Active Directory Account Lockout, Audit and Password Policies

בטרם החג ביצעתי בדיקה מקיפה עבור מדניות ה-Actvie Directory עבור אחד מלקוחתי אשר כללה:

•בדיקת מדניות סיסמאות.
•בדיקת מנגנוני בקרה (Audit).
•בדיקת מדניות חשבונות(משתמשים לא פעילים,משתמשים בעלי סיסמה קבועה וכו').
•חברות לקבוצות Domain Admins ו-Local Administrators .
•בדיקת הרשאות Share ו-NTFS בשרתים.

להלן כלים מומלצים לבחינת המערכת:

Ecora Auditor Professional -כלי חזק מאוד לחלול דוחות מקצועים רבים בין היתר מותאם ל-SOX, PCI, GLBA,FISMA/FISCAM, HIPAA.
לכלי מודול מיוחד עבור Active Directory ,למצגת בנושא יש ללחוץ כאן.
לצפיה בדו"ח לדוגמה יש ללחוץ כאן.

WinScanX -כלי המאפשר לנו לקבל מידע אודות:
Audit Policy Information
Display Information
Domain Information
LDAP Information
Administrative Local & Global Group Information
Local & Global Group Information
Installed Programs
Interactively Logged On Users
Logged On Users
Patch Information
Registry Information
Scheduled Task Information
Server Information
Service Information
Share Information
Share Permissions
SNMP Community Information
Get User Information
Get User Information via RA Bypass
Get User Rights Information
Get WinVNC3 & WinVNC4 Passwords
Save Remote Registry Hives
Ping Remote Host Before Scanning
Guess SNMP Community Strings
Guess Windows Passwords

כלי נוסף לבקרת חשבונות ואכיפת מדניות:

AccountAudit is a tool that allows you to examine the user account database of a Domain Controller
AccountAudit is a tool that allows you to examine the user account database of a Domain Controller (in a Windows Domain).

AccountAudit" allows you to report on:

Accounts with no password
Accounts that do not require password changes
Accounts with high bad password attempts
Accounts Locked out
Accounts with Expired Passwords
Accounts Passwords not Changed for long periods
Users last logon time
Users last logon Domain Controller
Domain wide, accurate, bad password attempt count

The Account Audit Report generated by AccountAudit is in HTML format and includes Notes, Recommendations and Risk Ratings.

קישור להורדה:
http://www.softpedia.com/get/Network-Tools/Network-Monitoring/AccountAudit.shtml

Softerra LDAP Browser-נמאס לכם לעבוד עם הפקודה DSQuery ? האפליקציה הזאת בין היתר תבצע עבורכם את העבודה ואפילו הרבה מעבר לכך תוך יכולת חללול דוחות:
http://www.ldapbrowser.com/download.htm
המגבלה היחידה של רשיון ה-Freeware הוא יכולת כתיבה ל-LDAP(מה שקיים בגרסה המסחרית).

Professor Messer’s Nmap-מי לומד קורס עם הפרופסור?

Unfortunately, most of Nmap’s usefulness is never realized by the majority of security professionals. Many Nmap users run the default scan with the default options, never realizing the potential that exists just underneath the surface. It’s like owning a high-performance racecar and never leaving your driveway!

It’s time to change all of that. We’ve created “Nmap Secrets,” a video-based training course designed to fit the needs of the beginning security manager as well as the seasoned professional. If you want to learn about the most popular Nmap features (and a few you might have never have heard of), then our “Nmap Secrets” training course is a perfect fit!

Module 1 – Getting Started with Nmap
Module One will provide you with an overview of the entire course, along with a sneak peek of the secrets that we’ll uncover along the way.

Module 2 – Nmap Basics
Module Two provides an overview of network protocols, the Nmap scan process, and we’ll learn the secrets for increasing the speed of this process. We’ll also run our first Nmap scan and analyze the results.

Module 3 – Scans for Every Occasion
Module Three introduces four of the most popular, most useful, and most versatile Nmap scanning methods. Even if you learn of no other scanning methods, these four scan types will get your through the vast majority of Nmap scanning situations. The TCP SYN scan, TCP connect() scan, Ping scan, and UDP scan provide different information for use in different situations. By the end of this module, you’ll be very familiar with these scans, and you’ll have a perfect understanding of when to use each scan. You may never run Nmap with just the default options ever again!

Module 4 – “Back Pocket” Scans
Sometimes, you’ll run into a situation where a normal Nmap scan isn’t providing you with all of the information you need. This may be a situation where remote devices aren’t responding, or perhaps you aren’t able to identify any available ports on a remote device – even though you can easily connect to its web server! In these situations, it’s useful to have a few tricks in your back pocket.

Module 5 – Useful Scanning Options
In module five, we’ll concentrate on some useful scanning options that will assist you with building Nmap scan sessions that are effective and efficient. First, we’ll show you the secrets to easily excluding or including target addresses for your Nmap scans. We’ll discover how to exclude from the command line, and we’ll also show you how building a file of IP addresses or names can integrate the Nmap scan process with other network utilities. During a scan, we’ll often want to know the status of a particular port. With Nmap’s port number options, we can limit our scans to specific applications and focus our efforts on identifying the systems that
interest us the most.

Module 6 – Nmap “Pings” – The Search for Hosts
There’s a lot to Nmap’s ping process, and we’ll start with defining a ping. From there, we’ll move to Nmap’s default pings – the ARP ping and the ICMP and TCP ACK ping combo. To really make the most of Nmap’s pings, we’ll also investigate the details of the TCP SYN ping and the UDP ping. And then, after spending all of that time and effort learning about Nmap’s ping process, we’ll show you how to turn it off. Why would you want to do that? Don’t worry, we’ll show you all of the secrets!
Module Six

Module 7 – Recon Scanning
In this module, we’ll investigate the secrets of network reconnaissance, and we’ll take you through the details of two major Nmap features – operating system fingerprinting and version detection. After this module is complete, you’ll understand the power behind the recon scans and know exactly why Nmap is one of the most impressive security tools available!

Module 8 – Ninja Scanning
In this module we’ll introduce you to Nmap’s art of invisibility. You’ll learn all of the secrets of using Nmap on a network in stealth mode, where you can come and go like the wind.

Module 9 – Output Options
Nmap includes a number of output options, and this module takes us through them all. We’ll show you the differences in the output options, including how to convert Nmap’s XML output into some great HTML-based reports. You won’t want to miss this!

Module 10 – Windows and Nmap
In this module, we’ll learn about the history of Nmap and Windows – both the good, and the bad. Although there have been some significant operational issues with Windows, the few Windows-related issues that exist today are easy to work around, and we’ll show you how. Although Windows handles Nmap well, it’s still not perfect. There are a few downsides to using Nmap in Windows, so we’ll walk you through the good with the bad.

