לדלג לתוכן

5.2 השער לרשת הרצאה

הכניסה והיציאה מרשת החברה

הכניסה והיציאה מרשת החברה היא נושא קריטי בתחום אבטחת הרשת, שכן כל גישה חיצונית או פנימית לרשת הארגונית צריכה להיות מנוטרת ומוגנת בצורה מחמירה. כל התקפה או חדירה פוטנציאלית עשויה לגרום לחשיפה של נתונים רגישים או להפרעה בתפקוד התקין של מערכות החברה. עבור ארגונים רבים, שמירה על אבטחת הרשת ויכולת גישה נכונה ומפוקחת לעובדים שמחוברים מרחוק הפכו לאתגרים עיקריים.

בהרצאה זו נדבר על שני נושאים עיקריים הקשורים לכניסה והיציאה מרשת החברה: השימוש ב-Transparent Proxy ושימוש ב-VPN עבור עובדים העובדים מרחוק.

מהו Transparent Proxy ואיך הוא יכול לעזור לנו לשמור על החברה

הTransparent Proxy הוא סוג של proxy (שרת תיווך) הפועל מאחורי הקלעים, מבלי שהמשתמש או היישום ירגישו בו ישירות. ברוב המקרים, proxy משמש כמתווך בין המשתמשים לבין האינטרנט, כך שהבקשות והתגובות עוברות דרכו. ב-Transparent Proxy, אין צורך בהגדרה מצד המשתמש או הלקוח; כל התעבורה עוברת דרכו אוטומטית.

יתרונות ה-Transparent Proxy עבור אבטחת החברה:

  1. סינון תעבורה: ה-Transparent Proxy יכול לבצע סינון של כל התעבורה שמגיעה מהאינטרנט אל המחשבים ברשת הארגונית. זה כולל חסימת גישה לאתרים מסוימים (כגון אתרי פורנוגרפיה, אתרים זדוניים או אתרים שעשויים להיות מסוכנים לארגון). כך, המערכת יכולה למנוע מהמשתמשים בגישה לא מאובטחת להיות חשופים לסיכוני אבטחה.

  2. חסימת התקפות זדוניות: ה-Transparent Proxy יכול להפעיל מנגנוני אבטחה נגד התקפות נפוצות כמו phishing ו malware, בכך שהוא מזהה ומונע גישה לאתרים מזיקים או שמקורם במיקומים מסוכנים.

  3. שיפור ניהול רוחב פס: ה-Proxy מאפשר לארגון לשלוט בשימוש ברוחב פס של הרשת. ניתן לקבוע מדיניות לגבי גישה לאתרים מסוימים (למשל, חסימת אתרים שגולשים בהם לא קשורים לעבודה), מה שיכול לשפר את ביצועי הרשת ולמנוע גידול לא מוצדק בשימוש ברוחב פס.

  4. הגנה על פרטיות המידע: באמצעות ה-Transparent Proxy, החברה יכולה לבצע פעולות כמו חביית כתובת ה-IP של המשתמשים, כך שהמשתמשים עצמם לא יחשפו לגורמים חיצוניים את המידע על כתובת ה-IP שלהם, דבר שיכול לשפר את פרטיותם.

  5. הקלטה וניהול של פעילות ברשת: ה-Proxy יכול לשמור לוגים של כל הפעילות שנעשית ברשת, דבר שיכול לעזור בהבנת התנהגות המשתמשים ובאיתור פעילות חשודה. במקרה של תקלה או בעיה, היסטוריית הגישה יכולה לשמש ככלי חשוב לניהול אבטחת המידע.

דוגמה לשימוש: כאשר עובד פותח דפדפן כדי לגשת לאתר אינטרנט, הבקשה לאתר תעבור דרך ה-Transparent Proxy. ה-Proxy יבדוק את הבקשה, יחליט אם האתר מאובטח או לא, ואם יש צורך, יחסום את הגישה או ישלח את הבקשה דרך מסלול אחר המיועד לאתרים מאובטחים בלבד.

