סדנת מבוא: הגנת סייבר למבקרי מערכות מידע

1. ISACA COLLEGE
‫עם‬ ‫הכרות‬FireWall
‫הפנימי‬ ‫למבקר‬
‫קוברובסקי‬ ‫הילל‬
‫הסייבר‬ ‫בתחום‬ ‫טרנדים‬ ‫וחוקר‬ ‫טכנולוגי‬ ‫עתידן‬
‫מרצה‬,‫רב‬ ‫ויועץ‬ ‫מנטור‬-‫תחומי‬
‫עסקית‬ ‫כאסטרטגיה‬ ‫וחדשנות‬ ‫סייבר‬ ‫להגנת‬
Hillel@Innovateordie.co.il
054-7700919

2. 3‫לסדנא‬ ‫חלקים‬
16.06.20
‫חלק‬1
‫מושגים‬
23.06.20
‫חלק‬2
Check List
‫לביקורת‬
30.06.20
‫חלק‬3
‫חוויה‬+‫התנסות‬

3. ‫היום‬ ‫נדבר‬ ‫מה‬ ‫על‬
❑‫ה‬ ‫לעולם‬ ‫מבוא‬Network Security
❑‫מאובטחת‬ ‫רשת‬ ‫בניהול‬ ‫אתגרים‬
❑‫הגנה‬ ‫אזורי‬LAN  WAN‫שונה‬ ‫התייחסות‬ ‫הדורשים‬ ‫שונים‬
❑‫מבנה‬"‫פיזי‬"‫מבנה‬ ‫לעומת‬ ‫רשת‬ ‫של‬"‫לוגי‬"
❑‫ה‬ ‫ברמת‬ ‫הגנה‬Gateway
❑‫השונים‬ ‫הרשת‬ ‫אזורי‬+‫סגמנטציה‬
❑‫מערכות‬ ‫של‬ ‫שונים‬ ‫סוגים‬FireWall/UTM
❑‫בשכבות‬ ‫הגנה‬ ‫מודל‬
❑‫אבטחה‬ ‫מערכות‬ ‫ליישום‬ ‫מודלים‬

4. ‫ה‬ ‫של‬ ‫המיקום‬Network Security

5. Business Apps
Workplace
Desktop
Critical
Infrastructure
Amazon, Azure Etc. Office365ctE ,ecrofselaS ,.
Roaming LaptopBranch Office
‫מחשוב‬ ‫סביבות‬2020
‫עולם‬"‫גבולות‬ ‫ללא‬"
- Headquarters ( Users +
Servers)
- Data Center
- Public Cloud (Azure , AWS ,
Google Cloud , Ali Cloud , Oracle
Cloud
- SAAS Platform (Office 365 ,
Gmail , Salesforce , Netflix )
- Private Cloud (VMware ,Hyper-V
, KVM , Citrix Xen)
- Branch Office
- Roaming Laptop
- Smartphone , Tablet
- IOT / IoMT Device

6. Data Center
& Cloud
WirelessNetworkVOICE‫פסיביות‬ ‫תשתיות‬
Public Cloud – SaaS
Public Cloud – IaaS
Public Cloud - PaaS
5G / Wi-Fi 6WAN – ISP
WAN – Infrastructure
‫מרכזיות‬
Analog PBX / Asterisk
‫כבילה‬
‫נחושת‬‫אופטית‬
AWS
AZURE
ORACLE
GCP
Wireless LanRouters‫קצה‬ ‫ציוד‬‫תקשורת‬ ‫ארונות‬
‫שרתים‬ ‫ארונות‬
Data Cneter
VMware
Hyper-V
Linux KVM
ZEN
Mobile
Mobile – Device
Mobile – Application
Mobile – Protocols
Mobile – EPP
Switch
Edge | BB | Core
‫מתגי‬POE‫מחשב‬ ‫חדרי‬ ‫של‬ ‫פיזית‬ ‫אבטחה‬
‫מתח‬‫מיזוג‬‫אש‬
Cloud Orchestration
Docker
Open Stack
Kubernetes
Cisco ACI
3G/4G ModemLoad Balancer
WAN Aggregation
WAN Optimization
Traffic Shaper / QOS
SD-WAN
VOICE Protocols
VIDEO Protocols
‫אבטחה‬ ‫מצלמות‬
‫אבטחה‬ ‫מערכות‬
SOAR (Security Orchestration,
Automation and Response)
FireWallNG
Perimeter vs BB FireWall
ISFW / Cloud FW
‫וידיאו‬ ‫ועידת‬
‫הגברה‬ ‫מערכות‬
VPN (IPSEC)
SSL-VPN
SSL Acceleration
‫כניסה‬ ‫בקרת‬
‫נוכחות‬ ‫שעוני‬
IPS / IDS / DDOS‫ציוד‬IOT
Network Security Include

7. GeneralInformation
Security
ApplicationServer / UsersData Protection
Troubleshooting
+
Sniffer & Network Analysis
Identity & Access Management
2FA / MFA / OTP / PKI
Web Application FireWall
Application Delivery Controllers
Active DirectoryData Encryption
Project Management
+
Dev Cycle
Compliance
PCI | SOX
Privacy
GDPR
Data Base SecurityOS
Windows SRV
Windows WS
Linux Server
Linux Desktop
Mac OS Server
Mac OS Desktop
Data Backup
Network Security Architecture
Data Center Security Architecture
Cloud Security Architecture
Application Security Architecture
Audit
ISO 27001
Email SecurityEnd Point Protection / EDR
Disk Encryption / Device Control
Malware / AV / Sandbox / CDR
Web / DNS Filtering
Data Replication
‫בלחץ‬ ‫עבודה‬
‫הרבה‬ ‫עם‬ ‫עבודה‬‫בלתמי‬"‫ם‬
‫גבוהה‬ ‫זמינות‬
‫בצוות‬ ‫עבודה‬ ‫יכולת‬
‫מוצרים‬ ‫של‬ ‫תקינה‬
NSS-LABS / ICSA
Application Control
URL Filtering
DNS Filtering
Spyware & Malware
Security Patch
(CVE)
+
Vulnerability Scanning
DRP / BCP
‫גבוהה‬ ‫עצמית‬ ‫למידה‬ ‫יכולת‬
‫מסקנות‬ ‫הסקת‬ ‫יכולת‬
Log Aggregator
SIEM
NOC
IDS / IPS / Honey Pot
Botnet Protection
Secure File Transfer
‫אישית‬ ‫יוזמה‬+
‫גבוהה‬ ‫אישית‬ ‫מוטיבציה‬
‫בתקלות‬ ‫טיפול‬ ‫של‬ ‫בתחום‬ ‫במיוחד‬
Penetration Test for
Network / Server
AV / Sandbox / CDR
File Block
Data Leak Prevention
Forensics Analysis + IRConfiguration Managers
Network Security Include

