן לעצור התקפות מתוחכמות.

כיצד נתב יודע אם להעביר/לחסום חבילה?

נתב מסתמך על רשימת חוקים שמתייחסים לתעבורה ויוצרים את מדיניות הנתב.

התהליך שמתבצע כאשר חבילה נכנס לנתב:

1. Packet נכנס דרך הכרטיס רשת אל ה firewall וניבדק האם החבילה מתאימה לאחד מהחוקים. אם אין חוק שמתאים לחבילה היא נזרקת (Drop).
2. אם קיים חוק שתואם לחבילה, אז מתבצע Log או Alert (אם מוגדר Log/Alert).
3. Packet שעבר את הבדיקה ומורשה להמשיך עובר למחסנית TCP/IP בדרך ליעד.

packet שלא מורשה להמשיך בצורת Drop נזרק, לעומת Rejected שבנוסף גורם לשליחת הודעה למשתמש.

מבחינת אבטחת מידע, מטרת Load Balancing זה לספק זמינות (Availability) גם כאשר אחד מהשרתים עמוס או לא מתפקד.  לפעמים ההתייחסות היא לדיסק קשיח, מעבד, נתב או כל התקן אחר.  הרעיון מאחורי הטכנולוגיה זה לחלוק את העומס בין כמה התקנים.

בדרך כלל, Load Balancing מסופק על-ידי מספר שרתים שנותנים את אותו שרות, ומוצגים כלפי הלקוחות כשרת אחד, עם כתובת IP אחת.

כמו שחומת אש מגנה על חלקים בבניין מפני שריפה מתפשטת, חומת אש IT מגנה על מערכות מחשב מפני הסכנות הנובעות מחיבור אינטרנט. חומת אש היא למעשה רכיב הנמצא בין מחשב או רשת מחשבים לאינטרנט. המטרה הספציפית של חומת אש היא למנוע גישה בלתי מורשית למערכות המחשבים שהיא מוגדרת להגנה. חומות אש תופסות תוכנה, חומרה או שילוב של שתיהן וזמינות במחיריהן לכל אחד כל בעל מחשב (כולל משתמשים ביתיים) המחובר לאינטרנט, צריך להגדיר חומת אש.

אסטרטגיית אבטחה טובה צריכה להיות מורכבת מכמה שכבות הגנה ובתרחיש כזה חומת האש היא בדרך כלל קו ההגנה הראשון.

חומות אש מתחלקות לשלוש קטגוריות עיקריות – Packet-סינון , פרוקסי – שירות ו- Stateful – פיקוח חומות אש

חומת אש לסינון מנות

חומת אש של סינון מנות פועלת בשכבת הרשת (שכבה 3) של דגם OSI והם הבסיסיים ביותר מסוגי חומת האש. הרעיון של סינון מנות כרוך בהגדרת אילו מנות נתונים מותרות לעבור דרך חומת האש על בסיס מספר קריטריונים. בעיקרון, ניתן לציין סינון כתובות IP, יציאות ופרוטוקולים. אפשר לחסום את כל המנות שמקורן בכתובת IP מסוימת (או טווח כתובות IP), או לחסום את כל התנועה שמנסה להיכנס ביציאה 23 (יציאת Telnet).

חומת אש לסינון מנות בדרך כלל מובנית מראש בנתבים ומספקים שורת פקודה או ממשק גרפי לציון כללי הסינון. ההגנות שמספקות חומות אש כאלה נחשבות כחלשות מכיוון שהן יכולות רק לחסום כתובות IP שמנהל יודע מראש צפויות להיות זדוניות. עם זאת, הם מהירים וקלים מאוד לתצורה, ומספקים קו הגנה ראשון טוב.

חומת אש לשירותי פרוקסי

חומת אש של שירותי פרוקסי ממוקמת בין האינטרנט לרשת מחשבים פנימית ומשמשת כמעבר בין שתי הסביבות. כששירות פרוקסי קיים, מחשבי לקוח פנימיים אינם מתחברים ישירות למשאבים חיצוניים. במקום זאת הם מתחברים לשרת ה- proxy שבתורו מתחבר למשאב החיצוני מטעם הלקוח, ובכך מסווה את כתובת ה- IP הפנימית של הלקוח. כל התגובות מהמשאבים החיצוניים מטופלות על ידי שירות ה- Proxy שמעביר אותן ללקוח שביקש במקור את הנתונים, מבלי שה- IP של לקוח קצה פנימי ייחשף.

