7.8 פרוטוקולי בקרת גישה

פרוטוקולי בקרת גישה

סקירה של פרוטוקולי בקרת גישה ויישומם במערכות מידע

מערכות בקרת גישה משתמשות בפרוטוקולים שונים כדי לזהות משתמשים ולאפשר או לאשר את כניסתם.

בנוסף לפרוטוקולים מבוססי כרטיס או זיהוי ביומטרי, קיימים גם פרוטוקולים מבוססי רשת המשמשים לצורך בקרת גישה. פרוטוקולים אלו מאפשרים למשתמשים לגשת למערכות או נכסים מרחוק, ללא צורך להיות פיזית במקום.

פרוטוקולים לבקרת גישה באינטרנט

ככל שיותר ארגונים מאמצים שירותי ענן ואפליקציות אינטרנט, כך גדל הצורך בפתרונות מתקדמים לבקרת גישה וניהול זהויות ברשת. פרוטוקולים חדשים מציעים דרכים בטוחות ויעילות לנהל גישה למשאבים מקוונים:

• OAuth הוא פרוטוקול פתוח המאפשר למשתמשים לתת הרשאות גישה למידע או שירותים של צד שלישי מבלי לחשוף את סיסמאותיהם, ומאפשר לאפליקציות ואתרי אינטרנט גישה מוגבלת לחשבונות משתמשים באתרים אחרים ללא צורך בשיתוף סיסמאות.
• OpenID הוא פרוטוקול פתוח המאפשר למשתמשים ליצור זהות דיגיטלית אחת המשמשת לכניסה לאפליקציות או שירותים שונים, ומאפשר למשתמשים להיכנס לאתרים שונים באמצעות זהות דיגיטלית אחת, ללא צורך ביצירת חשבון חדש בכל אתר.
• SAML הוא פרוטוקול פתוח המאפשר למשתמשים להתחבר לאפליקציות או שירותים שונים באמצעות מערכת ניהול זהויות אחת, ומגדיר שפה מבוססת XML להעברת מסרי אימות והרשאות בין זהויות דיגיטליות, ספקי אימות וספקי שירות.
• XACML הוא פרוטוקול פתוח המאפשר לארגונים להגדיר מדיניות בקרת גישה מורכבת ומרכזית המבוססת על קריטריונים שונים, ואכיפתה על ידי העברת הודעות בקשת גישה ותגובה.

פרוטוקולים אלו מציעים חלופות גמישות ומאובטחות לניהול זהויות, אימות והרשאות גישה בסביבות מבוזרות כמו האינטרנט. יישומם מסייע בהגנה על הפרטיות ובהפחתת הצורך בשיתוף סיסמאות ומידע רגיש.

דרכים ליישום פרוטוקולי בקרת גישה במערכת מידע ארגונית

• OAuth: מאפשר לעובדים גישה לאפליקציות ענן ושירותי SaaS מבלי לשתף סיסמאות עם ספקי השירות.
• OpenID: משמש לכניסה יחידה (Single Sign On) של עובדים למערכות פנים-ארגוניות באמצעות זהות דיגיטלית אחת.
• SAML: מסייע בהעברת מידע אימות והרשאות בין זהויות דיגיטליות של עובדים לבין אפליקציות שונות.
• XACML: מגדיר מדיניות בקרת גישה מרכזית המיושמת על ידי מערכת ניהול זהויות וגישה של הארגון.
• אינטגרציה עם מערכות LDAP ו-Active Directory: סנכרון מידע על עובדים, תפקידים והרשאות לצורך אכיפה.
• תיעוד וניטור פעולות גישה: לצורכי בקרה ותחקור בהתאם למדיניות הארגון.
• אימות רב-גורמי: שילוב אמצעי אימות שונים כמו סיסמה ואבטחה רב-גורמית.
  
  

יישום והטמעה

יישום נכון של הפרוטוקולים מסייע בהגנה על הגישה לנכסי המידע הארגוניים ומאפשר חוויית משתמש טובה יותר.