8. 2020 Cyber Threat Predictions : Moving to the Cloud

9. ‫בהקמת‬ ‫האתגרים‬‫תקשורת‬ ‫רשתות‬ ‫של‬ ‫תחזוקה‬
❑‫קישוריות‬(Connectivity)–‫ציוד‬ ‫של‬ ‫שונים‬ ‫יצרנים‬ ‫בין‬ ‫תקשורת‬ ‫לספק‬ ‫היכולת‬ ‫היא‬ ‫הקישוריות‬,
‫שונות‬ ‫טכנולוגיות‬,‫שונים‬ ‫תווך‬ ‫סוגי‬,‫צד‬ ‫בכל‬ ‫שונה‬ ‫נתונים‬ ‫העברת‬ ‫וקצב‬.
❑‫אמינות‬(Reliability)–‫הרשת‬ ‫למשאבי‬ ‫ואמינה‬ ‫קבועה‬ ‫גישה‬ ‫הארגון‬ ‫למשמשי‬ ‫לספק‬ ‫היכולת‬.
❑‫הרשת‬ ‫שרידות‬‫המערכות‬ ‫שרידות‬(Redundant)–‫לרשת‬ ‫שרידות‬ ‫לספק‬ ‫היכולת‬
‫חלופיים‬ ‫קווים‬ ‫או‬ ‫חלופי‬ ‫לציוד‬ ‫מעבר‬ ‫כולל‬ ‫מצב‬ ‫בכל‬ ‫פעילה‬ ‫תקשורת‬ ‫שתהיה‬ ‫כך‬ ‫התקשורת‬
‫אוטומטית‬ ‫בצורה‬,‫בעיות‬ ‫למגוון‬ ‫תגובה‬:‫התשתית‬ ‫בספק‬ ‫בעיה‬‫חומרה‬ ‫בעיות‬‫תוכנה‬ ‫בעיות‬
‫עומסים‬ ‫בעיות‬‫סייבר‬ ‫התקפת‬)‫מבוזרות‬ ‫שירות‬ ‫שלילת‬ ‫התקפות‬DDOS)
❑‫ניהול‬(Management)–‫מרכזית‬ ‫בצורה‬ ‫הרשת‬ ‫ניהול‬ ‫יכולת‬,‫שוטפת‬ ‫לתחזוקה‬ ‫קלה‬,‫ויכולת‬
‫תקלות‬ ‫לאיתור‬(Troubleshooting)‫מהירה‬ ‫בצורה‬ ‫כולה‬ ‫ברשת‬.
❑‫גמישות‬(Flexibility)–‫הרשת‬ ‫בהרחבת‬ ‫גמישות‬,‫חדשים‬ ‫ויישומים‬ ‫שירותים‬ ‫בהוספת‬,‫גמישות‬
‫הפס‬ ‫ורוחב‬ ‫התקשורת‬ ‫קצבי‬ ‫בהעלאת‬.
❑‫ניטור‬(Monitoring)–‫ביצועים‬ ‫מבחינת‬ ‫אמת‬ ‫בזמן‬ ‫הרשת‬ ‫את‬ ‫לנטר‬ ‫יכולת‬,‫פס‬ ‫רוחב‬ ‫ניצול‬,
‫חומרה‬ ‫בעיות‬ ‫איתור‬,‫חריגים‬ ‫אבטחה‬ ‫אירועי‬ ‫איתור‬.

10. ‫בהקמת‬ ‫האתגרים‬‫תקשורת‬ ‫רשתות‬ ‫של‬ ‫תחזוקה‬‫מאובטחות‬
❑‫ניהול‬(Management)-‫הרשת‬ ‫ניהול‬ ‫את‬ ‫לאפשר‬ ‫איך‬(‫התקשורת‬ ‫מערכות‬‫אבט‬"‫מ‬)‫מקום‬ ‫מכל‬
‫זמן‬ ‫בכל‬,‫הרשת‬ ‫של‬ ‫האבטחה‬ ‫רמת‬ ‫את‬ ‫לסכן‬ ‫מבלי‬.
❑‫עומסים‬ ‫עמידה‬–‫צפויים‬ ‫לא‬ ‫בעומסים‬ ‫גם‬ ‫מענה‬ ‫לתת‬ ‫תוכל‬ ‫שהיא‬ ‫כך‬ ‫הרשת‬ ‫את‬ ‫לתכנן‬ ‫איך‬(‫בגלל‬
‫ברשת‬ ‫חריגים‬ ‫אירועים‬(‫מבוקרים‬ ‫אירועים‬)‫מתוכננים‬ ‫לא‬ ‫מידע‬ ‫אבטחת‬ ‫אירועי‬ ‫או‬–‫או‬ ‫פנימיות‬ ‫התקפות‬
‫חיצוניות‬ ‫התקפות‬.)
❑‫בשכבות‬ ‫הגנה‬‫שונות‬ ‫בשכבות‬ ‫זהה‬ ‫הגנה‬–‫יהיה‬ ‫שאם‬ ‫כך‬ ‫כפולים‬ ‫אבטחה‬ ‫מעגלי‬ ‫ליצור‬ ‫איך‬
‫אחת‬ ‫בשכבה‬ ‫כשל‬,‫האבטחה‬ ‫בעיות‬ ‫את‬ ‫ותחסום‬ ‫אותה‬ ‫תגבה‬ ‫אחרת‬ ‫שכבה‬(‫התקפות‬DDOS,
Antivirus‫שונות‬ ‫ברמות‬,‫ברמה‬ ‫הגנה‬7‫האפליקציה‬ ‫רמת‬.)
❑‫אבט‬ ‫מבחינת‬ ‫יכולות‬ ‫הערכת‬"‫ברשת‬ ‫שמוטמעות‬ ‫המערכות‬ ‫של‬ ‫מ‬–‫האם‬ ‫לבדוק‬ ‫היכולת‬
‫עליו‬ ‫התחייב‬ ‫שהיצרן‬ ‫מה‬ ‫את‬ ‫מבצעת‬ ‫ברשת‬ ‫ופועלת‬ ‫שמותקנת‬ ‫המערכת‬,‫אם‬ ‫לבדוק‬ ‫היכולת‬
‫כהלכה‬ ‫הוגדרו‬ ‫המערכות‬(‫מערכת‬ ‫כדוגמת‬Tufin / AlgoSec.)
❑‫הארגון‬ ‫של‬ ‫האמתיים‬ ‫הצרכים‬ ‫מול‬ ‫בתקציב‬ ‫עמידה‬–‫או‬ ‫הכול‬ ‫שעושה‬ ‫אחת‬ ‫מערכת‬ ‫עדיף‬ ‫מה‬
Best Of Breed‫שכבה‬ ‫לכל‬(FW/QOS/AV/AS.)
❑‫של‬ ‫עיקרון‬‫מידי‬ ‫יותר‬=‫מידי‬ ‫פחות‬–‫וכפולות‬ ‫שונות‬ ‫מערכות‬ ‫או‬ ‫מערכות‬ ‫עודף‬ ‫מסוימים‬ ‫במקרים‬
‫הרשת‬ ‫בניהול‬ ‫הקושי‬ ‫את‬ ‫מגביר‬(‫זמן‬‫עלות‬),‫והמערכות‬ ‫הרשת‬ ‫בשרידות‬ ‫פגיעה‬,‫באיתור‬ ‫פגיעה‬
‫מהיר‬ ‫תקלות‬,‫התקשורת‬ ‫בביצועי‬ ‫פגיעה‬‫הפס‬ ‫רוחבי‬.

11. ‫להישאר‬ ‫כדי‬ ‫כאן‬ ‫הם‬

12. ‫להישאר‬ ‫כדי‬ ‫כאן‬ ‫הם‬

13. ‫האצבעות‬ ‫בקצוות‬ ‫המידע‬–‫קודם‬ ‫אליו‬ ‫מגיע‬ ‫מי‬ ‫השאלה‬
https://www.exploit-db.com/

14. ‫האצבעות‬ ‫בקצוות‬ ‫המידע‬–‫קודם‬ ‫אליו‬ ‫מגיע‬ ‫מי‬ ‫השאלה‬

15. ‫האצבעות‬ ‫בקצוות‬ ‫המידע‬–‫קודם‬ ‫אליו‬ ‫מגיע‬ ‫מי‬ ‫השאלה‬

16. ‫האצבעות‬ ‫בקצוות‬ ‫המידע‬–‫קודם‬ ‫אליו‬ ‫מגיע‬ ‫מי‬ ‫השאלה‬
https://itsfoss.com/linux-hacking-penetration-testing/
Best Linux Distributions for Hacking and Penetration
Testing
1. Kali Linux
2. BackBox
3. Parrot Security OS
4. BlackArch
5. Bugtraq
6. DEFT Linux
7. Samurai Web Testing Framework
8. Pentoo Linux
9. Caine
10. Network Security Toolkit
11. Fedora Security Spin
12. ArchStrike
13. Cyborg Linux
14. Matriux
15. Weakerth4n

17. ‫האצבעות‬ ‫בקצוות‬ ‫המידע‬–‫קודם‬ ‫אליו‬ ‫מגיע‬ ‫מי‬ ‫השאלה‬
https://www.shodan.io/

18. ‫האצבעות‬ ‫בקצוות‬ ‫המידע‬–‫קודם‬ ‫אליו‬ ‫מגיע‬ ‫מי‬ ‫השאלה‬
DDoS-for-Hire | The cost of launching a DDoS attack (Kaspersky) http://bit.ly/2JhEYtw