שרתי פרוקסי יכולים גם לספק פונקציות מטמון, בהן דפי אינטרנט אשר לרוב ניגשים אליהם על ידי לקוחות פנימיים מאוחסנים על ידי השרת כך שניתן לספק אותם במהירות כאשר יתבקשו לאחר מכן, מה שמוביל לזמני תגובה מהירים יותר. חומת אש של שירותי פרוקסי זמינים בשתי צורות בסיסיות, שער ברמת מעגל הפועל בשכבת ההפעלה של מודל OSI כדי לוודא שכל ההפעלות הן לגיטימיות,  ושער ברמת יישום הפועל בשכבת היישומים של OSI כדי לשלוט בתנועה מסוגים מסוימים (כגון HTTP, FTP ו- SNMP).

חומת אש פיקוחית

חומת אש לבדיקת מצבים (הידועה גם בשם חומת אש לסינון מנות דינאמי) פועלת בשכבת הרשת של OSI ומשלבת כמה תכונות של חומת אש לשרת סינון מנות ושל שרת פרוקסי. חומת אש פיקוח לא בודקות רק את פרטי הכותרות של המנות, אלא גם עוקבות אחר פעילויות באתר כדי להבטיח שהן לגיטימיות ושומרת על טבלאות מצב עבור כל חיבור. באמצעות טבלאות מצב אלה ניתן לצפות בכל מנות שמתקבלת על ידי חומת האש במסגרת התנועה שקדמה לה, ומאפשרת ליירט ולחסום נתונים זדוניים.

זהו התקן שפועל בשמם של אחרים.

לצורך אבטחה, כאשר הלקוח מבקש מידע מהאינטרנט, הוא מבקש זאת דרך השרת Proxy.

השרת מביא ללקוח את המידע תוך כדי ביצוע:

• Monitoring – מעקב.
• Caching – שיפור הביצועים (מהירות הגלישה).
• Filtering – קיימים חוקים שמגבילים את התכנים והאתרים שהלקוח יכול לקבל.

רשת פרטית וירטואלית היא מנגנון שבאמצעותו ניתנת גישה מרחוק מאובטחת בין לקוח לשרת ברשת ציבורית (לרוב האינטרנט). ניתן להשתמש במספר שיטות לפריסת חיבורי VPN. VPNs משתמשים בהצפנת הנתונים הכלולים במנות IP ושליחתם ליעד בו מפוענחים הנתונים, או הצפנת המנה כולה, גלישתם במנות אחרות ושליחתם ליעד (מושג המכונה מנהור – Tunneling) ובכך מסתירה את הזהות. של הצדדים השולחים והקבלים. VPN מאפשר למשתמשים להתחבר מרחוק בצורה מאובטחת למשאבי החברה דרך האינטרנט.

עובד בשכבה 7 ולכן יודע לזהות גם את תוכן המידע שעובר.

זהו פתרון אבטחה שמסוגל לראות את תוכן החבילות שעוברות דרכו ולכן מסוגל למנוע תעבורת רשת לא בטוחה מלהיכנס לרשת פנימית של ארגון.

בדרך כלל, תפקידו לאבטח את הארגון מפני איומים שמקורם באינטרנט כגון:

• הגנה מפני תעבורת אינטרנט זדונית.
• סינון כתובות אתרים (URL Filtering).
• בקרת רמת היישום (Application control).
• מניעת דליפת נתונים (DLP).
• הגנה מפני תוכנות זדוניות (Malicious-code detection).

מנתח פרוטוקול הוא כלי (חומרה או תוכנה) המשמש ללכידה וניתוח של אותות ותעבורת נתונים בערוץ תקשורת. ערוץ יכול להיות Bus בתוך המחשב, רשת מחשבים, או אפילו בתקשורת לוויינים, המספקים אמצעי תקשורת באמצעות פרוטוקול תקשורת רגיל (רשת או נקודה לנקודה).

הכלי מאפשר לראות את ה- packets ולקבל סטטיסטיקות (לפעמים בצורה גרפית).  כך ניתן לגלות פרוטוקולים שלא צריכים לעבור ותעבורה חריגה. דוגמא ל- Sniffer – הכלי Wireshark.

