כפתור הקפץ למעלה

11.1 חומת אש: Firewall

פיירוול (Firewall) הוא אחד הכלים הבסיסיים והחשובים ביותר בארסנל של מנהלי מערכות מידע. פיירוול הוא מערכת או חומת אש וירטואלית המטרתה להגן על רשתות מחשבים מפני גישה לא מורשית, תקיפות סייבר וניסיונות חדירה. היא פועלת כמחסום בין רשת אחת לשנייה, לרוב בין רשת פנימית מאובטחת לבין האינטרנט הגדול והפתוח.

קיימים שני סוגים בסיסיים של פיירוולים: חומרתיים ותוכנתיים. פיירוול חומרתי הוא מכשיר פיזי המוצב בין הרשת הפנימית לרשת החיצונית, והוא מתמקד בסינון חבילות נתונים ברמת החומרה. לעומת זאת, פיירוול תוכנתי הוא תוכנה המותקנת על מחשב או שרת, והיא יכולה להיות מותאמת ומוגדרת באופן גמיש יותר.

הפיירוול בודק כל חבילת נתונים העוברת דרכו. הוא משווה כל חבילה לסט של כללים שהוגדרו מראש על ידי מנהל המערכת או על פי כללים אוטומטיים המבוססים על אלגוריתמים מתקדמים. כללים אלה יכולים לכלול, לדוגמה, איזו סוגי תעבורה מורשים לעבור דרך הפיירוול, מאילו כתובות IP או טווחי כתובות, ואילו סוגי פרוטוקולים מורשים. אם חבילת נתונים לא עומדת בקריטריונים הללו, הפיירוול יחסום אותה.

בנוסף לסינון תעבורה פשוט, FIREWALL מתקדמים יכולים לכלול יכולות נוספות, כמו זיהוי ומניעת פריצות, סינון על פי תוכן, ובקרה על יישומים. כמו כן, הם יכולים להשתמש בטכניקות כמו Stateful Inspection, שבה הפיירוול עוקב אחר מצב החיבורים ומאפשר רק תעבורה חוקית שמתאימה למודלים מסוימים של תקשורת.

התקנת וניהול פיירוול אינם משימות פשוטות ודורשות הבנה טכנית וניסיון. הגדרת כללים נכונה ומדויקת קריטית להגנה יעילה, ולכן יש לעדכן ולבדוק את הגדרות הפיירוול באופן קבוע. במקרה של הגדרה לקויה, ייתכן שהפיירוול יחסום תעבורה לגיטימית או לחילופין יאפשר גישה לא מורשית.

לסיכום, הפיירוול הוא חלק חשוב באסטרטגיה הכוללת של אבטחת מידע בארגון. הוא משמש כשומר הראשון בקו ההגנה נגד התקפות סייבר, ומסייע בשמירה על בטחון המידע והמערכות של הארגון.

בבסיסה, חומת אש היא נתב "חכם" המחבר את הרשת המאובטחת לרשתות אשר אין יכולים לערוב לאבטחתן, לדוגמה, רשת האינטרנט. מערכת זו מהווה לרוב נדבך חשוב במערך אבטחת רשתות מחשבים בשילוב מערכות אנטי וירוס. אסטרטגיית אבטחה טובה צריכה להיות מורכבת מכמה שכבות הגנה ובתרחיש כזה חומת האש היא בדרך-כלל קו ההגנה הראשון.

כל פעולה המפרה את החוקים שנקבעו מדווחת למנהל המערכת ונרשמת במערכת מידע וניהול אירועים (SIEM) המבדילה בין אזעקות שווא לבין פעילות זדונית.

מטרות

  • להגן על רשת ארגון בפני מתקיפים מבחוץ.
  • לחצוץ בין אזורים ברמת אבטחה/אמון שונות בתוך הרשת הפנימית.
  • לשלוט על תעבורה יוצאת ונכנסת (מאפשר שליטה ברוחב פס/תוכן עובר).

מיקום חומת האש בארגון

יש להתקין חומת אש בארגון בשתי נקודות ספציפיות:

  • חומת אש בין הרשת הפנימית לרשת החיצונית: חומת אש בין הרשת הפנימית לרשת החיצונית היא שכבת ההגנה הראשונה של הארגון מפני התקפות מהאינטרנט. חומת אש זו יכולה לחסום גישה לא מורשית לרשת הפנימית, כולל גישה לנתונים רגישים.
  • חומת אש בין הרשתות הפנימיות השונות בארגון: חומת אש בין הרשתות הפנימיות השונות בארגון יכולה להגן על מידע רגיש מפני גישה לא מורשית מתוך הארגון. 

התקנת חומת אש בשתי נקודות אלו יוצרת שכבת הגנה נוספת עבור הארגון.

מבנה חומת אש

חומת אש מורכבת משלושה מרכיבים עיקריים:

  • חומרה: חומת האש יכולה להיות מיושמת כתוכנת מחשב או כחומרה ייעודית. חומות אש חומריות הן בדרך-כלל מהירות יותר ויותר מאובטחות מחומות אש מבוססות תוכנה, אך הן גם יקרות יותר.
  • תוכנה: חומת האש כוללת תוכנה אשר מבצעת את עבודת סינון התעבורה. התוכנה מבוססת על כלליו מוגדרים, אשר קובעים אילו התקשרויות מותרות ואילו אסורות.
  • ממשק: חומת האש כוללת ממשק המאפשר למנהל הרשת להגדיר את הכללים ולפקח על פעילותה.


סוגי חומות אש

  • חומות אש מתחלקות לשלוש קטגוריות עיקריות: סינון מנות, שרות פרוקסי, ו- Stateful - פיקוח חומות אש.

ניתן לסווג חומות אש למספר סוגים, כל אחד עם הגישה הייחודית שלו לניטור ובקרה על תעבורת רשת:

  • חומות אש מסננות מנות: חומת האש המוקדמת ביותר, היא בוחנת חבילות של נתונים המועברות דרך האינטרנט ומקבלת או דוחה אותן על סמך כללים המוגדרים על ידי המשתמש, לגבי מקור החבילה, יעד החבילה, פרוטוקול החבילה פורט החבילה ומידע נוסף המצוי בחבילות.
  • חומות אש Stateful Inspection: חומת אש זו, מסוג מתקדם יותר, לא רק בוחנת מנות בודדות אלא גם עוקבת אחר חיבורים פעילים ומשתמשת במידע ההקשרי הזה כדי לקבוע אם מנה היא חלק מחיבור שנוצר או לא. הן פועלות על ידי בדיקת הקשר של כל חבילה עם החבילות הקודמות שלה. לדוגמה, אם חבילה ראשונה מבקשת להתחבר לשרת מסוים, חומת אש Stateful Inspection תבדוק אם החבילה השנייה היא תגובת השרת. אם לא - החבילה הבאה תחסם.
  • חומות אש פרוקסי: ידועות גם כשערים ברמת יישום, חומות אש אלו מונעות חיבורים ישירים בין שני הצדדים של חומת האש, אבל מתווכות בעצמן. כאשר מחשב ברשת מנסה להתחבר לאתר אינטרנט, הוא שולח בקשה לחומת האש הפרוקסי. חומת האש הפרוקסי מתקשרת עם האתר האינטרנט ומחזירה את התשובה למחשב. חומות אש פרוקסי יכולות לספק הגנה משופרת מפני איומים מקוונים, כגון תוכנות זדוניות והתקפות Man-in-the-Middle.
  • חומות אש של הדור הבא (NGFIREWALLs): אלו חומות אש מתקדמות יותר הכוללות תכונות נוספות כמו מניעת חדירה, בדיקת SSL ו-SSH, בדיקת מנות עמוקות וזיהוי תוכנות זדוניות מבוססות מוניטין.

חומת אש לסינון מנות

חומת אש של סינון מנות פועלת בשכבת הרשת (שכבה 3) של דגם OSI והם הבסיסיים ביותר מסוגי חומת האש. הרעיון של סינון מנות כרוך בהגדרת אילו מנות נתונים מותרות לעבור דרך חומת האש על בסיס מספר קריטריונים. בעיקרון, ניתן לציין סינון כתובות IP, יציאות ופרוטוקולים. אפשר לחסום את כל המנות שמקורן בכתובת IP מסוימת (או טווח כתובות IP), או לחסום את כל התנועה שמנסה להיכנס ביציאה 23 (יציאת Telnet).

חומת אש לסינון מנות בדרך-כלל מובנית מראש בנתבים ומספקים שורת פקודה או ממשק גרפי לציון כללי הסינון. ההגנות שמספקות חומות אש כאלה נחשבות כחלשות מכיוון שהן יכולות רק לחסום כתובות IP שמנהל יודע מראש צפויות להיות זדוניות. עם זאת, הם מהירים וקלים מאוד לתצורה, ומספקים קו הגנה ראשון טוב.

התהליך מתחיל בזיהוי נתוני החבילה, כולל כתובת ה-IP של המקור והיעד, מספרי הפורטים, וסוג הפרוטוקול. על סמך מידע זה, ה-Firewall משווה את החבילה לסט של כללים שהוגדרו על ידי מנהל המערכת. הכללים יכולים להיות מתוחכמים ולכלול תנאים משולבים, כגון זיהוי סוגים מסוימים של תנועה או חסימת תעבורה מכתובות IP ספציפיות.

ברמה הטכנית, סינון חבילות עובד על ידי בחינת הכותרות של חבילות הנתונים שעוברות ברשת. כל חבילת נתונים ברשת מכילה כותרת שמכילה מידע מזהה כמו כתובת המקור והיעד, מספר הפורט, וסוג הפרוטוקול. ה-Firewall משתמש במידע זה לקבוע אם החבילה עומדת בכללים שהוגדרו ואם יש לאפשר לה לעבור.