19. ‫האצבעות‬ ‫בקצוות‬ ‫המידע‬–‫קודם‬ ‫אליו‬ ‫מגיע‬ ‫מי‬ ‫השאלה‬
DDoS-for-Hire - https://webstresser.org/

20. Attack Chain
RECON STAGE
TARGET
CALLBACK PERSIST
BREACH
LAUNCH EXPLOIT INSTALL
COMPROMISE
Attack Chain

21. © 2017 Cisco and/or its affiliates. All rights reserved.
8
enterprise network
Attacker
Perimeter
(Inbound)
Perimeter
(Outbound)
Research targets
(SNS)
1
C2 Server
Spear Phishing
(you@gmail.com)
2
http://welcome.to.jangle.com/exploit.php
Victim clicks link unwittingly3
Bot installed, back door established and receives
commands from C2 server
4
Scan LAN for vulnerable hosts to exploit & find
privileged users
5
Privileged account found.6
Admin Node
Data exfiltrated7
System compromised and data breached.8
www
Attack Chain – without Protection

22. ‫להישאר‬ ‫כדי‬ ‫כאן‬ ‫הם‬–‫מוטיבציה‬ ‫בהחלט‬ ‫להם‬ ‫ויש‬

23. Ransomware - Statistics & Facts

24. 2020 Cyber Threat Predictions – Targeted Ransomware

25. 2020 Cyber Threat Predictions : Old Fashion Ransomware => Crypto Mining

26. ‫הקבוע‬ ‫הקונפליקט‬
•‫בפרט‬ ‫מידע‬ ‫ואבטחת‬ ‫בכלל‬ ‫לאבטחה‬ ‫בנוגע‬ ‫מתמיד‬ ‫קונפליקט‬ ‫ישנו‬–
‫באמצע‬ ‫האיזון‬ ‫את‬ ‫למצוא‬ ‫המטרה‬,‫שהמשתמש‬ ‫אבטחה‬ ‫רמת‬‫הלקוח‬
‫מספקת‬ ‫הגנה‬ ‫כרמת‬ ‫הארגון‬ ‫על‬ ‫מקובלת‬ ‫שני‬ ‫ומצד‬ ‫אתה‬ ‫לחיות‬ ‫יכול‬.
•‫ביותר‬ ‫החלשה‬ ‫החוליה‬ ‫כחוזק‬ ‫הוא‬ ‫השרשרת‬ ‫חוזק‬–‫אבל‬ ‫נדוש‬ ‫זה‬
‫נכון‬!

27. ‫מתמודדים‬ ‫איך‬ ‫אז‬?

28. The onion model of defense in depth

29. The onion model of defense in depth

30. A Layered Approach To Security

31. The onion model of defense in depth

32. The onion model of defense in depth

34. ‫הרשת‬ ‫אזורי‬–‫פנימית‬‫חיצונית‬

35. ‫לוגי‬ ‫מבני‬–‫לקוח‬ ‫של‬ ‫רשת‬"‫פשוט‬"

36. ‫מבני‬‫פיזי‬–‫לקוח‬ ‫של‬ ‫רשת‬"‫פשוט‬"

37. ‫ייעוד‬ ‫לפי‬ ‫מתגים‬ ‫של‬ ‫שונים‬ ‫סוגים‬
•Desktop Switch
−‫קצה‬ ‫התקני‬ ‫של‬ ‫קטן‬ ‫מספר‬ ‫לחיבור‬ ‫קטנים‬ ‫מתגים‬,‫בדר‬"‫כ‬8‫עד‬16‫פורטים‬
−‫בד‬"‫חיצוני‬ ‫חשמל‬ ‫ספק‬ ‫כ‬,‫בד‬"‫מאוורר‬ ‫ללא‬ ‫כ‬
•Edge Switch / Access Switch
−"‫קומה‬ ‫מתגי‬"‫מחלקה‬ ‫של‬ ‫מידה‬ ‫בקנה‬ ‫קצה‬ ‫התקני‬ ‫לחיבור‬ ‫מתגים‬,24‫עד‬48‫פורטים‬
−‫בד‬"‫יחיד‬ ‫פנימי‬ ‫חשמל‬ ‫ספק‬ ‫כ‬
−‫סטנדרט‬Giga to the desktop
•Core Switch / Distribution Switch
−‫ה‬ ‫עולמות‬ ‫בין‬ ‫החזית‬ ‫מתגי‬WAN‫ה‬ ‫אל‬LAN|‫שונות‬ ‫סביבות‬ ‫בין‬ ‫הפרדה‬
−‫ב‬ ‫תמיכה‬Layer 3‫דינאמיים‬ ‫ניתוב‬ ‫ופרוטוקולי‬,‫של‬ ‫בפרוטוקולים‬ ‫תמיכה‬ ‫רק‬ ‫ולא‬L2
−‫תעבורה‬ ‫של‬ ‫גדול‬ ‫נפח‬ ‫לסחוב‬ ‫יכולות‬ ‫בעלי‬ ‫מתגים‬
−‫גבוהה‬ ‫שרידות‬ ‫בעלי‬
•Backbone Switch / Data Center Switch
−‫הרשת‬ ‫ליבת‬ ‫שהם‬ ‫מתגם‬(‫מחשבים‬ ‫תקשורת‬‫טלפוניה‬‫טלקום‬ ‫סביבת‬–ISP)
−‫אחרים‬ ‫קומה‬ ‫מתגי‬ ‫אליה‬ ‫שממחברים‬ ‫מתגים‬
−‫במיוחד‬ ‫גבוהה‬ ‫רשת‬ ‫תעבורת‬ ‫שדורשים‬ ‫שרתים‬ ‫אליהם‬ ‫שמחברים‬ ‫מתגים‬,1040100‫אחד‬ ‫בממשק‬ ‫גיגה‬
•Industrial/ Rugged Switch
−‫תעשייתית‬ ‫לסביבה‬ ‫מתגים‬‫קיצוניים‬ ‫אקלים‬ ‫תנאי‬,‫בד‬"‫ברמת‬ ‫קטלוג‬ ‫כ‬IP(‫לחץ‬‫טמפ‬'‫לחות‬‫עמידות‬
‫למים‬)
−‫בד‬ ‫מתגים‬"‫ביותר‬ ‫יקרים‬ ‫כ‬,‫בד‬"‫חשמל‬ ‫הזנת‬ ‫כ‬AC 24v

38. ‫תקשורת‬ ‫במערכות‬ ‫יתירות‬‫מידע‬ ‫אבטחת‬

39. ‫ה‬ ‫מערכת‬ ‫תפקיד‬ ‫מה‬FireWall/UTM?
"‫התקן‬"‫ייעודית‬ ‫חומרה‬"‫וירטואלית‬ ‫חומרה‬"‫תוכנה‬(‫ע‬"‫הפעלה‬ ‫מערכת‬ ‫ב‬"‫מוכרת‬)"
‫חוקים‬ ‫מערכת‬ ‫עם‬ ‫חכם‬ ‫נתב‬ ‫של‬ ‫שילוב‬‫בין‬ ‫שמחבר‬2‫רשתות‬(‫סגמנטים‬)‫תוך‬ ‫יותר‬ ‫או‬
‫מידע‬ ‫אבטחת‬ ‫מידניות‬ ‫אכיפת‬ ‫כדי‬
Extranet

40. ‫ה‬ ‫מערכת‬ ‫תפקיד‬ ‫מה‬FireWall/UTM?
‫בשנת‬1998‫צ‬ ‫יצאה‬'‫שנקראת‬ ‫מהפכנית‬ ‫בגישה‬ ‫פוינט‬ ‫ק‬SVN–‫מערכת‬
‫של‬ ‫משולבת‬FireWall‫הצפנה‬ ‫גם‬ ‫מרכזי‬ ‫אחד‬ ‫ממשק‬ ‫לנהל‬ ‫אפשרות‬ ‫הכוללת‬
(IPSEC VPN Site 2 Site)‫פס‬ ‫רוחב‬ ‫ניהול‬(QOS)‫כתובת‬ ‫ותרגום‬NAT(
Network Address Translation),‫בשנת‬ ‫בערך‬2001–2002‫ה‬ ‫התוסף‬IDS
‫ה‬ ‫למערכת‬ ‫כסטנדרט‬FW-‫ל‬ ‫שמו‬ ‫שונה‬ ‫ומאז‬UTM

41. ‫כך‬ ‫נראה‬ ‫זה‬ ‫הדרך‬ ‫בתחילת‬....