ניהול איומים מאוחד (UTM) הוא גישה לאבטחת מידע שבה התקנת חומרה או תוכנה יחידה מספקת פונקציות אבטחה מרובות. זאת, בניגוד לשיטה המסורתית של פתרונות נקודתיים לכל פונקציית אבטחה.

לדוגמא: NGX של חברת checkpoint. מכשירי UTM משלבים חומת אש, אנטי וירוס שערים ויכולות איתור ומניעה של פריצות לפלטפורמה יחידה.

מכשיר או תוכנה המשמשים לפיקוח על אימיילים שנשלחים ומתקבלים. SEG נועד למנוע דוא"ל לא רצוי ולהעביר דוא"ל טוב. הודעות שאינן רצויות כוללות ספאם, התקפות דיוג, תוכנות זדוניות או תוכן הונאה.

מסנן דואר זבל/מסוכן.  בנוסף, מגן על השרת דואר.  שרות זה יכול להיות מבוסס ענן.

קיימות כמה שיטות לגלות SPAM:

• Whitelist – לקבל מייל רק מאנשים שמופיעים ברשימת מורשים.
• SMTP standards – קבלת מייל רק אם הוא תואם לסטנדרט (RFC)
• Reverse DNS – בדיקה האם ה- domain name תואם לכתובת IP.

מערכות גילוי חדירות (IDS) נועדו לנתח נתוני רשת או פעילות מארחת בזמן אמת ולזהות ולהגיב לפעילויות לא מורשות בעת גילוין.

שני סוגי ה- IDS הזמינים הם מבוסס מארח ומבוסס רשת:

• זיהוי חדירות מבוסס רשת – סוג זה של IDS ​​עוקב אחר זרימת מנות הנתונים ברשת ומזהה מנות שהחליקו דרך חומת האש. מנות משווים בין בסיסי נתונים של חתימות התקפה ידועות והתקשורת חסומה אם תמצא התאמה. IDS מבוסס רשת יש כמה חסרונות. ראשית, IDS יכול לפקח על קטע אחד בלבד ברשת, מה שמעלה את האפשרות שהתנועה לא מורשית עלולה להחמיץ את המערכת. כדי להימנע מבעיה זו IDS מבוסס רשת ממוקמים בדרך כלל בנקודת הכניסה לרשת כמו רק בתוך או רק מחוץ לחומת האש. בעיה שנייה היא שמזהה IDS טוב באותה מידה כמו בסיס נתונים החתימות עליו הוא מסתמך. למרבה הצער, לא כל האיומים ניתנים לזיהוי באמצעות חתימה ספציפית המובילה לאפשרות של החמצות של התקפות.

• איתור חדירה מבוסס שרת – איתור חדירות מבוסס מארח כרוך בהפעלת סוכנים בכל השרתים ברשת המשמשים לאיסוף נתוני שימוש וביצועים כגון גישה לדיסק וקבצים, שימוש במעבד ופעילויות משתמשים. נתונים אלה מועברים ל- IDS שם הם נאספים ומנותחים כדי לזהות דפוסי פעילות שידועים כקשורים לפעילות לא מורשית. מערכות כאלה יכולות גם לזהות מתי הפעילות סוטה במידה ניכרת מרמות הפעילות הרגילות של קו הבסיס. כאשר מתגלה בעיה, מנהל מערכת מתריע כך שניתן יהיה לחקור אותו. מסמכי IDS מבוססי מארח פועלים היטב ברשתות קטנות אך בדרך כלל מתקשים בהדרגה לארגונים גדולים יותר.

שירות גישה מרחוק (RAS) הוא תכונה של Microsoft Windows המספקת גישה דרך חיבור חיוג בין לקוח לשרת. לאחר שלקוח מרוחק קיבל גישה לשרת באמצעות פרוטוקולי אימות והרשאה רציניים, יש ללקוח פונקציונליות שווה לחיבור רשת ישיר לשרת. למען אבטחה נוספת ניתן להגדיר את תצורת RAS כך שתאפשר גישה רק לאחר שהיא התקשרה חזרה למספר טלפון מאושר להשלמת החיבור ללקוח.