מבנה חבילה

חבילת נתונים (Packet) שעוברת ברשת מחשבים מורכבת בדרך-כלל משני חלקים עיקריים: כותרת (Header) ומידע (Payload). היא עשויה לכלול גם סיומת (Trailer), בהתאם לפרוטוקול שבו היא משודרת. כל חלק מספק מידע שונה ומשמש למטרות שונות:

  • כותרת (Header): הכותרת מכילה מידע מטה (Metadata) הנדרש לניהול התקשורת והניתוב של החבילה ברשת. זה כולל, בין השאר:
  • כתובת המקור והיעד: כתובות IP של השולח והמקבל.
  • מספרי פורטים: במקרה של תקשורת TCP/IP, מספרי הפורטים מציינים את היישומים או השירותים בשולח ובמקבל.
  • פרוטוקול וסוג החבילה: כגון TCP, UDP, ICMP וכדומה.
  • מידע על גודל החבילה וסדרה: לצורך ניתוב ורכיבה נכונה של המידע ביעד.
  • ביטי בקרה: כמו ביטי בדיקת זיהוי שגיאות (Checksum) לוודא את אמינות החבילה.

  • מידע (Payload): זהו תוכן החבילה, המידע שהמשתמש או היישום מעוניינים לשדר. ה-Payload יכול להכיל נתונים שונים כמו קובץ, הודעת אימייל, חלק מדף אינטרנט, או כל סוג אחר של מידע דיגיטלי.

  • סיומת (Trailer): לא כל החבילות כוללות סיומת, אך במקרים שבהם היא קיימת, היא מכילה נתונים נוספים לבקרה ולאבטחת איכות התקשורת, כגון בדיקות שלמות נתונים.

  • המבנה הספציפי של חבילת הנתונים תלוי בפרוטוקול המשמש לתקשורת. לדוגמה, חבילות TCP/IP יהיו בעלות מבנה שונה מחבילות של פרוטוקולים אחרים כמו Ethernet או MPLS.

קריטריונים של סינון מנות

דוגמאות לקריטריונים של סינון מנות:

  • מקור החבילה: כתובת IP של המחשב השולח את החבילה.
  • יעד החבילה: כתובת IP של המחשב המקבל את החבילה.
  • פרוטוקול החבילה: סוג התעבורה המכילה החבילה.
  • פורט החבילה: מספר הפורט אליו או ממנו מיועדת החבילה.

שימוש בסינון מנות ב-FIREWALL

סינון מנות הוא טכניקה שימושית להגנה על רשתות קטנות ובינוניות. הוא יכול לשמש להגנה על רשת ביתית, רשת עסקית קטנה או רשת משרדית.

סינון מנות יכול לשמש גם כחלק ממערכת אבטחת רשת מתקדמת יותר. הוא יכול לשמש בשילוב עם טכניקות אבטחה אחרות, כגון ניתוח תעבורה, אימות רב-גורמי ו-Zero Trust.היתרון של סינון מנות ב-FIREWALL

היתרון העיקרי של סינון מנות הוא שהוא פשוט יחסית ליישום ולניהול. הוא דורש רק הגדרת קריטריונים בסיסיים, כגון כתובות IP ומספרי פורטים.

יתרון נוסף של סינון מנות הוא שהוא יעיל יחסית מבחינת משאבי מערכת. הוא אינו דורש הרבה זיכרון או עיבוד כדי לפעול.

החסרונות של סינון מנות ב-FIREWALL

החיסרון העיקרי של סינון מנות הוא שהוא אינו מספיק להגנה מפני איומים מתקדמים. תוכנות זדוניות והתקפות DDoS יכולות לעבור את הסינון על ידי שימוש בטריקים שונים, כגון שימוש בכתובות IP מזויפות או שינוי מספרי הפורטים המשמשים.

חסרון נוסף של סינון מנות הוא שהוא יכול להיות לא יעיל במקרים שבהם יש הרבה תעבורה ברשת. הסינון עלול לגרום לעיכוב בתעבורה ולירידה בביצועים של הרשת.

חומת אש לשירותי פרוקסי

חומת אש של שירותי פרוקסי ממוקמת בין האינטרנט לרשת מחשבים פנימית ומשמשת כמעבר בין שתי הסביבות. כששירות פרוקסי קיים, מחשבי לקוח פנימיים אינם מתחברים ישירות למשאבים חיצוניים. במקום זאת הם מתחברים לשרת ה- proxy שבתורו מתחבר למשאב החיצוני מטעם הלקוח, ובכך מסווה את כתובת ה- IP הפנימית של הלקוח. כל התגובות מהמשאבים החיצוניים מטופלות על ידי שירות ה- Proxy שמעביר אותן ללקוח שביקש במקור את הנתונים, מבלי שה- IP של לקוח קצה פנימי ייחשף.

שרתי פרוקסי יכולים גם לספק פונקציות מטמון, בהן דפי אינטרנט אשר לרוב ניגשים אליהם על ידי לקוחות פנימיים מאוחסנים על ידי השרת כך שניתן לספק אותם במהירות כאשר יתבקשו לאחר מכן, מה שמוביל לזמני תגובה מהירים יותר. חומת אש של שירותי פרוקסי זמינים בשתי צורות בסיסיות, שער ברמת מעגל הפועל בשכבת ההפעלה של מודל OSI כדי לוודא שכל ההפעלות הן לגיטימיות,  ושער ברמת יישום הפועל בשכבת היישומים של OSI כדי לשלוט בתנועה מסוגים מסוימים (כגון HTTP, FTP ו- SNMP).

חומת אש פיקוחית

חומת אש לבדיקת מצבים (הידועה גם בשם חומת אש לסינון מנות דינאמי) פועלת בשכבת הרשת של OSI ומשלבת כמה תכונות של חומת אש לשרת סינון מנות ושל שרת פרוקסי. חומת אש פיקוח לא בודקות רק את פרטי הכותרות של המנות, אלא גם עוקבות אחר פעילויות באתר כדי להבטיח שהן לגיטימיות ושומרת על טבלאות מצב עבור כל חיבור. באמצעות טבלאות מצב אלה ניתן לצפות בכל מנות שמתקבלת על ידי חומת האש במסגרת התנועה שקדמה לה, ומאפשרת ליירט ולחסום נתונים זדוניים.

חומות אש היא מערכת שמפרידה בין שני אזורים ברשת, כופה מדיניות אבטחה על התקשורת ביניהם, ומבצעת סינון של התעבורה העוברת בין האזורים.

האזורים יכולים להיות:

  • רשת פרטית / ציבורית.
  • תתי רשתות של ארגון בעלות סיווגים שונים (הרשת של מחלקת מכספים וכל המחלקות האחרות).

FIREWALL יכול להיות מורכב ממחשב או נתב בודד, או מאוסף מחשבים, נתבים וכו' שאיננו על מחשב אישי (משתמש קצה), חייב להכיל לפחות Host Homed-Multi אחד (קופסה עם חיבור לשתי רשתות או יותר). 

כללים דינמיים ב-Firewall

כללים דינמיים בחומת אש, מאפשרים גמישות ורגישות לשינויים בסביבת הרשת ובהתנהגות התקשורת.

בנוסף לכללים סטטיים, פיירוולים מתקדמים משתמשים גם בכללים דינמיים, שנוצרים על בסיס התנהגות הרשת ותבניות תקשורת. לדוגמה, פיירוול יכול ללמוד לזהות תבניות תקשורת חריגות שעלולות להצביע על ניסיון פריצה או התקפת DDoS.

חומות אש Stateful Inspection יכולות להשתמש בחוקים דינמיים, אך הם מוגבלים יותר מאשר בחומות אש פיקוחיות או NGFIREWALL. חוקים דינמיים בחומות אש Stateful Inspection מבוססים על ניתוח הקשר בין חבילות. לדוגמה, חומה אש Stateful Inspection יכולה ליצור כלל דינמי שיאשר רק חבילות שנשלחו כתגובה לחבילות אחרות.

כללים דינמיים בחומת אש הם כללים המשתנים באופן אוטומטי על פי תנאים מסוימים או כאשר מתרחשים אירועים מסוימים ברשת. לעומת כללים סטטיים, שנשארים קבועים עד לשינוי ידני, כללים דינמיים מתאפשרים התאמה ותגובה מהירה לאיומים ושינויים בסביבת הרשת.

היתרונות של שימוש בכללים דינמיים רבים. ראשית, הם מאפשרים ל-Firewall להגיב במהירות לאיומים חדשים. לדוגמה, אם זוהה ניסיון חדירה מכתובת IP מסוימת, ה-Firewall יכול לחסום אוטומטית את כל התעבורה הבאה מכתובת זו. שנית, כללים דינמיים מאפשרים התאמה לשינויים בתבניות של תעבורת רשת, כגון עלייה פתאומית בתעבורה, שעלולה להצביע על התקפת DDoS.

כללים דינמיים יכולים גם להיות מבוססים על למידת מכונה ובינה מלאכותית. באמצעות אלגוריתמים מתקדמים, ה-Firewall יכול ללמוד מהתנהגויות תקשורת קודמות ולזהות תבניות (Patterns) של תקשורת חריגה או זדונית. כך, כללים דינמיים יכולים להתעדכן באופן עצמאי ולשפר את יעילות ההגנה של ה-Firewall.

עם זאת, יש לנהל בזהירות את השימוש בכללים דינמיים. יתר-פעילות או הגדרות לא מדויקות עלולות להוביל לחסימות שגויות או להפרעות בתקשורת רגילה. לכן, חשוב לקבוע תהליכים לבדיקה ולבקרה של כללים דינמיים, ולוודא שהם משרתים את מטרות האבטחה של הארגון באופן יעיל.

נקודות מרכזיות:

  • כללים דינמיים בחומת אש מתאימים ומתעדכנים באופן אוטומטי בהתאם לתנאים ואירועים ברשת.
  • מאפשרים תגובה מהירה לאיומים חדשים ושינויים בפטרני התקשורת.
  • יכולים להיות מבוססים על אלגוריתמים מתקדמים כמו למידת מכונה.
  • דורשים ניהול זהיר ובקרה כדי למנוע חסימות שגויות והפרעות לתקשורת.

Stateful מול Stateless

חומות אש יכולות להיות stateful או stateless. 

  • חומת אש stateful זוכרת את המצב של כל חיבור רשת ומשתמשת במידע זה כדי להחליט אם לאפשר לחבילה לעבור. חומת אש stateless אינה זוכרת את המצב של חיבור רשת ומשתמשת רק בנתונים של החבילה הנוכחית כדי להחליט אם לאפשר לה לעבור.

  • חומות אש stateful הן בדרך-כלל יעילות יותר בחסימת התקפות מבוססות פרוטוקול, כגון התקפות DoS.