יישום פרוטוקולי בקרת גישה מבוססי רשת במערכת מידע ארגונית דורש מספר שלבים:

• בחירת הפרוטוקול המתאים: השלב הראשון הוא לבחור את הפרוטוקול המתאים ביותר לצרכים הארגוניים. ישנם מספר פרוטוקולים מבוססי רשת שניתן לבחור מתוכם, וכל אחד מהם מציע יתרונות וחסרונות משלו.
• כאשר בוחרים פרוטוקול בקרת גישה מבוסס רשת, יש לקחת בחשבון מספר גורמים, כגון:

• סוג הנכס המוגן: פרוטוקולים מסוימים מתאימים יותר להגנה על נכסים רגישים, בעוד שפרוטוקולים אחרים מתאימים יותר להגנה על נכסים פחות רגישים.
• עלות: פרוטוקולים מסוימים יקרים יותר מאחרים.
• מורכבות: פרוטוקולים מסוימים מורכבים יותר להתקנה ולניהול מאחרים.

• התקנת הפרוטוקול: לאחר בחירת הפרוטוקול, יש להתקין אותו במערכת המידע. התהליך של התקנת הפרוטוקול משתנה בהתאם לפרוטוקול שנבחר. התקנת הפרוטוקול עשויה להיות תהליך פשוט או מורכב, בהתאם לפרוטוקול שנבחר. לדוגמה, התקנת OAuth היא תהליך יחסית פשוט, בעוד שהתקנת XACML היא תהליך מורכב יותר.
• הגדרת מדיניות בקרת גישה: לאחר התקנת הפרוטוקול, יש להגדיר מדיניות בקרת גישה. מדיניות זו קובעת את האופן שבו הפרוטוקול ישמש כדי לשלוט בגישה למערכת המידע. מדיניות בקרת גישה קובעת את האופן שבו הפרוטוקול ישמש כדי לשלוט בגישה למערכת המידע. מדיניות זו צריכה לכלול את הדברים הבאים:

• הגורמים המשמשים לזיהוי משתמשים: הגורמים המשמשים לזיהוי משתמשים יכולים לכלול סיסמאות, כרטיסים חכמים, או טביעות אצבע.
• הזכויות שניתן להעניק למשתמשים: הזכויות שניתן להעניק למשתמשים יכולות לכלול גישה לנתונים, גישה לאפליקציות, או גישה לשירותים.
• האופן שבו ניתן לעדכן מדיניות בקרת גישה: מדיניות בקרת גישה צריכה להיות ניתנת להתאמה כדי להתאים לשינויים ארגוניים.

• הכשרת המשתמשים: חשוב להכשיר את המשתמשים בשימוש בפרוטוקול. ההכשרה צריכה לכלול הסבר על הפרוטוקול, על מדיניות בקרת הגישה, ועל האופן שבו להשתמש בפרוטוקול כדי לגשת למערכת המידע.

802.1X

X802.1 הוא תקן של ארגון IEEE שמשמש למטרת בקרת גישה לרשת מחשבים ואימות משתמשים והתקנים המבקשים להתחבר לרשת, והמגדיר מנגנון לאימות של מכשירים המבקשים להתחבר לרשת מקומית (LAN) או לרשת אלחוטית (WLAN). הוא מספק מנגנון שבו מתגים ומוקדי גישה לרשת יכולים להעביר את משימות האימות לשרת אימות מיוחד, כגון שרת RADIUS, כך שאימות המכשירים ברשת יכול להתבצע באופן מרכזי, במקום להתפזר על פני מכשירי רשת רבים.

X802.1 משמש בעיקר במערכות ארגוניות, שבהן יש צורך באבטחה גבוהה יותר של הרשת. הוא יכול לשמש להגנה מפני גישה בלתי מורשית לרשת, מפני פריצה למחשבים או מפני התפשטות של וירוסים או תוכנות זדוניות.

הוא משמש במקומות כגון:

• בקרת גישה אלחוטית: לאפשר גישת WiFi רק למכשירים מורשים ולבצע אימות משתמשים הנכנסים לרשת.
• הגנת פורטים במתגים: על מנת לאפשר גישה לפורט במתג רשת רק להתקנים מורשים שעברו אימות.
• הגנת רשת קווית: יכול לשמש כדי לסנן ולאשר גישות לרשת הקווית על בסיס התקנים\משתמשים המורשים.
• BYOD: מאפשר בקרת התקנים אישיים המבקשים גישה לפי מדיניות הרשאות שהוגדרה.