42. ‫והיום‬"‫מפלצת‬"‫בפיצ‬ ‫מפוצצת‬'‫חדשים‬ ‫רים‬....

43. ‫ה‬ ‫מערכת‬ ‫תפקיד‬ ‫מה‬FireWall/UTM?
❑‫מ‬ ‫הרשת‬ ‫תעבורת‬ ‫את‬ ‫קלה‬ ‫בצורה‬ ‫ולנהל‬ ‫לשלוט‬ ‫לי‬ ‫שמאפשר‬ ‫הראשון‬ ‫החיצוני‬ ‫הגבול‬‫כל‬ ‫ואל‬
‫הסגמנטים‬(‫רשתות‬)‫דרכו‬ ‫שמחוברים‬.
❑"‫חכם‬ ‫נתב‬"‫בין‬ ‫לחבר‬ ‫לי‬ ‫שמאפשר‬2‫אבטחה‬ ‫מדיניות‬ ‫של‬ ‫אכיפה‬ ‫כדי‬ ‫תוך‬ ‫יותר‬ ‫או‬ ‫סגמנטים‬
‫מראש‬ ‫שנקבע‬(Security Policy)
•‫מערכות‬FW‫של‬"‫הישן‬ ‫הדור‬"‫מוגבלות‬ ‫יכולות‬ ‫בעבר‬ ‫סיפקו‬:
•FireWall Stateful Inspection
•Quality Of Service
•IPSEC VPN
•NAT (Network Address Translation)
•‫ה‬ ‫למערכת‬ ‫הוסיפו‬ ‫השנים‬ ‫במהלך‬FW‫אבטחה‬ ‫יכולות‬ ‫הבסיסית‬‫ע‬ ‫שונות‬ ‫ניהול‬"‫מענה‬ ‫לתת‬ ‫מ‬
‫החדשים‬ ‫האבטחה‬ ‫לאיומי‬
•‫ב‬1998‫צ‬'‫שנקראת‬ ‫חדשה‬ ‫בגישה‬ ‫יצא‬ ‫פוינט‬ ‫ק‬SVN - Secure Virtual Network Architecture
•‫משנת‬ ‫בערך‬2002‫חדש‬ ‫שם‬ ‫אימץ‬ ‫השוק‬"‫משולבת‬ ‫מידע‬ ‫אבטחת‬ ‫מערכת‬"
UTM - Unified Threat Management

44. ▪FW=‫שווה‬=‫חוקים‬ ‫מערכת‬ ‫עם‬ ‫חכם‬ ‫נתב‬
▪FW‫רשתות‬ ‫בין‬ ‫לחבר‬ ‫יכול‬,‫כולל‬‫כ‬ ‫לשמש‬-Backbone FW‫ל‬Data Center
▪FW‫ארגונית‬ ‫אבטחה‬ ‫מדיניות‬ ‫לאכוף‬ ‫יכול‬,‫דרכו‬ ‫שעוברות‬ ‫לרשתות‬ ‫בגישה‬ ‫מלאה‬ ‫אכיפה‬ ‫כולל‬
▪FW‫בקרה‬ ‫לבצע‬ ‫יכול‬‫היוצאת‬ ‫הרשת‬ ‫תעבורת‬ ‫על‬ ‫מלא‬ ‫מעקב‬‫נכנסת‬‫פנימית‬
▪FW‫העולם‬ ‫כלפי‬ ‫הפנימיות‬ ‫הרשתות‬ ‫של‬ ‫החשיפה‬ ‫את‬ ‫ולהגביל‬ ‫לצמצם‬ ‫יכול‬
‫בכלל‬ ‫זה‬ ‫מה‬ ‫אז‬FireWall?
FW/UTM
‫נכנסת‬ ‫תקשורת‬
‫יוצאת‬ ‫תקשורת‬
‫הארגון‬ ‫בתוך‬ ‫תקשורת‬
4
InboundOutbound

45. 5
‫ליישום‬ ‫טכנולוגיות‬FireWall-‫בהיסטוריה‬ ‫קצר‬ ‫מסע‬
•Old Technologies
•Packet Filtering ( Access List) – Since 1988
•Application Layer Gateway ( Proxy)
•Statefull Inspection
•Since 1997 (1993)
•Statefull Packet Inspection (SPI)
•Dynamic Packet Filtering
•Deep Packet Inspection (DPI)
1988
Packet
Filter
Stateful
Inspection
1990 (1993)
2002
‫נוסף‬
‫ה‬-IDS
Next-Generation FireWall (NGFW)
Unified Threat Management (FW/UTM)

46. Complete
Content
Protection
1990 2000
Email Spam
Viruses
Trojans
Worms
Inappropriate Web Content
INTELLIGENCE&THREATCOVERAGE
1995 2005
Denial of Service Attacks
Deep Packet
Inspection
Sophisticated Intrusions
Simple intrusionsStateful
Inspection
‫ליישום‬ ‫טכנולוגיות‬FireWall-‫בהיסטוריה‬ ‫קצר‬ ‫מסע‬

47. ‫והיום‬ ‫אז‬ ‫מידע‬ ‫אבטחת‬ ‫פתרונות‬...‫ומחר‬...
47
R
R
QOS VPN
FireWall
NAT
Internal
Network
QOS + VPN + FireWall /
NAT + IDS (2002)
Internal
Network
Internet
R
QOS + VPN + FireWall /
NAT + IPS/IDS + Content
Security + Log & Report +
Other Device Management
+ SSL VPN + Router ability
Internal
Network

48. •FireWall
•NAT
•VPN (IPSEC)
•QOS
•IDS
•DHCP
•FW HA
•Geo Rule
•SD-WAN
•IDS – IPS – DDOS
•SSL-VPN
•URLF (+ HTTPS)
•Anti Virus / File Block
•App Control
•Anti Spam
•End Point Security
•Wi-Fi Control
•Advance Routing
•Log & Report
•Load Balancer
•User Identity / OTP
•DLP
•WAF
2020
‫משולב‬ ‫אבטחה‬ ‫פתרון‬-‫הפיצ‬ ‫אחרי‬ ‫המרוץ‬'‫ר‬. . .
48
26‫שנה‬

49. ‫לאן‬ ‫הבא‬ ‫הדור‬ ‫שכבתית‬ ‫רב‬ ‫הגנה‬?
Antivirus/
Antispyware
Data Loss
Prevention
Antispam
WAN
Optimization
Endpoint
Protection/
NAC
Firewall
VPN
IPS
Web
Filtering
App
Control
Vulnerability
Mgmt
Wireless
LAN
IPv6,
Dynamic
Routing
SSL
Inspection
VoIP

50. ‫מערכות‬ ‫של‬ ‫שונים‬ ‫סוגים‬FireWall
❑Perimeter / Gateway FireWall
❑Enterprise FireWall
❑Data Center FireWall- DCFW
❑ISFW-Internal Segmentation FireWall
❑Hyper-V
❑VMWare
❑NSX
❑ZEN Citrix
❑Linux KVM
❑Public Cloud FireWall
❑AWS
❑AZURE
❑GCP
❑Oracle Cloud

51. ‫תקשורת‬ ‫פתרון‬ ‫התאמת‬‫אבט‬"‫הלקוח‬ ‫לגדול‬ ‫מ‬‫הלקוח‬ ‫צורכי‬
‫התקשורת‬ ‫פתרונות‬ ‫בעולם‬‫אבט‬ ‫מערכות‬"‫מ‬–‫דרישות‬ ‫או‬ ‫הארגון‬ ‫גודל‬ ‫לפי‬ ‫מחולקים‬ ‫הפתרונות‬
‫לביצועים‬ ‫הלקוח‬(‫פס‬ ‫רוחב‬,‫זמנית‬ ‫בו‬ ‫תקשורת‬ ‫מספר‬,‫סה‬"‫תקשורת‬ ‫כ‬‫במערכת‬ ‫שעוברת‬
‫בו‬-‫זמנית‬,‫בו‬ ‫משתמשים‬ ‫מספר‬-‫זמנית‬,‫ועוד‬)
‫פתרונות‬ ‫סיווג‬‫לקוחות‬:
❑SOHO–(Small Office/Home Office)
❑ROBO–(Remote Office/Branch Office)
❑Small Medium Business – SMB
❑SME–Small Medium Enterprise
❑Enterprise FireWall
❑ISP–Internet Services Provider
❑MSSP–Managed Security Service Provider
❑Telecommunications Carriers
❑Public Cloud / Data Center FW
*‫זהה‬ ‫לא‬ ‫שונות‬ ‫מדינות‬ ‫בין‬ ‫המידה‬ ‫אמות‬(‫לארה‬ ‫ישראל‬ ‫בין‬ ‫בהשוואה‬ ‫במיוחד‬"‫ב‬)

