Saturday, April 28, 2007

URL Filtering גישה נוספת לתחום רווי פתרונות

מגיב אנונימי [ שהתגלתה כמגיבה ] פנה\תה אלי וביקש\ה לקבל המלצה כזו או אחרת על מוצר אשר מבצע סינון אתרים. אחת הקריטריונים היה - לא BLUECOAT. ובכן , אני נענה לאתגרון להציג מספר שיטות ופתרונות מעניינים לנושא הזה.

ראשית , אני מרגיש חייב לציין , שאין להתייחס יותר כבעבר - למוצרי Single Focus בלבד , אלא יש לשקול גם את פתרונות הUTM הפרטיים של חברות כמו Fortinet ( נרחיב במהרה ). וכמובן להתייחס לפתרונות איכותיים כמו למשל SurfControl , שנרכשה לאחרונה על ידי WebSense המצויינת. אסור לעולם לשכוח את אלאדין , שהינה שחקן חזק ואיכותי בתחום, והופכת לרלוונטית יותר ויותר , במיוחד לאחרונה עם יציאת הAppliance הראשון שלהם לשוק , לאחר שנים של מכירה בצורה של תוכנה ( הגישה של צ'קפוינט ניכרת על הOPSEC השונים שלה )

הפעם, אני לא אתמקד בCommodity שהוא אותם פתרונות שכולם יודעים לספר ולדבר עליהם , או שכל אחד ישר יבוא ויגיד - כן , בארי צודק... אני מעדיף לתת את הדעת הטכנית שלי - ולכן אבקש להציג בפניכם את הפתרון המעולה - FortiGuard Web Filter מבית Fortinet.

למעשה מדובר על שירות אשר מתבסס על פלטפורמת הFortiGate שלהם , אשר הינו מוצר UTM שמעבר לשירות זה , מבצע בעצם כל דבר החל מBGP Router דרך Stateful Firewall וIPS וכלה בSSL VPN וכדומה. ובכן במה מדובר בעצם - מדובר בשירות אשר ניתן לבנות על פי מעל 80 קטגוריות שונות - פרופיל משתמש מותאם ( עם קישוריות מלאה לAD למשל ) ולבנות פרופיל הגנה מותאם משתמש או מחלקה ועל ידי כך להתגמש מבחינת המבנה .

הפרופיל מורכב כמובן ממערכת סינון מרוחקת , ומערכת מקומית. את המערכת המקומית מגדירים כמו כל מערכת , על ידי בניית מילוני BLACK\WHITE או למשל REGEX שונים המתאימים לכך , אך וכמובן לשייך לפרופילים שונים. המנגנון המעניין יותר , הוא שוב - אותן מעל 80 קטגוריות שונות אשר בונים להן פרופיל . המכונה מחזיקה אצלה CACHE של בקשות אחרונות בכדי לא לבצע בקשות חוזרות , למעשה לא נשמר DB מקומי - אלא השירות מבצע גישה מול FDS שהוא שירות הFortinet FortiGuard Distribution Network. וזה עובד כך -
כאשר משתמש פונה לאתר , הFortigate שולח HASH של הURL לכיוון הFDS, פעולה של PACKET קטנצ'יק בודד , והתשובה חוזרת גם היא על ידי PACKET קטנטן שסהכ מחזיר - "OK" או מס' קטגוריה אליה שייך האתר. ואז המכונה בוחרת האם לסנן . הבדיקה נעשית גם לתוכן על ידי מנוע שקשה לי לתאר בלי לוח וטושים לידי, ולא רק לכתובת עצמה. החברה מפתחת את המנוע בעצמה ולכן אינה נמנית עם פתרונות דומים אש ביצעו OEM עם פתרון סינון כזה או אחר.

המערכת עובדת גם בBRIDGE ולא רק בROUTE ולכן , אפשר להטמיע בכל ארגון , ללא כל שינוי של הטופולוגיה , ולשמור על שקיפות מירבית מול המשתמשים. ולמרות שהמערכת יכולה לתפקד גם כFW , זה לא מחייב , יש לנו לקוחות רבים אשר בחרו בCheckPoint בתור FW , אבל את סינון התוכן השאירו ליצרן אחר לבצע , כגון Fortinet או Aladdin.

