האם צריך להתייחס לטכנולוגיית הוירטואליזציה גם בהיבטי אבטחת מידע?

26 במאי 2009

עולם טכנולוגיות המחשוב התפתח רבות בשנים האחרונות, בעיקר בהיבטי אבטחת מידע. הטכנולוגיות החמות היום הן וירטואליזציה של מערכות הפעלה ואפליקציות. וירטואליזציה מאפשרת באופן כללי שימוש יעיל בתשתיות החומרה, כלומר יצירת "ענן מחשוב" המכיל את כל תשתיות הארגון (בשאיפה) במקום מרכזי אחד - חוות השרתים.   יחד עם יתרונות התפעול והעלויות המוזלות עבור החומרה, קיימות מגרעות לטכנולוגיות חדשות מזה שנים. רוב הטכנולוגיות ש"נולדות" בשוק מוכיחות את עצמן כפגיעות בפני התקפות זדוניות, אפילו לאחר הטמעות רבות בארגונים. אסור לשכוח שרוב הטכנולוגיות שמוגדרות ברמה הלוגית נפרצות בסופו של דבר, מדובר בעניין של זמן.   היצרנים הגדולים של עולם הוירטואליזציה כבר הספיקו להיפרץ ע"י מתקפות בודדות, כגון הרצת קוד עויין על משאבי מערכות הפעלה וירטואליות...
תגובה אחת

Virtualization and Terminal Services brief

21 במאי 2009

 במאמר זה אכתוב בקצרה על שני נושאים שהם חמים בשוק בתקופה האחרונה, ואוסיף קצת מידע שימושי על השילוב ביניהם. מה היא וירטואליזציה? חוק מור שנקבע ע"י גורדון מור (מייסד אינטל) מראה את נכונות הנבואה בה כל שנה וחצי, או שנתיים  יוכפל מספר הטרנזיסטורים במעגלים משולבים זולים. חוק זה הוכיח את עצמו כבר יותר מ-40 שנה. השערת מומחים רבים היא שחוק מור יחדל מלהתקיים בעוד מספר שנים היות והטכנולוגיה היום מגיעה לרמות מזעור מינימליות. חשוב לציין שלא מדובר בסוף הדרך מכיוון שכבר בימים אלו קיימים מחקרים לפיתוח שערים לוגיים על אטום בודד. אולי בכל זאת יש תקווה. היום מערכות המחשוב ניתנות לחלוקה לחומרה ולתוכנה. החומרה נחשבת לחזקה מאוד יחסית לדרישות התוכנה, דהיינו...
אין תגובות

What is PKI?

13 בינואר 2009

A PKI is a collection of technical services, policies and business practices that used together to provide automated solution over networked communications that ensures the legal and business capabilities that until now carried out in the paper world. PKI is summerized in the following main concepts: 1.Authentication - Assures that each end user and resource are identified correctly.   The authentication is necessary to ascribe network objects such as end users and resource to the real identity. These identities are stored in a digital format known as a public key certificate. 2.Authorization - Assures that each network object have the proper permissions to perform the requested activities locally and in the network. 3.Data...
אין תגובות

Encryption and Hashing buzzwords explained

23 באוגוסט 2008

  אם היו באים למכור לכם מוצר אבטחתי והיו זורקים Buzzwords שנשמעים מאוד חדשניים  או נשמעים מאובטחים, האם הייתם קונים אם היו אומרים לכם שהתווך שלכם מוצפן? המושג הצפנה מאוד נפוץ כיום, אך מה הולך מאחורי הקלעים של המושג הזה? האם ישנן משמעויות לתצורות עבודה שונות? לאלגוריתמים שונים? לחוזק ההצפנה?     מה היא הצפנה (Encryption)? הצפנה היא רצף פעולות מתמטיות המופעלות על מידע הגורמות לו להיות בלתי קריא, או בלתי מובן (הטקסט נקרא צופן) עבור מי שלא יודע איך לפענח אותו. ישנם שני סוגי הצפנות: הצפנה סימטרית והצפנה אסימטרית. הצפנה סימטרית נחשבת למהירה יותר מההצפנה האסימטרית.   הצפנה סימטרית היא הצפנה בה מפתח (או סוד/ Cipher) ההצפנה ידוע...
3 תגובות

Windows 2008 SBS Administrator Disabled

11 ביולי 2008

בשנים האחרונות אנו עדים למודעות רבה בתחום אבטחת המידע. Windows 2008 פותחה עם אוריינטציה רבה לאבטחת מידע (אך לא רק אליה). ניתן לחלק את יסודות אבטחת המידע לשלושה חלקים: 1. הזדהות (Authentication) 2. הרשאות (Authorization) 3. חיוויים (Auditing). עקרון אחד (מתוך רבים) באבטחת מידע הוא שינו שם ה - Administrator.   האם חשבון ה - Administrator בארגונכם פעיל? אם כן, האם שמו המוגדר כברירת מחדל השתנה? מי משתמש בחשבון ה - Administrator? האם יישות אחת משתמשת בחשבון זה או מספר יישויות? * כל השאלות היו רטוריות. במצב זה בד"כ לא ניתן להגיד שהנכם עובדים באופן מאובטח. הערה: לעיתים קיימים היבטים תפעוליים המונעים את שינוי שם ה...
אין תגובות

