1. תוכן עניינים רשת מאובטחת – כיצד בונים ומתכננים רשת ארגונית בצורה מאובטחת : מושגים כלליים . סגמנטציה וחלוקת כתובות IP. מהי רשת DMZ ? , וכיצד הסגמנטציה מגנה עלי . חלוקת כתובות ברשת הפנימית לפי RFC 1819. מהו תרגום כתובות ( NAT) , סוגים , שימושים . " המסע אל הבחירה . . ."

2. תוכן עניינים מערכות אבטחת מידע - FireWall מערכת FireWall מהי . תפקידיה של מערכת ה - FireWall. מתודולוגיות ליישום מערכת FireWall , יתרונות \ חסרונות , מה ניתן לצפות ממערכת FireWall. מה מתאים למי – ניתוח ואפיון צרכים בבחירת פתרון אבטחה : פתרונות חומרה (Appliance) VS פתרונות תוכנה התאמת הפתרון ע " פ סוג הארגון : SOHO / SMB / Enterprise

3. תוכן עניינים הצגת הפתרונות המובילים לשוק ה SMB / Enterprise Check Point Cisco PIX Net Screen ועוד מגוון פתרונות . . .

4. מושגים כללים

5. פתרונות אבטחת מידע אז והיום . . . R R QOS VPN FireWall Internal Network QOS + VPN + FireWall Internal Network Internet Internet

6. הרשת הארגונית הפשוטה

7. רשת ה DMZ , וכיצד היא מגנה על הרשת הארגונית ? DMZ - Demilitarized Zone ( “ האזור המפורז” ) סגמנט חיצוני לרשת הארגונית ( הרשת הפנימית ) בעלת ניתוב לרשתות החיצונות של הארגון ( בד”כ ניתוב לרשת האינטרנט ) , ברשת ה DMZ נחבר בד " כ את השרתים שמספקים ל " עולם " שירותים , כגון : שרתי Web / FTP, שרתי Mail / Mail Relay , שרתי Content Inspection, ועוד . . השרתים נגישים לכלל העולם , בארגונים גדולים יתכנו מספר רשתות DMZ DMZ ב שפת Cisco נקרא גם : FTZ – Free Trade Zone

9. RFC - Request for comment’s RFC - פרוטוקולי האינטרנט מתועדים בדיווחים טכניים הנקראים RFC , ניתן לקרוא תקנים אלה באתר ה Web של ארגון IETF ( Internet Engineering Task Force ) מומלץ מאד לבצע חיפוש באתרים : www.Google.com http://www.rfc-editor.org http://www.ietf.org

10. חלוקת כתובות IP ברשת האינטרנט 3 main classes of IP addresses: A, B and C: A class address: 1-126 127 networks, ~16M hosts/network B class address: 128 - 191 16,000 networks, 65,532 hosts/network C class address: 192 - 223 ~2M networks, 254 hosts/network D class address: 224 – 241 (Multi Cast) E class address: 242 – 255 (Testing)

11. חלוקת כתובות ברשת הפנימית לפי 1918 RFC RFC 1918 מגדיר מספר קבוצות של של כתובות IP שמורות המיועדות לחלוקת כתובות IP ברשת הפנים ארגונית . 1 Class A Network Number: 10 .0.0.0 - 10.255.255.255 16 Class B Network Numbers: 172.16 .0.0 - 172.31 .255.255 256 Class C Network Numbers: 192.168 .0.0 - 192.168.255.255 הכתובות המוגדרות ע ” פ RFC 1918 , אינן בעלות ניתוב ברשת האינטרנט

12. Network Address Translation - NAT שימושים : אבטחת מידע - מניעת גילוי כתובות ה LAN שלי . סיבה תפעולית - חוסר בכתובות IP חוקיות . יישום NAT מתחלק ל 3 שיטות : תרגום כתובות - Static NAT ( 2 סוגים ). הסתרת כתובות - Hide NAT ( Dynamic NAT).