Module 11 – Real-World Nmap Scanning
In this module we’ll discuss six Nmap scanning techniques that can get you through some pretty nasty security problems. First, we’ll look at identifying the remnants of a virus outbreak or spyware infestation. These situations often leave some residuals traces, and we’ll show you the secrets to finding all of the shrapnel. Then, we’ll move to a more traditional use of Nmap – vulnerability assessments. Once we’re sure our systems are secure, we’ll have a look at ongoing testing with some security policy compliance testing. Our administrative tasks then turn to asset management and keeping track of all of those systems throughout the network. Another great technique of Nmap is the ability to audit firewall configurations. Can Nmap make it through your barriers? We’ll find out! And finally, we’ll learn the secrets behind keeping your network safe every day of the year with perpetual network auditing techniques.

רוצח הוריו נלכד בעזרת קבצי מחשב

השבוע הוגש כתב אישום נגד דניאל מעוז אשר הואשם ברצח הוריו בחודש שעבר בביתם בירושלים.
מדהים לגלות כי מה שהוביל למעצרו היה דווקא פענוח הדיסק הקשיח במחשב שלו בו התגלו פרטים על תכנון הרצח ועל מידע שביקש מעוז בנוגע לכספי הירושה של הוריו.
מאחר והרוצח הנפשע ביצע מחיקה של הדיסק הקשיח שלו,נעזרו חוקרי הימ"ר בחברה חיצונית לשחזור מידע.
בפוסט זה ברצוני לשבח את חברת "טיקטק טכנולוגיות" אשר נחשבת לחברה המקצועית ביותר בארץ לשחזור מידע,ניתוח ראיות לבתי משפט והמרת מידע.
הדיסק שוחזר ב-100% ולאחר ניתוח הדיסק באמצעות חומרה מתאימה ואפליקציות מתאימות הופקו הראיות.
החברה ביצעה עבודות קודש רבות נוספות לאורך כל השנה החל משחזור הקופסה השחורה ממסוק היסעור שהתרסק ברומניה ועד שחזור כרטיס זכרון של המצלמה דיגיטלית של סרן ניר לקריף ז"ל.
כאדם אשר תחום ה-Forensic מדבר אילו כאשר שמעתי בגלי צה"ל כי הדיסק שוחזר במלואו-ידעתי שרק
"TicTac" ברמת גן מסוגלת להביא לתוצאות כאלו.
4 ימים של עבודה אנטנסיבית הביאו להצלחה מלאה בפיענוח הפשע.
כל הכבוד ליואב זילברשטיין ואנשיו המקצועיים אשר עמלו קשות.
לכתבת הוידאו מחדשות ערוץ 2 יש ללחוץ כאן.

How to Publish Outlook Web App with ISA Server 2006

מסתבר שעל מנת לספק גישה מאובטחת למשתמשי (Web App (Exchange 2010 Server אין צורך להשקיע משאבים ברכישת Microsoft UAG\TMG.

לאחרונה חיפשתי פתרון לביצוע Publishing ל-Web Appבאמצעות MS ISA 2006 .
במאמר הבא ניתן למצוא הוראות Step by Step לביצוע.

Active Directory Replication Over Firewalls

השבוע במסגרת עבודתי ביצעתי Policy Review ב-Firewall של אחד מלקוחתיי.
אחד הדברים אשר הפריעו לי זה מתן גישת "Any Service" מכתובת מקור לכתובת יעד.
כאשר שאלתי מדוע הנ"ל מאופשר הוסבר לי מערכת ה-Active Directory עושה שימוש בפורטים דינאמים עבור רפליקציות ו-RPC.
לאחר בדיקה קצרה התברר כי ניתן לקבע את הפורטים לסטטים ולהתגבר על הסוגיה , מה שיאפשר לנו להקשיח את ה-FW והתעבורה בין 2 שרתי ה-DC בסגמנטים השונים.
מאחר והשינוי מצריך שימוש ב-REGEDIT מומלץ לבצע גיבוי System State ,כמו גם Export ל-Registry ובדיקת רפליקציות ע"י Replmon ו-RepAdmin.
ל-KB המלא יש ללחוץ כאן.

VMware Security Compliance Tools

במסגרת עבודתי נתבקשתי לאפיין וליישם מסמך הקשחה עבור טכנולוגית VMware ESXi לאחד מלקוחתי.
ברצוני להמליץ על 2 כלים לשימוש חופשי אשר סייעו בפרויקט:

1.ESXi Configurator Utility -כלי מצוין לבדיקת ולביצוע עדכוני אבטחה,הגדרת NTP ,בדיקת SNMP,ביצוע גיבוי קונפיגורציה בלחיצת כפתור,הגדרת Syslog ועוד.
הכלי קל מאוד לשימוש וחוסך הרצה של פקודות לאנשים שלא מתחברים ל-CLI.
יש לשים לב כי הדרישות הבסיסיות למערכת הן Remote CLI ורכיב Dot. NET 3.5

Compliance Checker for vSphere.2-מדובר בכלי חינמי רשמי הניתן להורדה מאתר VMware.
קיימות מספר גרסאות עבור רגולציות שונות כדוגמת PCI , SOX וכו'.
כלי נחמד אשר מאפשר לחולל דוח אודות מצב האבטחה והמלצות ליישום.
מומלץ ליישם את הסעיפים רק לאחר שהבנתם את הסיכונים הטמונים בכך אשר כותבים במדריך הרשמי להקשחת המערכת.
עצם העובדה כי לא לכל הלקוחות יש צורך או תקציב לפיצ'רים כדוגמת VMsafe ו-VMware vCenter Configuration Manager זאין זה מנוע מלהקשיח את המערכת בצורה אופטמלית מה שגם את מרבית ההקשחה מבצעים בצורה ידנית באמצעות ה-Console .

התגוננות מפני Social Engineering Attacks

עקב ריבוי התקפות ה-Advanced Persistent Threat)APT)ההולכות וגוברות,השבוע ביצעתי בדיקה של המימד האנושי באחד מהארגונים הגדולים במשק.
התוצאות לא איחרו לבוא-עקיפת מערכות Firewalls מתוחכמות,מערכות DLP,מערכות לאכיפת אבטחה ב-Endpoints,החדרת סוסים טרויאנים למרכז העצבים של הארגון ועוד.
כאשר שאלתי את מנהלי האבטחה כמה זמן הם משקיעים בהגברת המודעות לאבטחת מידע וריגול תעשייתי,ריענון נהלים,וביצוע פרזנטציות בנושא התשובה הייתה -"מעט מאוד מפאת חוסר זמן ועבודה רבה".
אם בעבר היינו חוששים מכלי Hacking שונים ו-Rootkits הניתנים להורדהבחינם ברשת,כיום ניתן למצוא בקלות ערכות לביצוע Social Engineering בקלות רבה יחסית.
לאחרונה נתקלתי באתר הבא אשר מאפשר הורדה של ערכה כזו (Social Engineering Toolkit(SET.
עקב כך , אני ממליץ בחום לצפות בפרזנטציה הבאה המסבירה בקצת פחות מ-8 דקות כיצד להגן על הארגון מפני התקפות אלו.

