Confessions Of A Dangerous Mind

אני שמח לבשר שהיום בצהריים סיימתי סוף כל סוף לבחון את כל פתרונות הNAC שרציתי.
וכשאני מתכוון NAC - אני מתכוון לאימפלמנטציה של 802.1x עבור DYNAMIC VLAN עם 802.1q וקביעת החלטת VLAN על סמך מדיניות אבטחה. אחרי הרבה מאוד מעבדות , והקמת תרחישים ותצורות שונות אני עצוב לבשר שאין עדיין סטנדרט למימוש NAC עם CLIENT SECURITY או לצורך העניין NAC עם HOST POLICY ENFORCEMENT בצורה סבירה.

ובכן הפתרונות שבדקתי היו
CISCO - שהיו בהחלט חוד החנית מבחינה טכנולוגית ובהחלט בעלי פתרון קרוב למושלם
JUNIPER - עם פתרון הUAC האיכותי המתבסס על טכנולוגיית הODYSSEY
CHECKPOINT - עם פתרון הINTEGRITY האיכותי שלהם המשלב טכנולוגיה של ZONELABS עם פתרון מנוהל וRADIUS PROXY עבור NAC.
FORTINET - עם פתרון שעדיין לא מכוון לתצורת הNAC אבל בהחלט מהווה CLIENT SECURITY AGENT חשוב מאוד ונותן הרבה משמעויות.
היו גם MCAFEE עם פתרון מאוד יעיל , אבל לא נפוץ בארץ ולכן לא יצא לי לבדוק אותם כפי שרציתי ולקבל גם סיפורי לקוח.

לצערי , לא היה אף פתרון שדומה לפתרון אחר . אם מצאתי יתרונות בHOST CHECKER המעולה של ג'וניפר , הם נפלו על חוסר בPERSONAL ENFOREMENT עבור מדיניות , לעומת צ'קפוינט שנתנו FIGHT מעולה בEND-POINT אבלקצת נופלים מבחינת היכולת שלהם כNAC. ועל פורטינט אין מה לדבר , נכון לעכשיו הפתרון שלהם לא קרוב למציאות , יש להם CLIENT SECURITY מעולה , שעובר בצורה רוחבית את רוב המתחרים ( לפחות מי שבדקתי ) אבל לא מראים יכולות NAC כלשהן כלל.

סיסקו בכל מקרה נותנים בכיוון הNAC את הפתרון המעניין ביותר , הALLIANCE שלהם עם Microsoft מהווה פריצת דרך, ואני אצטט כאן חבר, קורן לב מסיסקו - שאומר שברגע שהחברה ששולטת לך במערכות ההפעלה , והחברה ששולטת לך בתשתית מאחדות פעולה - שאר השחקנים יתאימו את עצמם או יעלמו - ואני מאמין שהוא צודק.

בכל מקרה , בכל הנוגע לEND-POINT SECURITY CLIENT הגעתי למסקנה שINTEGRITY של צ'קפוינט מהווה פתרון כמעט מושלם נכון לעכשיו , במיוחד לאחר הרכישה של POINTSEC ושל REFLEX MAGNETICS אשר לדעתי ישתלבו מהר מאוד במוצר ויהפכו אותה לנקודת האכיפה שאין להתעלם ממנה.

כNAC DEVICE - ג'וניפר שחקן רב עוצמה ולדעתי הקל ביותר להטמעה בארגון בכל סדר גודל שהו ולא רלוונטי האם WIFI או WIRED - הפתרון בעל מעטפת איכותית וקל מאוד להגדרה ותחזוקה, אם כי יקר.

בשילוב - אם כל התשתית היא סיסקו - אז אין לאן לברוח - הפתרון של סיסקו הוא המלא ביותר , כי רק הם רואים היום את השילוב של הCSA יחד עם הNAC תוך חתירה להפעלת אלמנטים כגון מניעת זליגת מידע ( הCLIENT מאפשר למשל לחסום COPY\PASTE בין תוכנות שונות ומאפשר לבנות מעטפת REASONABLE USE עבור המשתמש ).

נראה לאן הדברים יובילו אותנו... מעניין לראות מה יביא רבעון 2 של 2007 בתחום הNAC
אין לי ספק שכמו ששנת 2005-6 היו שנות ההתעוררות של הUTM , הBUZZWORD החדש יהיה עכשיו NAC , מה שבתקווה יעיר מחדש גם נושאים כמו PKI וכדומה.

Labels: architecture, nac

Posted by barry at 10:45 PM | Link | Comments

לפני כחודשיים שיחררה חברת צ'קפוינט את תוצר הOEM שלה עם חברת CrossBeam אשר מהווה פלטפורמה חזקה למערכת הUTM-1 Firewall של חברת צ'קפוינט. זאת על ידי בניית מודולים וחומרה שמותאמת במיוחד לתעבורת רשת.

