Thursday, November 29, 2007

מיקומו של שרת הCA בטופולוגיה הארגונית

למי שלא מכיר - מערכת הCA ( ר"ת Certificate Authority ) , היא אותה מערכת אשר מנהלת ומחוללת סרטיפיקטים עבור הארגון , לכל מטרה שהיא - ובעיקר לשם אימות ועבודה מוצפנת מול מערכות שונות. לדוגמא - אחת הדרכים המקובלות כיום לעבוד בתשתית PKI , או להתחבר בVPN , הם באמצעות סרטיפיקט המופק על ידי מערכות הארגון.

בין המערכות שמרכיבות את הCA , תמיד קיים הCRL ( ר"ת Certificate Revocation List ) אשר מולו בעצם מתבצעת הבדיקה - האם הסרטיפיקט קיים וValid , או האם הוא Revoked או פג תוקף מסיבה כלשהי. כמובן שמערכת זו צריכה להיות זמינה לכל הגורמים הרלוונטיים.

הבעיה מתחוללת כאשר אנו מתכננים את התשתית הארגונית להכיל מערכת CA שכזו. חלק ניכר מהארגונים בהם אני נתקל - בוחרים למקם את מערכת הCA בחוות השרתים תחת סגמנט השרתים , או אולי בDMZ, מרחיקי הלכת מתקינים את הCA ברשת השרתים , ואת הCRL ברשת הDMZ . ובעצם התפיסה הרווחת היא שהמטרה שלנו היא להפריד בין המשתמשים לשרת הCA. תפיסה זו שגויה.

אחד הדברים החשובים ביותר בארגון שלנו מבחינת תשתית PKI , הוא הPrivate Key שלנו. אותו מפתח מנוהל על גבי שרת הCA. מסיבה זו בדיוק - הופך שרת הCA לאחד הגורמים החשובים ביותר ברשת שלנו ודורש הגנה מקסימלית. שכן ברגע שנגנב הPRIVATE KEY שלנו , אפשר ללכת הביתה ...

ישנם המון דיונים לגבי טופולוגיה נכונה בהטמעה של מערכות מסוג זה , ואני אציין את אחת הדרכים המועדפות עליי מנסיוני...

ראשית , יש ליצור Subordinate CA , בעצם שרת CA משני אשר נגיש מבחינת המערכות השונות , ואז יש לבצע העברה של שרת הMaster CA לסגמנט משל עצמו ! לא VLAN ולא שום אמצעי לוגי -אלא רגל בFW. לאחר מכן יש למקם אכן את הCRL באיזור DMZ , אך אם הסרטיפיקטים הם לשימוש פנימי ארגוני - למקם אותו באיזור הSDMZ ( ר"ת Secured DMZ ) שמשמעותו שזהו חיץ שאינו נגיש מהאינטרנט או לספקים חיצוניים - אך נגיש לכל המשאבים בארגון. בשלב האחרון , יש לכבות את שרת הCA. אין שום סיבה שהוא יהיה נגיש , שכן המפתח הפרטי המוחזק על ידו לא צריך להיות זמין , ותפקודו של הSCA יהיה פונקציונלי לחלוטין , תוך סיכון פחות של משאבי הרשת.

ישנן עוד תפיסות רבות לגבי הנושא הזה , חלקן אף מוטמעות במוצרים אשר מבצעים בדיוק את תהליכי ההפרדה הנכונה ( מבחינתם ) ומאפשרים שמירה על כללי אבטחת מידע גבוהים יחסית, אך לא תמיד אותן מערכות מותאמות לארגונים , ולא כל מתודולוגיה מקובלת על כל מהנדס\יועץ.

אחת הבעיות בתפיסות של ארגונים שונים לגבי PKI היא שמבחינתם הכל צריך לעבוד מהקופסא , תכנון על פי הStarting Guide של אותו יצרן , ופעמים רבות - לא מעורב יועץ הנדסה בתהליך , מה שגורם למשאבים להיות חשופים, כי מה זה בעצם משנה אם בניתי תשתית מצויינת , ושמתי מערכות PKI והצפנתי את התווך בין השרתים ואת העבודה מול ציודי התקשורת - אבל את המפתח שמתי על השולחן ואומר "אף אחד לא יראה" ...

Labels: , , , ,

Wednesday, November 21, 2007

תובנות לגבי העברת מצגות אפקטיביות

אני כותב , וראשית מתנצל על הפאסיביות שלי לאחרונה בכל הנוגע לכתיבה בבלוג, שכן מאחר והעבודה היא עבודה חדשה - אני מוצא את עצמי נשאב לתוך שעות "מיוחדות" של הלילה עם העבודה ולא מספיק לכתוב - אני מאמין שזה ישתנה בקרוב ...