הקמת שרתי VPNים ברשתות החברה לעבודה מהבית של עובדים

העבודה מהבית הפכה להיות תופעה נפוצה, ומציבה אתגרים חדשים בתחום אבטחת הרשת. כל עוד העובדים מחוברים למערכות החברה מרחוק, יש צורך לוודא שהגישה לרשת החברה מתבצעת בצורה מאובטחת.

הVPN (Virtual Private Network) הוא אמצעי המאפשר למחשב מרוחק להתחבר לרשת הארגונית דרך חיבור מוצפן, כך שנראה כאילו המחשב המרוחק נמצא פיזית בתוך המשרד.

יתרונות השימוש ב-VPN עבור העבודה מהבית:

  1. הגנה על התעבורה: חיבור דרך VPN מצפין את התעבורה בין המחשב המרוחק לבין הרשת הארגונית. הדבר מבטיח שהמידע לא ייחשף בעת המעבר ברשתות לא מאובטחות, כמו Wi-Fi ציבורי.

  2. גישה מאובטחת למערכות פנימיות: עובדים שמחוברים דרך VPN יכולים לגשת למשאבים פנימיים של החברה (כגון שרתי קבצים, מסדי נתונים, או יישומים) בצורה מאובטחת. חיבור VPN עובר דרך שרת ה-VPN, שמוודא את זהות המשתמש לפני שהוא מאפשר לו גישה למשאבים רגישים.

  3. בקרת גישה: באמצעות VPN, הארגון יכול לשלוט על איזה עובד יוכל לגשת לאיזה משאב ברשת הארגונית. מדיניות גישה נפרדת יכולה להתבצע לפי תפקידים שונים בארגון, מה שמפחית את הסיכון לגישה לא מורשית.

  4. הגנה על פרטיות: VPN עוזר להסתיר את כתובת ה-IP של המחשב המרוחק, ומפחית את הסיכון לחשיפה למתקפות ברשת. בנוסף, כל המידע שנשלח דרך VPN מוצפן, כך שגורמים זרים לא יוכלו לראות את התוכן של המידע המועבר.

איך להקים שרת VPN:

  1. בחירת פרוטוקול VPN: ישנם מספר פרוטוקולים המשמשים בהקשר של VPN, כולל OpenVPN, IPsec, L2TP ו-PPTP. כל פרוטוקול יש את היתרונות והחסרונות שלו, ולכן חשוב לבחור את המתאים ביותר לארגון, בהתחשב בדרישות אבטחה ובפשטות ההתקנה.

  2. הגדרת חיבורי VPN: יש להקים שרת VPN במערכות השרתים של הארגון ולוודא שכל העובדים מחוברים דרך חיבור מוצפן. כל חיבור מרוחק ידרוש הזדהות דרך שם משתמש וסיסמה, עם אפשרות להוסיף גם אמצעי זיהוי דו-שלבי (2FA) לאבטחה נוספת.

  3. ניהול מדיניות גישה: יש להגדיר את המדיניות המגבילה את הגישה למערכות השונות של החברה. לא כל עובד צריך גישה לכל המשאבים; לדוגמה, עובדים במחלקת הנהלת חשבונות לא צריכים לגשת לשרתים הקשורים לפיתוח.

  4. ניטור והגנה על חיבורי VPN: יש לוודא שהחיבורים ל-VPN מנוטרים, ושכל פעילות חשודה יכולה להיות מזוהה בזמן אמת. יש להטמיע אמצעי הגנה נגד התקפות כמו man-in-the-middle ולהגן על החיבורים בתקשורת מוצפנת חזקת.

דוגמה: חברה המעוניינת לאפשר לעובדיה גישה מרחוק למערכת CRM (מערכת ניהול קשרי לקוחות) תוכל להקים שרת VPN שמחבר את העובדים בצורה מאובטחת לרשת הפנימית שלה, ונותן להם גישה נפרדת לאותם משאבים רגישים.