התקן 802.1X מהווה מנגנון מוביל לאימות מכשירים ומשתמשים ברשתות מחשבים ובקרת הגישה שלהם על בסיס מדיניות שנקבעה מראש.

רשת מקומית, ברמת העקרון, נגישה לכל המתחבר אליה באופן פיזי. מובן שיש מקרים בהם מנהלי הרשת ירצו להגביל את הגישה למשתמשים מסוימים. הדרך הבטוחה ביותר לעשות זאת היא על ידי "רשימה לבנה" הקובעת למי מותרת הגישה וכיצד עליו להזדהות. כך, רק מי שזהותו מאומתת יורשה להתחבר לרשת. רצוי לעשות זאת בשלב המוקדם ביותר של ההתחברות על-מנת לצמצם את אפשרויות התקיפה של המשתמש. לשם-כך פותח IEEE 802.1x שהוא תקן אחיד המספק למכשירים מסוגים שונים המחוברים לרשת מקומית שירותי אימות, הרשאה והחלפת מפתחות הצפנה כך שיוכלו לתקשר בבטחה.

IEEE 802.1x (איגוד המהנדסים הבינ"ל) הוא תקן לבקרת גישה לרשת מבוססת פורטים. התקן הוא חלק ממשפחה של פרוטוקולי רשת, IEEE 802.1, המתקננים תקשורת. 

התקן 802.1 מספק מנגנון אימות זהות למכשירים המבקשים להתחבר לרשת מקומית - קווית (LAN) ואלחוטית (WLAN), וה- IEEE 802.1X מגדיר שלושה צדדים - מבקש האימות, המאמת ושרת האימות - ודרכי התקשרות ביניהם למען דחיית או קבלת מבקש האימות. 

האימות מתבצע באמצעות פרוטוקול כללי, EAP) Extensible Authentication Protocol), כאשר התקן מגדיר כיצד EAP נעטף (encapsulated) בשכבת הקו בין המבקש למאמת. הוא קובע כי עטיפתו בין המאמת לשרת האימות תעשה באמצעות פרוטוקולי AAA קיימים - RADIUS או Diameter.

802.1X הוא פרוטוקול השייך למשפחת פרוטוקולי הרשת 802 של ה-IEEE (כלומר, הוא לא קשור ביצרן כזה או אחר וניתן ליישם אותו בכל סביבה שנרצה). 

הלוגיקה:

1. אדם מגיע בתור גורם זר לחברת מייקרוסופט ובזמן שהמארח שלו בחברה הלך לחוג יוגה השבועי שלו, אותו אדם מעוניין לקרוא מיילים. לצורך העניין, המבקר מחבר את המחשב הנייד שלו לנקודת הרשת הפנויה הראשונה שימצא.
2. המתג, בהיותו תומך בפרוטוקול, רואה שמישהו מנסה להתחבר ומעביר את הבקשה לשרת הרדיוס שחברת מייקרוסופט הקימה מבעוד מועד. רדיוס הינו פרוטוקול בפני עצמו שיודע לקבל צורת הזדהות מסוימת (למשל שם / סיסמא או תעודה חכמה) ולהחזיר תשובה – רשאי או אינו רשאי.
3. שרת הרדיוס בודק אם לאדם מאושרת הכניסה (למשל אל מול שרת Active Directory) ומחזיר את התשובה למתג.
4. המתג יודע שאם אדם כלשהו מאושר כניסה, עליו להעביר את הפורט עליו הוא מחובר ל-VLAN של הרשת הפנימית. במידה ואיננו רשאי (וזה כנראה המצב עבור מישהו שלא עובד במייקרוסופט),  כנראה שהמתג יפנה אותו ל VLAN מבודד או שאפילו יכבה את הפורט עליו הוא יושב. תלוי באנשי ה-IT של חברת Microsoft.

הפרוטוקול נותן מענה מבחינת רמת האבטחה שהוא מספק. הבעיה העיקרית היא הקושי להטמיע מערכת שכזאת.מספר הארגונים בארץ אשר ביצעו הטמעה מלאה של 802.1X מזערי. הקושי הגדול טמון בכך שצריך לוודא שכל ציודי התקשורת יתמכו ויכירו את הפרוטוקול, דבר המצריך ציוד חדיש יחסית ומערכות הפעלה חדשות.