Web Application Firewall (WAF)

חומת אש של יישומי אינטרנט (WAF) היא חיונית. היא משמשת חומת אש המתמקדת באבטחת יישומי אינטרנט על ידי ניטור וסינון תעבורת HTTP בין יישום אינטרנט לאינטרנט. הוא תוכנן במיוחד כדי להגן על יישומי אינטרנט מפני וקטורי תקיפה שונים כגון הזרקת SQL, סקריפטים בין-אתרים (XSS) והכללת קבצים.

חומת אש של אפליקציות אינטרנט WAF היא מערכת חומת אש (Firewall) ייעודית לאפליקציות מקוונות, המסננת, מציגה, וחוסמת תשדורת HTTP אל יישום אינטרנט וממנו. WAF שונה מחומת אש רגילה בכך שהיא מסוגלת לסנן תוכן ספציפי של יישומי אינטרנט בזמן שחומת אש רגילה משמשת כשער בטיחות בין שרתים. ה-WAF עובד בשכבה 7 ולכן יודע לזהות גם את תוכן המידע שעובר דרכו, ומסוגל למנוע תעבורת רשת לא בטוחה מלהיכנס לרשת פנימית של ארגון.  

באמצעות בדיקת תנועת ה-HTTP, ניתן למנוע התקפות הנובעות מפגמי אבטחה של יישומי אינטרנט, כגון הזרקת SQL או XSS.

פריסה ותצורה

פריסה נכונה ותצורה מדוקדקת של WAF הם חיוניים. זה יכול להיות ממוקם מול שרת יישומי האינטרנט, לשמש כשער, או שהוא יכול להיות משולב בשרת היישומים עצמו. יש להגדיר בקפידה את הכללים והמדיניות של ה-WAF כך שיתאימו לדרישות האבטחה של אפליקציית האינטרנט, תוך איזון בין אבטחה ושימושיות.

הכלי נפרס מול יישומי אינטרנט ומנתח תעבורה מבוססת אינטרנט דו-כיוונית (HTTP) - מזהה וחוסם כל דבר זדוני. ה-OWASP מספק הגדרה טכנית רחבה ל-WAF כ"פתרון אבטחה ברמת יישום האינטרנט אשר - מנקודת מבט טכנית - אינו תלוי באפליקציה עצמה." על פי מוסף PCI DSS Information עבור דרישה 6.6, WAF מוגדר כ"נקודת אכיפת מדיניות אבטחה הממוקמת בין יישום אינטרנט לנקודת הקצה של הלקוח. ניתן ליישם פונקציונליות זו בתוכנה או בחומרה, הפועלת בהתקן מכשיר, או בשרת טיפוסי המריץ מערכת הפעלה משותפת. זה עשוי להיות מכשיר עצמאי או משולב ברכיבי רשת אחרים." במילים אחרות, WAF יכול להיות מכשיר וירטואלי או פיזי המונע ניצול של פגיעויות ביישומי אינטרנט על ידי איומים חיצוניים. נקודות תורפה אלו עשויות להיות בגלל שהאפליקציה עצמה היא מסוג מדור קודם או שהיא לא קודד מספיק לפי התכנון. ה-WAF מטפל בחסרונות הקוד הללו על ידי תצורות מיוחדות של ערכות כללים, הידועות גם כמדיניות.

מדיניות וכללים של WAF

WAFs מסתמכים על קבוצה של מדיניות וכללי אבטחה מוגדרים מראש כדי לזהות ולחסום תעבורה זדונית. מדיניות זו יכולה להיות מותאמת אישית לצרכים הייחודיים של אפליקציית האינטרנט ויכולה לכלול חתימות של פגיעויות ידועות, דפוסים המעידים על התנהגות חשודה והיוריסטיקות. עדכונים שוטפים וכיוונון עדין של מדיניות זו חיוניים כדי לשמור על הגנה יעילה מפני איומים מתפתחים.

מערכות WAF כוללות בדרך-כלל מדיניות אבטחה גלובלית ובמקביל מדיניות אבטחה לדפים ספציפיים של הארגון. במדיניות הגלובלית ניתן להגדיר נושאים כגון חסימת user-agent לא סטנדרטי, התייחסות לכתובות מקור, ונושאים נוספים הרלוונטיים לכלל האתר המוגן. במדיניות הפרטנית ניתן להגדיר נושאים כגון תווים אסורים/מותרים לשדה ספציפי.

ניתן לגלות פגיעויות שלא ידועות בעבר באמצעות בדיקות חדירה או באמצעות סורק פגיעות. סורק פגיעות של יישומי אינטרנט, המכונה גם סורק אבטחה של יישומי אינטרנט, מוגדר ב-SAMATE NIST 500-269 כ"תוכנית אוטומטית הבודקת יישומי אינטרנט עבור פרצות אבטחה פוטנציאליות. בנוסף לחיפוש אחר נקודות תורפה ספציפיות לאפליקציות אינטרנט, הכלים מחפשים גם שגיאות קידוד תוכנה". פתרון פגיעות מכונה בדרך-כלל תיקון. ניתן לבצע תיקונים לקוד באפליקציה, אך בדרך-כלל יש צורך בתגובה מהירה יותר. במצבים אלה, ייתכן שיהיה צורך ביישום של מדיניות מותאמת אישית עבור פגיעות ייחודית של יישומי אינטרנט כדי לספק תיקון זמני אך מיידי (המכונה תיקון וירטואלי).

מערכות WAF דורשות קבלת תעבורה לא מוצפנת, ולכן לעיתים קרובות הן מבצעות את פתיחת תעבורת ה־TLS. בדרך-כלל יישום ה־WAF יעשה בענן, ובמידה והיישום מותקן בענן ניתן להשתמש ב־WAF של ספק הענן. עם החברות המפתחות WAF נמנות L7 defense ,F5, פורטינט ואימפרבה הישראלית.

בדרך-כלל, תפקידו לאבטח את הארגון מפני איומים שמקורם באינטרנט כגון:

  • הגנה מפני תעבורת אינטרנט זדונית.
  • סינון כתובות אתרים (URL Filtering).
  • בקרת רמת היישום (Application control).
  • מניעת דליפת נתונים (DLP). 
  • הגנה מפני תוכנות זדוניות (Malicious-code detection).  

    WAFs אינם פתרון אבטחה אולטימטיבי, אלא הם נועדו לשמש בשילוב עם פתרונות אבטחה היקפיים אחרים של רשת כגון חומות אש ומערכות למניעת חדירה כדי לספק אסטרטגיית הגנה הוליסטית.

WAFs עוקבים בדרך-כלל אחר 'מודל אבטחה חיובי', 'אבטחה שלילית', או שילוב של שניהם כפי שהוזכר על ידי מכון SANS. WAFs משתמשים בשילוב של לוגיקה מבוססת כללים, ניתוח וחתימות כדי לזהות ולמנוע התקפות כגון סקריפטים בין-אתרים והזרקת SQL. באופן כללי, תכונות כמו אמולציית דפדפן, ערפול ווירטואליזציה כמו גם ערפול IP משמשים כדי לנסות לעקוף את WAFs. ה-OWASP מייצר רשימה של עשרת פגמי האבטחה המובילים של יישומי אינטרנט. כל ההצעות המסחריות של WAF מכסות את עשרת הפגמים הללו לכל הפחות. יש גם אפשרויות לא מסחריות. כפי שהוזכר קודם לכן, מנוע הקוד הפתוח הידוע של WAF בשם ModSecurity הוא אחת מהאפשרויות הללו. מנוע WAF לבדו אינו מספיק כדי לספק הגנה נאותה, לכן OWASP יחד עם ה-Spiderlabs של Trustwave עוזרים לארגן ולתחזק מערכת Core-Rule באמצעות GitHub לשימוש עם מנוע ModSecurity WAF.

שיקולים ביישום WAF

בעת יישום WAF, יש לתת את הדעת על התאימות שלו לתשתית הקיימת, יכולת ההרחבה שלו להכיל נפחי תעבורה גדלים, קלות הניהול שלו ויכולת ההתאמה שלו לנופי איומים מתפתחים. בנוסף, הפריסה שלו לא אמורה להשפיע לרעה על הביצועים והזמינות של יישום האינטרנט.

חשיבות הרישום והדיווח

רישום ודיווח הם מרכיבים חיוניים ביישום WAF. יומנים מפורטים מספקים תובנות לגבי דפוסי תעבורה, ניסיונות התקפות וטריגרים של כללים, ומאפשרים החלטות אבטחה מושכלות ושכלולי מדיניות. דיווחים שוטפים מסייעים בתאימות, בתגובה לאירועים והערכות אבטחה, ומציעים תצוגה הוליסטית של מצב האבטחה של יישום האינטרנט.

היתרונות של WAF

  1.  הגנה מפני OWASP Top Ten: WAFs מותאמים להגן מפני סיכוני האבטחה הקריטיים ביותר של יישומי אינטרנט, כפי שזוהו על ידי OWASP Top Ten, כולל הזרקה, אימות שבור ו-Cross-Site Scripting.
  2. בדיקת SSL: הם יכולים לפענח ולבדוק תעבורת SSL, מה שמאפשר זיהוי של תוכן זדוני בהפעלות מוצפנות.
  3. התאמה אישית: WAFs מציעים שליטה מפורטת על תעבורת יישומי אינטרנט, המאפשרת התאמה אישית של כללים כדי להתאים לצרכים הספציפיים של האפליקציה.
  4. הפחתת התקפות 0 Day: WAFs מתקדמים יכולים לזהות ולצמצם פגיעויות לא ידועות והתקפות ב0-Day באמצעות ניתוח היוריסטי.
  5. מניעת דליפות נתונים: על ידי בדיקה מדוקדקת של תעבורה יוצאת, WAFs יכולים למנוע דליפה או חשיפה של נתונים רגישים בשוגג.

אתגרים ופתרונות ביישום WAF

למרות תפקידם המרכזי, WAFs אכן מציגים אתגרים כגון חיוביות שגויות, תקורה ביצועים ומורכבות ניהול. הפתרונות כוללים כוונון קבוע של כללי WAF כדי להפחית תוצאות חיוביות כוזבות, אופטימיזציה של הפריסה כדי לצמצם את השפעות הביצועים, ומינוף כלי ניהול ושירותים לייעל את ניהול WAF.