Windows 2008 Security aided by NAP and IPSEC

12 ביוני 2008

NAP או Network Access Protection היא טכנולוגיה המאפשרת הגנה על הרשת הארגונית באמצעות שרתי Windows 2008, למעשה זהו שם מייקרוסופטי למוצר NAC.  ההגנה על הרשת מתבצעת על בסיס "בריאות" (SSoH - system statement of health) המחשבים המתחברים לרשת, דהיינו ניתן לקבוע כי רק מחשבים העומדים במדיניות שנקבעה יוכלו להתחבר לרשת הארגונית. טכנולוגיה זו מונעת התחברת לרשת הארגון ובכך מצמצמת את הסיכון להכנסת תחנות בעיתיות העלולות להכיל וירוסים, Malwares וכו'. תחנות העבודה הנתמכות בטכנולוגיה זו הן Windows Vista ו – Windows XP SP3. ההתחברות ל – NAP מתאפשרת באמצעות הטכנולוגיות הבאות: 1. הזדהות באמצעות 802.1x 2.  גישה ב – VPN 3.  הגדרות DHCP 4. חיבור ל – TS Gateway (חדש ב – Windows 2008). 5. IPsec....
אין תגובות

?What are Right Management Services

9 בפברואר 2008

מבוא כיום בארגונים קיימות הגבלות רבות שניתן ליישם בכדי לשמור על פרטיות המסמכים. ישנם פתרונות כגון: 1. הגדרת הרשאות NTFS ומתן או הסרת הרשאות בהתאם. 2. הצפנת קובץ בסיסמא שידועה למצפין בלבד.   כשמשתמש פותח קובץ Office לאחר שהוא עבר את מנגנון ההרשאות וההצפנה, האם ישנן הגבלות כלשהן? התשובה היא לא! לכן, Microsoft פיתחה מוצר הנקרא RMS) Rights Management Service) המוסיף שכבה בה תוגדר מדיניות ברזולוציה של פעולות על המסמך, לדוגמא: עמי כתב מסמך, אך אינו רוצה לפרסם אותו לכלל החברה, אלא רק לרשימת התפוצה אליה הוא שולח את המסמך בדוא"ל. יוסי, שנמצא ברשימת התפוצה, קיבל את הדוא"ל, אך כעת הוא רוצה להעבירו לגורם אחר שאינו מורשה. למרות נסיונותיו של...
אין תגובות

New Group Policy Settings in Windows 2008

17 בדצמבר 2007

מבוא Group policy הוא כלי עבודה שימושי אצל מנהלי הרשתות. כלי זה משמש לצורך אכיפת מדיניות על המתשמשים או המחשבים, ואף להפצת תוכנות בארגון העובד בסביבת שרת-לקוח, כלומר Domain. ה - Group Policy Object Editor) GPOE) הוא כלי ניהול מרכזי שחלק מתפקידיו הוא להגדיר פרמטרים שונים ב - Registry של המחשבים. כמוכן ה - Group Policy הוא כלי מאוד גמיש בגלל יכולתו להיות מופעל לא רק על Site, Domain או Organizational Unit) OU) אלא גם על קבוצות ספציפיות (Security Groups) באמצעות פעולת Filtering. ה - Group Policy של Windows 2008 מכיל כ - 700 אפשרויות שחלקן חדשות וחלקן משופרות (נכון לגרסת Beta 3). חלק...
אין תגובות

How to obtain a fine grained password and a lockout policy on windows 2008

4 בדצמבר 2007

מבוא כיום עם שרתי  Windows 2003 ניתן להגדיר אך ורק Password Policy ו - Account Lockout Policy אחד עבור המשתמשים ב - Domain. בכל ארגון ממוצע כל המשתמשים מקבלים את אותו ה - Password & Lockout Policy, אך אילו חשבונות באמת חשובים? החשבונות האפליקטיביים והאדמיניסטרטיביים. ב - Windows 2008 קיימת אפשרות גמישות בהגדרת ה - Policies הללו עקב הרחבות ב - Schema של ה - Active Directory, כלומר ניתן להגדיר Policies שונים עבור משתמשים שונים,  InterOrgPersons או Global Security Groups. לדוגמא: אורך הסיסמא של כל המשתמשים תהיה 6 תוים בעוד שהחשבונות האפליקטיביים והאדמיניסטרטיביים יקבלו אורך מינימלי בן 15 תוים (מכיוון שסיסמת המשתמש אינה...
תגובה אחת