Social Engineering Toolkit-סיכון שלא נלקח בחשבון:

Enabling Active Directory Authentication with ESX Server

בהמשך לפוסט הקודם אשר דן בנושא אבטחת מידע בסביבת וירטואליזציה השבוע ביצעתי סקר סיקונים ללקוח הנדרש לעמוד בדרישות מחמירות במיוחד כאשר אחת מדרישות הרגולטור הייתה כי שרת ה-ESX בארגון יבצע Authentication מול מערכת לניהול מרכזי כדוגמת Active Directory.

הדבר היפה ב-VMware ESX הוא שאין צורך בצירוף המכונה ל-Domain (דבר אפשרי אך שגוי מבחינת אבטחת מידע) אלא נדרש לערוך קובץ קונפיגורציה בלבד.

חשוב לנקוט באבטחה פיזית נוקשת ויחד עם זאת לזכור כי סיסמת ה-root הינה מקומית ותעבוד בכל מצב מה שגם אותה סיסמה מאוד קלה לאיפוס.

(את ה-Best Practice ניתן להוריד מכאן).

אין עשן בלי Snare

תפקידן של מערכות ה-Security Information Event Management)SIEM) הוא ללקט מידע מהלוגים שמיוצרים במערכות האבטחה ובציוד התקשורת בארגון.
המערכות אוספות מידע זה, מתעדפות אותו, מנתחות אותו (זיהוי תבניות, סטטיסטיקה וכדומה), מצליבות אותו ומאפשרות להציג אותו בתצוגות בעלות ערך מוסף רב.

ניתן לזהות פרצות אבטחה או אירועי אבטחה כמעט בזמן אמת כמו גם ניתן להשתמש בלוגים רבים כדי לקבל תמונת אבטחה כוללת ומדויקת.

לשם המחשה, נניח כי הארגון עושה שימוש במערכות הבאות: Active Directory , Firewall, אפליקציית Web, ובסיס נתוניםOracle כאשר כל אחד מהם מייצר לדוגמה את ההתראות הבאות:
• Active Directory: הוספת משתמש לקבוצת ה-Administrators.

• Firewall: ממצאי סריקת פורטים (Port Scan) מכתובת חיצונית.

• אפליקצייתWeb : לוגים על ניסיונות כושלים רבים במסך ההזדהות.

• בסיס נתונים Oracle: שליפת נתונים רגישים באמצעות שרת האפליקציה מטבלאות רגישות שהאפליקציה אינה אמורה לגשת אליהן.

התוצר המתקבל מיישום מוצלח של מערכת SIEM הנו זיהוי של אירועי אבטחת מידע אמיתיים ודוחות ברמות שונות אודות אותם אירועים, ומצבה הכללי של אבטחת המידע בארגון.
תוצרי מערכת מבוססת טכנולוגיית SIEM יכולים וראויים לשמש בתחומים שונים מלבד אבטחת תשתית.

התחומים הניתנים לכיסוי באמצעות תוצרי המערכת כוללים גם זיהוי הונאות ומניעתן, בקרה על מרכזי שירות לקוחות, בקרת תשתיות הנדסה, ניהול מרכזי SOC, תגובה וניתוח אירועי אבטחת מידע, בקרה על תהליכים עסקיים, בקרה במערכות SCADA ועוד.

לרוב מערכות אלו כוללות את הטכנולוגיות הבאות:

1. איסוף התראות ואירועים (Events) ממערכות שונות ובפורמטים שונים.
2. ניתוח התראות על סמך חוקים שהוגדרו מראש.
3. הפקת חיוויים למפעילים על אירוע, כולל נתונים מלאים ורלוונטיים לאירוע.
4. ניהול הטיפול באירוע כולל העברת הטיפול לגורמים שונים למעקב אחר סטטוס הטיפול.

במסגרת פרויקט אבטחת מידע גדול שאני מבצע עבור לקוח ביצעתי לאחרונה פריסה של רכיבי דיווח למערכת ה-SEIM של הארגון.
הרשו לי להמליץ לכם על Snare- כלי לשימוש חופשי (GPL) המשמש כ-Log Forwarder עבור מערכות:

• UNIX
• Linux
• Solaris
• Irix
• AIX
• Tru64
• Windows
• Lotus Notes
• Squid
• Apache
• IIS
• ISA

ה-Agent פשוט ומהיר להתקנה,נוח לקינפוג,בעל ממשק ניהול Web המאפשר הזדהות באמצעות כניסה,ביצוע Filtering לאירועים ספציפים,ניהול מרוחק ועוד.
בנוסף לאותו בית התוכנה קיימת מערכות לאיסוף נתונים מרכזית ופיצ'רים עבור מערכת ה-IDS המפורסמת "Snort".
לדף הבית של המוצר יש ללחוץ כאן.
לדוקמנטציה מלאה עבור המוצרים יש ללחוץ כאן.

המימד האנושי

בארגונים רבים מערכות אבטחת המידע נתפסות כפתרונות הרמטים לסוגיות אבטחת המידע אך זוהי הנחה שגויה שכן מערכות אלו נועדו לשמש ככלי אכיפה ובקרה על המתרחש בארגון ולא כ"פתרונות קסם".
לרוב מערכות אלו הינן אקטיביות אשר מגיבות לאירועים בזמן אמת.
יחד עם זאת,לעולם אין להסתמך על מערכות אלו בלבד שכן ברגע שהמערכות מבצעות Prevention אנו כמנהלי האבטחה כשלנו.

על מנת להמנע מארועי אבטחת מידע עתידיים יש לאמץ את הקונספט כי אבטחת המידע מתחילה ומסתיימת במימד הנאושי :

• יש לבצע מיונים קפדנים עוד בשלב גיוס המועמד למשרת האמון.
• יש לבצע בדיקות פוליגרף תקופתיות לעובדים במשרות המוגדרות כמשרות אמון\משורת מסווגות.
• יש לבצע מבחני מידה על בסיס תקופתי.
• יש להקפיד על שיחות תחך לכלל משתמשי הארגון על בסיס תקופתי ולהיות קשוב לצרכיהם.
• יש לאכוף את נושא הפרדת תפקידים וסמכויות באמצעות הגדרת תפקידים ברורים,מידור פיזי ולוגי.
• יש לפעול להעלת המודעות לאבטחת מידע ול-Social Engineering ו-(Advanced Persistent Threat(APT.
• יש לנסות למצוא פתרונות בטוחים למשתמשי הארגון במקום להלחם בהם.
• יש לבצע רענון לנהלי אבטחת מידע לכלל משתמשי הארגון על בסיס תקופתי.


• יש לטפל בצורה מקצועית בארועי אבטחת מידע ולקבל גיבוי מלא מצד הנהלת הארגון.

נקיטה בצעדים אלו , עלולה למנוע תקריות אבטחת מידע חמורות ומיותרות!

(RBL(Realtime Blackhole List-מישהו מתריע בפני!

