מוצרי אבטחת רשת נפוצים - מפה קצרה שתעזור לכם לא ללכת לאיבוד בין ראשי התיבות¶
מי שנכנס לעולם אבטחת הרשתות מוצא את עצמו מוצף בראשי תיבות - Firewall, IDS, IPS, WAF, NAC, SIEM, כל אחד עם אקרונים אחר וקטלוג שיווקי משלו. הבעיה היא שברוב המקומות שקוראים על זה, כל מוצר מוסבר בנפרד, בלי תמונה כוללת של איפה כל אחד יושב ברשת ומה הוא באמת עושה שהאחר לא. אז בואו נבנה מפה אחת ברורה.
חומת אש - Firewall - השומר בשער¶
הבסיס של הכל. חומת אש בודקת תעבורה לפי כתובות IP, פורטים, וכיוון, ומחליטה מה עובר ומה נחסם, לפי כללים שהוגדרו מראש. היא יושבת בגבול הרשת, ולרוב גם בין קטעי רשת פנימיים שונים. חומת אש בסיסית לא בוחנת את תוכן התעבורה, רק את הכתובות שלה.
IDS מול IPS - מזהה מול חוסם¶
- IDS - Intrusion Detection System. מערכת שמנטרת תעבורה ומחפשת דפוסים שמעידים על תקיפה - סריקות פורטים חשודות, ניסיונות ניצול חולשה ידועה, תנועה חריגה ברשת. IDS רק מתריע, הוא לא חוסם כלום בעצמו. הוא יושב "בצד" ומקשיב לעותק של התעבורה.
- IPS - Intrusion Prevention System. אותו רעיון בדיוק, אבל עם יכולת פעולה - כשהוא מזהה דפוס תקיפה, הוא יכול לחסום את התעבורה בזמן אמת, לא רק להתריע עליה. הוא יושב ישירות בנתיב התעבורה (inline), לא בצד.
ההבדל המעשי הוא סיכון מול נוחות. IPS חזק יותר כי הוא פועל, אבל אם הוא טועה וחוסם תעבורה לגיטימית (false positive), הוא בעצם גורם לתקלה בשירות אמיתי. IDS בטוח יותר במובן הזה, אבל דורש שמישהו יגיב להתראה בזמן.
WAF - Web Application Firewall - הגנה ברמת התוכן לאתרים¶
בעוד חומת אש רגילה מסתכלת על כתובות ופורטים, WAF מסתכל על תוכן הבקשה עצמה - מה כתוב בשדות טופס, מה יש בכתובת ה-URL - ומחפש דפוסים שמזכירים תקיפות ידועות כמו SQL Injection או XSS. הוא יושב ספציפית מול אפליקציות ווב, ומיועד להגנה על השכבה הכי גבוהה במודל ה-OSI, שכבת האפליקציה.
פרוקסי - Proxy - תיווך ובקרה¶
פרוקסי הפוך (Reverse Proxy) יושב מול שרתים פנימיים ומתווך בקשות שמגיעות אליהם, ולעתים קרובות משלב יכולות אבטחה בסיסיות כמו הסתרת מבנה השרתים הפנימי. פרוקסי קדמי (Forward Proxy) יושב בצד המשתמשים ומאפשר לארגון לסנן ולפקח על גלישה יוצאת - לחסום אתרים מסוימים, או לזהות ניסיון תקשורת של תוכנה זדונית החוצה מהרשת הפנימית.
NAC - Network Access Control - שומר בכניסה למכשירים עצמם¶
בעוד רוב המוצרים עד כה מתמקדים בתעבורה, NAC שולט מי בכלל מורשה להתחבר לרשת מלכתחילה. הוא בודק, לפני שמכשיר מקבל בכלל גישה, שהוא עומד במדיניות הארגון - עדכני, מריץ אנטי וירוס, שייך למשתמש מורשה - ורק אז מאפשר לו להצטרף לרשת. זה מונע מצב שבו מכשיר לא מוכר או לא מעודכן פשוט מתחבר לכבל רשת פנוי ומקבל גישה מלאה.
SIEM - Security Information and Event Management - האיסוף המרכזי¶
SIEM לא חוסם תעבורה בעצמו, הוא אוסף לוגים והתראות מכל שאר המוצרים - חומת אש, IDS, שרתים, נקודות קצה - ומרכז אותם למקום אחד שבו אפשר לראות תמונה כוללת ולזהות דפוסי תקיפה שמתפרסים על פני כמה מערכות בו זמנית. זה הכלי שאנליסטים במרכזי ניטור אבטחה (SOC) עובדים איתו כל יום.
איך כל המוצרים האלה מסתדרים ביחד¶
בארגון בוגר, המוצרים האלה לא מתחרים אחד בשני, הם מרכיבים שכבות שונות של הגנה - defense in depth. חומת אש חוסמת ברמת הכתובות, WAF מוסיף בדיקת תוכן לאפליקציות ווב, IDS ו-IPS מזהים דפוסי תקיפה מתקדמים יותר, NAC שולט מי בכלל נכנס לרשת, ו-SIEM מרכז את כל התמונה כדי שאף אחד לא יפספס תקיפה שמתפזרת בין כמה מערכות.
למה חשוב להכיר את כל השכבות, לא רק אחת¶
בין אם אתם בכיוון הגנתי או תקיפי, ההבנה איפה כל מוצר יושב ברשת ומה בדיוק הוא בודק היא זו שמאפשרת לכם להבין גם למה תקיפה מסוימת עוברת בהצלחה למרות כל השכבות האלה - לרוב כי היא נבנתה במיוחד כדי לעקוף בדיוק את הפער בין מוצר אחד למשנהו.
קורס הרשתות המלא נמצא כאן, חינם ובעברית, כולל הבנה מעמיקה של אבטחת רשתות ארגוניות ותרגול מעשי.
יש לכם שאלה על איזה מוצר מתאים לתרחיש שלכם? שאלו בדיסקורד.
לסיכום¶
מוצרי אבטחת רשת שונים לא מתחרים אחד בשני, הם שכבות שונות שמכסות פערים שונים - כתובות, תוכן, זיהוי דפוסים, שליטה בכניסה, וריכוז מידע. הבנה של המפה הכוללת הזאת היא הבסיס לכל עבודה רצינית באבטחת רשתות, בין אם אתם בונים הגנה או בודקים אותה.