ובכן , היום הסתיימה הסדנה לשיפור יכולות בניית והובלת מצגת ( שהועבר העל ידי צביקה רול ) אצלי בעבודה. ואני חייב לומר שנהניתי מכל רגע ( סלח לי צביקה שהייתי צריך לצאת מוקדם .. ) ובהחלט אני מרגיש שהסדנה הזו הייתה סוג של Life Changer עבורי , שכן כפי שכבר ציינתי לא מזמן - אני מאוד אוהב את תחום ההוראה ואת העמדה של פרזנטר. בעיקר כשמישהו מוכן לשלם כדי שאני אקשקש שעות על טכנולוגיה ...

למי שלא יודע , אחד הדברים שאני מקפיד לעשות כבר מספר שנים , הוא לקרוא לפחות 2 ספרים בחודש הקשורים לתחום העבודה שלי ( ולעתים אף יותר ) וזאת כדי להשתפר ולהתפתח ... וגם כאן נפלה בחלקי הזדמנות ללמוד נושא שמרתק אותי

בהזדמנות זו - אני רוצה להמליץ על ספר בתחום שקראתי בתחום במהלך השבועיים האחרונים :

The Exceptional Presenter ( קנו באמאזון ) , ספר זה מתאר את השלבים לבניית מצגת, התמקדות בקהל היעד , הצגה נכונה , כלים להעברת מסר בצורה יעילה - וכמובן - טיפים ... אני עדיין לא יודע עד כמה הנושא ישפר את יכולות ההצגה ובניית המצגת שלי לרמה גבוהה יותר.

אגב , אני ממליץ בחום להיכנס לאתר של צביקה ( לינק ) ולהתרשם.

Labels: , ,

Friday, November 09, 2007

קורס הצגה אפקטיבית

למי שלא יודע, אחד הדברים האהובים עליי ביותר בעולם, הוא העברת מצגות והדרכות טכנולוגיות. לכן חלק ניכר מהזמן שלי מופנה לכתיבת מצגות ושיפורן המתמיד. ובכן - לאחר מספר שנים בתחום זה ( כמובן מלווה בתגובות שונות ) נוצרה לי בתודעה תפיסה - שאני מציג די טוב. אבל מסתבר שאני יכול להשתפר בהרבה.

כחלק מעבודתי בחברת אינטגרציה, הוחלט להעביר בפני אנשי המכירות ואנשי ההנדסה בארגון - קורס בהעברת מצגות אפקטיביות. כאשר המרצה הוא לא אחר מאשר צביקה רול - אשר הינו פסיכולוג חברתי בהשכלתו ובעל חברת ייעוץ ארגוני על שמו. כמו כן מחבר בלוג מעניין.

מעבר לטיפים עיצוביים , ופסיכולוגיים לגבי יכולת העברת מצגת , מעביר צביקה בקורס - מספר מצגות אשר הוצגו בכנס TED בארה"ב . ועל ידי כך הפך אותי למעריץ בין-לילה של אל גור, מסתבר שאל גור הוא מרצה במועדון ה100K ( מאה אלף דולר להרצאה ) ואני לא חושב שראיתי מישהו שהצליח לקשור אותי כל כך חזק להקשבה אליו בצורה וירטואוזית כלכך ( פרט אולי לסטיב ג'ובס , שהוא גורו בתחום זה ).

מדהים איך אחרי השתלמות של מספר שעות , כבר משתנה הראיה , ונראות מיידית טעויות הנדסיות ועיצוביות של מצגת , ושל התנהגות המציג - שכן המצגת הינה תמיד רקע בלבד למציג עצמו ( אם הוא טוב ).

לפעמים אנו רואים כמובן מאליו את העובדה שאנו בקיאים בחומר אשר אנו מעבירים , אך איננו יודעים כיצד להעביר אותו הלאה, ואלמנט בניית הסיפור והמצגת הינו סוג של אומנות. אני חושב שכל אדם שיודע לחבר מצגת טובה, יש לו מספר תכונות אשר חלקן מולדות : כריזמה , Copywriter-By-Nature , תחושת זמן ומרחב , מודעות לסביבה. כמובן שישנן תכונות נוספות ( חלקן דומות אגב לתכונותיו של מנהיג ) שבונות מציג טוב, אבל זה כבר בנושא אחר...

אני מתכוון לקחת את הנושא ברצינות , ואפילו רכשתי מספר ספרים בתחום ( שניים כבר סיימתי לקרוא ). אני מניח שמעבר לעובדה ש Practice Makes Perfect , ידע והבנה מושכלת של מה שאתה עושה מעבר לנסיון וטריקים שעובדים עבורך - הינם כלי לא מבוטל אשר יש להתייחס אליו ברצינות בכל תחום.

בתור אחד שלא מאמין בשלמות , ומאמין שתמיד יש לאן להשתפר - אני חושב שמצאתי תחביב חדש.

Labels: , , , ,


About

    My Name is Barry Shteiman, im a devoted tech junkie, and this is my blog.
    E: barry.shteiman -at- gmail.com
    Twitter : bshteiman

Tags & Categories

Mailing List & RSS

Stay Updated  
Add to Technorati Favorites