אבולוציה והתקדמות

ההתקדמות המתמדת באיומי סייבר מחייבת את האבולוציה של טכנולוגיות WAF. הפתרונות המתפתחים כוללים למידת מכונה ובינה מלאכותית כדי לשפר את יכולות הזיהוי, להפוך התאמות מדיניות לאוטומטיות ולשפר את היעילות הכוללת בהגנה מפני איומים מתוחכמים ומתפתחים.

התפקיד המרכזי של WAFs בהגנה על יישומי אינטרנט, מתחיל מבדיקה מפורטת של תעבורת HTTP ועד להפחתת וקטורי תקיפה מתוחכמים. WAFs, עם המדיניות הניתנת להתאמה, הכללים הניתנים להתאמה אישית ויכולות הבדיקה המתקדמות שלהם, מציעים הגנה חזקה מפני איומים ידועים ובלתי ידועים, ומבטיחים את האבטחה והזמינות של יישומי אינטרנט. הפריסה המדוקדקת, כוונון המדיניות, הרישום המפורט והדיווח השוטף הטמונים ביישום WAF מגיעים לשיאם בתנוחת אבטחה מחוזקת, המאפשרת ליישומי אינטרנט לשגשג בסביבה העוינת של תחום הסייבר.

השכלול וההתפתחות המתמשכים של טכנולוגיות WAF חיוניים לנוכח התקדמות בלתי פוסקת של איומי סייבר. חידושים מתעוררים, המשלבים טכנולוגיות מתקדמות, דוחפים את הגבולות של מה ש-WAFs יכולים להשיג, ומבטיחים עתיד שבו יישומי אינטרנט יוכלו לפעול בצורה מאובטחת ויעילה במערכת אקולוגית דיגיטלית מקושרת.

בחירת פתרון WAF לארגון

בבחירת פתרון WAF  יש לקחת בחשבון מספר גורמים, כולל:

גודל הארגון: פתרונות WAF זמינים עבור ארגונים בכל הגדלים. ארגונים גדולים עשויים להזדקק לפתרון עם יכולות מתקדמות יותר מאשר ארגונים קטנים.

הצרכים הספציפיים של הארגון: יש לבחור פתרון שמספק את כל התכונות הדרושות לארגון. לדוגמה, ארגון עם אתר אינטרנט גדול עשוי להזדקק לפתרון עם יכולות ניתוח מתקדמות יותר.

  • תקציב: פתרונות WAF זמינים במגוון רמות מחירים. יש לבחור פתרון במחיר המתאים לתקציב של הארגון.
  • להלן כמה מהשיקולים הספציפיים שצריך לקחת בחשבון בבחירת פתרון WAF:
  • טכנולוגיה: איזו טכנולוגיה של WAF היא הטובה ביותר עבור הארגון? פתרונות WAF זמינים בטכנולוגיות שונות, כגון פתרונות מבוססי תוכנה, פתרונות מבוססי חומרה, ופתרונות מבוססי ענן.
  • יכולות: אילו יכולות הגנה הן חיוניות עבור הארגון? פתרונות WAF מציעים מגוון רחב של יכולות הגנה, כגון הגנה מפני התקפות SQL Injection, הגנה מפני התקפות XSS, ועוד.
  • ניהול: איך תתבצע ניהול הפתרון? האם היא תהיה מנוהלת על ידי צוות הגנת סייבר או על ידי ספקי WAF?

גרטנר גרופ מסווג את היצרנים ואת הפתרונות של WAF על פי מספר קריטריונים, כולל:

  • מיקום: האם היצרן ממוקם בארה"ב או מחוץ לארה"ב?
  • גודל הארגון: האם היצרן מספק פתרונות עבור ארגונים קטנים, בינוניים, או גדולים?
  • טכנולוגיה: איזו טכנולוגיה של WAF היצרן מספק?
  • יכולות: אילו יכולות הגנה היצרן מספק?

גרטנר גרופ גם מפרסם דירוג של פתרונות WAF על בסיס מספר קריטריונים, כולל:

  • יכולת הגנה מהתקפות SQL Injection: יכולת הפתרון להגן על הארגון מפני התקפות SQL Injection.
  • יכולת הגנה מפני התקפות XSS: היכולת של הפתרון להגן על הארגון מפני התקפות XSS.
  • יכולת ניהול: היכולת של הארגון לנהל את הפתרון.

להלן כמה מהפתרונות המובילים בשוק:

  • Cloudflare
  • Imperva
  • F5
  • Akamai
  • Arbor Networks
  • Neustar
  • Telia Carrier
  • Zscaler
  • Cisc 

Web Proxy

זהו התקן שפועל בשמם של אחרים (פועל בשכבה 7).   לצורך אבטחה, כאשר הלקוח מבקש מידע מהאינטרנט, הוא מבקש זאת דרך שרת Proxy. Proxy פועל כמתווך בין מכשיר הגולש לבין רשת האינטרנט. בשונה מ- VPN, שרת Proxy אינו מצפין את הנתונים כלל אלא רק מסווה את כתובת ה IP של הגולש ואת המיקום שלו על ידי שיוך שלו למדינה אחרת. השרת מביא ללקוח את המידע תוך כדי ביצוע:

  • Monitoring - מעקב.
  • Caching - שיפור הביצועים (מהירות הגלישה).
  • Filtering - קיימים חוקים שמגבילים את התכנים והאתרים שהלקוח יכול לקבל.
  • אחת הסיבות העיקריות לשימוש בשירות Proxy היא, לעקוף מגבלות תוכן ובכך לעקוף סינון תכנים על פי מדינה או אזור אך לא רק זו תהיה סיבה. שירות ה Proxy משפר את רמת הפרטיות של גולש הקצה על ידי מניעה מאתרי אינטרנט בהם הוא מבקר, לעקוב אחריו או להאיץ את חיבור האינטרנט שלהם, במיוחד בעת גישה לשרתים מרוחקים משמעותית.

    השימושים ב Proxy: 
  1. עקיפת מגבלות תוכן: ביצוע רכישות במחירים שונים או צפייה בתוכן שלא זמין למדינה אחת, מתאפשר על ידי היכולת של שירות ה- Proxy לספק לגולש כתובת IP חדשה ממדינה אחרת שבה התנאים האלו כן מתקיימים.
  2. אנונימיות: שירות Proxy עוזר למשתמש להסתיר את כתובת ה IP שלו ואת הפעילות המקוונת שלו בכללי מאתרים המצבעים מעקב או לתוקפים המבקשים להסתיר את זהותם בעת פעילות זדונית על מנת למזער את הסיכויים שיזוהו ויתפסו.
  3. האצת חיבור האינטרנט: שירות Proxy יכול לעזור למשתמש להאיץ את החיבור שלו על ידי שמירת נתונים במטמון והגשתם משרתים מקומיים.

השימוש ב Proxy עובד כך: 

  • לקוח הקצה מתחבר לשרת Proxy שרכש או קיבל דרך דפדפן אינטרנט או אפליקציה ייעודית.
  • שרת ה- Proxy מקבל את הבקשה ומנתב אותה דרך כתובת IP אחרת.
  • שרת ה Proxy מקבל את התוכן שלקוח הקצה ביקש מהאינטרנט ושולח אותו בחזרה אל המכשיר המקורי שבידי הגולש. שירות ה Proxy אינו מצפין את התעבורה ולכן כל אחד יוכל ליירט את הגלישה והפעילות המקוונת של משתמש הקצה.

שרתי Proxy יהיו מהירים משרתי VPN בדרך-כלל, מכיוון שאינם נדרשים להצפנת הנתונים.

DNS Firewall

חומת אש של DNS מונעת ממשתמשים להיכנס לאתרים זדוניים על ידי מתן הגנה מפני אתרים שעלולים להדביק מחשב או רשת בתוכנות זדוניות. מנהלי מערכת יכולים גם להשתמש בתצורת חומת אש כדי לחסום אתרים שהם לא רוצים שהעובדים יבקרו בהם. חומת DNS מספקת הגנות דומות כמו חומת אש רגילה, לפחות בכל הנוגע לאילו אתרים היא מאפשרת למשתמשים לבקר.

חומת אש DNS פועלת על ידי סינון התעבורה שנעה לאורך נקודות הקצה של DNS. תהליך סינון זה בודק את כל התעבורה באמצעות כללים ומדיניות ספציפיים. אם חומת האש מגלה שהתעבורה מפרה אחד מהמדיניות או הכללים האלה, בקשת האינטרנט תיחסם.

חומת אש DNS מתעדכנת אוטומטית עם נתוני איומי ה-DNS העדכניים ביותר, מה שמאפשר לה להגן עליך מפני איומים נוכחיים וקודמים.

זהו אחד היתרונות המשמעותיים ביותר של חומת האש. חומת אש של DNS אמנם לא יכולה לחסום את כל התקפות הדיוג, אבל היא יכולה להפחית את הסבירות שתוקף ישגר תקיפות דיגיטליות כאלו או אחרות.

כיצד חומת אש DNS עוזרת לפתור אבטחה עסקית?

חומת אש DNS עוזרת לטפל בבעיות אבטחה עסקיות על ידי מתן שירותי סינון אינטרנט מגובים לארגונים. במילים אחרות, הוא משתמש במודיעין איומים כדי למנוע ממשתמשים לבקר בסוגי האתרים שעלולים לגרום ל:

  • גניבת נתונים
  • התקפות דיוג, דיוג בחנית והתקפות לווייתן
  • התקפות כופר
  • מגוון תוכנות זדוניות שונות

מערכת חומת האש של ה-DNS יכולה לרענן את עצמה באופן אוטומטי עם נתונים על איומים חדשים באופק. כתוצאה מכך, כל איום מבוסס אתר הרשום במערכת חומת האש של ה-DNS מנוטרל למעשה עוד לפני שיש לו הזדמנות לתקוף.

אתגרים

כמה אתגרים מתעוררים בעת יישום חומת אש DNS, במיוחד כשמדובר בהחלטה אילו אתרים לחסום. אם תצורות חומת האש של ה-DNS קפדניות מדי, הן עלולות לגרום לעובדים שלא לבקר באתרים שהם צריכים כדי לבצע את עבודתם.