לצערי , לא אוכל לציין פה את הלקוחות אשר הטמעתי בביתם מערכות כאלו , סודיות חייבת להישמר כמובן. ולכן אציין רק שמדובר בלקוחות בגדלי אוניברסיטאות בארץ, ואף מספר רחב ומקיף של ארגוני ענק מכל תחומי העיסוק . חשוב לציין שגם חברות קטנות יותר זכו להשתמש בשירות זה ( יש SIZING שמגיע אפילו לגדלים של שימוש ביתי ). הDB שלהם הגיע היום כבר כמעט ל 31,000,000 כתובות בדוקות ( עם תת כתובות כמובן )

אני יכול להגיד בצורה חד משמעית , שמערכות שמחזיקות עליהן מעל 35000 יוזרים - הראו לנו שזה עובד. ואני ממליץ בחום.

פתרונות חיפוש לעסקים - Google


ובכן , החברה האהובה עליי Google - עושה את זה שוב. [ האזכורים הראשונים למערכת זו הראו לי לפני כשנה וחצי או שנתיים ... אבל לא זכור לי שפורסם באתר של גוגל באופן רשמי ] , אבל אם תיכנסו ל
לינק הזה תוכלו לראות את אחד הפיתוחים היותר מעניינים של גוגל לעולם הLarge Scale Enterprise ולעולם מנועי חיפוש הנתונים וfריית הנתונים העסקיים.

למעשה מה שעשו גוגל ( אגב , Yahoo + IBM וחברות אחרות מפתחים פתרונות מקבילים , וכמו כן יש פתרונות מבית Microsoft אשר זו מטרתם גם כן וכמובן מנוע X1 המושלם מכל בחינה , אבל אני איש של גוגל ... מה לעשות ) הוא לקחת את המנוע האדיר שהם פיתחו , וליצור מערכות INDEXING למידע ארגוני , אשר כל משתמש יכול לרכוש ולנטוע מערכת חיפוש מתקדמת ביותר , בארגון שלו , באתר שלו , או עבור לקוחות שלו. והיתרונות בולטים , מכונת הGOOGLE MINI יכולה ברישוי הכי זול שלה ( 1995$ ) לחפש ולבצע INDEXING למעל 50,000 מסמכים - כלומר זהו פתרון זול וסביר לכל ארגון אשר מעוניין במנגנון לניתוב , סינון פילטור ויצירת מאגר נתונים על סמך מסמכים. והפתרון האולטימטיבי לשילוב בתוך אתר אינטרנט או אינטראנט ארגוני.

החלק שקשור פה לאבטחת המידע אולי נראה חבוי , אבל אני פחדן מספר אחד כאשר זה נוגע לארכוב נתונים ארגוניים על מערכות כמו גוגל אשר נראות קצת כמו חורים שחורים ולא ידועים כאשר זה מגיע ל"איך זה עובד והאם המידע נשלח החוצה ?" , טוב זו סוגיה שאפשר לסגור במערכות הפנימיות , כי זו אכן מערכת פנימית.

היופי הוא שכל נושא המידע החבוי והנעלם בארגון ( והמערכת תחפש בכל מקום שיגדירו לה , בין אם בתחנות קצה , שרתים או אפליקציות ( אפשר לקנות CONNECTORS לכמעט כל מוצר ) הכל הופך להיות גלוי וקל לחיפוש ומציאת נתונים רלוונטיים , הרי כל מי שאי פעם חיפש בגוגל יבין למה אני מתכוון.

אגב , המערכת הכי גדולה שאני מצאתי אצלם נכון להיום נקראת GB-8008 ויכולה לחפש במעל 30 מליון מסמכים . הצעה שלי ליאהו ולשאר , קנו כמה כאלה , ותפסיקו לבזבז זמן על פיתוח מנוע נוסף ש"יתחרה" במנוע המדהים של גוגל.

אהבתי.

למי שפספס - הנה שוב הלינק אני מציע לשוטט שם קצת.

Labels: , ,

Saturday, April 21, 2007

המקום שבו אנחנו מתחילים להיכשל - הירוקים

אני אזהר הפעם בכל מילה שניה שלי , כי זהו אחד המאמרים הפחות אורתודוכסיים שפרסמתי עד כה. מקום טוב להביע בו את אחד הדברים הכי משונים והכי פוגעים בתחום אבטחת המידע בארץ ובעולם כולו. ולא אני לא מתכוון לוירוסים , ולא אני לא מתכוון להאקרים ואפילו לא לאותה מנקה שמפילה את המערכות כשהיא שואבת אבק בחדר השרתים.

