במהלך עבודתי אני שם לב כי רבים מארועי אבטחת מידע(Security Incident) הינם תוצאה ישירה של קונפיגורציה לא נכונה כאשר ההשלכות עלולות להיות מסוכנות החל מחשיפה לתביעות ועד לנזקים בעלי אומדן כלכלי רב.
במידה ולא מתבצע תיעוד מדוייק של שינוי הקונפיגורציה תקלה בסיסית הנובעת משינוי קונפיגורציה יכולה להמשך עד מספר שעות מאחר והשינויים אינם מתועדים כמו גם לא תמיד אנו מגלים כי התקלות אכן נובעות מהשינויים עצמם.
כבר נתקלתי במומחי IT אשר ביצעו הגדרות שגויות ולא זכרו להגיד במדויק מה עשו ,מערכות ללא תיעוד מלא של שינוי הקונפיגורציה ומערכות מושבתות למשך זמן רב.
כאשר מדובר בארגון הנדרש לעמוד בתקן כדוגמת PCI או ISO 27001 עליו להטמיע פתרון לניהול מרכזי אשר יתעד את כל השינויים הבוצעו במערכת.
להלן הצעדים אשר עלינו לנקוט כמנהלי אבטחה בארגון:
1.יש לבצע כיול למוצרים להגדרות ה-Audit וה-Logs עד לרמת fine-tuning :הדרך המקצועית ביותר על מנת לא לפספס דבר הוא להעזר במדריכים של ה-Vendors עצמם , ראו דוגמת Cisco,או דוגמת Microsoft במוצר Active Directory.
2.יש להטמיע מערכת SEIM/SOC בארגון ולבצע קורצליה וארכיב לכל קבצי ה-Logs בזמן אמת.
3.יש להטמיע פתרונות Integrity כדוגמת Scriptlogic, TripWire, NetIQ, ManageEngine המתריאים בפני כל נסיון לשינוי הגדרות החל משרת ה-Active Directory ,שרת ה-Exchange ה-Network Infrastructure ועוד.
4.יש הטמיע פתרון Configuration Management מרכזי, ל-ManageEngine יש פתרון איכותי לרכיבי רשת.
5.במידה ולא ניתן ליישם את הפתרונות הנ"ל מסיבות כאלו ואחרות , תמיד ניתן להטמיע שרת Syslog שיקל עלינו מאוד.
הנ"ל יקלו עלינו מאוד בפתירת תקלות ועד לסיום תחקיר האירוע והפקת לקחים.
פורום ניהול רשתות ואבטחת מידע
יום שבת, 29 בינואר 2011
יום שישי, 28 בינואר 2011
צ'קפוינט מקבל רק את ה-Passcode ובעל הבית משתגע!
השבוע יצר עימי קשר לקוח שלי וטען כי בעת נסיון התחברות באמצעות ה-Secure Client ל-R70 הוא לא נדרש להזין את קוד ה-PIN וכי הוא מצליח לבצע התחברות באמצעות הקשת ה-TokenCode בלבד.
ללקוח Check Point Firewall/VPN R70 ומערכת RSA Authentication Manager 7.1 SP4 המבצעת אותנתיקציה מול שרת RADIUS.
כמובן שניגשתי מיד לבדיקת מאפיני המשתמש הספציפי על מנת לוודא שהוא מחוייב להזין קוד PIN וכי לא מוגדרת לו האופציה להשתמש ב-Emergency Code ,כמו כן בדקתי גם את ה-Password Policy אשר חלה על ה-Security Domain.
לאחר בדיקת הממצאים אשר נמצאו תקינים,התייעצתי עם אחד ממהנדסי המערכות הבחירים ביותר בתחוםה-RSA וב-IT Security בפרט אשר הפנה את תשומת ליבי למאמר הבא:
ID Title
a29250 New PIN and Next Tokencode Modes fail using Check Point VPN and RADIUS
Fact
Check Point Firewall NG
RSA RADIUS Server 6.1 Powered by Funk Steel-Belted RADIUS
Symptom
New PIN and Next Tokencode Modes fail using Check Point VPN and RADIUS
Users not prompted for New PIN or Next Tokencode Modes
$FWDIR/log/vpnd.elg file on the gateway logs "attribute 76 not recognized, response dropped"
Cause
This attribute is the response from the RADIUS. It is being dropped by Check Point, and therefore the client does not get prompted.