לדוגמה, חברות מסוימות עשויות להשתמש בחומת אש DNS כדי לחסום אתרי מדיה חברתית. אבל אם לחברה שאתה עושה איתה עסקים יש דף פייסבוק, למשל, ייתכן שיש בו מידע בעל ערך שהעובדים יכולים להשתמש בו.

איומים שנחסמים על ידי חומות אש DNS

חומת אש DNS יכולה לחסום מגוון רחב של איומים מבוססי אתרים, כולל:

 

  • תוכנות פרסום
  • אתרי פישינג
  • תוכנות ריגול
  • כתובות פרוטוקול אינטרנט (IP) שנחטפו
  • כופרה
  • מארחי שרת שמות עם מוניטין רע
  • מחשבים נגועים ברשתות בוטים
  • פליטת נתונים
  • מארחי בוטנט
  • אתרי הפלת תוכנות זדוניות
  • Bogon, או כתובות IP לא לגיטימיות

 

בחירת יצרן ודגם של חומת אש

בבחירת חומת אש לארגון, יש לקחת בחשבון מספר גורמים, כולל:

  • גודל הארגון: חומות אש זמינות עבור ארגונים בכל הגדלים. ארגונים גדולים עשויים להזדקק לחומת אש עם יכולות מתקדמות יותר מאשר ארגונים קטנים.
  • הצרכים הספציפיים של הארגון: יש לבחור חומת אש שמספקת את כל התכונות הדרושות לארגון. לדוגמה, ארגון עם נתונים רגישים עשוי להזדקק לחומת אש עם יכולות הגנה מתקדמות יותר.
  • תקציב: חומות אש זמינות במגוון רמות מחירים. יש לבחור חומת אש במחיר המתאים לתקציב של הארגון.

להלן כמה מהשיקולים הספציפיים שצריך לקחת בחשבון בבחירת חומת אש:

  • מיקום: איפה החומה תהיה ממוקמת? האם היא תהיה ממוקמת באתר אחד או במספר אתרים?

טכנולוגיה: איזו טכנולוגיה של חומת אש היא הטובה ביותר עבור הארגון? חומות אש זמינות בטכנולוגיות
שונות, כגון חומות אש מבוססות תוכנה, חומות אש מבוססות חומרה, וחומות אש מבוססות ענן.

  • יכולות: אילו יכולות הגנה הן חיוניות עבור הארגון? חומות אש מציעות מגוון רחב של יכולות הגנה, כגון הגנה מפני התקפות DDoS, הגנה מפני תוכנות זדוניות, ועוד.
  • ניהול: איך תתבצע ניהול החומה? האם היא תהיה מנוהלת על ידי צוות הגנת סייבר או על ידי ספקי חומות אש?

גרטנר גרופ מסווג את היצרנים ואת הפתרונות של חומת אש על פי מספר קריטריונים, כולל:

  • מיקום: האם היצרן ממוקם בארה"ב או מחוץ לארה"ב?
  • גודל הארגון: האם היצרן מספק פתרונות עבור ארגונים קטנים, בינוניים, או גדולים?
  • טכנולוגיה: איזו טכנולוגיה של חומות אש היצרן מספק?
  • יכולות: אילו יכולות הגנה היצרן מספק?

גרטנר גרופ גם מפרסם דירוג של חומות אש על בסיס מספר קריטריונים, כולל:

  • יכולת זיהוי תוכנות זדוניות: היכולת של החומה לזהות ולחסום תוכנות זדוניות.
  • יכולת הגנה מפני התקפות סייבר: היכולת של החומה להגן על הארגון מפני התקפות סייבר.
  • יכולת אבטחת נתונים: היכולת של החומה להגן על נתונים רגישים.
  • יכולת ניהול: היכולת של הארגון לנהל את החומה.

להלן כמה מהחומות אש המובילות בשוק:

 

  • Palo Alto Networks
  • Cisco Systems
  • Fortinet
  • Check Point Software Technologies
  • Juniper Networks
  • Symantec
  • Trend Micro
  • Sophos
  • McAfee

 

כאשר בוחרים חומת אש לארגון, חשוב לבצע מחקר מעמיק כדי למצוא את הפתרון המתאים ביותר.

 

שרתי פרוקסי ושערים: Proxy Servers and Gateways

בשיח על אבטחה היקפית, היישום וההבנה של שרתי פרוקסי ושערים חיוניים. רכיבים אלו פועלים כמתווכים בין משתמשי קצה לאתרי האינטרנט או השירותים אליהם הם ניגשים, ומספקים שכבת אבטחה ושליטה בהיקף הרשת.

תפקידם של שרתי פרוקסי:

שרתי פרוקסי מתווכים את זרימת התעבורה באינטרנט, מעבירים בקשות מלקוחות לשרתים ומעבירים את תגובות השרתים בחזרה ללקוחות. עמדת ביניים זו מאפשרת להם לאכוף מדיניות אבטחה, לנהל תעבורת רשת ולספק יתרונות שונים אחרים.

סוגי שרתי פרוקסי:

ישנם סוגים שונים של שרתי פרוקסי, כל אחד משרת מטרות ספציפיות:

  1. פרוקסי קידמי: הוא יושב בין התקני הלקוח לאינטרנט, שולט בגישה לאתרים ומגן על כתובות IP של הלקוח.
  2. פרוקסי הפוך: הוא ממוקם בין האינטרנט ושרתי האינטרנט, מפנה בקשות לקוח לשרת המתאים ומייעל את אספקת התוכן.
  3. פרוקסי פתוח: ניתן לגשת אליו על ידי כל משתמש אינטרנט, המשמש לעתים קרובות כדי לשמור על אנונימיות או לעקוף מגבלות רשת.

תכונות שרת פרוקסי:

שרתי פרוקסי מגיעים עם שורה של תכונות שמטרתן לשפר את האבטחה והניהול של הרשת:

  • סינון תוכן: חוסם גישה לאתרים לא הולמים או זדוניים בהתבסס על מדיניות מוגדרת מראש.
  • ניהול רוחב פס: מסדיר את תעבורת הרשת כדי למנוע עומס ומבטיח ניצול מיטבי של רוחב הפס הזמין.
  • בקרת גישה: מנהל גישת משתמשים למשאבי רשת, אכיפת מדיניות אבטחה והגבלת גישה לא מורשית.
  • שמירה במטמון: מאחסן עותקים של תוכן אינטרנט הנגיש לעתים קרובות, מפחית את עומס השרת ומשפר את זמני התגובה.
  • רישום ודיווח: מתעד פעילות משתמשים ואירועי רשת, מסייע בניטור, ניתוח ותאימות.

שער באבטחה היקפית:

בארכיטקטורת רשת, שער פועל כצומת המחבר בין שתי רשתות שונות, ומאפשר העברת נתונים ביניהן. הוא משמש כמרכיב קריטי באבטחה היקפית, ומספק נקודה שבה ניתן לבדוק, לסנן ולנתב את התעבורה, ולאכוף מדיניות אבטחה.

יישום שער מאובטח:

הטמעת שערים מאובטחים כרוכה בהגדרתם כדי לסנן תעבורה זדונית, לאכוף מדיניות אבטחה ולנהל העברת נתונים בצורה מאובטחת ויעילה. יישום נכון דורש גם עדכונים שוטפים, ניטור ותחזוקה כדי להבטיח אבטחה וביצועים מיטביים.

שער שכבת יישומים:

שער שכבת יישומים פועל בשכבת היישום של מודל ה-OSI, ומספק שליטה מפורטת יותר על תעבורת הרשת. זה יכול לסנן תעבורה על סמך פרוטוקולים ספציפיים ליישום, מה שמאפשר אכיפה מדויקת ויעילה יותר של מדיניות אבטחה.

היתרונות של שרתי פרוקסי ושערים:

1. אבטחה משופרת: על ידי סינון תוכן זדוני וניהול גישת משתמשים, הם מגנים על הרשת מפני איומי אבטחה שונים.

2. ביצועים משופרים: באמצעות ניהול תעבורה ואחסון תוכן במטמון, הם מייעלים את ביצועי הרשת ומפחיתים את עומס השרת.

3. פרטיות מוגברת: על ידי מיסוך כתובות IP של משתמשים והצפנת העברת נתונים, הם משפרים את פרטיות המשתמש ואבטחת הנתונים.

4. אכיפת מדיניות: הם מאפשרים לארגונים לאכוף מדיניות אבטחה וגישה, הבטחת תאימות והפחתת סיכונים.

אתגרים ופתרונות:

בעוד ששרתי פרוקסי ושערים הם חלק בלתי נפרד מאבטחה היקפית, הם מציגים אתגרים כמו חביון, בעיות תאימות ומורכבות ניהול. התמודדות עם אתגרים אלה דורשת תצורה אופטימלית, בדיקות תאימות ושימוש בכלי ניהול ושירותים כדי לייעל את הניהול ולשמור על יעילות.

חידושים ומגמות עתידיות:

העתיד של שרתי פרוקסי ושערים שזור בהתקדמות הטכנולוגיה. השילוב של בינה מלאכותית ולמידת מכונה מאפשרת ניהול תעבורה חכם יותר, זיהוי חריגות ואכיפת מדיניות אוטומטית, מה שמשפר את היעילות של רכיבים אלה באבטחת היקפי רשת.

סיכום:

לשרתי פרוקסי ושערים תפקיד בתיווך, ניהול ואבטחת תעבורת אינטרנט. הם עומדים כזקיפים בהיקף הרשת, אוכפים מדיניות, מייעלים ביצועים ומגנים על הרשת הפנימית מסביבת הסייבר החיצונית.

SSL/TLS Inspection

SSL/TLS Inspection היא פן קריטי באבטחה היקפית, המדגישה את החשיבות של בדיקה מדוקדקת של תעבורה מוצפנת החוצה את הרשת. SSL/TLS, פרוטוקולים בסיסיים לאבטחת תקשורת מקוונת, מגנים על סודיות הנתונים ושלמותם על ידי הצפנת החיבור בין הלקוח לשרת. בעוד שההצפנה חיונית לפרטיות ואבטחה, היא גם מציבה אתגרים, שכן שחקנים זדוניים יכולים למנף אותה כדי להסתיר פעילויות מרושעות. בדיקת SSL/TLS מסייעת בהפחתת סיכונים אלו על ידי מתן אפשרות לארגונים לבחון תעבורה מוצפנת לאיתור איומים תוך שמירה על הגנת סייבר ופרטיות המשתמש.