אני מתכוון לירוקים.

מהו ירוק ? ובכן ירוק זהו מושג כללי לגבי אדם בעל נסיון מוגבל בתחום , או כזה שעבר הסבה מקצועית לכיוון אבטחת המידע לאחרונה , ולאחר שנה בתחום - מתגאה שהוא מוביל וממקם עצמו בין הטובים בתחום מבחינתו.
אותם ירוקים הם אותם אנשי מקצוע אשר לקחו קורס אחד או שניים באבטחת מידע , ומאותו היום מכריזים על עצמם האקרים ומומחי אבטחת מידע למיניהם. אנשים שעסקו מרבית הקריירה שלהם בתקשורת או בPC ולאחר שלמדו קורס אבטחת מידע למנהלים ( יש שלל קורסים כאלו בארץ ובעולם ) הם מכריזים על עצמם מומחים.

זה קל למדי, תחשבו על זה ... תוך שנה אפשר ללמוד למספר הסמכות טכנולוגיות ( שלא ממש מצריכות נסיון HANDS-ON בכדי לקבלן ) ולאחר מכן לפרסם בקורות החיים כאילו שזהו העיסוק העיקרי שלהם מאז ומעולם. נתקלתי בלא מעט כאלה , חלקם אפילו תפסו משרות בכירות בארגונים שונים על סמך קו"ח בלבד , ולא , המעסיק לא תמיד בודק. תחשבו על זה , כל CISSP חושב פתאום שהוא יועץ, וכל CEH חושב שהוא האקר, לא מדבר בכלל על המגוונים לכיוון MCSE SECURITY.

המשמעות העיקרית היא , שאותם אנשי HARDCORE שבעצם מהווים חוד החנית , מצטמצמים בHIGHEND כי מחליפים אותם אנשים אשר מקומם אינו שם. אנשים טובים בעלי ידע ויכולת טכנית ומודעות אבטחת מידע גבוהה הופכים לטכנאים זוטרים בחברות שונות , או אינטגרטורים בLOWEND , ואותם מחליפים כל מיני זוטרים אשר התחילו את דרכם לא מזמן , אבל עם מוטיבציה להראות שהם יודעים.

אני רואה את זה כל יום . שלא תבינו לא נכון , כאשר מדובר בפיתוח התחום והAGENDA העולמית בעולם האבטחה , אני תמידאהיה הראשון לקפוץ ולהגיד - בואו אני אסביר לכם ואעזור. אבל קשה כאשר כל SCRIPT-KIDDY או CISCO-NEWB חושב שהוא ברוס שנייר. כאשר כל אדם אשר אי פעם הפעיל כמה חתימות בIPS משווה עצמו למיטניק , וכאשר כל אדם שמרשה לעצמו ללבוש עניבה לעבודה בכל יום - מדפיס על כרטיס הביקור שלו - יועץ.

ומי נפגע ? אבטחת המידע !
הרי בכל ארגון שמחפשים איש אבטחת מידע , מנהל אבטחה או אפילו אינטגרטור חיצוני , מסתפקים ברשימת ההסמכות שלו , או בקורות החיים המאוד לא מדוייקות שלו ( 4 שנים בחברה אדם מתפקד כאיש סיסטם , בשנה האחרונה הוא למד קצת צ'קפוינט , והוא רושם ניסיון של 4 שנים בתור אדמין לFirewall ). הלקוח הוא זה שנפגע , שכן השירות שאותו הוא מקבל הוא פחות טוב, והוא משלם כסף רב עבור "מוצר" שאינו המוצר האמיתי שרכש , זה בערך כמו לקנות שעון ROLEX בתאילנד, הוא יראה את השעה בשבוע הראשון ... ומה אחר כך ?