Fix
To correct this issue, open SmartDashboard and go to Policy > Global Properties > SmartDashboard Customization > Configure > +Firewall-1 > + Authentication > RADIUS. Set the "radius_ignore" attribute to a value of 76. After setting the "radius_ignore" attribute, reinstall the policy to your gateway.
המאמר מתייחס לגרסת 6.1 אבל חל גם על 7.1 בתצורת RADIUS .
אני חייב להודות שלא נתקלתי בדבר כזה קודם לכן אך תמיד יש פעם ראשונה!
ללקוח Check Point Firewall/VPN R70 ומערכת RSA Authentication Manager 7.1 SP4 המבצעת אותנתיקציה מול שרת RADIUS.
כמובן שניגשתי מיד לבדיקת מאפיני המשתמש הספציפי על מנת לוודא שהוא מחוייב להזין קוד PIN וכי לא מוגדרת לו האופציה להשתמש ב-Emergency Code ,כמו כן בדקתי גם את ה-Password Policy אשר חלה על ה-Security Domain.
לאחר בדיקת הממצאים אשר נמצאו תקינים,התייעצתי עם אחד ממהנדסי המערכות הבחירים ביותר בתחוםה-RSA וב-IT Security בפרט אשר הפנה את תשומת ליבי למאמר הבא:
ID Title
a29250 New PIN and Next Tokencode Modes fail using Check Point VPN and RADIUS
Fact
Check Point Firewall NG
RSA RADIUS Server 6.1 Powered by Funk Steel-Belted RADIUS
Symptom
New PIN and Next Tokencode Modes fail using Check Point VPN and RADIUS
Users not prompted for New PIN or Next Tokencode Modes
$FWDIR/log/vpnd.elg file on the gateway logs "attribute 76 not recognized, response dropped"
Cause
This attribute is the response from the RADIUS. It is being dropped by Check Point, and therefore the client does not get prompted.
Fix
To correct this issue, open SmartDashboard and go to Policy > Global Properties > SmartDashboard Customization > Configure > +Firewall-1 > + Authentication > RADIUS. Set the "radius_ignore" attribute to a value of 76. After setting the "radius_ignore" attribute, reinstall the policy to your gateway.
המאמר מתייחס לגרסת 6.1 אבל חל גם על 7.1 בתצורת RADIUS .
אני חייב להודות שלא נתקלתי בדבר כזה קודם לכן אך תמיד יש פעם ראשונה!
יום שבת, 22 בינואר 2011
Most popular SonicWALL UTM Firewall Configurations
להלן 12 ההגדרות הנפוצות ביותר אשר לרוב אני נדרש לבצע אצל לקוחות כאשר אני מטמיע UTM.
ע"י כניסה לקישור הזה ,ניתן למצוא מדריכי Step by Step בצורה מסודת ומהירה.
ע"י כניסה לקישור הזה ,ניתן למצוא מדריכי Step by Step בצורה מסודת ומהירה.
- Configure LAN interface
- Configure WAN (X1) interface
- (Configuring other interfaces (X2, X3,etc
- Port forwarding to a server behind SonicWALL
- (Configure Remote VPN (GroupVPN, GVC, SSL-VPN, etc
- Configure Site to Site VPN tunnel
- Configuring Wireless
- Connect Via Console
- Resetting the SonicWALL and Uploading firmware
- (Enabling SonicWALL Security Services (Content Filter, IPS, GAV, etc
- (Installing Viewpoint software (reporting
- High Availability (HA) / Hardware Failover configuration
יום שבת, 15 בינואר 2011
ניהול בקרת הגישה מפרספקטיבה אחרת
כיום ניהול מערך אבטחת המידע הינו אחד האתגרים הגדולים הנציבים בפני מנהל אבטחת המידע בארגון.