13. How FireWall-1 Reads IP Addresses

14. NAT Modes Static Source Mode תרגום מ כתובת IP לא חוקית מהרשת הפנימית ל כתובת IP חוקית , ביציאה לרשת החיצונית ( רשת האינטרנט ). Static Destination Mode תרגום מ כתובת IP חוקית ל כתובת IP לא חוקית ברשת הפנימית , בכניסה מהרשת החיצונית לרשת הפנימית . Hide Mode מסתיר קבוצת כתובות IP לא חוקיות מהרשת הפנימית מאחורי כתובת IP ( אחת ) חוקית , בעלת ניתוב וגישה מ \ ואל הרשת החיצונית .

15. Static Source Mode תרגום מ כתובת IP לא חוקית מהרשת הפנימית ל כתובת IP חוקית , ביציאה לרשת החיצונית ( רשת האינטרנט ).

16. Static Source NAT

17. Address Translation Using Static Source Mode

18. Static Destination Mode תרגום מ כתובת IP חוקית ל כתובת IP לא חוקית ברשת הפנימית , בכניסה מהרשת החיצונית לרשת הפנימית .

19. Address Translation Using Static Destination Mode

20. Address Translation Using Static Destination Mode

21. Hide Mode\ Hidden Nat \ Dynamic Mode מסתיר קבוצת כתובות IP לא חוקיות מהרשת הפנימית מאחורי כתובת IP ( אחת ) חוקית , בעלת ניתוב וגישה מ \ ואל הרשת החיצונית .

22. Dynamic NAT

23. Hide Mode Address Translation

24. Static NAT - תרגום כתובות תרגום כתובת IP אחת לכתובת אחרת . היחס בין כתובות ה IP לבין הכתובת המתורגמת הוא יחס של הצלבה IP <=> IP Translation הכתובת צריכה להיות בעלת ניתוב חוזר Static NAT בנוי מ 2 אפשרויות : Src-Static - מקור Dst-Static - יעד

25. Hide NAT – Dynamic NAT הסתרת כתובות יחס של Many To One : IP X1 … Xn==> IP כתובת ההסתרה צריכה להיות בעלת ניתוב חוזר חיסרון : יש מערכות שמחיבות Static IP כדי לעבוד באופן תקין . הגבלה : Hide Mode (Dynamic NAT) לא עובד עם פרוטוקולים שאינם תומכים בשינוי דינמי של ה - Number Port. ה External Interface של ה FW הוא המועדף להיות הכתובת לבצע את ההסתרה , הכתובת בד”כ מנותבת ונגישה . ניתן להגדיר כתובת דינמית לביצוע ההסתרה 0.0.0.0

26. Applying Hide NAT on Check Point NG

27. Applying Hide NAT on Check Point NG

28. Applying Static NAT on Check Point NG

29. Applying Static NAT on Check Point NG

30. Applying Dynamic NAT on Cisco Pix

31. התקן שמחבר בין 2 רשתות או יותר ( חיצונית \ פנימית ) תוך כדי אכיפת מידניות אבטחת מידע אז מה זה בכלל FireWall ?

32. אז מה זה בכלל FireWall ? אין חשיבות מאיזה Interface מגיע המידע , ה FW מפעיל ובודק את מערכת החוקים על המידע שעובר דרכו ללא התייחסות מהו המקור ( פנימי או חיצוני ).

33. What a Firewall Cannot Protect Against malicious authorized users Against connections that don’t go through it 100% against all threats* A firewall is only as effective as the security policy it supports and the networks it protects. * New ways to break through networks are continually developed. To combat this, Check Point continually develops and distributes new methods of protection against unauthorized access to your network.

34. Firewall Cannot ... לא יכול לבדוק תוכן , יכול לבדוק רק את ה Header של הפאקט ( ל FW-1 יש אפשרויות לבדיקת תוכן אך הם מוגבלות ). לא יכול לאכוף מה שלא רשום לו ב Rule Base. לא יכול להגן כנגד שימוש בפרוטוקולים שלא ידועים לו . לא יכול להגן כנגד “אידיוטים” מבפנים . איומים חדשים - FW טוב לזמן ההתקנה שלו , חייבים לבצע עדכונים שוטפים לגרסת המערכת , ובדיקות תקופתיות של יישום מערכת החוקים .