המנגנון של SSL/TLS Inspection

SSL/TLS Inspection כוללת יירוט, פענוח, בדיקה ולאחר מכן הצפנה מחדש של תעבורת SSL/TLS. מכשירי אבטחה הפרוסים ברשת מבצעים משימה זו, ופועלים כמתווך בין הלקוח לשרת. מכשירים אלה יוצרים הפעלת SSL/TLS נפרדת עם הלקוח והשרת, מה שמאפשר להם לפענח ולנתח את התעבורה עבור תוכן זדוני לפני שהוא מוצפן מחדש ומועבר.

נימוק לבדיקה

תעבורה מוצפנת יכולה להסתיר פעילויות זדוניות, כגון תקשורת פקודה ובקרה, חילוץ נתונים ואספקת תוכנות זדוניות, מכלי אבטחת הרשת, מה שהופך את בדיקת SSL/TLS לקריטית. זה מאפשר לארגונים לחשוף איומים נסתרים, לאכוף מדיניות אבטחה ולהבטיח תאימות, כל זאת תוך שמירה על יתרונות האבטחה של ההצפנה.

תהליך בדיקת SSL/TLS

  • יירוט: מכשירי אבטחה מיירטים תעבורת SSL/TLS בהיקף הרשת.
  • פענוח: התעבורה המיירטת מפוענחת באמצעות המפתח הפרטי המתאים.
  • בדיקה: התוכן המפוענח נבדק לאיתור פעילות זדונית, הפרות מדיניות או גישה לא מורשית לנתונים.
  • הצפנה מחדש: לאחר בדיקה, התעבורה מוצפנת מחדש ומועברת ליעד המיועד לה.

אתגרים וחששות אתיים

יישום SSL/TLS Inspection טומן בחובו אתגרים וחששות אתיים. פענוח ובדיקה של תעבורה מוצפנת יכולים לעורר חששות בפרטיות, מכיוון שהיא עשויה לאפשר גישה לנתוני משתמשים רגישים. ניהול הסכמת המשתמש, הבטחת סודיות הנתונים ושמירה על אמון הם היבטים חיוניים הדורשים תשומת לב מדוקדקת בעת יישום SSL/TLS Inspection. בנוסף, יישום לא נכון עלול להוביל לפגיעויות, בעיות ביצועים ואתגרי תאימות.

התייחסות לדאגות הפרטיות

כדי ליישם באופן אתי בדיקת SSL/TLS, ארגונים חייבים להיות שקופים לגבי שיטות העבודה שלהם, לקבל הסכמה מדעת מהמשתמשים, וליישם טיפול קפדני בנתונים ובקרות גישה. יש להתייחס לנתונים שניגשו אליהם במהלך הבדיקה בסודיות מרבית, וכל מידע שנאסף צריך להיות מאוחסן, מנוהל ובסופו של דבר להיפטר בצורה מאובטחת.

שיטות עבודה מומלצות

  • הגדרת מדיניות: הגדירו והעבירו בצורה ברורה את המדיניות המסדירה את בדיקת SSL/TLS כדי להבטיח הבנה ותאימות.
  • חינוך משתמשים: למד את המשתמשים על החשיבות, ההיקף וההשלכות של בדיקת SSL/TLS כדי לטפח שיתוף פעולה ואמון.
  • בדיקה סלקטיבית: השתמש בבדיקה סלקטיבית המבוססת על הערכת סיכונים כדי לאזן בין צורכי אבטחה לבין חששות פרטיות.
  • הגנה על נתונים: יש ליישם אמצעי הגנה מחמירים על מידע כדי להגן על כל מידע שניתן לגשת אליו.
  • ניטור רציף: ניטור ועדכן באופן קבוע את תהליך בדיקת SSL/TLS כדי להתאים את עצמם לאיומים ולטכנולוגיות המתפתחות.

אופטימיזציה ויעילות: אופטימיזציה של בדיקת SSL/TLS היא חיונית כדי למזער את השפעת הביצועים ולמקסם את היעילות. שימוש בחומרה ייעודית, אופטימיזציה של הקצאת משאבים ויישום סינון תעבורה חכם יכולים לעזור להשיג ביצועים מיטביים. עדכונים שוטפים וכוונון חיוניים גם כדי לשמור על היעילות ולהסתגל לתקני ההצפנה ולנוף האבטחה המתפתחים.

עתיד בדיקת SSL/TLS: השכיחות הגוברת של ההצפנה ונוף האיומים המתפתח מדגישים את החשיבות הגוברת של בדיקת SSL/TLS באבטחה היקפית. התפתחויות עתידיות בתחום זה עשויות להתמקד בשיפור היעילות, הדיוק ושמירה על הפרטיות. השילוב של טכנולוגיות מתקדמות כמו Machine Learning ובינה מלאכותית עשויה לחדד עוד יותר את תהליך הבדיקה, ולאפשר פתרונות אבטחה חכמים וסתגלניים יותר.

XML Firewall

חומת אש XML היא התקן מיוחד המשמש להגנה על יישומים שנחשפים באמצעות ממשקים מבוססי XML כמו WSDL ו-REST ולסרוק תעבורת XML שנכנסת ויוצאת מארגון. בדרך-כלל פרוסים בסביבת DMZ חומת אש של XML משמשת לעתים קרובות לאימות תעבורת XML, לשלוט בגישה למשאבים מבוססי XML, לסנן תוכן XML ובקשות להגבלת קצב ליישומי אחורי הנחשפים באמצעות ממשקים מבוססי XML. חומות אש של XML נפרסות בדרך-כלל כחומרה, אך ניתן למצוא אותן גם כתוכנה ומכשיר וירטואלי עבור VMWare, Xen או Amazon EC2. 

קיימים מספר מותגים של חומת אש XML ולעתים קרובות הם שונים על סמך פרמטרים כמו ביצועים (עם או בלי האצת חומרה, 32 לעומת 64 סיביות), מדרגיות (כיצד הם מתקבצים ומבצעים תחת עומס), אישורי אבטחה (קריטריונים נפוצים, FIPS הוא הנפוצים ביותר), תמיכת זהות (עבור SAML, OAuth, פתרונות SSO ארגוניים) והרחבה (הם יכולים לתמוך בפרוטוקולי תחבורה שונים כמו IBM MQ, Tibco EMS וכו'). 

פונקציונליות חומת האש של XML מוטמעת בדרך-כלל בתוך מכשירי XML ו-SOA Gateways.

חומת אש של XML מעבדת בקשות ותגובות XML באמצעות HTTP או HTTPS.

חומת אש של XML משתמשת בפרוטוקול יחיד ומכילה מדיניות עיבוד עם קבוצה של כללי בקשה, תגובה, דו-כיוונית ושגיאה. התצורה שלו מגדירה את צמד יציאות ה-IP של האזנה והגנה כללית על איומים.

למרות שחומת אש של XML מעבדת מסמכי XML מכל הסוגים, כולל הודעות בפורמט SOAP, היא יכולה לקבל מסמכים לא מעובדים (טקסט או בינאריים). באמצעות מדיניות העיבוד, חומת האש של XML יכולה להחיל את כל פעולות העיבוד השונות על הודעת הבקשה והתגובה, ללא קשר לפורמט. העיבוד יכול לכלול AAA, טרנספורמציות, אימות סכימה, רישום ופעולות קריפטוגרפיות.

אתה יכול להגדיר חומת אש של XML לשירותי פרוקסי מרוחקים. עם זאת, אחת התכונות הנפוצות של חומת האש של XML היא להגדיר את התצורה כשירות loopback. כשירות loopback, השרת המרוחק אינו מוגדר. במקרה זה, השירות עצמו מייצר מענה ללקוח שהוא מעבד את הבקשה. יכולת זו שימושית כאשר אתה מפתח, בודק וניפוי באגים בשירות כאשר השרת המרוחק אינו זמין.

חומת האש של XML מיישמת נוהלי אבטחת XML ספציפיים לאתר. ניתן להגדיר חומת אש בסיסית של XML תוך דקות ספורות, אך ניתן להגדיר שיטות אבטחה מורכבות המשתמשות במלוא העוצמה של XSLT.

  • סינון תנועה: השירות מספק סינון במהירות תיל של מסמכי XML או SOAP נכנסים. ניתן לסנן מסמכים במספר שכבות של פרוטוקולים כדי לכלול: תוכן הודעה ברמת שדה XML, מעטפת SOAP, כתובת IP, שם מארח, מספר יציאה, גודל מטען ומאפייני תעבורה אחרים.
  • אימות ואימות נתונים: השירות מבטיח חוקיות ומבנה של מסמכים על ידי מתן אימות סכמת XML במהירות תיל של מסמכים נכנסים ויוצאים. מדיניות ניתנת להגדרה על ידי משתמש מגינה מפני התקפות DoS, חפיפות מאגר ופגיעויות מזוהות אחרות שעלולות לנבוע ממסמכי XML זדוניים או פגומים.

חומת אש של XML מספקת יכולות אימות חתימות דיגיטליות וחתימות במהירות חוטית, קשיחה, מבוססת תקנים.

  • קריפטוגרפיה ברמת מסרים ושדה: השירות תומך בהצפנה חזקה של 128 סיביות שניתן ליישם ברמת ההודעה או ברמת שדה ה-XML. ברמת ההודעה, ניתן להצפין ולפענח מסמך שלם. ברמת השדה, אתה יכול להצפין ולפענח רק שדות נתונים רגישים.
  • בקרת גישה לשירותי אינטרנט XML: השירות תומך בשיטות אימות והרשאה שונות של שירותי אינטרנט הכוללים SAML, SSL, LDAP, RADIUS ומפות XML מותאמות אישית.
  • וירטואליזציה של שירות: השירות מספק מדיניות שכתוב כתובות URL, טרנספורמציות XSL בעלות ביצועים גבוהים, וניתוב מבוסס XML ומבוסס SOAP. ניתוב ממפה בקשות לקוח לקבוצה של משאבים מרוחקים מוגנים.

