בחינת מערך ה-Firewall בארגון

השבוע הוזמנתי לבחינת מערך ה-Firewall אצל אחד מלקוחתי אשר נדרש לעמוד בתקן ISO 27001.
כאשר אנו מבצעים בדיקה מסוג זה עלינו לבחון ב-2 רבדים:

1.הגדרות תצורה:

• בחינת גרסת Frimware והתאמה לתקנים (FIPS,Common Criteria).
• בדיקת סנכרון מול NTP
• בחינת עדכוני אבטחה (Hotfix Accumulators (HFA's
• בחינת עדכון חתימות ל-AntiVirus Gateway ול-IPS בחינת הגנה פיזית של ה-Firewall .
• בחינת וניתוח Rule Base .
• בחינת NAT Rules ו-IP Masquerading .
• בחינת מידור והפרדה בין רשתות (Access Control List) .
• בחינת מנגנוני Authentication.
• בחינת מגנוני Encryption .
• בחינת מנגנוני הרשאות ו-.Audit
• בחינת בקרת Logs ו-Reporting.
• בחינת מנגנוני Management.
• בחינת שרותי DHCP פעילים.
• בחינת מנגנוני Intrusion Prevention ו-Zero Day Attack Protection .
• בחינת מנגנוני Application Firewall .
• בחינת מערך יתירות(High Availability).
• בחינת מערך Backup
• בחינת מערך אבטחה פיזית.
• בחינת שרותי Remote Access .
• מנגנוני Time Access

2.נהלים-לרוב הבדיקה תבוצע ע"י תשאול מנהל האבטחה בארגון:

• האם כל שינוי בקונפיגורצית ה-Firewall מתועד?
• האם קיים נוהל לעדכון ה-Firewall?
• האם קיים נוהל לפתיחת משתמש ב-VPN?
• האם מתבצעת בדיקת Disaster Recoveryתקופתית ל-Firewall?
• האם מתבצעת בדיקה תקופתית של כלל המשתמשים הפעילים ב-Firewall?

בסיום הבחינה הגשתי דו"ח אשר כלל:

• שרטוט טופולוגית הרשת.
• חשיפת הליקויים שנמצאו ודירוגם ע"פ רמות סיכון.
• המלצות ליישם.

ללא ספק אין להמעיט בחשיבות ביקורות אלו ולבצע אותם על בסיס תקופתי.

מחקר חדש: עובדי IT ממשיכים להחזיק בהרשאות כניסה לעבודות קודמות

לאחרונה פורסם ב-TheMarker IT כי המחקר שהוצג בכנס ה-RSA שנערך לאחרונה, מציג תמונה עגומה בנוגע לשמירה על אבטחת מידע בתוך ארגונים:

"המחקר התמקד בדרך שבה אנשי IT פועלים כדי לנהל ולשמור על הזהויות האלקטרוניות של עובדי הארגון. 10% מהנשאלים בסקר, שנערך בקרב 1,500 עובדים ומנהלים בתחום ה-IT, הודו כי הם ממשיכים להחזיק בהרשאות משתמש וסיסמאות למערכות במקום העבודה הקודם שלהם. 52% אחוז מהנשאלים אף הודו כי שיתפו את עמיתיהם לעבודה בשמות המשתמש והסיסמאות שלהם. ניתן להניח כי נתונים אלו הם רק קירוב של המצב בפועל, שכן הם מסתמכים על הצהרותיהם של הנשאלים. כלומר, יתכן שהשיעורים גבוהים אף יותר" .

ניתן להתמודד עם סוגיה זו באמצעות מספר דרכים:

1.שילוב מערך (Single Sign-On (SSO בארגון-הרעיון הוא הזדהות חזקה של של משתמש באמצעות כרטיס חכם(Smart Card) הנושא תעודה אישית (Certificate) או Token המאפשרים הזדהות אחת כלפי מספר מערכות מידע ללא צורך בהזדהות נפרדת עבור כל מערכת.

2.אפיון והטמעת מערך Identity Management ) IDM)-ניהול פרטני של הרשאות משתמשים בצורה ידנית או אוטומטית הינו משימה כמעט בלתי אפשרית.
אחת הדרכים לפשט משימה זו הינה באמצעות הגדרת פרופילי הרשאות המשותפים למספר משתמשים בארגון והקפדה על כך שכל אחד מן העובדים בארגון יהיה משויך לפרופיל אחד או יותר.
פרופילים אלה הנגזרים, בדרך כלל, מן התפקידים בארגון (ולכן מכונים Roles) הינם אבני בניין יסודיות להענקת הרשאות: משתמש משויך לפרופיל, פרופיל מקבל סט של הרשאות.
תפיסה זו נחשבת היום כתפיסה המובילה בעולם ניהול הגישה והיא אף מוגדרת בתקן בינלאומי הדן בהרשאות גישה (Role Based Access Control, ANSI 359-2004).
פרוייקטי IDM הינם חוצי ארגון באופיים ולרוב כוללים תחומים גדולים וחשובים כמו ניהול, אבטחת מידע, ביטחון ורגולציה.
תחום מוצרי ניהול הזהויות הינו רחב מאוד ומרבית המוצרים נותנות מענה כולל לצרכים הטכנולוגים שהארגון מציג.