אחד התחומים עימם מתמודד מנהל האבטחה(CISO) הוא נושא ה-Anti Spam החל ממלחמה בתופעה ועד לטיפול אירוע אבטחה מול צוות Abuse של ספקית האינטרנט(ISP).
אחת השיטות להתמודד עם תופעת ה-Anti Spam היא שימוש ברשימות (RBL(Realtime Blackhole List המוגדרות במערכות סינון הדואר(Email Security Gateway).
ה-RBL הוא במקור כלי חינוכי,המיועד לגרום לשולחי דואר זבל להפסיק לשלוח דואר זבל ע"י רישום בבסיס הנתונים כתובות IP של שרתים השולחים דואר זבל או של שרתים שאינם טורחים לטפל בלקוחותיהם המזבלים.

הוספת שרת לרשימה נעשית בתהליך ארוך למדי, כדי לוודא שלא יהיו רישומי שווא והרישום נעשה לזמן מוגבל.

ראוי לציין כי כאשר המטרד מטופל השרת מוסר מהרשימה.

לעיתים פונים משתמשי הקצה אל מנהל הרשת\מנהל האבטחה ומציינים תופעת של אי קבלת מיילים מהצד השני.

מאחר ובמרבית הרגונים בהם ביקרתי לא מצאתי נוהל בדיקת RBL תקופתי מצאתי לנכון להציג בפנכם אתר אשר מבצע את השירות עבורינו ובחינם כמובן!

במידה ושרת הדואר נחסם בשרת RBL יישלח מייד מייל למנהל הרשת על מנת שיוכל לטפל בסוגיה בהקדם ולצמצם את הנזק מבלי שמנכ"ל הארגון ייצא מגדרו :)

להרשמה חינמית אשר אינה מצריכה פרטים חסויים יש ללחוץ כאן.

ג'אנק מייל - לא בבית ספרנו!

SecuID,Microsoft Client Access ולקוח מאתגר

אבטחת מידע הוא תחום הדורש במקרים רבים "חשיבה מחוץ לקופסה".
השבוע פנה אליי אחד מלקוחותי בבקשה מיוחדת בנושא הנ"ל.
הלקוח מפעיל את שירות ה-Client Access 2010 של מיקרוסופט(OWA) ויחד עם זאת מפעיל אפליקציות CRM בהם נעשה שימוש פנים ארגוני אך ציין כי מערכת ה-SecurID מקשה על הפעילות השוטפת ב-LAN שכן היא נועדה להזדהות חזקה למשתמשים מרשת ה-Internet.
הלקוח למעשה ביקש לאפשר הזדהות חזקה רק מעולם ה-WAN ואילו מרשת ה-LAN לבטל את ההזדהות מול המערכת.
מאחר ולא קיים פתרון integrated במוצר , הצעתי ללקוח פתרון מאובטח הולם אשר יענה לצרכיו.
ניתן לבצע את הנ"ל באמצעות Microsoft Forefront Threat Management Gateway וביצוע Publish ל-Client Access (מדובר ביורש של Microsoft ISA 2006)תוך קינפוג סוג אותנתיקציה(LDAP\SecurID) המתייחסים לכל Rule.
מאחר ואני חסיד של Best Practice מצאתי לנכון לצרף את המאמר הרלוונטי אשר ניתן להורידו מכאן.

60 שניות על אבטחת מידע בסביבת וירטואליזציה

אחד התחומים החמים ביותר כיום בתחום ה-IT הוא נושא ה-Cloud Computing אשר בו נושא הקונסולידציה תופס תאוצה ומחולל פלאים בארגונים הגדולים.
החל מחסכון בצריכת אנרגיה ,חסכון בצריכת משאבים הקמת אתרי DRP בקלות יחסית וביעקר חסכון כלכלי אדיר לארגון.
נוח מאוד לארח מעל לכ-100 שרתים על מפלצת אחת ולהשתמש ב-Storage מרכזי בעל נפח עצום שלא היינו מדמיינים עד לא מזמן ולנהל אותה תחת קונסול הניהול של ה-Hypervisor.
יחד עם זאת, ארגונים רבים ממהרים להכניס את הטכנולוגיות החדשות מבלי לבצע ניהול סיכונים מחושב ומבלי לקחת היבטי אבטחת מידע של המוצר.
לרוב,המנמ"רים נוטים להסתמך על תשתיות האבטחה הקיימות בארגון(Firewall) ולישון בשקט בלילה.
לצד הערך המוסף העומד בקנה מידה אחד לעיתים קרובות אותו מוצר(VMware ,Microsoft Hyper-V,Xen) מביא איתו איומי אבטחה בדרגת סיכון גבוהה מאוד.

העדר ידע בתפעול המערכת של צוות ה-IT משאיר פרצות אבטחת מידע רבות:


1.במרבית המקרים לאחר ההתקנה רוב ההגדרות נשארות בתצורת Default ולא מתבצעת הקשחה ע"פ נהלי Best Practice מטעם היצרן.

2.עקב רגישות המערכת המערכת מספר רב של שרתים רבים בתצורת Production לא מתבצעים עדכוני אבטחה לפלטפורמת ה-Hypervisor והמערכת חשופה ל-Vulnerabilities רבים.

3.עקב לחץ מטעם המנמ"רים להגיע לתוצאות במהירות המקסימלית ברוב המקרים לא מתבצע הליך High Level Design אשר לוקח בחשבון היבטי Security וחלק מן המקרים נוצרות טופולוגיות שגויות מבחינת אבטחת מידע.

4.עקב הנטייה של המנמ"רים לסמוך על הטכנולוגיות הקיימות לא מוטמעות טכנולוגיות אבטחה למוצרים החדשים כדוגמת Firewall העובד ברמת ה-Kernel Mode של ה-Hypervisor וכולל יכולות Intrusion Prevention.

5.לא מתבצעת חלוקה נכונה של הרשאות,לרוב כלל האנשים עובדים תחת משתמש בעל הרשאות Root.


לאחרונה נתבקשתי לבצע סקר סיכונים עבור ארגון העושה שימוש ב-VMware ESX.
לצורך הבדיקה השתמשתי ב-Tripwire ConfigCheck אשר אפשר לי לקבל תמונת מצב אודות הקונפיגורציה וסטטוסהאבטחה בסביסת ה-VMWARE.
יתרון נוסף של הכלי הוא מתן המלצות אבטחה ליישום לסגרת הפרצות:

Tripwire ConfigCheck for VMware ESX lets IT administrators enforce policies in alignment with VMware best practices for security hardening by checking a wide range of configuration parameters such as:

• Virtual network labeling
• Port Group settings
• Network isolation for VMotion and iSCSI
• NIC Mode settings / Layer 2 Security settings
• MAC address parameters
• VMware ESX Service Console security settings
• SAN resource masking and zoning
• Disk partitioning for Root File System
• VirtualCenter database configuration
• Configuration changes

בקרוב גם תשוחרר גרסה התואמת ל-VMware ESXI ,חינמי כבר אמרתי?