בארגונים בינוניים עד גדולים הנדרשים לעמוד ברגולציה ניתן להבחין בעשרות מערכות לאבטחת מידע כאשר כל מערכת מהווה חוליה קריטית במעגל האבטחה הארגוני.
ברוב הארגונים ניתן להבחין במודל אבטחה המבוסס על פי שכבות הגנה:
ו-Tokens ,מערכות לבקרת הרשאות ולביצוע Audit וכן מערכות וה-Single Sign On אשר בד"כ מצריכות תכנון בעוד מועד.
- Firewalls, IPsec VPNs
- (Network Access Control (NAC
- Intrusion Detection Systems
- Intrusion Prevention Systems
- Remote Access
- Security Appliances
- SSL VPN
- Telecom/VOIP security
- Wireless Security
- Network and WAN Encryption
3.AV/Email/Messaging security-לרוב מעל אבטחה זה יעסוק בתחומים הבאים:
- Endpoint Security
- Anti-spam
- Anti-virus
- Certificates
- Email Content Management/Filtering
- Email Identity Management
- Messaging Security
- Content Filtering
Security Management, Assessment, Incident Response.4:מעגל זה עוסק בניהול מדניות האבטחה
(Security Lifecycle),טיפול באירועים,התאוששות ממקרי קיצון,ניהול סיכונים וביצוע חקירות:
- Disaster Recovery
- Enterprise Security Management
- SEIM/SOC
- Audit
- IT Forensics
- (Data Leak Prevention(DLP
- Managed Security Services
- Patch/Configuration Management
- Penetration Testing, Vulnerability Assessment, Risk Assessment
- Policy Management/Enforcement
- Risk Management
- Security Event Management
- Security Information Management
וכעת לשאלת מליון הדולר(בין הפותרים נכונה יוגרל פרס בעל ערך כספי רב) -כיצד מנהלים את הגישה לכמות עצומה של מערכות?
Rohati מספקת לנו מענה לאתגר הגדול - למעשה מדובר ברכיב העובד ב-Layer 7 ועובד על פי עקרון של 3 שאלות:
-מי צריך גישה לאוביקט?
-לאן הוא צריך גישה?
-איזו סוג של גישה בדיוק הוא צריך?
מצגת אודות המוצר ניתן למצוא כאן כמו כן ניתן לצפות בסרטוני וידאו גם ב-Youtube החל מסקירה כללית של המוצר ועד ל-Policy LifeCycle Management.
גילוי נאות-כחלק מתפסית האבטחה של Cisco לגבי נישת ה-Cloud החברה החליטה לרכוש את הסטארט-אפ הנ"ל.
יום שני, 10 בינואר 2011
Configuring the SonicWall DHCP for GVC
השבוע נתבקשתי להגדיר ללקוח תצרות(Global VPN Client (GVC.
מאחר והלקוח ביקש להמנע משימוש ב-DHCP המקומי השתמשתי ב-Appliance עצמו לצורך חלוקת כתובות IP למשתמשי ה-VPN .
את המדריך Step by Step כמו שאני אוהב להגיד ניתן להוריד מכאן.
מה שיפה במוצר שהוא תומך גם ב-IP Helper שזה לא רע בכלל!
מאחר והלקוח ביקש להמנע משימוש ב-DHCP המקומי השתמשתי ב-Appliance עצמו לצורך חלוקת כתובות IP למשתמשי ה-VPN .
את המדריך Step by Step כמו שאני אוהב להגיד ניתן להוריד מכאן.
מה שיפה במוצר שהוא תומך גם ב-IP Helper שזה לא רע בכלל!
יום שבת, 1 בינואר 2011
ביצוע Auditing לתשתיות תקשורת בארגון לפי ISO 27001
השבוע נתבקשתי לבצע Audit לרכיבי ה-Network Inftastucture קרי Router,Switch,Firewall.