לאחר ששדרגנו את כל ציוד ההתקשרות, יש לוודא שכל התקני הקצה תומכים.  נתחיל עם המחשבים, עליהם חייב להיות רכיב המסוגל לדבר את הפרוטוקול ונמשיך הלאה למיליון התקנים אחרים שמחוברים לרשת וצריכים להיות מסוגלים לתקשר – טלפונים, מדפסות, שעוני נוכחות, מתגים וקוראי תגים. לבסוף, בלית ברירה, בניסיון להטמיע את המערכת, מדרדרים לאישור התקנים ע”פ כתובת ה-MAC שלהם, דבר הפותח פרצת אבטחה די גדולה – כי לשנות את כתובת ה-MAC של המחשב זה אינו סיפור גדול. רק בכדי להדגים כמה זה פשוט, תחת לינוקס אפשר להריץ את הפקודה הבאה:

ifconfig eth0 down hw ether 00:00:00:00:00:01

שמשנה את כתובת ה-MAC ל: 00:00:00:00:00:01 (גם תחת windows זה לא סיפור גדול) ברוב כרטיסי הרשת ניתן לשנות את הכתובות בהגדרות של כרטיס הרשת:

במקרים בהם כרטיס הרשת אינו תומך, אפשר לשלוט בכתובת ע”י ערך ב-registry - שם ישנו יצוג לכל כרטיס רשת לפי מספר סידורי והערך Network Address אחראי על כתובת ה-mac. הפעלה מחדש של המחשב, וזהו – יש לנו כתובת MAC חדשה.

ניהול MAC

נסתכל ברגע זה או בתקופה הקרובה על כל מי שמתחבר לרשת. לאחר תקופת הלמידה הזאת (בד”כ כשבועיים), נחליט שאת כל כתובות ה-MAC שצברנו נגדיר בתור ה”רשת” הארגונית שלנו, וכל כתובת חדשה שתצוץ בעתיד תחשב כפולש או מזיק ותחסם.

במצב כזה בעצם נקבל, בסופו של דבר, שרת אחד המכיל רשימה עצומה של כתובות MAC (רשימה שעלולה להכיל לעשרות אלפי כתובות בארגונים גדולים). בנוסף, כל התקן חדש שמגיע לארגון מחייב הכנסה של כתובת ה MAC שלו לרשימה – עבודה שלא נגמרת אף פעם. במידה ומגיע גורם לא מזוהה, הסינון מתבצע על ידי חסימת הפורט במתג. השרת שמוגדר לנהל את המתגים ב-SNMP מזהה כתובת  MAC לא מאושרת (על ידי משיכת טבלת ה-MAC של המתג ב-SNMP), ושולח הוראה למתג לכבות את הפורט. מאותו רגע והלאה, אין לגורם הזר יכולת לבצע שום פעילות רשתית.

מצד אחד, המערכת מאוד קלה להקמה, וכמעט לא דורשת הגדרות מיוחדות ומצד שני התוצר שמתקבל היא רשימה שמאוד קשה לעקוב אחריה  או לנהל אותה, וכמעט אף פעם לא נמחקות כתובות MAC שאינן בשימוש עוד.

אז מה צריך בשביל לעקוף מערכת שכזאת? לזייף MAC היא רק אחת מהאפשרויות.

דרישות מ-NAC

פרוטוקולי RADIUS ו-TACACS+ RADIUS and TACACS+ Protocols

בבקרת גישה לרשת, פרוטוקולי RADIUS (שירות חיוג אימות מרחוק) ו-TACACS+ (Terminal Access Controller Access-Control System Plus) הינם אינטגרליים, המשמשים כמסגרות אימות, הרשאות וחשבונאות (AAA) לאבטחת משאבי הרשת ולתחזוקת המשתמש ניהול גישה.

הבנת פרוטוקול RADIUS:

RADIUS הוא פרוטוקול בשימוש נרחב המנהל את האימות וההרשאה של הרשת. הוא משתמש במודל שרת-לקוח, שבו שרת RADIUS מחזיק נתוני אימות משתמש, והלקוח הוא בדרך-כלל שרת גישה לרשת (NAS). שרת RADIUS מאמת את אישורי המשתמש שנשלחו על ידי ה-NAS ומחזיר את סטטוס ההרשאה ואת המדיניות המתאימים.