בחינת מערך ה-Firewall בארגון

השבוע הוזמנתי לבחינת מערך ה-Firewall אצל אחד מלקוחתי אשר נדרש לעמוד בתקן ISO 27001.
כאשר אנו מבצעים בדיקה מסוג זה עלינו לבחון ב-2 רבדים:

1.הגדרות תצורה:

• בחינת גרסת Frimware והתאמה לתקנים (FIPS,Common Criteria).
• בדיקת סנכרון מול NTP
• בחינת עדכוני אבטחה (Hotfix Accumulators (HFA's
• בחינת עדכון חתימות ל-AntiVirus Gateway ול-IPS בחינת הגנה פיזית של ה-Firewall .
• בחינת וניתוח Rule Base .
• בחינת NAT Rules ו-IP Masquerading .
• בחינת מידור והפרדה בין רשתות (Access Control List) .
• בחינת מנגנוני Authentication.
• בחינת מגנוני Encryption .
• בחינת מנגנוני הרשאות ו-.Audit
• בחינת בקרת Logs ו-Reporting.
• בחינת מנגנוני Management.
• בחינת שרותי DHCP פעילים.
• בחינת מנגנוני Intrusion Prevention ו-Zero Day Attack Protection .
• בחינת מנגנוני Application Firewall .
• בחינת מערך יתירות(High Availability).
• בחינת מערך Backup
• בחינת מערך אבטחה פיזית.
• בחינת שרותי Remote Access .
• מנגנוני Time Access

2.נהלים-לרוב הבדיקה תבוצע ע"י תשאול מנהל האבטחה בארגון:

• האם כל שינוי בקונפיגורצית ה-Firewall מתועד?
• האם קיים נוהל לעדכון ה-Firewall?
• האם קיים נוהל לפתיחת משתמש ב-VPN?
• האם מתבצעת בדיקת Disaster Recoveryתקופתית ל-Firewall?
• האם מתבצעת בדיקה תקופתית של כלל המשתמשים הפעילים ב-Firewall?

בסיום הבחינה הגשתי דו"ח אשר כלל:

• שרטוט טופולוגית הרשת.
• חשיפת הליקויים שנמצאו ודירוגם ע"פ רמות סיכון.
• המלצות ליישם.

ללא ספק אין להמעיט בחשיבות ביקורות אלו ולבצע אותם על בסיס תקופתי.

מחקר חדש: עובדי IT ממשיכים להחזיק בהרשאות כניסה לעבודות קודמות

לאחרונה פורסם ב-TheMarker IT כי המחקר שהוצג בכנס ה-RSA שנערך לאחרונה, מציג תמונה עגומה בנוגע לשמירה על אבטחת מידע בתוך ארגונים:

"המחקר התמקד בדרך שבה אנשי IT פועלים כדי לנהל ולשמור על הזהויות האלקטרוניות של עובדי הארגון. 10% מהנשאלים בסקר, שנערך בקרב 1,500 עובדים ומנהלים בתחום ה-IT, הודו כי הם ממשיכים להחזיק בהרשאות משתמש וסיסמאות למערכות במקום העבודה הקודם שלהם. 52% אחוז מהנשאלים אף הודו כי שיתפו את עמיתיהם לעבודה בשמות המשתמש והסיסמאות שלהם. ניתן להניח כי נתונים אלו הם רק קירוב של המצב בפועל, שכן הם מסתמכים על הצהרותיהם של הנשאלים. כלומר, יתכן שהשיעורים גבוהים אף יותר" .

ניתן להתמודד עם סוגיה זו באמצעות מספר דרכים:

1.שילוב מערך (Single Sign-On (SSO בארגון-הרעיון הוא הזדהות חזקה של של משתמש באמצעות כרטיס חכם(Smart Card) הנושא תעודה אישית (Certificate) או Token המאפשרים הזדהות אחת כלפי מספר מערכות מידע ללא צורך בהזדהות נפרדת עבור כל מערכת.

2.אפיון והטמעת מערך Identity Management ) IDM)-ניהול פרטני של הרשאות משתמשים בצורה ידנית או אוטומטית הינו משימה כמעט בלתי אפשרית.
אחת הדרכים לפשט משימה זו הינה באמצעות הגדרת פרופילי הרשאות המשותפים למספר משתמשים בארגון והקפדה על כך שכל אחד מן העובדים בארגון יהיה משויך לפרופיל אחד או יותר.
פרופילים אלה הנגזרים, בדרך כלל, מן התפקידים בארגון (ולכן מכונים Roles) הינם אבני בניין יסודיות להענקת הרשאות: משתמש משויך לפרופיל, פרופיל מקבל סט של הרשאות.
תפיסה זו נחשבת היום כתפיסה המובילה בעולם ניהול הגישה והיא אף מוגדרת בתקן בינלאומי הדן בהרשאות גישה (Role Based Access Control, ANSI 359-2004).
פרוייקטי IDM הינם חוצי ארגון באופיים ולרוב כוללים תחומים גדולים וחשובים כמו ניהול, אבטחת מידע, ביטחון ורגולציה.
תחום מוצרי ניהול הזהויות הינו רחב מאוד ומרבית המוצרים נותנות מענה כולל לצרכים הטכנולוגים שהארגון מציג.

3.נוהל פיטור עובד-כתיבת ויישום נוהל הכולל טיפול בסוגית הפיטורין של העובד ללא יוצא מן הכלל החל מהפן הטכנולוגי ועד להתערבות אגף משאבי האנוש.

4.ביקורות (Audit)-ביצוע ביקורות על בסיס שוטף במערכות הארגון ,בארגונים גדולים מומלץ לשכור את שירותה של חברה המתמחה בביצוע ביקורות מסוג זה.

לצערי בארץ המצב לא פחות עגום מחו"ל...

יש SuperTanker ויש SuperMassive

כחלק מפרויקט ה-Next-Generation Firewall חברת Sonicwall משיבה מלחמה לכל מתחרותיה.
במסגרת פרויקט הנקרא "SuperMassive" החברה בשיקה בכנס RSA את ה-E10000 Appliance Seriesמיועד לשוק ה-Enterprise העושה שימוש בטכנולוגית ה-RFDPI.
עד לא מזמן הדגם החזק ביותר של החברה עתיר הביצועים היה NSA E8500 אשר ייעודו היה בעיקר לסקטור ה-ISP's.
ה-SuperMassive כשמו הוא-מפלצת חזקה,אמינה ועתירת ביצועים המעניקה יכולת גרנולרית ושליטה על כל הנעשה בתעבורת הרשת.

כמו שיאיר לפיד היה אומר-הנה כמה עובדות שלא ידעתם על-SuperMassive:

• המפלצת מותאמת במיוחד עבור פתרונות ה-Cloud.
• המפלצת ה"קטנה" כוללת לא פחות מ-16 ליבות ומוגבלת עד לכ-96 ליבות.
• המפלצת תומכת בקצבים של עד כ-10Gbps של הגנה מפני Anti-spyware ו- Anti-malware.
• המפלצת תומכת בקצבים של 30Gbps עבור Application control,Intrusion prevention ו-SSL inspection
• המפלצת תומכת בקצבים של 40Gbps עבור Stateful firewall protection.
• הארכיטקטורה תומכת ב-Advanced Cluster המאפשר עד ל-4 רכיבים פר Cluster.
• המחיר של המפלצת החביבה נע בין $70,000 ל-350,000$

למוצרים איכותיים אני תמיד אוהב לפרגן:

• לפרזנטצית וידאו בנושא יש ללחוץ כאן.
• לפיצ'רים הנתמכים בסדרה יש ללחוץ כאן.
• למפרט טכני אודות מוצרי הסדרה יש ללחוץ כאן.
• לסרטון בנושא יש ללחוץ כאן.