הארגונים היום , למרות שמתגאים בכך שאנשי אבטחת מידע מהשורה הראשונה מטפלים במערכות שלהם , אינם מודעים לכך בעצם שאותם אנשים בעצם באים מרקע ירוק לחלוטים בתחום ואינם מחזיקים בכלים המצטברים לטפל בנושאים כואבים שעשויים לעלות , וגם אם כן , אז אותן החלטות שהם לוקחים הן יותר פזיזות ( ברור שכך , הרי הפזיזות נמחקת ככל שהנסיון מצטבר )

אם היה תלוי בי , בכל עסקה או תהליך בו היה מעורב תחום אבטחת המידע , היה צריך להיות מצורף מסמך ובו חתומים הגורמים מטעם החברה שמספקת את השירות , שבו רשום הניסיון הפעיל שלהם במערכות , סוג ההסמכות , ועל פי דירוג בארגון ( בעלי תפקידים ואחריות ) והיה גם גוף מוסמך אשר יכול היה לבוא ולתת חותמת לכל איש אבטחת מידע , למספר השנים הפעיל האמיתי שלהם בתחום.

לא , CCIE זה לא איש אבטחת מידע.
לא , CISSP זה לא איש אבטחת מידע.
וממש לא , CEH הוא ממש ממש לא איש אבטחת מידע.

אבטחת מידע = ניסיון ולוגיקה. לא הסמכות.

Labels:

Tuesday, April 17, 2007

אבטחת מידע למנהלים - לפני המכונות

אני חש צורך לאחרונה להעלות את דעתי בנושא על הכתב, אותו נושא שלעתים נראה כברור מאליו , נראה כאילו מעולם לא חשבו עליו בעסקים קטנים או בחברות אשר מספר עובדיהם אינו עולה על 200 , ואולי דווקא בגלל סוגי העיסוק - או האומנם - האם מישהו טרח אי פעם להדריך ולהסביר להם את הצורך -

כחלק מתפקידי בארגון אליו אני שייך , אני מתלווה מידי פעם לפעם אל אנשי המכירות שלנו ואל מהנדסי המכירה שלנו בשטח על מנת לעזור ולהסביר , ליצור מודעות ולרוב לתכנן פתרונות מקיפים תוך שימוש בטכנולוגיות שונות. למשל - אצל לקוחות אשר נחשפים לפריצה למערכות שלהם וכדומה. מה שמדהים אותי הוא , שכאשר אני יושב בפורום מלא של הBOARD של הלקוח , ובפניי יושבים מנהל המחשוב והמנכל למשל - ישר שואלים אותי איזו קופסא להשים איפה ומה להתקין על מה כדי להיות יותר מאובטח. וזוהי תפיסה שגויה אשר יסודה בחוסר מודעות .

אחד השטיקים שלי כאשר אני מגיע למקום חדש , הוא להיכנס בדלת הראשית ולנסות שלא להזדהות, במקביל לעבור במזדרונות ולנסות לאסוף איתי פיסת נייר מאחד השולחנות . וכמובן להציג את המידע לאחר מכן בישיבה . בדרך כלל אני נתקל בהרמת גבה כאשר אני מסביר שהצלחתי להיכנס בלי שישאלו אותי מי אני , הסתובבתי במשרד ללא כל הגבלה ואיש לא שאל מי אני , וכמובן שלקחתי חתיכת מידע שיכלה בקלות להיות המכרז הכי גדול של אותה חברה בשנה הוכחית, או תלוש משכורת של מנהל כלשהו.

אבטחת מידע היא עולם שמגיע מהמודעות ורק אז מתחיל להיכנס אל הBITS ואל הBYTES. וככל שארגונים שעדיין לא עשו כך , יקדימו להטמיע מודעות , אנו נהיה במקום אחר מהרבה בחינות , כי אולי קשה להתמודד מול האקר אסרטיבי , אבל יותר קשה להתמודד מול אדם שנכנס אליך למשרד עם חליפה ואינך יודע מי הוא , אבל בגלל הלבוש שלו אתה מניח שהוא חשוב ולכן נותן לו להסתובב ללא הגבלה בארגון שלך .

מודעות.

Labels: , ,

Monday, April 09, 2007

שדרוג המשרד הביתי שלי - Multiplicity

בתקופה האחרונה התעסקתי רבות בשדרוג ורנון סביבת העבודה הביתית שלי. ובזה אני מתכוון לסביבה הממוחשבת בה אני עובד כשאני בבית והסביבה נראית פחות או יותר אותו דבר , רק משתדרגת כל הזמן מבחינת כח מחשוב ועזרים מהצד.