חומת אש של הדור הבא – NGFIREWALL - Next-generation firewall

חומת אש של הדור הבא (NGFIREWALL) היא חלק מהדור השלישי של טכנולוגיית חומת האש, המשלבת חומת אש מסורתית עם פונקציות אחרות של סינון התקני רשת, כגון חומת אש של יישומים המשתמשת בבדיקת מנות עמוקה (DPI), מערכת למניעת חדירה (IPS). ניתן להשתמש גם בטכניקות אחרות, כגון בדיקת תעבורה מוצפנת TLS/SSL, סינון אתרים, ניהול QoS/רוחב פס, בדיקת אנטי-וירוס, אינטגרציה של ניהול זהויות של צד שלישי (כלומר LDAP, RADIUS, Active Directory) ופענוח SSL.

חומת אש מהדור הבא לעומת חומת אש מסורתית

NGFIREWALLs כוללים את הפונקציות האופייניות של חומות אש מסורתיות כגון סינון מנות, תרגום כתובות רשת ויציאות (NAT), בדיקה ממלכתית ותמיכה ברשת פרטית וירטואלית (VPN). המטרה של חומות האש של הדור הבא היא לכלול עוד שכבות של מודל ה-OSI, שיפור סינון של תעבורת רשת התלויה בתכולת החבילה.

חומות האש של הדור הבא מבצעות בדיקה מעמיקה יותר בהשוואה לבדיקה ממלכתית המבוצעת על ידי חומות האש מהדור הראשון והשני. NGFIREWALLs משתמשים בסגנון בדיקה יסודי יותר, בודקים עומסי מנות והתאמת חתימות עבור פעילויות מזיקות כגון התקפות ניתנות לניצול ותוכנות זדוניות.

כדי לאבטח את נתוני החברה, NGFIREWALL כולל אנטי וירוס, תוכנות כופר והגנה מפני דואר זבל, כמו גם אבטחת נקודות קצה. זה עוזר להפחית את כמות הכלים הדרושים לביצוע אותן משימות.

חומות אש Next Generation (NGFIREWALLs) הן סוג מתקדם של חומות אש המציעות פונקציונליות נוספת מעבר לסינון חבילות. NGFIREWALLs יכולות לספק הגנה מפני איומים מתקדמים, כגון התקפות כופר, התקפות מניעת שירות (DoS), והתקפות חדירה.

פונקציונליות נוספת המוצעת על ידי NGFIREWALLs כוללת:

  • בקרת גישה מבוססת פרופיל (PACL): PACL מאפשרת לצוותי אבטחה להקצות הרשאות גישה למשתמשים והתקנים על סמך פרופיליהם.
  • מניעת חדירה (IPS): IPS יכול לזהות ולחסום התקפות חדירה.
  • זיהוי התקפות מתקדמות (IDS): IDS יכול לזהות התקפות מתקדמות, אך אינו יכול לחסום אותן.
  • מניעת תוכנות זדוניות (ATP): ATP יכול לזהות ולחסום תוכנות זדוניות.

אבולוציה של חומות אש מהדור הבא

לאיומים מודרניים כמו התקפות תוכנות זדוניות מבוססות אינטרנט, התקפות ממוקדות, התקפות שכבת יישומים ועוד השפיעו באופן משמעותי לרעה על נוף האיומים. למעשה, יותר מ-80% מכל ניסיונות התוכנות הזדוניות והחדירה החדשות מנצלות חולשות ביישומים, בניגוד לחולשות ברכיבים ושירותי רשת.

חומות אש מתקדמות עם יכולות סינון מנות פשוטות חסמו ביעילות יישומים לא רצויים שכן רוב היישומים עמדו בציפיות פרוטוקול הנמל. מנהלי מערכת יכלו למנוע מיידית גישה לאפליקציה לא בטוחה על ידי משתמשים על ידי חסימת היציאות והפרוטוקולים המשויכים. אבל חסימת אפליקציית אינטרנט שמשתמשת ביציאה 80 על ידי סגירת היציאה פירושה גם סיבוכים עם פרוטוקול ה-HTTP כולו.

הגנה המבוססת על יציאות, פרוטוקולים, כתובות IP אינה אמינה ובת קיימא יותר. זה הוביל לפיתוח גישת אבטחה מבוססת זהות, שלוקחת ארגונים צעד אחד לפני מכשירי אבטחה קונבנציונליים הקושרים אבטחה לכתובות IP.

NGFIREWALLs מציעים למנהלי מערכת מודעות ושליטה עמוקה יותר על יישומים בודדים, יחד עם יכולות בדיקה מעמיקות יותר על ידי חומת האש. מנהלי מערכת יכולים ליצור כללי "אפשר/דחה" מאוד מפורטים לשליטה בשימוש באתרים ויישומים ברשת.

חומת אש DNS לעומת חומת אש של הדור הבא (NGFIREWALL)

ישנם כמה הבדלים משמעותיים בין חומות DNS לבין חומות אש של הדור הבא (NGFIREWALLs), במיוחד בכל הנוגע לאופן שבו הם מזהים איומים וסוגי האיומים שהם מזהים.

כאשר מחליטים באיזה סוג של חומת אש להשתמש, חשוב להבין כיצד כל אחת מהן פועלת.

חומת אש DNS מתמקדת במניעת גישה ממשתמשים ומערכות לאתרים זדוניים שעלולים להוות מגוון רחב של איומים. הוא משווה את נתוני ה-DNS של בקשה מה שכבר יש לו במערכת. אם ההשוואה מגלה התאמה לאיום פוטנציאלי, המשתמש או המחשב אינם רשאים לגשת לאתר.

NGFIREWALL יכול גם לחסום אתרים שעלולים להיות זדוניים. עם זאת, אחת הדרכים העיקריות שבהן NGFIREWALL מונע התקפות היא באמצעות סינון מנות עמוק. זה כאשר ה-NGFIREWALL בודק את מידע הכותרת ואת התוכן של מנות נתונים המנסות לחצות את חומת האש. אם ה-NGFIREWALL מזהה איום, החבילה נמחקת, מה שמגן על הארגון מפני התקפה אפשרית. ניתן להשתמש גם בחומת אש DNS וגם NGFIREWALL יחד, וזה יכול להיות יעיל מכיוון שהם מבצעים פונקציות שונות. אבל אם אתה צריך לבחור אחד על פני השני, ייתכן שתרצה לשקול את ההבדלים הבאים.

למרות ש-NGFIREWALL יכול לבדוק מנות נתונים נכנסות, זה לא שרת DNS. לכן, NGFIREWALL לא יכול לבדוק שאילתות או תגובות DNS כדי לזהות תוכנות זדוניות המשתמשות בפרוטוקולי DNS. \

 

מאידך, יציאת חומת אש DNS לא תוכל לזהות תוכנות זדוניות המוסתרות בחבילות נתונים. במקרה הטוב, הוא יכול לזהות רק אתרים זדוניים אשר ידועים כמפיצים תוכנות זדוניות. מכיוון שחומת אש DNS לא יכולה לזהות תוכנות זדוניות ישירות, עדיין עדיף להשתמש ב-NGFIREWALL. NGFIREWALL יכול לזהות איומים על סמך ההתנהגות שלהם, כגון מאיפה הם הגיעו ולאן הם מנסים להגיע ברשת. חומת אש DNS לא יכולה לבצע את הפונקציות הללו מכיוון שהיא מתמקדת רק בבדיקת נתוני ה-DNS של בקשות ותגובות.

שימוש משולב בחומת אש DNS וב-NGFIREWALL

במובנים מסוימים, חומות אש DNS ו-NGFIREWALLs דומים בשמותיהם בלבד. שניהם פועלים כחומות אש בכך שהם מונעים מאיומים לנסות להיכנס ולצאת מהרשת. בנוסף, הם יכולים לעצור רבות מאותן קטגוריות של איומים, כגון תוכנות כופר וסוגים אחרים של תוכנות זדוניות. אבל כאן מסתיימים קווי הדמיון.

עדיף לנקוט בגישה אינטגרטיבית כאשר שוקלים איזו מהן כדאי לקבל. NGFIREWALL עשוי להיות פתרון גמיש יותר, בעיקר בגלל שניתן למקם אותו בנקודות שונות ברשת, עובדה שמאפשרת לפלח את הרשת באמצעות מספר NGFIREWALLs, יצירת "חומות" אבטחה בין כל פלח. לאחר מכן, אם חדר תוקף, הוא לא יוכל לנוע רוחבית לאזור אחר של הרשת מכיוון שה-NGFIREWALL ימנע בעדו. חומת אש DNS לא יכולה לעשות זאת מכיוון שהיא ממוקמת בין הרשת של הארגון לשאר האינטרנט.

הגדרת תצורה לחומת אש

בתוך השיח הרחב יותר על אבטחה היקפית, תצורה וניהול חומת אש היא מוקד, המתווה את הטכניקות והגישות לשמירה על גבולות הרשת. חומות אש, המעצמות של אבטחת הרשת, דורשות תצורה וניהול קפדניים כדי להגן על הרשת ממספר עצום של איומי סייבר בצורה יעילה.

חומות אש משמשות כקו הגנה ראשוני מפני איומי סייבר, בודקים ומנהלים את התעבורה שזורמת אל הרשת וממנה. הם מיישמים כללים מוגדרים מראש כדי לאפשר או לחסום תעבורה, ופועלים כמחסום בין הרשת הפנימית המאובטחת לרשתות חיצוניות לא מהימנות, כגון האינטרנט.

  1.  תצורה והגדרה ראשונית: תהליך התצורה מתחיל בהגדרת ההגדרות הבסיסיות של חומת האש, כגון כתובות IP, שמות דומיין ומידע ניתוב. ההגדרה הראשונית כוללת גם קביעת תצורה של ממשקים, אזורי אבטחה והגדרת מדיניות המכתיבה את התנהגות חומת האש, וקובעת איזו תעבורה לאפשר או לחסום על סמך מקור, יעד וסוג שירות.
  2. תצורת בסיס כללים: יצירת בסיס חוקים מקיף ויעיל היא קריטית. בסיס הכללים מכיל רשימה של כללי אבטחה המגדירים את תהליך קבלת ההחלטות של חומת האש. כל כלל צריך להיות ספציפי, תוך שימוש בעקרון המינימום הרשאות, לאפשר רק את התעבורה הדרושה ולשלול הכל כברירת מחדל. סדר הכללים הוא קריטי מכיוון שחומות אש מעבדות אותם ברצף.