מבחינת מתודולגית עבודה נצמדתי לתקן ISO 27001 אשר הארגון נאלץ לעמוד בדרישות התקן לצורך קבלת ההסמכה ממכון התקנים הישראלי.
הבחינה כללה:
1. Policy and Procedures
2.בדיקת (Access Control Lists (ACLs
3.בדיקת הגנה על ממשקי הרשת(Password Encryption, Authentication Settings)
4.בדיקת Vulnerabilities למערכות ההפעלה של ה-FW וה-IOS.
5.בחינה של Services לא חייוניים או פגיעים(Telnet,TFTP וכו').
6.בחינת Log Monitoring ודיווח למערכת SEIM/SOC או SYSLOG.
7.בחינת Redundancy לרכיבים השונים.
8.תגובה לאירועי אבטחת מידע(Incident Handling).
9.בחינה של Route Protocols.
10.בחינת מערך אבטחה פיזית של הרכיבים.
להלן מספר עזרים אשר סייעו לי במלאכה:
1.Checklist התואמת ל-ISO 27001.
2.שימוש בכלי המסחרי Nipper אשר נחשב לאחד מהכלים המסחריים הרציניים בתחום ותומך במרבית היצרנים השולטים בשוק.
הכלי בעל יכולות ניתוח מדהימות ותמיכה במרבית היצרנים הפופולאריים המאפשר ניתוח מלא ומעמיק של קונפיגורצית הרכיבים,איתור חולשות אבטחה ,יכולת הפקת דוחות מעמיקים והמלצות ליישום.
3.שימוש ב-Secure Auditor מבית Secure-Bytes.
4.שימוש בספר המצויין Network Security Auditing מהספרות המקצועית של Cisco מאת המחבר Chris Jackson.
הספר מונה כ-517 עמודים ונחשב ל-The complete guide to auditing network security,measuring risk and promoting compliance" .
את הספר המצויין ניתן לרכוש באתר Amazon.com כמובן,סקירה של הספר ניתן למצוא כאן.
מבחינת מתודולגית עבודה נצמדתי לתקן ISO 27001 אשר הארגון נאלץ לעמוד בדרישות התקן לצורך קבלת ההסמכה ממכון התקנים הישראלי.
הבחינה כללה:
1. Policy and Procedures
2.בדיקת (Access Control Lists (ACLs
3.בדיקת הגנה על ממשקי הרשת(Password Encryption, Authentication Settings)
4.בדיקת Vulnerabilities למערכות ההפעלה של ה-FW וה-IOS.
5.בחינה של Services לא חייוניים או פגיעים(Telnet,TFTP וכו').
6.בחינת Log Monitoring ודיווח למערכת SEIM/SOC או SYSLOG.
7.בחינת Redundancy לרכיבים השונים.
8.תגובה לאירועי אבטחת מידע(Incident Handling).
9.בחינה של Route Protocols.
10.בחינת מערך אבטחה פיזית של הרכיבים.
להלן מספר עזרים אשר סייעו לי במלאכה:
1.Checklist התואמת ל-ISO 27001.
2.שימוש בכלי המסחרי Nipper אשר נחשב לאחד מהכלים המסחריים הרציניים בתחום ותומך במרבית היצרנים השולטים בשוק.
הכלי בעל יכולות ניתוח מדהימות ותמיכה במרבית היצרנים הפופולאריים המאפשר ניתוח מלא ומעמיק של קונפיגורצית הרכיבים,איתור חולשות אבטחה ,יכולת הפקת דוחות מעמיקים והמלצות ליישום.
3.שימוש ב-Secure Auditor מבית Secure-Bytes.
4.שימוש בספר המצויין Network Security Auditing מהספרות המקצועית של Cisco מאת המחבר Chris Jackson.
הספר מונה כ-517 עמודים ונחשב ל-The complete guide to auditing network security,measuring risk and promoting compliance" .
את הספר המצויין ניתן לרכוש באתר Amazon.com כמובן,סקירה של הספר ניתן למצוא כאן.
iOS Forensic Analysis-התמחות בחקירות iPhone, iPad and iPod Touch
לא מעט פעמים אני נשאל כיצד רשויות החוק מבצעות חקירות למכשירים ממשפחת Apple.