3.נוהל פיטור עובד-כתיבת ויישום נוהל הכולל טיפול בסוגית הפיטורין של העובד ללא יוצא מן הכלל החל מהפן הטכנולוגי ועד להתערבות אגף משאבי האנוש.

4.ביקורות (Audit)-ביצוע ביקורות על בסיס שוטף במערכות הארגון ,בארגונים גדולים מומלץ לשכור את שירותה של חברה המתמחה בביצוע ביקורות מסוג זה.

לצערי בארץ המצב לא פחות עגום מחו"ל...

יש SuperTanker ויש SuperMassive

כחלק מפרויקט ה-Next-Generation Firewall חברת Sonicwall משיבה מלחמה לכל מתחרותיה.
במסגרת פרויקט הנקרא "SuperMassive" החברה בשיקה בכנס RSA את ה-E10000 Appliance Seriesמיועד לשוק ה-Enterprise העושה שימוש בטכנולוגית ה-RFDPI.
עד לא מזמן הדגם החזק ביותר של החברה עתיר הביצועים היה NSA E8500 אשר ייעודו היה בעיקר לסקטור ה-ISP's.
ה-SuperMassive כשמו הוא-מפלצת חזקה,אמינה ועתירת ביצועים המעניקה יכולת גרנולרית ושליטה על כל הנעשה בתעבורת הרשת.

כמו שיאיר לפיד היה אומר-הנה כמה עובדות שלא ידעתם על-SuperMassive:

• המפלצת מותאמת במיוחד עבור פתרונות ה-Cloud.
• המפלצת ה"קטנה" כוללת לא פחות מ-16 ליבות ומוגבלת עד לכ-96 ליבות.
• המפלצת תומכת בקצבים של עד כ-10Gbps של הגנה מפני Anti-spyware ו- Anti-malware.
• המפלצת תומכת בקצבים של 30Gbps עבור Application control,Intrusion prevention ו-SSL inspection
• המפלצת תומכת בקצבים של 40Gbps עבור Stateful firewall protection.
• הארכיטקטורה תומכת ב-Advanced Cluster המאפשר עד ל-4 רכיבים פר Cluster.
• המחיר של המפלצת החביבה נע בין $70,000 ל-350,000$

למוצרים איכותיים אני תמיד אוהב לפרגן:

• לפרזנטצית וידאו בנושא יש ללחוץ כאן.
• לפיצ'רים הנתמכים בסדרה יש ללחוץ כאן.
• למפרט טכני אודות מוצרי הסדרה יש ללחוץ כאן.
• לסרטון בנושא יש ללחוץ כאן.

SupperMassive-הושק גם באתר Twitter (שמישהו יעז לצייץ:)

תקיפת תשתיות לאומיות קריטיות מזווית הראיה של התוקף

השבוע ביקרתי בארגון המפעיל תשתית SCADA קריטית ביותר כאשר ביצעתי שם POC למערכת אבטחה יעודית. (מטעמים ברורים אין ברצוני להרחיב על כך).
ללא ספק תחום זה קרוב אליי מאוד שכן במסגרת עבודתי ניהלתי אבטחת מידע של מערכות SCADA במשך כשנתיים.
על מנת להמחיש לכם עד כמה שונה אבטחת מידע בסביבת SCADA מאשר ברשתות IT סטנדרטיות מצאתי נכון לצרף כאן פרזנטציה מאת אייל יודסין- ממיקמי חברת C4 Security המתמחה בנישת אבטחת מערכות ה-SCADA ובדיקות החוסן.

ההרצאה מועברת בצורה מענינת מאוד ומועברת מזווית הראיה של התוקף בתחום התשתיות הלאומיות(גז,חשמל,מים) ועונה לנו על שאלות כדוגמת:

• פרופיל התוקף-מי עומד בראש תקיפת מערכות מסוג זה?
• כיצד מתארגנים לתקיפת מערכת SCADA?
• מדוע אבטחת רשתות SCADA שונה מאבטחת מערכות IT סטנדרטיות כדוגמת בנקים?
• אילו 5 דרכי תקיפה מרכזיים קיימות לתקוף מערכת תשתית לאומית קריטית?
• מדוע אין להסתפק ולהסתמך אך ורק על טכנולוגיות כדוגמת Firewalls וטכנולוגיות דומות?
• מדוע השימוש בהנחת Security through obscurity שגוי מהיסוד?
• מי מוסמך לבצע סימולציות תקיפות SCADA?
• האם ניתוק טוטואלי מרשת האינטרנט יגורם לי כמנהל תשתית SCADA לישון בשקט בלילה?
• כיצד מאתרים את נקודות הכשל בארגון מסוג זה?
• מה הקשר בין LinkedIn לבין האיום הפיזי?
• האם קיים רגולטור הממונה על תשתיות ה-SCADA בישראל?
• מספר טיפים לסיום?