SupperMassive-הושק גם באתר Twitter (שמישהו יעז לצייץ:)

תקיפת תשתיות לאומיות קריטיות מזווית הראיה של התוקף

השבוע ביקרתי בארגון המפעיל תשתית SCADA קריטית ביותר כאשר ביצעתי שם POC למערכת אבטחה יעודית. (מטעמים ברורים אין ברצוני להרחיב על כך).
ללא ספק תחום זה קרוב אליי מאוד שכן במסגרת עבודתי ניהלתי אבטחת מידע של מערכות SCADA במשך כשנתיים.
על מנת להמחיש לכם עד כמה שונה אבטחת מידע בסביבת SCADA מאשר ברשתות IT סטנדרטיות מצאתי נכון לצרף כאן פרזנטציה מאת אייל יודסין- ממיקמי חברת C4 Security המתמחה בנישת אבטחת מערכות ה-SCADA ובדיקות החוסן.

ההרצאה מועברת בצורה מענינת מאוד ומועברת מזווית הראיה של התוקף בתחום התשתיות הלאומיות(גז,חשמל,מים) ועונה לנו על שאלות כדוגמת:

• פרופיל התוקף-מי עומד בראש תקיפת מערכות מסוג זה?
• כיצד מתארגנים לתקיפת מערכת SCADA?
• מדוע אבטחת רשתות SCADA שונה מאבטחת מערכות IT סטנדרטיות כדוגמת בנקים?
• אילו 5 דרכי תקיפה מרכזיים קיימות לתקוף מערכת תשתית לאומית קריטית?
• מדוע אין להסתפק ולהסתמך אך ורק על טכנולוגיות כדוגמת Firewalls וטכנולוגיות דומות?
• מדוע השימוש בהנחת Security through obscurity שגוי מהיסוד?
• מי מוסמך לבצע סימולציות תקיפות SCADA?
• האם ניתוק טוטואלי מרשת האינטרנט יגורם לי כמנהל תשתית SCADA לישון בשקט בלילה?
• כיצד מאתרים את נקודות הכשל בארגון מסוג זה?
• מה הקשר בין LinkedIn לבין האיום הפיזי?
• האם קיים רגולטור הממונה על תשתיות ה-SCADA בישראל?
• מספר טיפים לסיום?

הרצאה פשוט מרתקת,אורכה כ-30 דקות, שווה לכל נפש!
לצפייה בוידאו לחצו כאן.

SCADA-פריצה למערכות בקרה מרחוק של תשתיות אינן מדע בידיוני!

60 שניות על SNMP כתיבת פנדורה

השבוע ביצעתי אפיון והטמעה למערכת ניטור העושה שימוש באמצעות שרותי RPC לשרתי Windows ו-SNMP לכלל רכיבי הרשת.

(Simple Network Management Protocol (SNMP הינו פרוטוקול אשר פותח בשנת 1988 הנמצא מעל ה-Application Layer במודל ה-OSI כאשר הפרוטוקול מהווה סטנדרט וכך התקנים מיצרנים שונים יכולים לעבוד מול אותה תוכנה.
מדובר בפרוטוקול המיועד לניהול רשתות TCP/IP מבוזרות המתבסס על מודל סוכנים ותחנת ניהול מרכזית.

הרשת מנוהלת בשיטת שרת-לקוח שבה יש סוכן שנמצא בכל מחשב או התקן רשת ומדווח לתחנה המרכזית נתונים כגון נתוני חומרה,תוכנה או סטטיסטיקה של שימוש בתוכנות ויישומים.

רשת תקשורת נתמכת SNMP מכילה 3 מרכיבים:

1. Managed Device-התקן של רשת תקשורת, שמכיל Agent. התקנים אלו אוספים ואוגרים מידע הקשור לניהול במטרה שיהיה זמין עבור ה-NMS . ההתקנים יכולים להיות Routers,Switches,Computer Hosts,Printers.
   
2. Agent-רכיב תוכנה הנמצא בהתקן בעל יכולת לנהל מידע ולתרגם אותו לשפה המתאימה לפרוטוקול SNMP.
   
3. (Network Management System (NMS-מריץ אפליקציות שתפקידן להשגיח ולבקר על ההתקנים.
   ה-NMS מספק את החלק המרכזי בתהליך העיבוד ואת משאבי הזיכרון הנחוצים לניהול רשת תקשורת.
   נדרש לפחות NMS אחד בכל רשת תקשורת מנוהלת.

בגרסאות הישנות של הפרוטוקול (V1,V2) היה צורך להגדיר 2 סוגי Communities:
1.Private-שליטה על המכשיר.
2.Public-קריאת נתונים.
למעשה מדובר בסיסמה לא מוצפנת הנשלחת כ-Clear Text ברשת אשר חשופה גם להתקפות Bture Force Attack.
חסרון נוסף של הפרוטוקול הוא חשיפה להתקפות Denial-of-Service מה שעלול להשבית את הרשת ולגרום לנזקים כלכלים עצומים.

להלן מספר חולשות שאני מוצא בקרב ארגונים:

1.לרוב גם כאשר אין צורך בשירות הזה הוא עדיין פעיל.
2.ארגונים רבים עדיין משתמשים בגרסאות הישנות והחשופות לפרצות V1 ו-V2 .
3.ברוב הארגונים לא מיישמים IPSec Policy מה שגורם למידע ברשת לעבור כ-Clear Text.
4.רבים ממנהלי הרשת נוטים להשתמש בסיסמאות ברירת המחדל.
5.אין יישום של SNMP V3 התומך במודל אבטחה הכולל אותנתיקציה והצפנה.
6.לא מתבצעות הוראות יצרנים לאבטחת הפרוטוקול כדגומת CISCO.

בשבוע הבא אני אמור לבצע סקר סיכונים אשר בין היתר יבחן את מערך הניטור של אחד הלקוחות.
להלן מספר כלים מומלצים לבחינת SNMP:

1.SNMP Vulnerability Test Suite-אפליקציה מסחרית המבצעת בדיקה יסודית ומכילה מספר רב של Exploits.
2.SNMP Auditor -כלי גרפי נוסף.
3.SNMP SCANNER-סורק בעל רשיון Freeware.
4.SNMP BRUTE FORCE ATTACKER-כלי Freeware לפיצוח סיסמאות SNMP.
5.(Secure Cisco Auditor (SCA -כלי לבחינת תצורת מכשירי CISCO.
6.Nsauditor Network Security Auditor-מכיל כלים רבים, בין היתר יודע לבצע Audit גם לשירותי RPC.

בנוסף כל Security Scanner אמור לבצע את העבודה.
בכל פעם אני צוחק מחדש כאשר מנמ"רים נדהמים איך הגענו לשליטה מלאה על התשתיות הקריטיות בארגון.
לכן חשוב שלפני שאנו מטמעים טכנולוגיה כלשהי-כדאי לקחת בחשבון גם הבטים של Secuity.