הגדרת חוקי חומת אש אפקטיביים ומאובטחים היא קריטית כדי להבטיח תנוחת אבטחה חזקה ובמקביל להקל על פונקציות הרשת הנחוצות.

כללים של חומת אש

כללי חומת האש קובעים אילו התקשרויות מותרות ואילו אסורות. כללי חומה האש יכולים להיות מבוססים על מספר קריטריונים, כגון:

  • פורט: פורט הוא מספר זיהוי ייחודי המשויך לתקשורת מסוימת. כללי חומה האש יכולים לקבוע אילו פורטים מותרים ואילו אסורים.
  • פרוטוקול: פרוטוקול הוא סט של כללים המגדירים כיצד לתקשר מידע ברשת. כללי חומה האש יכולים לקבוע אילו פרוטוקולים מותרים ואילו אסורים.
  • מקור: מקור הוא כתובת ה-IP או שם המחשב של המחשב השולח. כללי חומה האש יכולים לקבוע אילו מקורות מותרים ואילו אסורים.
  • יעד: יעד הוא כתובת ה-IP או שם המחשב של המחשב המקבל. כללי חומה האש יכולים לקבוע אילו יעדים מותרים ואילו אסורים.

פעולות אפשריות של חומת אש

חומת אש יכולה לבצע מספר פעולות כדי להגביל את הגישה לרשת, כגון:

  • חסימה: חומת האש יכולה לחסום לחלוטין התקשרות.
  • אישור: חומת האש יכולה לאשר התקשרות.
  • רשימה לבנה: חומת האש יכולה לאפשר רק התקשרויות מרשימה מוגדרת של מקורות.
  • רשימה שחורה: חומת האש יכולה לחסום רק התקשרויות ממקורות מוגדרים.

שלבים ושיקולים להגדרת כללי חומת אש

קבע את מדיניות ברירת המחדל:

  • דחיית ברירת מחדל: 

כל התעבורה חסומה אלא אם הותר במפורש. זוהי הגישה המאובטחת ביותר, אך היא דורשת תצורה קפדנית כדי למנוע שיבושים.

ברירת מחדל "אפשר": כל תנועה מותרת אלא אם נחסמה במפורש. זה פחות מאובטח ובדרך-כלל נעשה בו שימוש רק בסביבות מאוד מבוקרות או מבודדות.

  • הגדירו בבירור את המטרה: הבן את מטרת הכלל. האם אתה מנסה לחסום איום ספציפי, לאפשר שירות ספציפי או להשיג מטרה אחרת?

  • ציין כיוון: 

נכנס Inbound: תנועה שנכנסת לרשת מבחוץ.

יוצא Outland: תנועה עוזבת רשת בכיוון חיצוני.

  • קבע קריטריונים של תנועה:

כתובת IP / טווח מקור: מאיפה מגיעה התעבורה?

כתובת / טווח IP של יעד: לאן התנועה הולכת?

מספרי יציאות מקור ויעד: לאיזה אפליקציה או שירות מתמקדים? לדוגמה, תעבורת HTTP משתמשת בדרך-כלל ביציאה 80.

פרוטוקול: TCP, UDP, ICMP וכו'.

פרוטוקולי שכבת יישומים: HTTP, HTTPS, FTP וכו'.

הבן תלות: יישומים ושירותים מסוימים דורשים יציאות מרובות או רצפים ספציפיים של אירועי רשת. ודא שכל הערוצים הדרושים מובאים בחשבון.

שלב כללים מבוססי משתמש או קבוצה: חומות אש מסוימות מאפשרות כללים המבוססים על זהות משתמש או חברות בקבוצה, במיוחד בהגדרות ארגוניות.

• נצל תבניות מובנות: חומות אש מודרניות רבות מציעות כללים מוגדרים מראש עבור יישומים ושירותים נפוצים. אלה יכולים לשמש כנקודת התחלה.

שקול כללים מבוססי זמן: ייתכן שחלק מהכללים יהיו נחוצים רק בשעות או ימים מסוימים.

• לוג וניטור: במיוחד בעת פריסת כללים חדשים לראשונה, רישום התעבורה התואמת לכל כלל יכול לספק תובנות לגבי השפעותיו ולחשוף בעיות פוטנציאליות.

• הימנע מכללים סותרים: ודא שכללים חדשים אינם סותרים או חופפים כללים קיימים בדרכים שעלולות לגרום לבלבול או לתוצאות לא מכוונות.

• תיעוד לכל כלל: לכל כלל צריך להיות תיאור ברור וסיבה מתועדת לקיומו. זה מסייע לפתרון בעיות עתידי וביקורת כללים.

• כללי סקירה וביקורת באופן קבוע: עם הזמן, הצרכים של רשת עשויים להשתנות, וחלק מהכללים עלולים להתיישן. סקור באופן קבוע את הכללים כדי לוודא שהם עדיין נחוצים ויעילים.

• הטמעת תהליך ניהול שינויים: במיוחד בסביבות גדולות יותר, שינויים בכללי חומת האש צריכים לעבור תהליך בדיקה ואישור סטנדרטי.

• בדיקת כללים בסביבה בטוחה: לפני פריסה בסביבה חיה, אם אפשר, בדוק כללים חדשים במעבדה או בחלק מפולח של הרשת כדי לזהות בעיות פוטנציאליות.

   ג. השתמש בגישת אבטחה שכבתית: אל תסתמך על חומת האש בלבד. השתמש באמצעי אבטחה אחרים, כגון מערכות זיהוי/מניעת חדירה (IDS/IPS), אנטי תוכנות זדוניות ותיקון רגיל של המערכת.

  ד. תרגום כתובות רשת (NAT): קביעת התצורה של תרגום כתובות רשת חיונית לטשטוש כתובות IP פנימיות, המאפשרת למספר התקנים ברשת מקומית לשתף כתובת IP ציבורית אחת. NAT תורם לאבטחה על ידי מיסוך מבנה הרשת הפנימי ומספק סוג של חומת אש על ידי מתן אפשרות לתעבורה יוצאת תוך חסימת תעבורה נכנסת לא רצויה.

   ה. תצורת רשת וירטואלית פרטית (VPN): חומות אש משמשות לעתים קרובות כשערי VPN, ומאפשרות תקשורת מאובטחת ברשתות שאינן מהימנות. הגדרת VPNs כרוכה בהגדרת פרמטרי הצפנה, שיטות אימות ומנהרות מאובטחות, תוך הבטחת שידור סודי ומאובטח של מידע ברחבי הרשת.

   ו. רשימות בקרת גישה (ACLs): רשימות בקרת גישה הן רכיבים אינטגרליים של חומות אש, המציינות לאילו משתמשים או מערכות ניתנת גישה למשאבי רשת או נמנעת מהם. הגדרה נכונה של ACLs היא חיונית לניהול הגישה לרשת ולהגנה על מידע רגיש מפני גישה לא מורשית ואיומים פוטנציאליים.

  ז. אזורי אבטחה ופילוח: יישום אזורי אבטחה ופילוח רשת בתוך תצורות חומת אש חיוני לבידוד חלקים שונים של הרשת, צמצום משטח ההתקפה והכלת הפרות פוטנציאליות. לכל אזור צריכה להיות מדיניות האבטחה הייחודית שלו, שליטה באינטראקציות ובזרימת התעבורה בין מקטעי רשת שונים.

  ח. ניטור ורישום: ניטור ורישום רציף של פעילויות חומת האש חיוניים לאיתור גישה לא מורשית, הפרות מדיניות ואיומים פוטנציאליים. סקירת יומנים מסייעת בזיהוי דפוסים, הבנת זרימת התעבורה וקבלת החלטות מושכלות לעדכון כללי חומת האש ולמטב אותם. ניתוח קבוע של יומנים חיוני לשמירה על אבטחה ותאימות.

  ט. עדכונים שוטפים וניהול תיקונים: שמירה על יעילות האבטחה של חומת האש מחייבת עדכונים שוטפים וניהול תיקונים. עדכון קבוע של תוכנת חומת האש והחלת תיקוני אבטחה חיוניים לטיפול בנקודות תורפה ולהבטחה שחומת האש יכולה להגן מפני האיומים האחרונים.

  י. יתירות וזמינות גבוהה: הגדרת חומות אש עבור יתירות וזמינות גבוהה חיונית לשמירה על הגנה רציפה ברשת. פריסת חומות אש מרובות בתצורת מעבר לכשל מבטיחה שאם חומת אש אחת נכשלת, חומת אש אחרת יכולה להשתלט בצורה חלקה, תוך שמירה על עמדת האבטחה והזמינות של הרשת.

אופטימיזציה של מדיניות וכוונון ביצועים

לאורך זמן, חומות אש מחייבות אופטימיזציה של מדיניות וכוונון ביצועים. סקירה ואופטימיזציה של כללי חומת אש באופן קבוע מסייעת בהסרת כללים מיושנים ובהפחתת המורכבות. כוונון ביצועים כולל התאמת הגדרות חומת האש כדי להתמודד עם עומסי תנועה מוגברים ביעילות והבטחת ניצול אופטימלי של משאבים.

   א. שילוב תגובה לאירועים: יש לשלב תצורות חומת אש בתוכנית התגובה הרחבה יותר לאירועים. במקרה של אירוע אבטחה, חומת האש יכולה לספק נתונים יקרי ערך ולשמש כנקודת בקרה להכלת האירוע. אינטגרציה עם כלי אבטחה אחרים ותיאום עם תהליכי תגובה לאירועים חיוניים להפחתת איומים יעילה.

   ב. תאימות ותיעוד: הבטחת חומות האש תואמות לתקני התעשייה ולדרישות הרגולטוריות היא חיונית. יש צורך בביקורות סדירות ובדיקות תאימות כדי להבטיח שתצורות חומת האש עומדות בתקני האבטחה הנדרשים. שמירה על תיעוד מקיף של תצורות חומת אש, מדיניות ושינויים חיונית למטרות ניהול וביקורת.

 

עבור למאמר הבא

 

MORE ARTICLES

11.3 אזורים מפורזים: DMZ
עבור למאמר
11.2 מערכות ייעודיות לסינון מנות
עבור למאמר
10.1 מבוא לאבטחת רשת
עבור למאמר