הרצאה פשוט מרתקת,אורכה כ-30 דקות, שווה לכל נפש!
לצפייה בוידאו לחצו כאן.

SCADA-פריצה למערכות בקרה מרחוק של תשתיות אינן מדע בידיוני!

60 שניות על SNMP כתיבת פנדורה

השבוע ביצעתי אפיון והטמעה למערכת ניטור העושה שימוש באמצעות שרותי RPC לשרתי Windows ו-SNMP לכלל רכיבי הרשת.

(Simple Network Management Protocol (SNMP הינו פרוטוקול אשר פותח בשנת 1988 הנמצא מעל ה-Application Layer במודל ה-OSI כאשר הפרוטוקול מהווה סטנדרט וכך התקנים מיצרנים שונים יכולים לעבוד מול אותה תוכנה.
מדובר בפרוטוקול המיועד לניהול רשתות TCP/IP מבוזרות המתבסס על מודל סוכנים ותחנת ניהול מרכזית.

הרשת מנוהלת בשיטת שרת-לקוח שבה יש סוכן שנמצא בכל מחשב או התקן רשת ומדווח לתחנה המרכזית נתונים כגון נתוני חומרה,תוכנה או סטטיסטיקה של שימוש בתוכנות ויישומים.

רשת תקשורת נתמכת SNMP מכילה 3 מרכיבים:

1. Managed Device-התקן של רשת תקשורת, שמכיל Agent. התקנים אלו אוספים ואוגרים מידע הקשור לניהול במטרה שיהיה זמין עבור ה-NMS . ההתקנים יכולים להיות Routers,Switches,Computer Hosts,Printers.
   
2. Agent-רכיב תוכנה הנמצא בהתקן בעל יכולת לנהל מידע ולתרגם אותו לשפה המתאימה לפרוטוקול SNMP.
   
3. (Network Management System (NMS-מריץ אפליקציות שתפקידן להשגיח ולבקר על ההתקנים.
   ה-NMS מספק את החלק המרכזי בתהליך העיבוד ואת משאבי הזיכרון הנחוצים לניהול רשת תקשורת.
   נדרש לפחות NMS אחד בכל רשת תקשורת מנוהלת.

בגרסאות הישנות של הפרוטוקול (V1,V2) היה צורך להגדיר 2 סוגי Communities:
1.Private-שליטה על המכשיר.
2.Public-קריאת נתונים.
למעשה מדובר בסיסמה לא מוצפנת הנשלחת כ-Clear Text ברשת אשר חשופה גם להתקפות Bture Force Attack.
חסרון נוסף של הפרוטוקול הוא חשיפה להתקפות Denial-of-Service מה שעלול להשבית את הרשת ולגרום לנזקים כלכלים עצומים.

להלן מספר חולשות שאני מוצא בקרב ארגונים:

1.לרוב גם כאשר אין צורך בשירות הזה הוא עדיין פעיל.
2.ארגונים רבים עדיין משתמשים בגרסאות הישנות והחשופות לפרצות V1 ו-V2 .
3.ברוב הארגונים לא מיישמים IPSec Policy מה שגורם למידע ברשת לעבור כ-Clear Text.
4.רבים ממנהלי הרשת נוטים להשתמש בסיסמאות ברירת המחדל.
5.אין יישום של SNMP V3 התומך במודל אבטחה הכולל אותנתיקציה והצפנה.
6.לא מתבצעות הוראות יצרנים לאבטחת הפרוטוקול כדגומת CISCO.

בשבוע הבא אני אמור לבצע סקר סיכונים אשר בין היתר יבחן את מערך הניטור של אחד הלקוחות.
להלן מספר כלים מומלצים לבחינת SNMP:

1.SNMP Vulnerability Test Suite-אפליקציה מסחרית המבצעת בדיקה יסודית ומכילה מספר רב של Exploits.
2.SNMP Auditor -כלי גרפי נוסף.
3.SNMP SCANNER-סורק בעל רשיון Freeware.
4.SNMP BRUTE FORCE ATTACKER-כלי Freeware לפיצוח סיסמאות SNMP.
5.(Secure Cisco Auditor (SCA -כלי לבחינת תצורת מכשירי CISCO.
6.Nsauditor Network Security Auditor-מכיל כלים רבים, בין היתר יודע לבצע Audit גם לשירותי RPC.

בנוסף כל Security Scanner אמור לבצע את העבודה.
בכל פעם אני צוחק מחדש כאשר מנמ"רים נדהמים איך הגענו לשליטה מלאה על התשתיות הקריטיות בארגון.
לכן חשוב שלפני שאנו מטמעים טכנולוגיה כלשהי-כדאי לקחת בחשבון גם הבטים של Secuity.