Take Control of IT Security and Compliance‏

במהלך עבודתי אני שם לב כי רבים מארועי אבטחת מידע(Security Incident) הינם תוצאה ישירה של קונפיגורציה לא נכונה כאשר ההשלכות עלולות להיות מסוכנות החל מחשיפה לתביעות ועד לנזקים בעלי אומדן כלכלי רב.
במידה ולא מתבצע תיעוד מדוייק של שינוי הקונפיגורציה תקלה בסיסית הנובעת משינוי קונפיגורציה יכולה להמשך עד מספר שעות מאחר והשינויים אינם מתועדים כמו גם לא תמיד אנו מגלים כי התקלות אכן נובעות מהשינויים עצמם.
כבר נתקלתי במומחי IT אשר ביצעו הגדרות שגויות ולא זכרו להגיד במדויק מה עשו ,מערכות ללא תיעוד מלא של שינוי הקונפיגורציה ומערכות מושבתות למשך זמן רב.

כאשר מדובר בארגון הנדרש לעמוד בתקן כדוגמת PCI או ISO 27001‏ עליו להטמיע פתרון לניהול מרכזי אשר יתעד את כל השינויים הבוצעו במערכת.

להלן הצעדים אשר עלינו לנקוט כמנהלי אבטחה בארגון:

1.יש לבצע כיול למוצרים להגדרות ה-Audit וה-Logs עד לרמת fine-tuning :הדרך המקצועית ביותר על מנת לא לפספס דבר הוא להעזר במדריכים של ה-Vendors עצמם , ראו דוגמת Cisco,או דוגמת Microsoft במוצר Active Directory.

2.יש להטמיע מערכת SEIM/SOC בארגון ולבצע קורצליה וארכיב לכל קבצי ה-Logs בזמן אמת.

3.יש להטמיע פתרונות Integrity כדוגמת Scriptlogic, TripWire, NetIQ, ManageEngine‏ המתריאים בפני כל נסיון לשינוי הגדרות החל משרת ה-Active Directory ,שרת ה-Exchange ה-Network Infrastructure ועוד.

4.יש הטמיע פתרון Configuration Management מרכזי, ל-ManageEngine יש פתרון איכותי לרכיבי רשת.

5.במידה ולא ניתן ליישם את הפתרונות הנ"ל מסיבות כאלו ואחרות , תמיד ניתן להטמיע שרת Syslog שיקל עלינו מאוד.

הנ"ל יקלו עלינו מאוד בפתירת תקלות ועד לסיום תחקיר האירוע והפקת לקחים.

צ'קפוינט מקבל רק את ה-Passcode ובעל הבית משתגע!

השבוע יצר עימי קשר לקוח שלי וטען כי בעת נסיון התחברות באמצעות ה-Secure Client ל-R70 הוא לא נדרש להזין את קוד ה-PIN וכי הוא מצליח לבצע התחברות באמצעות הקשת ה-TokenCode בלבד.
ללקוח Check Point Firewall/VPN R70 ומערכת RSA Authentication Manager 7.1 SP4‏ המבצעת אותנתיקציה מול שרת RADIUS.

כמובן שניגשתי מיד לבדיקת מאפיני המשתמש הספציפי על מנת לוודא שהוא מחוייב להזין קוד PIN וכי לא מוגדרת לו האופציה להשתמש ב-Emergency Code ,כמו כן בדקתי גם את ה-Password Policy אשר חלה על ה-Security Domain.

לאחר בדיקת הממצאים אשר נמצאו תקינים,התייעצתי עם אחד ממהנדסי המערכות הבחירים ביותר בתחוםה-RSA וב-IT Security בפרט אשר הפנה את תשומת ליבי למאמר הבא:

ID Title
a29250 New PIN and Next Tokencode Modes fail using Check Point VPN and RADIUS

Fact
Check Point Firewall NG

RSA RADIUS Server 6.1 Powered by Funk Steel-Belted RADIUS

Symptom

New PIN and Next Tokencode Modes fail using Check Point VPN and RADIUS
Users not prompted for New PIN or Next Tokencode Modes
$FWDIR/log/vpnd.elg file on the gateway logs "attribute 76 not recognized, response dropped"

Cause

This attribute is the response from the RADIUS. It is being dropped by Check Point, and therefore the client does not get prompted.

Fix
To correct this issue, open SmartDashboard and go to Policy > Global Properties > SmartDashboard Customization > Configure > +Firewall-1 > + Authentication > RADIUS. Set the "radius_ignore" attribute to a value of 76. After setting the "radius_ignore" attribute, reinstall the policy to your gateway.

המאמר מתייחס לגרסת 6.1 אבל חל גם על 7.1 בתצורת RADIUS .
אני חייב להודות שלא נתקלתי בדבר כזה קודם לכן אך תמיד יש פעם ראשונה!

Most popular SonicWALL UTM Firewall Configurations

להלן 12 ההגדרות הנפוצות ביותר אשר לרוב אני נדרש לבצע אצל לקוחות כאשר אני מטמיע UTM.
ע"י כניסה לקישור הזה ,ניתן למצוא מדריכי Step by Step בצורה מסודת ומהירה.

1. Configure LAN interface
2. Configure WAN (X1) interface
3. (Configuring other interfaces (X2, X3,etc
4. Port forwarding to a server behind SonicWALL
5. (Configure Remote VPN (GroupVPN, GVC, SSL-VPN, etc
6. Configure Site to Site VPN tunnel
7. Configuring Wireless
8. Connect Via Console
9. Resetting the SonicWALL and Uploading firmware
10. (Enabling SonicWALL Security Services (Content Filter, IPS, GAV, etc
11. (Installing Viewpoint software (reporting
12. High Availability (HA) / Hardware Failover configuration

כמובן שמעבר ל-Administration Guide של המוצר המכיל למעלה מ-400 עמודים, לכל פיצ'ר יש ממש Administration Guide משלו אך לעיתים אין לנו הזמן והיכולת לחפש מחת בערמת שחת.

ניהול בקרת הגישה מפרספקטיבה אחרת

כיום ניהול מערך אבטחת המידע הינו אחד האתגרים הגדולים הנציבים בפני מנהל אבטחת המידע בארגון.
בארגונים בינוניים עד גדולים הנדרשים לעמוד ברגולציה ניתן להבחין בעשרות מערכות לאבטחת מידע כאשר כל מערכת מהווה חוליה קריטית במעגל האבטחה הארגוני.
ברוב הארגונים ניתן להבחין במודל אבטחה המבוסס על פי שכבות הגנה:

1. בקרת גישה(Access Control): מעגל זה כולל מערכות לניהול זהויות(ID Management),מערכות לאבטחה פיזית,ניהול המערך הביומטרי בארגון,כספות אלקטרוניות(הצפנה),ניהול סיסמאות, ניהול כרטיסים חכמים
   ו-Tokens ,מערכות לבקרת הרשאות ולביצוע Audit וכן מערכות וה-Single Sign On אשר בד"כ מצריכות תכנון בעוד מועד.
   