52. ‫זה‬ ‫מה‬Sizing?
‫ביצועים‬ ‫פירוט‬ ‫טבלת‬ ‫היא‬ ‫מה‬(Product MatrixSpecifications)
❑Throughput
❑Max Concurrent Session
❑New Sessions per second
❑IPS Throughput
❑Antivirus Throughput
❑IPSec Throughput

53. ‫מערכת‬ ‫של‬ ‫לחומרה‬ ‫דוגמאות‬FireWall
Fortinet - FortiGate-1500D

54. ‫מערכת‬ ‫של‬ ‫לחומרה‬ ‫דוגמאות‬FireWall
Fortinet - FortiGate 600D Schematic

55. ‫מערכת‬ ‫של‬ ‫לחומרה‬ ‫דוגמאות‬FireWall

56. ‫במציאות‬-‫פנימיות‬ ‫רשתות‬ ‫מספר‬ ‫יש‬ ‫ממוצע‬ ‫בארגון‬,‫רשתות‬ ‫מספר‬DMZ,‫כמעט‬ ‫וכיום‬
‫האינטרנט‬ ‫לרשת‬ ‫אחד‬ ‫מחיבור‬ ‫יותר‬ ‫כסטנדרט‬(‫שונה‬ ‫תשתית‬ISP‫שונה‬)
‫המלצות‬:
❑‫להפריד‬MR(‫חיצוני‬ ‫דואר‬ ‫שרת‬)‫נפרד‬ ‫לסגמנט‬
❑‫שרתי‬ ‫להפריד‬WebFTP‫נפרד‬ ‫לסגמנט‬ ‫חיצוניים‬
❑‫טלפוניה‬ ‫שרתי‬VOIP‫מצלמות‬‫מערכות‬Video Conference–‫נפרד‬ ‫סגמנט‬ ‫חובה‬
❑‫חובה‬‫רשתות‬ ‫להפריד‬Wi-Fi‫הפנימית‬ ‫מהרשת‬ ‫מאובטחת‬ ‫לא‬
❑‫מערכות‬VOIP‫ב‬ ‫רצוי‬DMZ‫חוקיות‬ ‫כתובות‬ ‫בעל‬,‫ללא‬ ‫עדיף‬NAT
‫זהב‬ ‫כללי‬:
❑‫ע‬"‫בבנקים‬ ‫והתקינה‬ ‫כיום‬ ‫המקובלות‬ ‫האבטחה‬ ‫מתודולוגיות‬ ‫רוב‬ ‫פ‬‫הביטוח‬ ‫חברות‬‫בתי‬
‫השקעות‬‫אבטחה‬ ‫מבחינת‬ ‫עצמו‬ ‫את‬ ‫שמוכיח‬ ‫כמודל‬ ‫ובכלל‬-‫חובה‬‫בין‬ ‫מוחלטת‬ ‫סגמנטציה‬
‫האפליקציה‬ ‫רשת‬‫הנתונים‬ ‫בסיסי‬ ‫רשת‬‫המשתמשים‬ ‫מגיעים‬ ‫ממנה‬ ‫הרשת‬
❑‫סגמנטציה‬ ‫יותר‬–‫יותר‬ ‫גבוהה‬ ‫אבטחה‬ ‫רמת‬(‫יתרון‬)|‫יותר‬ ‫גבוהות‬ ‫ניהול‬ ‫תקרות‬(‫חיסרון‬)
❑‫היתרון‬ ‫הזה‬ ‫במקרה‬–‫החיסרון‬ ‫על‬ ‫בחשיבותו‬ ‫עולה‬
‫הפנימית‬ ‫ברשת‬ ‫סגמנטציה‬

57. ‫תקינה‬ ‫של‬ ‫שונים‬ ‫סוגים‬ ‫קיימים‬–‫מהם‬ ‫חלק‬:
❑‫מוצרים‬ ‫תאימות‬ ‫לבחינת‬ ‫תקינה‬(‫תקשורת‬ ‫פרוטוקולי‬ ‫מבחינת‬,‫תקני‬ ‫כדוגמת‬IETF)
❑‫תקשורת‬ ‫מערכות‬ ‫לאמינות‬ ‫תקינה‬‫אבט‬"‫מ‬–‫ה‬ ‫בעולם‬ ‫בעיקר‬Appliance
❑‫עצמה‬ ‫האבטחה‬ ‫מערכת‬ ‫של‬ ‫האבטחה‬ ‫רמת‬ ‫לבחינת‬ ‫תקינה‬
❑‫מידע‬ ‫נכסי‬ ‫לניהול‬ ‫תקינה‬–‫עבודה‬ ‫נהלי‬ ‫קביעת‬‫אבט‬ ‫ביקורת‬"‫באופן‬ ‫הארגון‬ ‫על‬ ‫מ‬‫שוטף‬
‫לדוגמא‬:
‫מידע‬ ‫אבטחת‬ ‫תקן‬ISO 27001‫הארגון‬ ‫שכבות‬ ‫בכלל‬ ‫הכוללת‬ ‫מתודולוגיה‬ ‫ביישום‬ ‫מסייע‬–
‫שבארגון‬ ‫הליבה‬ ‫מערכות‬ ‫ועד‬ ‫האנושי‬ ‫מהגורם‬ ‫החל‬–‫האבטחה‬ ‫מסגרת‬ ‫את‬,‫ותכנית‬ ‫הבקרה‬
‫הארגון‬ ‫על‬ ‫להגן‬ ‫בכדי‬ ‫הנדרשים‬ ‫הפעולה‬.
‫בתקינה‬ ‫בשימוש‬ ‫היתרונות‬(‫הסופי‬ ‫ללקוח‬‫ליצרן‬: )
❑‫חומרה‬ ‫בפיתוח‬ ‫השקעות‬ ‫על‬ ‫הגנה‬‫תוכנה‬
❑‫חדש‬ ‫לציוד‬ ‫חיים‬ ‫אורך‬ ‫אבטחת‬(‫יקר‬)‫שנרכש‬
❑‫אופטימליים‬ ‫פתרונות‬ ‫השגת‬(‫טכנית‬ ‫מחינה‬‫כלכלית‬)‫היצרנים‬ ‫מגוון‬ ‫מתוך‬‫המוצעים‬ ‫ציודים‬
‫בשוק‬
❑‫ועתידיות‬ ‫שונות‬ ‫מערכות‬ ‫בין‬ ‫תקניים‬ ‫ממשקים‬ ‫בניית‬
❑‫היצרנים‬ ‫בין‬ ‫הוגנה‬ ‫תחרות‬ ‫יצירת‬
❑‫רכש‬ ‫אפיון‬ ‫לצורך‬ ‫תקניים‬ ‫במפרטים‬ ‫שימוש‬
7
‫סייבר‬ ‫בעולם‬ ‫למערכות‬ ‫תקינה‬‫תקשורת‬

58. ‫סייבר‬ ‫בעולם‬ ‫למערכות‬ ‫תקינה‬‫תקשורת‬
‫מסחרי‬ ‫לשימוש‬ ‫דוגמאות‬‫בהסמכות‬‫בשוק‬ ‫הוקרה‬ ‫פרסי‬
https://www.fortinet.com/lat/corporate/about-us/product-certifications.html
https://www.fortinet.com/lat/corporate/about-us/industry-awards.html

59. ‫סייבר‬ ‫בעולם‬ ‫למערכות‬ ‫תקינה‬‫תקשורת‬
❑NSS Labs-‫תלוי‬ ‫בלתי‬ ‫עצמאי‬ ‫גוף‬-‫תקשורת‬ ‫למערכות‬ ‫בחינה‬‫אבט‬"‫מ‬
‫בד‬"‫פתרונות‬ ‫בוחנים‬ ‫כ‬Appliance–‫ביצועיים‬ ‫בוחנים‬‫חומרה‬ ‫שרידות‬‫תוכן‬ ‫סינון‬ ‫עומסי‬‫למול‬
‫כספית‬ ‫עלות‬(‫ארה‬ ‫מחירון‬ ‫לפי‬"‫ב‬),‫פרטי‬ ‫דוח‬ ‫גם‬ ‫להזמין‬ ‫יכול‬ ‫יצרן‬,‫אתר‬www.nsslabs.com
❑ICSA–‫תלוי‬ ‫בלתי‬ ‫עצמאי‬ ‫גוף‬–‫תקשורת‬ ‫למערכת‬ ‫אבטחה‬ ‫רמת‬ ‫בחינת‬ ‫מבצע‬‫שונות‬ ‫אבטחה‬ ‫מערכות‬:ATP / FW /
IPSEC / IPS / AV / SSL-VPN / WAF,‫אתר‬www.icsalabs.com
❑Common Criteria–‫עולמי‬ ‫והכלל‬ ‫הממשלתי‬ ‫המענה‬(‫ציבורי‬: )‫מערכות‬ ‫של‬ ‫אבטחה‬ ‫רמת‬ ‫את‬ ‫בוחן‬
‫תקשורת‬‫מידע‬ ‫אבטחת‬,‫ע‬ ‫דירוג‬"‫מדרג‬ ‫פ‬EAL‫מ‬ ‫ציון‬1‫עד‬7(‫ה‬ ‫רוב‬FW/UTM‫הם‬ ‫הגדולים‬ ‫היצרנים‬ ‫של‬EAL+4),
‫אתר‬www.commoncriteriaportal.org
❑FIPS 140–‫הממשלתי‬ ‫המענה‬–‫ציבורי‬ ‫לא‬,(Federal Information Processing Standard)‫הצפנה‬ ‫מודלי‬ ‫בחינת‬ ‫בעיקר‬
‫בפתרון‬ ‫המיושמת‬ ‫הצפנה‬ ‫רמת‬
❑NIST–‫אמריקאי‬ ‫ממשלתי‬ ‫גוף‬-National Institute of Standards and Technology–‫מכול‬ ‫מחשוב‬ ‫מערכות‬ ‫לבחינת‬
‫הסוגים‬(‫חומרה‬‫תקשורת‬‫ביצועים‬‫חומרה‬ ‫עמידות‬)
❑IPv6Ready-‫ציבורי‬,‫אתר‬www.ipv6ready.org–‫ב‬ ‫לשימוש‬ ‫תאימות‬ ‫בדיקת‬IPv6
❑JITC IPv6–‫ממשלתי‬‫צבאי‬-jitc.fhu.disa.mil–‫ב‬ ‫לשימוש‬ ‫תאימות‬ ‫בדיקת‬IPv6
❑‫שונים‬ ‫מחקר‬ ‫גופים‬-‫וירוס‬ ‫אנטי‬ ‫למערכות‬ ‫סטנדרט‬ ‫לקביעת‬‫ספאם‬ ‫אנטי‬:
❑AV Comparative–‫אתר‬www.av-comparatives.org
❑VB100‫או‬VBSpam–‫אתר‬www.virusbtn.com–‫כולל‬"‫תחרות‬"‫לפתרונות‬ ‫שנתית‬ ‫ציונים‬ ‫וחלוקת‬‫יצרני‬
‫מערכות‬AntiVirusAnti Spyware
❑VBSpam-‫מערכות‬ ‫בחינת‬AntiSpam,‫אתר‬www.virusbulletin.com

60. ‫שוק‬ ‫סקרי‬‫מערכות‬ ‫בין‬ ‫השוואות‬
• Gartner - ‫ביצוע‬ ‫מול‬ ‫חזון‬ ‫בודק‬‫קהל‬ ‫דעת‬ ‫חוות‬
• NSS LABS – ‫בפועל‬ ‫יכולת‬ ‫מול‬ ‫עלות‬‫עומסים‬ ‫בחינת‬‫ביצועים‬ ‫בחינת‬
• Forrester – ‫יכולות‬ ‫לעומת‬ ‫שוק‬ ‫נוכחות‬‫פיצ‬'‫במערכת‬ ‫רים‬
• IDC – ‫יכולות‬ ‫לעומת‬ ‫אסטרטגיה‬‫פיצ‬'‫במערכת‬ ‫רים‬

61. Gartner - ‫גרטנר‬
Magic Quadrant for Enterprise Network Firewalls
Published: 10 July 2017
https://www.gartner.com/doc/reprints?id=1-45UW8EQ&ct=170711&st=sb

62. Gartner - ‫גרטנר‬
Magic Quadrant for Network Firewalls
Published 17 Sep 2019
https://www.gartner.com/doc/reprints?id=1-1OIMIBCY&ct=190919&st=sb

63. NSS Labs
NSS Labs 2018 NGFW Group Test
https://researchcenter.paloaltonetworks.com/2018/07/palo-alto-networks-recommended-nss-labs-2018-ngfw-group-test/

64. ‫תקשורת‬ ‫מערכות‬ ‫להטמעת‬ ‫שיטות‬‫מידע‬ ‫אבטחת‬
‫תקשורת‬ ‫מערכות‬ ‫להטמעת‬ ‫שיטות‬‫מידע‬ ‫אבטחת‬
❑‫תקשורת‬ ‫מערכות‬ ‫להטמעת‬ ‫שיטות‬ ‫מספר‬ ‫קיימות‬‫ברשת‬ ‫מידע‬ ‫אבטחת‬
❑‫החיבור‬ ‫בצורת‬ ‫נובע‬ ‫השוני‬"‫האזנה‬"‫לרשת‬-‫פסיבית‬‫אקטיבית‬‫חצי‬-‫חצי‬
❑‫שיטה‬ ‫בכל‬ ‫תומך‬ ‫מוצר‬ ‫כל‬ ‫לא‬,‫ספציפיים‬ ‫ליצרנים‬ ‫ייחודיות‬ ‫שהם‬ ‫שיטות‬ ‫יש‬
❑‫בשיטות‬ ‫שלהם‬ ‫הפתרונות‬ ‫של‬ ‫בהטמעה‬ ‫גמישים‬ ‫להיות‬ ‫ליצרנים‬ ‫הכתיבה‬ ‫המציאות‬
‫צרכים‬ ‫של‬ ‫יותר‬ ‫רווחה‬ ‫לקשת‬ ‫מענה‬ ‫לתת‬ ‫כדי‬ ‫שונות‬‫לקוחות‬
‫נפוצות‬ ‫שיטות‬ ‫מספר‬(‫חלקית‬ ‫רשימה‬)
❑Router Mode / NAT Mode / Layer 3
❑Bridge Mode / Transparent Mode / In-line Mode / Layer 2
❑Forward Proxy
❑Sniffer Mode / TAP Mode
4

65. ‫תקשורת‬ ‫מערכות‬ ‫להטמעת‬ ‫שיטות‬‫מידע‬ ‫אבטחת‬
Router Mode / NAT Mode / Layer 3
•‫לכרטיס‬ ‫מכרטיס‬ ‫התקשורת‬ ‫במעבר‬ ‫מלאה‬ ‫התערבות‬‫לרגל‬ ‫מרגל‬
•‫אחד‬ ‫מצד‬ ‫התקשורת‬ ‫פירוק‬‫שני‬ ‫מצד‬ ‫התקשורת‬ ‫של‬ ‫מחדש‬ ‫בנייה‬
•‫אחד‬ ‫מכרטיס‬ ‫שמגיע‬ ‫ממקור‬ ‫התקשורת‬ ‫של‬ ‫ניתוב‬ ‫מבצע‬,‫אחר‬ ‫לכרטיס‬ ‫מעבר‬ ‫שנמצא‬ ‫ליעד‬
•‫נפוצות‬ ‫מערכות‬:
•‫שהוא‬ ‫נתב‬ ‫כל‬
•‫מערכת‬ ‫כל‬FireWall‫שהיא‬
•‫ב‬ ‫שתומכים‬ ‫מתגים‬Layer 3(‫רישיון‬ ‫דורש‬ ‫זה‬ ‫לפעמים‬)
•‫ויתירות‬ ‫עומסים‬ ‫לאיזון‬ ‫מערכות‬–Load Balancer
•‫אפליקציות‬ ‫שרתי‬ ‫של‬ ‫להגנה‬ ‫אבטחה‬ ‫מערכות‬–WAF (Web Application FW )
•‫שרתי‬ ‫של‬ ‫להגנה‬ ‫אבטחה‬ ‫מערכות‬Data Base
•‫בעבר‬-‫ייעודיות‬ ‫הצפנה‬ ‫מערכות‬
•‫בעבר‬–‫פס‬ ‫רוחב‬ ‫לניהול‬ ‫מערכות‬–QOS (Quality Of Service)
•‫לה‬ ‫שיש‬ ‫מערכת‬ ‫כל‬2‫רשת‬ ‫כרטיסי‬‫סגמנטים‬‫והמערכת‬ ‫יותר‬ ‫או‬ ‫רשתות‬
‫לכרטיס‬ ‫מכרטיס‬ ‫התקשורת‬ ‫של‬ ‫ניתוב‬ ‫מבצעת‬‫לרגל‬ ‫מרגל‬‫לסגמנט‬ ‫מסגמנט‬
•‫מובילים‬ ‫יצרנים‬:‫מערכות‬ ‫של‬ ‫מוצרים‬ ‫קו‬ ‫שיש‬ ‫מי‬ ‫כל‬FireWall‫או‬Routers‫או‬Switch L3
5

66. Router Mode / NAT Mode / Layer 3
LAN Segment
DMZ Segment
‫תקשורת‬ ‫מערכות‬ ‫להטמעת‬ ‫שיטות‬‫מידע‬ ‫אבטחת‬
6

67. ‫תקשורת‬ ‫מערכות‬ ‫להטמעת‬ ‫שיטות‬‫מידע‬ ‫אבטחת‬
Bridge Mode / Transparent Mode/ In-line Mode / Layer 2
•‫לכרטיס‬ ‫מכרטיס‬ ‫התקשורת‬ ‫במעבר‬ ‫חלקית‬ ‫התערבות‬‫לרגל‬ ‫מרגל‬
•‫בד‬"‫בתקשורת‬ ‫מתערב‬ ‫כ‬(‫מאפשר‬‫חוסם‬)‫כלשהו‬ ‫תריגר‬ ‫הופעל‬ ‫אם‬ ‫רק‬
•‫התקשורת‬ ‫של‬ ‫ניתוב‬ ‫מבצע‬ ‫לא‬‫ה‬ ‫שכבת‬ ‫משפיע‬ ‫לא‬-IP
•‫המערכת‬ ‫לניהול‬ ‫כתובת‬‫רשת‬ ‫באותה‬ ‫להיות‬ ‫חייבת‬ ‫לא‬ ‫הציוד‬‫דרכה‬ ‫שעובר‬ ‫סגמנט‬
•‫ב‬ ‫לעבוד‬ ‫מסוימת‬ ‫למערכת‬ ‫תצורה‬ ‫קביעת‬ ‫לפעמים‬Layer 2‫המוצר‬ ‫של‬ ‫היכולות‬ ‫את‬ ‫מגבילה‬
•‫יתרונות‬-‫הרשת‬ ‫טופולוגית‬ ‫של‬ ‫שינוי‬ ‫ללא‬ ‫התקנה‬
•‫חסרונות‬-‫מוגבלת‬ ‫פריסה‬,‫ל‬ ‫רק‬ ‫מוגבלת‬ ‫בדיקה‬ ‫יכולת‬"‫קו‬"‫אותו‬"‫חותכים‬"
•‫נפוצות‬ ‫מערכות‬:
•‫תוכן‬ ‫לסינון‬ ‫מערכות‬(AV + AS+ URLF+ App Control+ AntiSpyWare–‫ה‬ ‫ברמת‬GW)
•‫מערכות‬FireWall/UTM(‫יצרן‬ ‫כל‬ ‫לא‬:‫פורטינט‬,‫צ‬'‫פוינט‬ ‫ק‬,‫ג‬'‫וניפר‬,‫אלטו‬ ‫פאלו‬)
•‫ויתירות‬ ‫עומסים‬ ‫לאיזון‬ ‫מערכות‬–Load Balancer
•‫אפליקציות‬ ‫שרתי‬ ‫של‬ ‫להגנה‬ ‫אבטחה‬ ‫מערכות‬–WAF (Web Application FW )
•‫שרתי‬ ‫של‬ ‫להגנה‬ ‫אבטחה‬ ‫מערכות‬Data Base
•‫הצפנה‬ ‫מערכות‬(IPSEC)–(‫ביותר‬ ‫מוגבלת‬ ‫רשימה‬)
•‫פס‬ ‫רוחב‬ ‫לניהול‬ ‫מערכות‬–QOS (Quality Of Service)
•‫מערכות‬IPS / IDS
•‫של‬ ‫מנגנונים‬Fail Open
•‫לה‬ ‫שיש‬ ‫מערכת‬ ‫כל‬2‫להתערב‬ ‫מבלי‬ ‫הכרטיסים‬ ‫בין‬ ‫תקשורת‬ ‫מעבר‬ ‫ומאפשרת‬ ‫יותר‬ ‫או‬ ‫רשת‬ ‫כרטיסי‬
‫התקשורת‬ ‫של‬ ‫בניתוב‬
7

68. Bridge Mode / Transparent Mode/ In-line Mode / Layer 2
‫תקשורת‬ ‫מערכות‬ ‫להטמעת‬ ‫שיטות‬‫מידע‬ ‫אבטחת‬
8

69. ‫תקשורת‬ ‫מערכות‬ ‫להטמעת‬ ‫שיטות‬‫מידע‬ ‫אבטחת‬
Proxy (Transparent Proxy / Forward Proxy / Reverse Proxy)
•"‫שיטה‬"‫ישנה‬(‫מעל‬25‫שנה‬)‫שונים‬ ‫אבטחה‬ ‫ליישומי‬ ‫שמשמשת‬
•‫דרכה‬ ‫תקשורת‬ ‫שמעבירות‬ ‫הקצה‬ ‫נקודות‬ ‫שתי‬ ‫בין‬ ‫מוחלטת‬ ‫הפרדה‬ ‫יוצרת‬ ‫השיטה‬
•‫הכללי‬ ‫הרעיון‬
•‫א‬ ‫צד‬'‫ב‬ ‫וצד‬'‫עם‬ ‫שמדבר‬ ‫כוח‬ ‫בא‬ ‫באמצעות‬ ‫אלא‬ ‫ישירות‬ ‫ידברו‬ ‫לא‬2‫ומחליט‬ ‫הצדדים‬
‫מידע‬ ‫איזה‬(‫מסונן‬)‫צד‬ ‫לכל‬ ‫להעביר‬
•1+4=XSession|2+3=Session Y,‫עצמה‬ ‫משל‬ ‫נפרדת‬ ‫תקשורת‬ ‫אחד‬ ‫כל‬
9

