רשומות

מציג פוסטים מתאריך 2019

הגנה על Web services 2

בחלק הראשון סיפרתי על הזדהות בהגנה על ה WS. עכשיו אני רוצה לספר קצת על אבטחה בארכיטקטורה של ה WS. אז על מה כדאי לשים לב בארכיטקטורה של WS ? באחד הסקרים שעשיתי מזמן, גיליתי שה-WS עוברים מהאיזור של DMZ אל האיזור של שרתים פנימיים דרך ה FW אך ללא שום הגנה נוספת. כלומר הסיכון כאן שהתוקף במידה ופורץ לאחזור ה-DMZ יוכל בקלות להפעיל WS ב-ESB. אני המלצתי כמקובל לשים XML FW בין הסביבות (ולפעמים מקובל לשים 2), אך בגלל יוקר המוצר (DATAPOWER), לא רצו לשים כלום. ומכוון שאני בעבר בא מתחום הפתוח, איפיינתי אפליקציה שתעשה הגנה בסיסית על ה-WS במעבר בין האיזורים. באפליקציה זו דרשתי את הדברים הבאים:
* בדיקת גודל ה-Request
* בדיקת Schema Validation
* בדיקת RegEx על השדות
* הזדהות עם X.509 בין כל ה-WS
* שבירת פרוטוקול ל-MQ וחזרה
* בדיקת Response על RegEx
* בדיקת גודל ה-Response כמובן היו עוד כמה דרישות על log, מיסוך וכו. והאפליקציה עשתה את שלה - נתנה הגנה מינימלית בין הסביבות. זה כמובן לא DP, אבל גם משהו. מכוון שהמוצר לא כלל חתימות התקפתיות, דרשתי גם להעביר את הפניה דרך WAF הפנימי. בצורה זו הפתרון נראה סב…

הגנה על WEB SERVICES

היום בתעשיה משתמשים הרבה ב-WEB SERVICES עבור אינטגרציה בין מערכות שונות. בשביל תפקוד העסק שימוש ב-WS נהיה סטנדרט כבר מזמן. הבעיה שלא כל הארגונים משקיעים בהגנה על WS האלה. כאן אני רוצה לספר על מה שאני ממליץ באבטחת WS בארגון.

בגדול (אבל לא כולם עושים את זה) באבטחת WS צריך לדאוג ל-3 דברים:

הזדהות (חזקה)תווך העברת נתונים (מוצפן - SSL)חתימה על המסר ואני מוסיף גם את הסגמנטציה - כלומר פתיחת חוקים מתאימים ב-FW שרק הגורמים הרלוונטיים יגיעו לשרת הנכון.
לגבי תווך הצפנה - הכל ברור גם כך, זה חייב להיות מוצפן.
בהזדהות אני ממליץ להשתמש ב-CLIENT CERTIFICATE או במילים אחרות בסרטיפיקט X.509. סרטיפיקט זה צריך להיות מונפק ע"י ה-CA הארגוני ולכלול מידע על הזהות שמזדהה לקבלת שירות. הבעיה בפתרון זה שלא כולם יודעים לעשות את זה כמו שצריך. ומה זה כמו שצריך? - זה כמובן בדיקת סרטיפיקט שהוא חתום ע"י ה-CA המתאים (בד"כ מתבצעת ע"י התשתית), אך בנוסף לזה זה גם בדיקת פרמטרים של הסרטיפיקט כגון CN. למה צריך את זה ? מכוון שבארגון מנפיקים די הרבה סרטיפיקטים, ויש סיכוי (במידה ובדיקת CN לא מתבצעת), שהתוקף …

גישה פיסית - game over

תמונה
בארץ היו כבר כמה אירועים של גניבת מידע ע"י העובדים באמצעות העתקת מידע מדיסק קשיח. הרי מה בעיה להוציא דיסק בסוף היום עם המידע שכבר הכנת מראש, לקחת אותו הביתה ובבוקר להחזיר כאילו לא קרה כלום.
ההמלצה שלי (ושל מומחים אחרים) תמיד היתה - הצפנת דיסק. אבל בתעשייה לא כל כך רצים לעשות זאת, בגלל "קושי תפעולי".

אבל במבדקי סייבר שאני מדי פעם מבצע, אני מראה עד כמה קל בגישה פיסית למחשב להשתלט עליו. מזמן (עוד בימי bt5), לצורך מבדקי סייבר הכנתי לי bootable disk אשר עשה דבר פשוט  בעת שהעלו ממנו את המחשב. הדבר הפשוט הזה היה מכניס למחשב משתמש לוקלי חדש עם הרשאות ניהוליות. כלומר התהליך היה כזה:

מכבים את המחשבמנתקים מהרשת (למקרה שיש NAC)מכניסים דיסק USBמדליקים את המחשב ונכנסים ל-biosבוחרים העלה מדיסק usbמעלים את המחשבבסיום ההעלה, אוטומתית היה מופעל סקריפט שיוצר משתמש אדמיניסטראטיבי ובסיום היה מכבה את המחשב גם אוטומטיתמוציאים את הכונן ה-usbמחברים את הרשתמדליקים את המחשב ומעלים אותו באופן רגילנכנסים למחשב עם משתמש שנוצר עם הרשאות גבוהות.

ומכאן הרבה אופציות פתוחות:

התקנת תוכנות לסריקת רשתהתקנת ת…