2. אבטחת התקשורת(Network security): מעגל זה מתמקד בהיבטים הבאים:

• Firewalls, IPsec VPNs
• (Network Access Control (NAC
• Intrusion Detection Systems
• Intrusion Prevention Systems
• Remote Access
• Security Appliances
• SSL VPN
• Telecom/VOIP security
• Wireless Security
• Network and WAN Encryption

3.AV/Email/Messaging security-לרוב מעל אבטחה זה יעסוק בתחומים הבאים:

• Endpoint Security
• Anti-spam
• Anti-virus
• Certificates
• Email Content Management/Filtering
• Email Identity Management
• Messaging Security
• Content Filtering

Security Management, Assessment, Incident Response.4:מעגל זה עוסק בניהול מדניות האבטחה
(Security Lifecycle),טיפול באירועים,התאוששות ממקרי קיצון,ניהול סיכונים וביצוע חקירות:

• Disaster Recovery
• Enterprise Security Management
• SEIM/SOC
• Audit
• IT Forensics
• (Data Leak Prevention(DLP
• Managed Security Services
• Patch/Configuration Management
• Penetration Testing, Vulnerability Assessment, Risk Assessment
• Policy Management/Enforcement
• Risk Management
• Security Event Management
• Security Information Management

וכעת לשאלת מליון הדולר(בין הפותרים נכונה יוגרל פרס בעל ערך כספי רב) -כיצד מנהלים את הגישה לכמות עצומה של מערכות?
Rohati מספקת לנו מענה לאתגר הגדול - למעשה מדובר ברכיב העובד ב-Layer 7 ועובד על פי עקרון של 3 שאלות:

-מי צריך גישה לאוביקט?
-לאן הוא צריך גישה?
-איזו סוג של גישה בדיוק הוא צריך?

מצגת אודות המוצר ניתן למצוא כאן כמו כן ניתן לצפות בסרטוני וידאו גם ב-Youtube החל מסקירה כללית של המוצר ועד ל-Policy LifeCycle Management.
גילוי נאות-כחלק מתפסית האבטחה של Cisco לגבי נישת ה-Cloud החברה החליטה לרכוש את הסטארט-אפ הנ"ל.

Configuring the SonicWall DHCP for GVC

השבוע נתבקשתי להגדיר ללקוח תצרות(Global VPN Client (GVC.
מאחר והלקוח ביקש להמנע משימוש ב-DHCP המקומי השתמשתי ב-Appliance עצמו לצורך חלוקת כתובות IP למשתמשי ה-VPN .
את המדריך Step by Step כמו שאני אוהב להגיד ניתן להוריד מכאן.
מה שיפה במוצר שהוא תומך גם ב-IP Helper שזה לא רע בכלל!

ביצוע Auditing לתשתיות תקשורת בארגון לפי ISO 27001

השבוע נתבקשתי לבצע Audit לרכיבי ה-Network Inftastucture קרי Router,Switch,Firewall.
מבחינת מתודולגית עבודה נצמדתי לתקן ISO 27001 אשר הארגון נאלץ לעמוד בדרישות התקן לצורך קבלת ההסמכה ממכון התקנים הישראלי.

הבחינה כללה:
1. Policy and Procedures
2.בדיקת (Access Control Lists (ACLs
3.בדיקת הגנה על ממשקי הרשת(Password Encryption, Authentication Settings)
4.בדיקת Vulnerabilities למערכות ההפעלה של ה-FW וה-IOS.
5.בחינה של Services לא חייוניים או פגיעים(Telnet,TFTP וכו').
6.בחינת Log Monitoring ודיווח למערכת SEIM/SOC או SYSLOG.
7.בחינת Redundancy לרכיבים השונים.
8.תגובה לאירועי אבטחת מידע(Incident Handling).
9.בחינה של Route Protocols.
10.בחינת מערך אבטחה פיזית של הרכיבים.

להלן מספר עזרים אשר סייעו לי במלאכה:

1.Checklist התואמת ל-ISO 27001.

2.שימוש בכלי המסחרי Nipper אשר נחשב לאחד מהכלים המסחריים הרציניים בתחום ותומך במרבית היצרנים השולטים בשוק.
הכלי בעל יכולות ניתוח מדהימות ותמיכה במרבית היצרנים הפופולאריים המאפשר ניתוח מלא ומעמיק של קונפיגורצית הרכיבים,איתור חולשות אבטחה ,יכולת הפקת דוחות מעמיקים והמלצות ליישום.

3.שימוש ב-Secure Auditor מבית Secure-Bytes.

4.שימוש בספר המצויין Network Security Auditing מהספרות המקצועית של Cisco מאת המחבר Chris Jackson.
הספר מונה כ-517 עמודים ונחשב ל-The complete guide to auditing network security,measuring risk and promoting compliance" .

את הספר המצויין ניתן לרכוש באתר Amazon.com כמובן,סקירה של הספר ניתן למצוא כאן.

iOS Forensic Analysis-התמחות בחקירות iPhone, iPad and iPod Touch

לא מעט פעמים אני נשאל כיצד רשויות החוק מבצעות חקירות למכשירים ממשפחת Apple.
מאחר ומדובר בתורה שלמה החלטתי לצרף לכאן את הספר המלא אשר כולל 374 עמודים העוסקים בלימוד וניתוח מערכת ה-iOS מבית Apple ומחולק ל-3 נושאים עיקריים:
1.כיצד להגיב לאירועי אבטחת המידע בהם מעורבים התקני iOS .
2.כיצד לבצע חקירה מעמיקה ולנתח נתונים מהמכשיר.
3.כיצד לנתח את התקשורת בהתקנים הנ"ל.

באמצעות חקירת המכשיר נוכל לבצע:

1.ביצוע Recovery לקבצים שנמחקו.
2.צפייה בההקלדות שהמשתמש הקיש-מסתבר שבמכשיר ה-iPhone קיים Keystore מובנה במכשיר.
3.תיעוד פעולות שהתבצעו במכשיר כולל הפעלה של אפליקציות.
4.שחזור SMS ו-MMS שנמחקו.
5.צפיה בהסטורית גלישה של המשתמש.
6.חקירת ה-Voice Mail.
7.ניתוח של יומן שיחות.
8.חקירה של ה-Contacts,Notes וה-Calander וה-Tasks.
9.פרצה של מכשירים נעולים לצורך ביצוע החקירה עצמה.
10.חקירת התקני Bluetooth שחוברו למכשיר.
11.חקירת ה-File System של המכשיר.
12.חקירת מידע GPS ו-Google Map במידה ונעשה בהם שימוש.
13.חקירת התקני WiFi.
14.חקירת התקני וידאו במכשיר (מצלמה)
15.הפקדת דוחות לחקירה הכולל מידע כללי ופרטני על המכשיר.

אני חייב לציין שהרשימה עוד ארוכה!
הספר ניתן לרכישה גם ברשת Amazon.com.
להורדת הספר לחצו כאן.

"iOS Forensic Analysis "-עושים בית ספר למערכת: