אבטחה ברשת

[tberger]

אבטחה ברשת

כל השאלות וה FAQ בעיקר נוגעים לאבטחת מחשב אישי שאינו מחובר ברשת. האם ישנם ומהם ההבדלים של הגנת רשתות ביתיות ו/או מסחריות. האם יש אתר המדבר על הנושא?

 

[uzi2]

יש המון הבדל

הסיבה שהמאמרים בפורום מתרכזים בהגנה על מחשב אישי/רשת ביתית, היא כי הם נבנו מתוך שאלות ותשובות שהיו בפורום (חלקם ממש צוטטו מתוך תשובות) ומרבית האנשים ששואלים כאן שאלות מגיעים כי יש להם בעיות במחשב הביתי. ההבדלים הם גדולים ומכמה סיבות: * בבית יש גישה למחשב לך, ולאשתך (ולילד יש מחשב משלו - אם אתם רוצים אבטחה

). אם אתה קצת מבין ומודע לנושא האבטחה וגם אשתך (ואם לא אז תדריך אותה) אז כל משתמשי המחשב ומתחזקיו מבינים ומודעים לנושא האבטחה. במערכת גדולה, האחראי על האבטחה (או האחראי על התחזוקה) אינם יכולים להבטיח שכל משתמשי המחשב יהיו ברמת הידע והמודעות הנדרשות. * בבית אם יש איזו תוכנה או תהליך שרץ במחשב ואינך מכיר אותו, אתה יכול לבדוק האם אשתך התקינה משהו, או אתה התקנת משהו, וכך לברר מהו אותו תהליך. במערכות גדולות זה לא פשוט. אפילו העובדה שהרבה אנשים מתחזקים את המערכות הללו גורמת לאי הבנות ולמצב שבו אין לך ממש הבנה של כל מה שקורה. * בבית יש בין 1 ל- 3 מחשבים. לפעמים הם רק משתפים אינטרנט ביניהם ולפעמים גם שיתוף קבצים (ואז אפשר להגביל למשיכה בלבד). במערכות גדולות יש הרבה מחשבים שמשלבים ביניהם תפקידים בצורה מורכבת. בסיס הנתונים כאן, השרת שם, חשבונות המשתמשים שם, והמחשב שאחראי על ההארד דיסקים במקום אחר. לתחזק מערכת כזאת הרבה יותר מורכב. * בבית אם אתה מתחזק את המחשב שלך כצו שצריך אז אין שרתים (מקסימום תוכנה אחת או שתיים של Peer2peer). במערכות גדולות יש כל מיני שרתים שחושפים את המערכת לסכנות פריצה. * בבית הרבה פעמים אתה יכול לסמוך על כך ששאר משתמשי המחשב לא יסכן את האבטחה. בעבודה, בהרבה מקרים זה קשה. הרבה סכנות הגיעו לחברות דווקא מתוך המערכת. * העובדה שכמה אנשים מתחזקים חלקים שונים במערכת יכולה להביא לחוסר תאום ולאי הבנות (כשם יהרבה חורי אבטחה נבעו מכך שרכיבים שונים תוכנתו ע"י אנשים שונים. בכלל במערכות גדולות לא רק שאי אפשר לוודא שלכל משתמשי המחשב יש מספיק ידע ומודעות לאבטחה, אלא שאפילו קשה לוודא שלכל אלה שמתחזקים את המערכת יש את הידע והמודעות הללו. * עדכוני אבטחה במערכת גדולה אינם פשוטים, על אף שיש אמצעים שמקלים על עדכון מרוכז לכל המחשבים. ועדיין - מי יוודא שכל ה- laptops מעודכנים? * מערכות גדולות משתמשות במחשבים שמחוברים ב- WAN דרך VPN ושנמצאים פיזית במקומות שונים. לאנשי האבטחה אין גישה פשוטה לדעת מי כרגע מחובר לשלושה חשבונות שונים, ומעביר ביניהם קבצים. יש להם גישה מסוימת מרחוק, אבל הם גם לא יכולים לעקוב אחרי כל מה שקורה בכל מקום. בכלל כמות האינפורמציה הרלוונטית שיש למנהלי אבטחה היא גדולה, והם חייבים אזשהם מסננים ומציאת קורלציות כדי למצוא את ידיהם ורגליהם בכל הסבך הזה של מה שקורה במערכות שעליהם הם מופקדים. מישהו מתחבר מהבית שלו למחשב החברה ופתאום רמת האבטחה שבמחשב האישי שלו (כולל הילד שמוריד ומתקין כל מה שזז, משפיעה על רמת האבטחה במערכת. זו הסיבה שמערכות IDS, ו- sniffing חשובות כל כך במערכות גדולות בעוד שאין להם ממש חשיבות במחשבים אישיים. * חומרים רגישים, ואנשים מבחוץ בעלי אינטרס לפרוץ. הסכנה העיקרית למחשבים אישיים היא מוירוסים סטנדרטים וילדוני סקריפטים. לא כך לגבי חברות גדולות. בסה"כ, תמיד חשוב לקבוע מדיניות האבטחה. במערכות גדולות מדיניות אבטחה עוסקת בשאלות כמו: מה מותר ולמי, מה אסור ולמי, ואיך משגיחים שמה שאסור לא יהיה, למי ולאיזו תוכנה יהיו אלו הרשאות וכדומה. אתה לא יכול לרדת לפרטים של מה אנשים ותוכנות עושים ולכן אתה יורד יותר לפרטים של מה אתה מרשה לכל אחד מהם לעשות, ואיך אתה מגביל ארת האפשרויות לעשות דברים לא לגיטימיים מבלי לפגוע משמעותית בבניית הדברים הלגיטימיים. במחשבים ביתיים יש גם חשיבות לקביעת מדיניות אבטחה אבל זו אמורה להיות דומה בבכל המקרים הפרטיים, והמדיניות הרבה פעמים מסתכמת בשאלה מה אתה עושה ומה אתה לא עושה, ולא בלמה אתה פותח הרשאות ומתיר לאחרים לעשות ומה אתה אוסר ואיך אתה אוכף ומשגיח. אז כמובן שוירוסים זה וירוסים והם תוקפים מערכות קטנות כגדולות (ויוניקס הרבה פחות מחלונות). וחורי אבטחה בתוכנת הדואר זה אותם חורים, אבל כל הגישה לאבטחה היא שונה. במחשב ביתי יש עבודה חד פעמית של להתקין ולקנפג דברים ואח"כ יש עבודה קלה של עדכונים. במערכות גדולות זה עניין למשרה מלאה אחת לפחות, ולהרבה עיונים בלוגים של התרחשויות. יש מאמר קלסי אם כי די ישן, לגבי תחזוקה של מערכות גדולות, והוא גם די נוטה לכיוון יוניקס (שאז שלטה שליטה מוחלטת): http://www.faqs.org/rfcs/fyi/fyi8.html גם האתר של cert יחסית שם דגש על מערכות גדולות.

 

[tberger]

תודה רבה!

על התשובה הארוכה והמושקעת. לסיכום אם כך ניתן לומר שצריך שני דברים: כל אחד בחברה צריך להיות מודע לאבטחה ולדאוג לאבטחת המחשב האישי שלו כלומר עידכונים אנטי וירוס וכד´. צריך להיות CSO שיהיה אחראי על יישום מדיניות אבטחת המידע של הארגון ועל הכלים המסייעים לו בכך.