35. Firewall Can ... לחבר רשתות . לאכוף את מידניות אבטחת המידע של הארגון ביחס לקישור התקשורת הפנימית \ חיצונית . בקרה על תעבורת הרשת היוצאת \ נכנסת . הגבלת החשיפה של הרשתות הפנימיות כלפי העולם .

36. TCP/IP Stack - OSI Module זיהוי ברמת ה Port זיהוי ברמת ה IP זיהוי ברמת האפליקציה \ ההצפנה זיהוי ברמת ה Session ID

37. מודלים של מנגנוני אבטחה Packet Filtering Network Level (ACL on router) Application Layer Gateway Application Level (Proxy Server) Stateful Inspection Before Network Level

38. Packet Filtering Path in the OSI Model מסנן פאקטים , יודע לקבל החלטות ע”פ אותם נתונים שרשומים בפאקט עצמו ברמת ה - IP: Sou, Des, Tcp/Udp des/sou, Port #, Icmp יישום הזהה ל Access List ב Router

39. דוגמא ליישום של Access List בנתב access-list 102 permit tcp any any established access-list 102 permit icmp any any access-list 102 permit tcp any any eq smtp access-list 102 permit tcp any any eq pop3 access-list 102 permit tcp any any gt 1023 access-list 102 permit udp any any gt 1023 access-list 102 permit tcp host 192.116.132.2 any eq telnet access-list 102 permit tcp host 192.116.132. 3 any eq telnet access-list 102 permit tcp host 194.90.10.10 any eq telnet

40. Packet Filter FTP Example

41. יתרונות ליישום Packet Filtering זול ( יש מספר תוכנות בחינם ). שקוף למשתמש . נתב - משמש אותי למספר דברים . נתב ( חומרה ) - ביצועיים יותר טובים . אמינות , תחזוקה שוטפת קלה . Application Presentation Session Transport Network Data Link Physical

42. חסרונות ליישום Packet Filtering אבטחה ברמה נמוכה . לא כל &quot; מוצר &quot; יודע לגלות IP Spoofing. לא ניתן ליישם Security Content. ההגנה תמה אחרי “שכבת הרשת” . במקרה של חומרה - לא ניתן לבצע שידרוג . קשה ליישם ולהגדיר Access List. קשה לבדוק אם החוקים שהגדרתי טובים . LOG - קובץ הלוג לא תמיד מלא . פגיע יותר להתקפות D.O.S . High Port - אין לי שליטה על פורטים מעל 1024. Application Presentation Session Transport Network Data Link Physical

43. Application Layer Gateway (Proxy)

44. Application Layer Gateway (Proxy) Web Server Server Client Client 1 4 3 2 Proxy Server

45. יתרונות ליישום Application Layer Gateway אבטחה ברמה גבוה . Cache ( דינמי \ סטטי ). נופל אין מעבר של פאקטים . מודעות מלאה לשכבת האפליקציה . מחיר - ?. Application Presentation Session Transport Network Data Link Physical

46. חסרונות ליישום Application Layer Gateway Overhead גדול . ביצועים : דרושה חומרה &quot; חזקה &quot; ( זיכרון , מעבד , HDD ). מוגבל בתמיכה בפרוטוקולים ( לא גמיש בהגדרת פרוטוקולים חדשים ). אפליקציות חדשות \ לא מוכרות בד &quot; כ לא נתמכות . לא שקוף למשתמש - רוב ישומי ה - Proxy דורשים התקנת Agent . מחיר - ? Application Presentation Session Transport Network Data Link Physical

47. Check Point VPN-1/FireWall-1 Enforcement Module Statetfull Inspection

48. Statetfull Inspection איך זה עובד ? שילוב של שניהם : בדיקה ברמת האפליקציה + בדיקה ברמת ה ACL יתרונות : יכולת ויסות רמת האבטחה במערכת החוקים . יכולת ויסות ה - overhead הנוצר במערכת . המערכת שומרת טבלה פעולות דינמית של התקשורת שיזמנו ( sou,des,port-sou,port-des ) , כאשר יוזמים תקשורת ומקבלת תשובה , אמינות המקור נבדקת בטבלה , אם הכל תקין הקשר מאושר .

49. Benefits of Stateful Inspection אבטחה ברמה הגבוה ביותר . ביצועים גבוהים + יכולת סינון וויסות גבוה . מודעות מלאה לשכבת האפליקציה . יכולת שידרוג ( תלוי במוצר ) . גמישות מלאה בהגדרת חוקים . גמישות מלאה בהגדרת פרוטוקולים \ אפליקציות חדשות . שקוף למשתמש .

50. Check point FireWall-1 Inspect Engine Located in the Kernel Module Accepts, Rejects or Drops Packets Rejects -> Connection Refuse Drop -> No Answer, Connection Time Out Saves system processing time and resources

51. Inspection Engine Inspects Packets The Inspection Engine in the kernel module inspects the packets by accessing its rule base

52. Allow, Drop or Reject Packets If packets do not pass inspection, they are rejected, or dropped, according to the rule base.

53. VPN-1/FireWall-1 NG Enforcement Module

54. INSPECT Engine Flow

55. INSPECT Engine Flow

56. מה מתאים למי ? ניתוח ואפיון צרכים בבחירת פתרון אבטחה

57. פתרונות חומרה (Appliance) VS פתרונות תוכנה פתרונות חומרה (Appliance) - יתרונות : ביצועי מערכת טובים . אמינות \ שרידות גבוה . אבטחה גבוה – בד &quot; כ מערכת הפעלה לא מוכרת . אבטחה גובה – אין צורך לבצע Host Security . אין צורך בתחזוקה שוטפת למערכת ההפעלה . גיבוי \ שיחזור מהירים . אין צורך לרכוש חומרה - שרת ייעודי . אין צורך לרכוש רשיון תוכנה למערכת הפעלה . קיימות מערכות משולבות נתב + FireWall. תמיכה בניהול בחיבור Console .

58. פתרונות חומרה (Appliance) VS פתרונות תוכנה פתרונות חומרה (Appliance) - חסרונות : מערכת סגורה : בד &quot; כ לא ניתן לבצע שינויים בהגדרות מערכת ההפעלה . חומרה : בד &quot; כ לא ניתן לבצע שידרוג . כרטיסי רשת : בד &quot; כ מוגבל במספר כרטיסי הרשת . לוגים : בד &quot; כ מוקצה מקום מצומצם לשמירת קובצי לוג . תמיכה \ תקלות חריגות : קושי בתמיכה , בד &quot; כ מערכת הפעלה לא מוכרת . ניהול מרחוק : לא ניתן לחבר מסך + מקלדת ישירות . מחיר : החומרה נכללת במחיר הפתרון . אחריות חומרה

59. פתרונות חומרה (Appliance) VS פתרונות תוכנה פתרונות תוכנה - חסרונות : תהליך התקנה ארוך ( לא בכל המערכות ). צריך לבצע Host Security ( לא בכל המערכות ). קיים צורך לבצע תחזוקה שוטפת למערכת ההפעלה . תהליך שיחזור מלא לכלל המערכת בד &quot; כ מסובך וארוך . חומרה - שרת ייעודי ( לא בכל המערכות ). דורש רשיון תוכנה למערכת הפעלה ( לא בכל המערכות ).

60. פתרונות חומרה (Appliance) VS פתרונות תוכנה פתרונות תוכנה - יתרונות : מערכת פתוחה : בד &quot; כ ניתן לבצע שינויים בהגדרות מערכת ההפעלה \ עדכונים לגרסת מערכת ה FireWall . חומרה : בד &quot; כ ניתן לשדרג את החומרה . כרטיסי רשת : לא מוגבל במספר כרטיסי הרשת . לוגים : אין הגבלת מקום לשמירת קובצי לוג . תמיכה \ תקלות חריגות : בד &quot; כ מערכת הפעלה מוכרות . ניהול מקומי : ניתן לחבר מסך + מקלדת ישירות לשרת . מחיר חומרה : תלוי בפתרון אך לעיתים ניתן להסתפק ב &quot; תחנת עבודה &quot; חזקה .

61. התאמת הפתרון ע &quot; פ סוג הארגון SOHO - Small Office - Home Office פתרונות למשתמש הביתי \ משרד קטן . מספר משתמשים : 5 \ 10 \ 15 \ 25 בד &quot; כ פתרונות המוגבלים כעד - 2 כרטיסי רשת ( בד &quot; כ אין כרטיס רשת ל DMZ ). מחיר : סדר גודל 200$ - 1,200 $

62. התאמת הפתרון ע &quot; פ סוג הארגון SMB - Small \ Medium Business פתרונות למשרד הקטן \ בנוני . מספר משתמשים \ כתובות IP : 25 \ 50 \ 100. בד &quot; כ פתרונות המוגבלים כעד -3 כרטיסי רשת . מחיר :

63. התאמת הפתרון ע &quot; פ סוג הארגון Solutions / ISP Solutions Enterprise פתרונות לחברות גדולות . מספר משתמשים \ כתובות IP : 100 \ 250 \ Unlimited . בד &quot; כ פתרונות התומכים ב High Availability . מחיר : סדרי גודל של 4,500 $ - 20,000 $ ( ומעלה ).

64. http://www.icsalabs.com/index.shtml

66. SOHO / SMB / Enterprise הצגת חברות \ מוצרים \ פתרונות

67. ZyWall 10 / ZyWall 50 ZyWall 100 http://www.zywall.com Packet Filter Stateful Packet Inspection

68. SofaWare – S-Box Safe@Office http://www.sofaware.com Check Point Stateful Inspection

69. http://www.sonicwall.com/products/demo/index.html Sonic WALL SOHO 3 Sonic WALL PRO 100 Sonic WALL TELE3 TZX stateful packet firewall

70. Check Point Stateful Inspection

71. Check Point - Intrusion.Com Check Point Stateful Inspection

74. WebUI (HTTP/HTTPS)

75. WebUI (HTTP/HTTPS)

76. WebUI (HTTP/HTTPS)

77. Router-Based Firewall Functionality — Available on a wide range of Cisco IOS-based routers, the Cisco IOS Firewall offers sophisticated security and policy enforcement for connections within an organization (intranet) and between partner networks (extranets), as well as for securing Internet connectivity for remote and branch offices. Cisco IOS Firewall

78. Cisco Pix FireWall

79. Cisco Pix FireWall

80. Cisco PIX ® Device Manager

83. Check Point – FireWall-1 גרסאות מוצר : 1993: גרסה 1.0 \ 1.1 גרסה 2.5 גרסה 3.0 1998: גרסה 4.0 1999: גרסה 4.1 2000: Check Point 2000 - FireWall-1 4.1 sp 1 2000: FireWall-1 4.1 sp 2 2001: FireWall-1 4.1 sp 3 2001:/ 5 FireWall-1 4.1 sp 4 2002: FireWall-1 4.1 sp 6 2002: FireWall-1 N.G (Next Generation) 80% מהשוק בישראל 60% מפתרונות ה VPN בעולם

84. Check Point – FireWall-1 גרסאות תוכנה של מערכת ה NG : Check Point NG (not release for public) Check Point NG HP-1 (Hot Fix 1) Check Point NG HP-2 (Hot Fix 2) Check Point NG FP-1 (Feature Pack 1) Check Point NG FP-2 (Feature Pack 2) Check Point NG FP-3 (Feature Pack 3)

85. על איזה פלטפורמות \ מערכות הפעלה ניתן להתקין Check Point ( רשימה חלקית ): Software (NG FP-3) Windows NT Server / 2000 Server Sun Solaris Linux (Red Hat) Secure Platform Hardware: Nokia (free BSD ) Intrusion.com (Linux – Red Hat) Nortel (Alteon Switched Firewall) VPN Dynamics Compaq / IBM SofaWare (S-Box)