פונקציות הליבה של RADIUS:

RADIUS מתמקד בעיקר בפעולות הבאות:

• אימות: מאמת את אישורי המשתמש כדי לאשר את הזהות לפני הענקת גישה.
• הרשאה: קובע את שירותי הרשת שאליהם המשתמש יכול לגשת על סמך הרשאות מוגדרות מראש.
• הנהלת חשבונות: רישום פעילות המשתמש, מתן תובנות והבטחת שקיפות ניצול המשאבים.

הבנת פרוטוקול TACACS+:

TACACS+ הוא פרוטוקול AAA חזק נוסף והוא הרחבה של ה-TACACS המקורי. הוא מפריד בין שירותי אימות, הרשאות וחשבונאות, ומאפשר לכל אחד לפעול באופן עצמאי, ומספק גמישות בפעולות AAA.

פונקציות הליבה של TACACS+:

TACACS+ כולל את פונקציות המפתח הבאות:

• אימות: מאמת את זהות המשתמש על סמך אישורים.
• הרשאה: מקצה הרשאות ופקודות שמשתמש יכול לבצע לאחר אימות מוצלח.
• הנהלת חשבונות: מתעדת את פעילויות המשתמש וניצול המשאבים לצורך ביקורת וניתוח.
  
  

תובנות השוואתיות: RADIUS לעומת TACACS+:

בעוד ששני הפרוטוקולים מציעים שירותי AAA, הם מציגים הבדלים:

• פעולת פרוטוקול: RADIUS משלב אימות והרשאה, בעוד TACACS+ מפריד בין שלוש פונקציות AAA.
• הצפנה: RADIUS מצפין רק את הסיסמה, בעוד ש-TACACS+ מצפין את כל תוכן החבילה, ומציע אבטחה משופרת.
• התאמה למקרה שימוש: RADIUS אידיאלי עבור גישת ISP וחיבורי VPN בשל יכולת ההרחבה שלו, בעוד ש-TACACS+ עדיף לניהול מכשירים בשל השליטה המפורטת שלו על הרשאות המשתמש.

אסטרטגיות יישום:

יישום RADIUS ו-TACACS+ דורש תכנון וביצוע אסטרטגיים:

• הערכת צרכים: הערכת דרישות ארגוניות כדי לקבוע איזה פרוטוקול מתאים בצורה הטובה ביותר ליעדי בקרת גישה לרשת.
• תצורה: הגדר בצורה מדויקת את הפרוטוקול שנבחר, תוך הבטחת אישורי משתמש, הרשאות ואכיפת מדיניות נכונים.
• בדיקה: בדיקה קפדנית היא חשיבות עליונה כדי לוודא את הפונקציונליות והיעילות של הפרוטוקול בסביבת הרשת.

שיקולי אבטחה ושיטות עבודה מומלצות:

אבטחה היא הדאגה העיקרית בעת שימוש בפרוטוקולי AAA. ביצוע שיטות עבודה מומלצות חיוני:

• הצפנה משופרת: בהתחשב בהצפנה המוגבלת ב-RADIUS, שימוש בשכבות אבטחה נוספות, כמו IPsec, הוא חיוני.
• ביקורת רגילה: ביקורת קבועה של היומנים ופעילויות המשתמש שנרשמו על ידי הפרוטוקולים עוזרת באיתור חריגות והבטחת תאימות.
• אימות רב-גורמי: שילוב MFA עם RADIUS ו-TACACS+ משפר משמעותית את האבטחה של אימות המשתמש.

אבולוציה ומגמות עתידיות:

ההתפתחות של סביבות הרשת מכתיבה חידוד מתמשך של פרוטוקולי AAA:

• אינטגרציה עם שירותי ענן: התאמות חיוניות לאינטגרציה חלקה עם שירותים וסביבות מודרניות מבוססות ענן.
• מנגנוני אבטחה מתקדמים: שיפורים מתמשכים הם קריטיים כדי להתמודד עם איומים ופגיעות מתעוררים בבקרת גישה לרשת.
• מדרגיות וגמישות משופרים: מגמות עתידיות נוטות לעבר פתרונות AAA ניתנים להרחבה וגמישים יותר כדי להתאים לדרישות הרשת הגדלות והמגוונות.

פרוטוקולים בשימוש מערכות בקרת גישה (כניסה) פיזית

RFID (Radio Frequency Identification) ו-NFC (Near Field Communication) הם שני פרוטוקולים בטכנולוגיות תקשורת בתדר רדיו, המשמשים לזיהוי וקריאת מידע מהתקנים אלקטרוניים, לזיהוי ואימות מרחוק באמצעות תגיות וקוראים ייעודיים.

RFID (Radio Frequency Identification) הוא טכנולוגיה המשתמשת בגלי רדיו כדי לזהות התקנים אלקטרוניים. התקנים RFID מכילים שבב אלקטרוני קטן המכיל מידע מזהה. כאשר התקן RFID נכנס לטווח פעולה של קורא RFID, הקורא משדר אות רדיו להתקן. ההתקן מגיב על ידי שידור מידע מזהה בחזרה לקורא.

i-NFC (Inductively Coupled Near Field Communication) הוא פרוטוקול תקשורת אלחוטית מבוסס RFID המאפשר תקשורת בין שני התקנים במרחק קצר של עד 10 סנטימטרים. i-NFC משמש לרוב למשימות כגון תשלום אלחוטי, כניסה ללא מפתח, והעברת נתונים.

שימושים נפוצים ל-RFID ו-i-NFC:

• בקרת גישה: RFID ו-i-NFC משמשים לעתים קרובות לצורך בקרת גישה למבנים, אזורים, או נכסים. לדוגמה, ניתן להשתמש ב-RFID או ב-i-NFC כדי לאפשר כניסה לעובדים למשרדים או ללקוחות לחנויות.
• תגי RFID ו-NFC מוטבעים בתעודות מזהות כגון תעודות עובדים, כרטיסי סטודנטים ועוד, כדי לאפשר כניסה מאומתת לאזורים מוגבלים.
• תשלום: RFID ו-i-NFC משמשים גם לצורך תשלום אלחוטי. לדוגמה, ניתן להשתמש ב-RFID או ב-i-NFC כדי לשלם עבור מוצרים או שירותים בחנויות או בתחבורה הציבורית, או לתשלום במעברי כבישים אגרה וחניונים באמצעות תגים וקוראים.
• העברת נתונים: RFID ו-i-NFC משמשים גם להעברת נתונים בין התקנים. לדוגמה, ניתן להשתמש ב-RFID או ב-i-NFC כדי להעביר מידע אישי, כגון כרטיס ביקור או כרזה, בין שני התקנים.
• משמשים במערכות נוכחות ושליטה בשעות הגעה ועזיבה של עובדים.
• מעקב אחר נכסים יקרי ערך וציוד באמצעות תיוג ומעקב RFID.
• זיהוי מסמכים ודרכונים אלקטרוניים עם תגי RFID.
• בקרת מלאי במחסנים על ידי תיוג מוצרים וקריאת תגים.

יתרונות של RFID ו-i-NFC

• נוחות: RFID ו-i-NFC הם נוחים לשימוש, מכיוון שהם אינם מחייבים את המשתמש להקיש על כפתורים או להזין נתונים. מאפשרים יכולת זיהוי ואימות אוטומטיים ללא מגע פיזי מקרוב.
• יעילות: RFID ו-i-NFC הם יעילים, מכיוון שהם מאפשרים זיהוי וקריאת מידע במהירות ובקלות.
• אבטחה: RFID ו-i-NFC יכולים להיות בעלי רמת אבטחה גבוהה, מכיוון שהם יכולים להשתמש בקריפטוגרפיה כדי להגן על המידע המזוהה.

חסרונות של RFID ו-i-NFC:

• טווח פעולה מוגבל: טווח הפעולה של RFID ו-i-NFC מוגבל, מה שמגביל את השימוש בהם למשימות במרחק קצר.
• עלות: RFID ו-i-NFC יכולים להיות יקרים יותר מפרוטוקולים אחרים, כגון קוד חד-פעמי או טביעת אצבע.
• RFID ו-i-NFC הם פרוטוקולים יעילים ונפוצים המשמשים לזיהוי וקריאת מידע מהתקנים אלקטרוניים. הם משמשים למגוון רחב של משימות, כגון בקרת גישה, תשלום, והעברת נתונים.

 עבור למאמר הבא