יש לראות שרתי RAS כלא בטוחים וממוקמים באופן אידיאלי ב- DMZ כך שפעילות זדונית באמצעות השרת יכולה להיחסם על ידי חומת האש הפנימית של DMZ.

רשת אלחוטית מייצרת לצד יתרונותיה, מערכת ייחודית של איומי אבטחה שיש לקחת בחשבון. בראש ובראשונה, הנתונים המועברים ברשת אלחוטית אינם מוגבלים לכבלים שהוסתרו מתחת ללוחות הרצפה, בתוך חללי קיר ותקרות צפות. במקום זאת הנתונים עוברים באוויר. המשמעות היא שלכל מי שנמצא בטווח העברת שידור האות יש פוטנציאל ליירט את הנתונים. למעשה, הצבת מכשיר אלחוטי מאחורי חומת אש הופכת למעשה חומת האש לחסרת משמעות. חומת האש תחסום רק חדירה לא רצויה שנכנסת לחומת האש דרך החיבור הפיזי לאינטרנט. שימוש ברשת האלחוטית מחוץ לבניין עוקפת את חומת הא ומייצרת סיכון נוסף.

קיימות מספר טכניקות המספקות רמת אבטחה כלשהי לרשתות אלחוטיות. תקן אחד הוא Wired Equivalent Privacy (WEP)  אשר נועד בתחילה לספק רמת אבטחה לרשתות אלחוטיות שהייתה מאובטחת לפחות כמו רשת קווית. WEP מסתמך על הצפנה כדי למנוע יירוט קל של נתונים אלחוטיים על ידי מצותתים. ההצפנה מבוססת על RC4 באמצעות מפתחות הצפנה משותפים של 40 סיביות או 128 סיביות. לרוע המזל הוכח ששתי רמות ההצפנה ניתנות לשבירה. עם זאת, WEP עדיף, ואם זו האפשרות היחידה שלך, הקפד לבחור ברמת ההצפנה הגבוהה ביותר.

תקן הצפנה ואימות אלחוטי משופר נקרא (Wi-Fi Protected Access)  WPA ו- WPA2. נתוני WPA מוצפנים באמצעות קידוד הזרם RC4, (מפתח 128 סיביות וגם 48 סיביות) יחד עם מפתחות המשתנים באופן דינמי ככל שהמערכת פועלת. WPA נחשב לבטוח באופן ניכר מה- WEP.

מרבית נקודות הגישה האלחוטיות מספקות גם סינון כתובות MAC,  מקבלות רק נתונים ממכשירים עם כתובת MAC התואמת רשימה מוגדרת מראש של מכשירים מהימנים. היכולת לזייף את כתובת ה- IP  של מערכות מגדילה את הסיכוי שניתן בטעות לראות מערכת עוינת כמערכת מהימנה.

בדיוק כמו נתבים ומתגים, נקודות גישה אלחוטיות מספקות תמיכה לניהול מרחוק. תמיד יש להשתמש באכיפת בחירת סיסמאות ותקשורת מאובטחת בעת גישה לממשקי הניהול של נקודת הגישה.

חילופי סניפים פרטיים (PBX) מרחיבים את רשת הטלפונים הציבורית לבנייני משרדים של החברה ובמשך זמן מה היו יעד פופולרי עבור האקרים. עם עליית מערכות הניתנות להגדרה נוחה יותר, והגידול של Voice Over IP (VoIP), מערכות PBX אלה שולבו יותר ויותר בתשתית ה- IT הארגונית הכוללת, ונעשו לחוליה חלשה בשרשרת האבטחה. איום זה ניתן לטיפול על ידי התקנת חומות אש שתוכננו במיוחד להגן על מערכות מבוססות נתונים וגם על מערכות טלפון.

ניצול נפוץ נוסף של PBXs כרוך בהאקרים טלפוניים (הידועים גם כ- phreakers) הפורצים למערכת ומשתמשים בה לביצוע שיחות בינלאומיות יקרות על חשבון החברה. התקפות מסוג זה עשויים להיחסם גם באמצעות חומות אש מיוחדות. למעשה, חומות אש כאלה מאפשרות להגדיר כללים לפיקוח על סוגיות כגון גישה למרחקים ארוכים בשעות מסוימות של היום, או לחייב קודי גישה להזנת המשתמשים לפני שיחות בינלאומיות או למרחקים ארוכים.