ובכן , בשיטוט הקבוע שלי באתרי התוכן - והפעם - YouTube המעולה , חיפשתי לראות אם יש סרטונים מכנסים וכדומה - ולכן חיפשתי "checkpoint" ולא תאמינו מה מצאתי !
מישהו ( ככל הנראה מרוסיה ) לקח מכונה כזו ( בדגם UTM-1 450 לפי הסרטון ) והדגים כיצד הוא מתקין על המכונה Windows XP ! כן כן , אכן כך

טוב , אני הייתי מנסה VISTA אם הייתי מכיר את הארכיטקטורה של המכונה - אבל לדעתי זה יהיה OVERKILL למכונה , חבל שהבחור לא הריץ Vista Upgrade Advisor על המכונה :)
לאחר כמה צפיות בסרטון ועצירה במקומות המעניינים BIOS מיושן של חברת Phenoix , מה גם - דיסק קשיח שאינו תעשייתי כלל ולכן אני לא יודע כמה הוא מסוגל להחזיק מעמד ( למי שמכיר קצת Firewall-1 , המכונה רושמת כל הזמן לדיסק בכל הקשור ללוגים והתראות ולכן הדיסק עובד כל הזמן ) למרות שאני מאמין שיצרן כמו צ'קפוינט לא יקח סיכון RMA גבוה כלכך ולכן יתכן שאני מפספס עם הדיסקים. בכל מקרה - לפי הסרטון , המעבד הוא גם סלרון ( לא יודע מה המהירות - מטושטש מידי ).

עכשיו , ההגיון עובד כאן ברמה מסויימת - שכן מערכות צ'קפוינט רצות על סביבות X86 באמצעות גרסה מוקשחת של RedHat שנקראת SecurePlatform ( או SPLAT ) ולכן הגיוני שלא יכתבו את כל המוצר מחדש עבור מכשיר חדש, אבל אני באמת חייב לציין שצפיתי לראות אותם מתעלים על המתחרים שלהם באמצעות FIRMWARE כלשהו , ולא זכיתי לכך ... אולי בהמשך.


לחצו כאן לצפיה בסרטון

Labels: funny, software

Posted by barry at 12:51 PM | Link | Comments

למרות שאני מתנגד לחלוטין לכל מה שקשור לגניבת זכויות יוצרים ולימוש לרעה בכלים טכנולוגיים על מנת לעקוף מערכות רישוי וכדומה , שכן אני מאמין שעל מנת לקבל שירות איכותי ומוצרים איכותיים , החברות המפתחות אותם צריכות לקבל תשלום הוגן עבורן. שימו לב , אני לא מצדד בשום שלב בכוחניות כלשהי בתחום זה , אלא כקונספט. אני חושב שבכדי לקבל מוצרים ארגוניים ( ואני מתכוון רק לארגוניים ) טובים ואיכותיים הכוללים עדכוני אבטחה עליהם עמלים אנשי פיתוח בשעות הקטנות של הלילה , כשבדלי הסיגריה מצטברים במאפרה , והקפה השחור מצהיב את השיניים שלהם...

בכל מקרה , הקדמה זו הייתה רק מאחר שאני רוצה לשתף אתכם במשהו. אני מקבל המון פניות מארגונים אשר הסיבה שאינם מאפשרים להשתמש בתוכנות IM למיניהן הן הפרסומות אשר מוצגות בתוכנות הללו. משרדים בעלי אנשים דתיים , אשר לא מעוניינים לקבל פרסומות עם נערות בביקיני. או בתי ספר אשר אינם רוצים שילדים יחשפו לתכנים לא רלוונטיים וכדומה. תוכנות שמזמן הפכו לכלי ארגוני כגון MSN Messenger המעולה , אינן מורשות לשימוש בארגונים רבים בשל התכנים אליהם עלולים להיחשף העובדים\מקבלי השירות באותם מוסדות.


ובכן , אני מציג כאן כדוגמא טכנית בלבד - כיצד ניתן לבצע הפעלה של תוכנות אלו ללא פעלת הפרסומות בהן, זהו מעין POC.

את הדוגמא המצולמת ביצעתי עם מוצר Fortigate כGateway Firewall. למעשה בניתי סינון תכנים אשר מחפש בURL את האתרים ad.msn.co.il שמציג את הפרסומת בחלון הראשי של מסנג'ר
או את האתר rad.msn.com אשר מציג את המשפט הפרסומי מתחת לחלון השיחה. כמו כן סיננתי את מילות התוכן [CACHECLEAN] מהתכנים ( קצת Sniffing ) ומאותו רגע המסנג'ר הפך לנקי.
לא מורכב במיוחד ...
כמו כן , אני לא יודע איזו עוד השפעה יש לגורם הבא - אבל כאשר חסמתי את הSyntax הבא :
"config.messenger.msn.com/Config/MsgrConfig.asmx" אז למעשה היה נשמר אפילו הלוגו של מסנג'ר בחלון הפרסומת התחתון ומנוע הפרסומות לא היה מותנע אפילו.