נסדר לכם קצת את האוזן ,
מתחת לשולחן ישנם 3 מחשבים , כאשר 2 הן תחנות עבודה חזקות ועוד מחשב אחד חזק המתפקד
כשרת VM ומהווה שרת מעבדה עבורי. הסביבה כוללת אבזור של אמצעי קלט אלחוטיים , נקודות חיבור לUSB , לוח כתיבה וכל כלי אחר לו אני זקוק מהצד - והכל כדי להגיע לחווית העבודה הנוחה ביותר עבורי על המחשב.

ובכן , מזה זמן מה אני שוקל להחליף את תצורת הKVM שלי לתצורה בה יש לי 2 מסכים - כאשר אחד לכל מחשב ( לשרת מתחברים גם ככה בCONSOLE או בRDP ) ועדיין לעבור בין המחשבים ללא צורך בעוד מקלדת ועכבר.

לאחר מחקר מצאתי ( ואפילו קניתי ! ) את התוכנה הנפלאה Multiplicity מבית stardock אשר גרמה לי לעשות את הצעד האחרון ולהסב את סביבת העבודה לסביבה שאתם רואים בתמונה.
למעשה על ידי התקנה של SRV במחשב אחד אליו מחוברים המקלדת והעכבר , והתקנת CLN בתחנה השניה - מתבצעת העברה על גבי הרשת של התעבורה של המקלדת ועכבר ביניהם.
למעשה אני גורר את העכבר בין המחשבים ומתבצע מעבר ! כאשר אני עם העכבר על המחשב השני - המקלדת הופכת להיות שלו.

כדי ליצור את הסביבה מושלמת , הKVM עדיין מחובר אצלי ( רק לחיבורי הPS/2 ) על מנת ליצור גיבוי אם יש בעיית רשת , או למקרה שמחשב הSRV כבוי ( ואז אין Multiplicity )

בגרסה שאני קניתי , שהיא הבסיסית - המחשבים גם חולקים Clipboard - כלומר אני יכול לעשות COPY במחשב אחד , ואז PASTE במחשב שני וזה מקל מאוד על העבודה , כמובן שניתן להחליט על סנכרון של דברים נוספים כמו גלגל הגלילה בעכבר , כפתורי NUMLOCK \ CAPSLOCK וכדומה ויש גם שליטה בF-LOCK המופיע רבות במקלדות של MICROSOFT . בגרסת הPRO אפשר גם לעשות DRAG&DROP לקבצים וכמו כן עבודה עם עד 6 מסכים. אציין גם שמחשב אחד רץ אצלי עם VISTA והשני עם XP , ללא כל קושי ! ( גרסה אחרונה ) אני ממליץ בחום למי שמנסה לשפר את סביבת העבודה שלו הכוללת יותר ממחשב אחד

[ ** תיקון 11/4/07 ** ]
שדרגתי לגרסת הPRO , שיתוף הקבצים פשוט שווה את זה , אני לקוח מרוצה של המוצר

מבחינת תקשורת - מדובר על פאקטבים בגודל 49 בתים כל אחד , כאשר ישנו שימוש בTCP
ובPORT מספר 30564 ( ניתן לשינוי ) המידע אינו CLEARTEXT בפאקט וניתן לבצע אימות תחנות על ידי ססמה. סהכ עושה את העבודה ובלי עומס.

אני חייב להגיד שהשינוי עושה פלאים , לקח לי קצת זמן לארגן הכל , כי החלטתי על DESIGN שאומר שבין המחשבים יש גם כרטיס רשת ייעודי להעברת נתונים ביניהם ( המתג מעל המחשבים מטפל ב8 אובייקטים , זו החלטה קלה שעלתה 80 שקלים סהכ לשני כרטיסים וכבל ). לקח זמן להתרגל לעבודה עם 2 מחשבים במקביל בלי לעבור עם KVM ביניהם כל הזמן , אבל ברגע שהתרגלתי - העבודה הפכה להיות איכותית ומשובחת , ההתייעלות מדהימה.

לינק לאתר של Multiplicity.

שיהיה לכולנו חג שמח ,
בארי שטיימן.

Labels:


About

    My Name is Barry Shteiman, im a devoted tech junkie, and this is my blog.
    E: barry.shteiman -at- gmail.com
    Twitter : bshteiman

Tags & Categories

Mailing List & RSS

Stay Updated  
Add to Technorati Favorites