86. Check Point - Secure Platform מערכת ה Secure Platform FP-3 , הינה מערכת FireWall-1/VPN-1 מלאה המותקנת על גבי מערכת הפעלה Linux Red hat 7.3 וכוללת את מערכת ה FireWall-1 העדכנית והמתקדמת ביותר של חברת Check Point מערכת ה - 3 - Next Generation Feature Pack . מערכת ההפעלה פותחה והותאמה במיוחד ע &quot; י Check Point עבור מערכת ה FireWall-1/VPN-1 שלה , ע &quot; מ להשיג ביצועי מערכת הפעלה משופרים ורמת אבטחה גבוהה ביותר . המערכת כוללת מערכת תפריטים משוכללת המאפשרת ניהול קל ופשוט של מערכת ההפעלה באופן שוטף ( גם לחסרי רקע במערכות הפעלה מבוססת לינוקס ). הגדרת החוקים במערכת מתבצעת ע &quot; י כלי הניהול הרגילים של CP FireWall-1 FP-3 . במערכת שולבו יכולות אבטחה חדשות ומשופרות כדוגמת : מערכת קבצים מתקדמת התומכת ב - Journaled File System , ניהול מרוחק ע &quot; י SSH , אפשרות לגיבוי \ שיחזור מערכת מהירים .

87. Check Point - Secure Platform

88. מה בודקים כשרוצים להטמיע מערכת FireWall עלות פתרון : עלות ראשונית , תמחור ע &quot; פ כתובת IP או Concurrent Session . עלות אחריות חומרה שנתית ( חשוב מאוד !!! במקרה של Appliance ). עלות חידוש גרסאות \ עדכונים שנתיים . עלויות TCO ( עלויות תחזוקה שנתיות שוטפות ). עלות תמיכה טכנית ( מי תומך ? , עד כמה המוצר &quot; מוכר &quot; בארץ ). חומרה – האם ניתן לבצע שידרוג \ שינויים \ הוספת כרטיסי רשת ?. עלות תכונות מיוחדת : ( VPN Module , שילוב עם מערכות אוטינטיקציה וכדומה ) . שיקולים כספיים

89. מה בודקים כשרוצים להטמיע מערכת FireWall שיקולים טכנולוגיים הפתרון הטכנולוגי ( בדיקת גופי תקן והסמכות ). גמישות הפתרון בהגדרת חוקים \ פרוטוקולים חדשים וכו ... חיבור למערכות חיצוניות ( ניתוח לוגים \ אוטינטיקציה \ מערכות PKI \ מערכות Content Security ) תמיכה בהצפנה \ VPN ( / Remote Access – Client To GateWay GateWay to GateWay ) ביצועי מערכת ה FireWall ( ה - Throughput הצפוי רגיל \ מוצפן ).

90. מה בודקים כשרוצים להטמיע מערכת FireWall שיקולים טכנולוגים ואחרים ניהול מרוחק – כלי שליטה , ניהול , ובקרה : ( SSH/Telnet / Web Base / CLI / Console Gui Client / ). ניהול מקומי ( Console \ האם ניתן לחבר מסך + מקלדת ? ). ניהול שוטף : עד כמה קל לנהל את המוצר ? ( לחסרי ניסיון ). האם מערכת ההפעלה מוכרת \ קלה לתפעול . האם קיימת מערכת ניהול מרכזית . האם קיים תיעוד לגבי הגדרת המוצר + תחזוקה ( אינטרנט ). האם קיימים קורסי הדרכה \ הסמכה רשמיים .

91. מה בודקים כשרוצים להטמיע מערכת FireWall שיקולים טכנולוגים ואחרים תמיכה בשרידות גבוהה – חומרה ( ברמת חומרה \ תוכנה ). תמיכה ב High Availability ( תוכנה פנימית \ מערכת חיצונית ). שקיפות למשתמש הקצה \ הטמעה ברשתות הארגון .