אגב, ניתן היה גם לבצע כחתימת IPS סטנדרטית באותה מערכת , ובכדי לחסוך מעצמי מיילים מיותרים ... הנה שתי החתימות הרלוונטיות ( בפורמט של Fotigate )

חתימה ראשונה
F-SBID( --name "bs_MSN-AD-Stop.A"; --protocol tcp; --flow established ; --regex "ADSAdClient31.dll"; --no_case)
חתימה שניה
F-SBID( --name "bs_MSN-AD-Stop.B"; --protocol tcp; --flow established ; --content "ad.msn.co.il"; --no_case)

שוב ,אני לא מכוון לכך שזהו שימוש הולם במוצר , שכן זוהי עשויה להיות הפרה של הסכם השימוש בו לפי דעתי ( לא בדקתי לחלוטין ) אבל מבחינה חוקית - לא נגעתי בתוכנה , אלא רק סיננתי אתרים בדרך ולכן יש כאן פן של חפות פשע מסויימת :).
אני אגב , הסרתי את הסינון לאחר כתיבת המאמר.

הערה : מדובר בהדגמה בלבד ובדיקת היתכנות טכנית , ואין לקחת במה שכתבתי כהנחיה לביצוע עבירה כלשהי או שימוש לא חוקי כזה או אחר במוצד.

Labels: script, software

Posted by barry at 8:12 PM | Link | Comments

טוב , האמת היא שלא תכננתי להשתתף במשחק הזה , אבל אם כבר קיבלתי כמה מיילים בנושא ,כשהאחרון נשמע לוחמני במיוחד ( כן מקס , המייל שלך ), החלטתי לתת כמה פרטים אישיים עליי.

1. העבודה הרצינית הראשונה שלי בעולם המחשבים הייתה בבינת תקשורת כשהייתי בן 14.
באותה תקופה זה היה כבר די חריג , אבל לא כמו היום.

2. אני מנגן על גיטרה כבר מעל 10 שנים. כשחלק ניכר מהזמן שלי הוא בכתיבה.
זהו תחביב שאני שומר בסטטוס תחביב אך לא מזניח.

3. המקום האהוב עליי ביותר בעולם - פראג. ביקרתי שם למעשה כבר 3 פעמים , במקרה
יצא שבכל פעם שהיתי באותו המלון בדיוק.

4. יש לי מעבדה שלא הייתה מביישת כל אינטגרטור בתחום הLINUX , והכל בבית מהוצאות
אישיות ומהרבה מאוד חומרה שהצטברה עם השנים. כמה מהניסויים היותר זדוניים שלי נעשו במעבדה הזו עם השנים.

5. יש לי חגורה שחורה באומנות לחימה שפותחה בארץ בשם "דניס הישרדות" , לצערי תחום
שלא יצא לי להשקיע בו בשנים האחרונות , ולכן אני כבר לא אקטיבי בתחום כבעבר.

לעשות TAGGING בעצמי ?

לא יודע ... בו נראה ...
גיא מזרחי , יקירי - you have been tagged , again.
דריה , גם את .

במידה ואתם לא יודעים מה זה אומר ( גיא אני בטוח שאתה יודע ) , עליכם כעת לפרסם בבלוג שלכם לפחות 5 עובדות אישיות עליכם ... ככה המשחק המטופש הזה אומר.

Labels: blog

Posted by barry at 10:14 AM | Link | Comments

אני לא יודע איך לאכול את זה בדיוק , אבל מה שנראה יותר ויותר בחודשיים האחרונים מאז תחילת השנה , הוא התעוררות שוק הSMB קיבל תעוזה , פתח ספר וטיקס עצה.

אני נשמע מופתע , כי עד כה - במשך תקופה ארוכה , עסקים עם פחות מ200 משתמשים לא דאגו בכלל לאבטחת המידע בארגון. לפתע החלו ארגונים קטנים מאוד של 10 משתמשים ומעלה , להבין את העובדות ולהגיע להבנה המרה שחשיפתם לבעיות אבטחת מידע זהה לבעיות איתם מתמודדים ארגוני ענק בני 500000 מושבים.

מפתיעה אולי פחות העובדה שהשוק בוחר להטמיע את רוב הפתרונות ישירות מול חברות הISP אשר הקימו אגפי אינטגרציה ופתרונות משולבים מתוך הבנה בצרכים אלו במהלך השנתיים האחרונות, כי טבעי ללקוח קטן לקבל פתרון מקיף מנקודה אחת. ( כן אני מאמין בזה ).

אני שמח לגלות שגם יצרנים כמו צ'קפוינט מבינים לאט לאט את הצורך במתן מענה לשווקים הקטנים ולכן מוציאים מוצרים כמו הUTM-1 אשר עד כה יכולנו לראות רק בשוק הENTERPRISE ועכשיו גם לעסקים בינוניים וקטנים. בקרוב אני מקווה לראות פתרונות דומים גם לטיפול בבעיות של זליגת מידע וכדומה.

מי יודע , אולי נראה פתרונות OTP וPKI שמתאימים לארגונים מתחת ל100 איש ( כן אני יודע שיש , אני מתכוון במחיר מול תועלת שבאמת יביאו הטמעות כאלו ), המחקרים מראים שאין מכך מנוס. אני מקווה לראות את זה קורה בקרוב.

Labels: consulting, design

Posted by barry at 6:14 PM | Link | Comments