מאחר ומדובר בתורה שלמה החלטתי לצרף לכאן את הספר המלא אשר כולל 374 עמודים העוסקים בלימוד וניתוח מערכת ה-iOS מבית Apple ומחולק ל-3 נושאים עיקריים:
1.כיצד להגיב לאירועי אבטחת המידע בהם מעורבים התקני iOS .
2.כיצד לבצע חקירה מעמיקה ולנתח נתונים מהמכשיר.
3.כיצד לנתח את התקשורת בהתקנים הנ"ל.
באמצעות חקירת המכשיר נוכל לבצע:
1.ביצוע Recovery לקבצים שנמחקו.
2.צפייה בההקלדות שהמשתמש הקיש-מסתבר שבמכשיר ה-iPhone קיים Keystore מובנה במכשיר.
3.תיעוד פעולות שהתבצעו במכשיר כולל הפעלה של אפליקציות.
4.שחזור SMS ו-MMS שנמחקו.
5.צפיה בהסטורית גלישה של המשתמש.
6.חקירת ה-Voice Mail.
7.ניתוח של יומן שיחות.
8.חקירה של ה-Contacts,Notes וה-Calander וה-Tasks.
9.פרצה של מכשירים נעולים לצורך ביצוע החקירה עצמה.
10.חקירת התקני Bluetooth שחוברו למכשיר.
11.חקירת ה-File System של המכשיר.
12.חקירת מידע GPS ו-Google Map במידה ונעשה בהם שימוש.
13.חקירת התקני WiFi.
14.חקירת התקני וידאו במכשיר (מצלמה)
15.הפקדת דוחות לחקירה הכולל מידע כללי ופרטני על המכשיר.
אני חייב לציין שהרשימה עוד ארוכה!
הספר ניתן לרכישה גם ברשת Amazon.com.
להורדת הספר לחצו כאן.
"iOS Forensic Analysis "-עושים בית ספר למערכת:
מאחר ומדובר בתורה שלמה החלטתי לצרף לכאן את הספר המלא אשר כולל 374 עמודים העוסקים בלימוד וניתוח מערכת ה-iOS מבית Apple ומחולק ל-3 נושאים עיקריים:
1.כיצד להגיב לאירועי אבטחת המידע בהם מעורבים התקני iOS .
2.כיצד לבצע חקירה מעמיקה ולנתח נתונים מהמכשיר.
3.כיצד לנתח את התקשורת בהתקנים הנ"ל.
באמצעות חקירת המכשיר נוכל לבצע:
1.ביצוע Recovery לקבצים שנמחקו.
2.צפייה בההקלדות שהמשתמש הקיש-מסתבר שבמכשיר ה-iPhone קיים Keystore מובנה במכשיר.
3.תיעוד פעולות שהתבצעו במכשיר כולל הפעלה של אפליקציות.
4.שחזור SMS ו-MMS שנמחקו.
5.צפיה בהסטורית גלישה של המשתמש.
6.חקירת ה-Voice Mail.
7.ניתוח של יומן שיחות.
8.חקירה של ה-Contacts,Notes וה-Calander וה-Tasks.
9.פרצה של מכשירים נעולים לצורך ביצוע החקירה עצמה.
10.חקירת התקני Bluetooth שחוברו למכשיר.
11.חקירת ה-File System של המכשיר.
12.חקירת מידע GPS ו-Google Map במידה ונעשה בהם שימוש.
13.חקירת התקני WiFi.
14.חקירת התקני וידאו במכשיר (מצלמה)
15.הפקדת דוחות לחקירה הכולל מידע כללי ופרטני על המכשיר.
אני חייב לציין שהרשימה עוד ארוכה!
הספר ניתן לרכישה גם ברשת Amazon.com.
להורדת הספר לחצו כאן.
"iOS Forensic Analysis "-עושים בית ספר למערכת:
הירשם ל-
רשומות (Atom)