70. ‫תקשורת‬ ‫מערכות‬ ‫להטמעת‬ ‫שיטות‬‫מידע‬ ‫אבטחת‬
Proxy (Transparent Proxy / Forward Proxy / Reverse Proxy)
•‫יתרונות‬:
❑‫גבוה‬ ‫ברמה‬ ‫אבטחה‬–‫בד‬"‫שכבות‬ ‫נבדקות‬ ‫כ‬4-7‫מלא‬ ‫באופן‬
❑‫לשכבה‬ ‫מלאה‬ ‫מודעות‬7(‫אפליקציה‬)
❑‫תקשורת‬ ‫מעבר‬ ‫אין‬ ‫נופל‬–Fail Safe
❑‫ב‬Forward Proxy-‫האינטרנט‬ ‫אתר‬ ‫מול‬ ‫הקצה‬ ‫תחנת‬ ‫של‬ ‫פרטיותו‬ ‫על‬ ‫שמירה‬
❑‫ב‬Proxy Chase / Web Chasing-‫גלישה‬ ‫ביצועי‬ ‫האצת‬(HTTP+FTP‫בלבד‬)
❑‫מחיר‬-‫ביצרן‬ ‫תלוי‬‫במערכת‬
•‫חסרונות‬:
❑Overhead‫ההפעלה‬ ‫למערכת‬ ‫גדול‬,‫חזקה‬ ‫חומרה‬ ‫דרושה‬,‫זיכרון‬ ‫דגש‬+‫מהיר‬ ‫דיסק‬
❑‫בפרוטוקולים‬ ‫בתמיכה‬ ‫מוגבל‬
❑‫אפליקציות‬ ‫בהגדרת‬ ‫גמישות‬ ‫פחות‬ ‫מערכות‬‫חדשים‬ ‫שירותים‬
❑‫ב‬ ‫שימוש‬Forward Proxy-‫למשתמש‬ ‫שקוף‬ ‫לא‬,‫הקצה‬ ‫תחנת‬ ‫ברמת‬ ‫שינוי‬ ‫דרוש‬
‫התקנת‬ ‫או‬Agent(‫ב‬ ‫כמו‬MS ISA Server),‫ע‬ ‫שנחסמה‬ ‫קצה‬ ‫תחנת‬ ‫בנוסף‬"‫מערכת‬ ‫י‬
Proxy‫בדפדפן‬ ‫שגיאה‬ ‫הודעת‬ ‫מקבל‬
❑‫תפעולית‬ ‫הערה‬:‫ההפעלה‬ ‫מערכות‬ ‫רוב‬(Win / MAC / Linux)‫הקצה‬ ‫בתחנות‬
‫הדפדפנים‬(Explorer / Firefox / Chrome)‫בקובץ‬ ‫תומכות‬PAC(Proxy Auto-Config)
0

71. ‫מערכות‬ ‫להטמעת‬ ‫שיטות‬‫תקשורת‬‫מידע‬ ‫אבטחת‬
Proxy (Transparent Proxy / Forward Proxy / Reverse Proxy)
‫סוגים‬‫שימושים‬:
•Forward Proxy:
❑‫האינטרנט‬ ‫לרשת‬ ‫הפנימית‬ ‫מהרשת‬ ‫גישה‬
❑‫לאינטרנט‬ ‫הגישה‬ ‫לבין‬ ‫הקצה‬ ‫תחנות‬ ‫בין‬ ‫מוחלטת‬ ‫חציצה‬
❑‫רכיב‬ ‫גם‬ ‫שמכיל‬ ‫במקרה‬Chase‫בפרוטוקולים‬ ‫הגישה‬ ‫האצת‬ ‫גם‬ ‫אז‬HTTP/FTP
❑‫דורש‬Agent‫קובץ‬ ‫או‬ ‫הדפדפן‬ ‫ברמת‬ ‫הגדרות‬ ‫שינוי‬ ‫או‬ ‫ההפעלה‬ ‫מערכת‬ ‫ברמת‬PAC
•Proxy Chase / Web Chase:
❑‫בפרוטוקולים‬ ‫האינטרנט‬ ‫לרשת‬ ‫בגישה‬ ‫תגובה‬ ‫זמני‬ ‫שיפור‬HTTP/FTP
❑‫של‬ ‫במנגנון‬ ‫משתמש‬Forward Proxy‫כדי‬"‫לתקשר‬"‫הקצה‬ ‫תחנת‬ ‫עם‬
❑‫דורש‬Agent‫קובץ‬ ‫או‬ ‫הדפדפן‬ ‫ברמת‬ ‫הגדרות‬ ‫שינוי‬ ‫או‬ ‫ההפעלה‬ ‫מערכת‬ ‫ברמת‬PAC
•Transparent Proxy:
❑‫כתת‬ ‫בעיקר‬ ‫נפוץ‬-‫משולבות‬ ‫אבטחה‬ ‫במערכות‬ ‫מערכת‬-FW/UTM
‫ה‬ ‫ברמת‬ ‫תוכן‬ ‫סינון‬ ‫או‬GW
❑‫מאפשר‬Chasseing"‫שקוף‬"‫התחנה‬ ‫ברמת‬ ‫הגדרות‬ ‫שינוי‬ ‫ללא‬
‫הקצה‬ ‫תחנת‬ ‫ידיעת‬ ‫ללא‬ ‫או‬
❑‫האינטרנט‬ ‫לרשת‬ ‫הגישה‬ ‫להאצת‬ ‫משמש‬HTTP/HTTPS/FTP
❑‫לשירותי‬ ‫מטמון‬ ‫ליצירת‬ ‫משמש‬ ‫גם‬ ‫לפעמים‬DNS
1

72. ‫תקשורת‬ ‫מערכות‬ ‫להטמעת‬ ‫שיטות‬‫מידע‬ ‫אבטחת‬
Proxy (Transparent Proxy / Forward Proxy / Reverse Proxy)
‫סוגים‬‫שימושים‬:
•Reverse Proxy:
•‫שרתים‬ ‫אל‬ ‫מהעולם‬ ‫גישה‬‫המוגנות‬ ‫ברשתות‬ ‫שירותים‬
•‫הפנימי‬ ‫השרת‬ ‫לבין‬ ‫מבחוץ‬ ‫ניגש‬ ‫מיש‬ ‫בין‬ ‫מוחלטות‬ ‫חציצה‬
•‫ל‬ ‫משמש‬"‫פרסום‬"‫אינטרנט‬ ‫שרתי‬ ‫של‬ ‫שירותים‬ ‫פיבלוש‬–HTTP / HTTPS
•‫ל‬ ‫משמש‬"‫פרסום‬"‫שרתי‬ ‫של‬ ‫שירותים‬ ‫פיבלוש‬Exchange:
OWA / OMA / Active Sync / RPC over HTTP/HTTPS
2
1 2
34

73. ‫תקשורת‬ ‫מערכות‬ ‫להטמעת‬ ‫שיטות‬‫מידע‬ ‫אבטחת‬
Proxy (Transparent Proxy / Forward Proxy / Reverse Proxy)
‫סוגים‬‫שימושים‬:
•Anonymous Proxy:
•‫ציבורי‬ ‫פרוקסי‬ ‫שרת‬(‫בחינם‬‫תשלום‬)‫הקצה‬ ‫משתמש‬ ‫של‬ ‫זהותו‬ ‫את‬ ‫להסיר‬ ‫שנועד‬
•‫למשתמשים‬ ‫עוזר‬"‫חכמים‬"‫הארגון‬ ‫של‬ ‫האבטחה‬ ‫מדיניות‬ ‫את‬ ‫בקלות‬ ‫לעקוף‬(‫בעיקר‬
‫נבדקים‬ ‫שלא‬ ‫בפורטים‬ ‫שתומכים‬ ‫כאלה‬ ‫שיש‬ ‫בגלל‬:TCP 53TCP 443
•‫למשתמשים‬ ‫עוזר‬"‫חכמים‬"‫בגלל‬ ‫שחסומים‬ ‫לשירותים‬ ‫להגיע‬Geo Rule
•‫בשם‬ ‫קטגוריה‬ ‫קיימת‬Proxy Avoidance‫ע‬"‫ה‬ ‫שרתי‬ ‫לכול‬ ‫גישה‬ ‫לחסום‬ ‫מ‬Anonymous
Proxy‫הידועים‬
•http://www.publicproxyservers.com/proxy/list1.html
3

74. One Arm IPS = IPS out-of-band sniffer mode = Sniffer Mode / TAP Mode
4
IPS out-of-band sniffer mode
IPS can also be deployed out-of-band in sniffer
mode, also called one-arm IPS mode.
In this mode, the FortiOS IPS is operating as an
Intrusion Detection System (IDS) detecting
attacks and reporting them, but not taking any
action against them. In sniffer mode, the FortiGate
unit does not process network traffic. Instead a
FortiGate interface operates in sniffer mode and is
connected to a spanning or mirrored port of a
switch that processes all of the traffic to be
analyzed.
‫תקשורת‬ ‫מערכות‬ ‫להטמעת‬ ‫שיטות‬‫מידע‬ ‫אבטחת‬