שתף קטע נבחר
 

המדריך לאבטחת מידע בעסקים קטנים

בעסקים קטנים האחראי על ענייני המיחשוב הוא בדרך כלל עובד חובב מחשבים, שאינו ממש מומחה. אם כך זה גם אצלכם - התעודדו. בכתבה תמצאו עצות לרכישת הציוד, התוכנות והשירותים המתאימים, ותלמדו להפיק מהם תועלת. כתבה שנייה בסדרה

אוליבר קייבן, PC Magazine פורסם: 26.10.04, 14:04

לכתבה הראשונה: המדריך להגנה אזרחית עבור המחשב הביתי.

 

פיירוול

 

הפיירוול הוא קו ההגנה הראשון בפני העולם החיצון. תפקידיו הם אכיפת מדיניות אבטחה, והחלטה מי יכנס לרשת, מתי וכיצד. הפיירוול גם אוכף את המדיניות שנקבעה, לגבי הדרך בה יכולים חברי הרשת הפנימית לצאת לעולם. הנקודות החשובות ביותר הן:

 

  • בחרו בין פיירוול מבוסס תוכנה או חומרה - אף על פי שיש יתרונות לכל סוג, לרוב מומלץ לבחור בפיירוול מבוסס חומרה. אלו קלים יותר להתקנה ולפריסה. היתרונות המרכזיים של פיירוול חומרה הם, הצגת חזית קשיחה אל מול התקפות מהעולם החיצון, ועיבוד מהיר של תעבורת הרשת הודות לעובדה שהכל מבוצע בחומרה.
    אך גם לתוכנות פיירוול יש יתרונות. אחד מהם היא קלות השדרוג שלהן. אם יש לכם רשת מורכבת, ואתם זקוקים למגוון ממשקים, אתם עשויים לבחור בפתרון תוכנה. הריצו את התוכנה על שרת ייעודי חזק מספיק להתמודדות עם תעבורת הרשת.

  • בחרו פיירוול עם SPI - פיירוול צריך לכלול טכנולוגיות מתקדמות להגנה, כמו סינון שערים ו-SPI (או Stateful Packet Inspection). אם יש לכם פיירוול שמסתמך רק על NAT - שדרגו.

  • נסחו חוקי סינון - זהו תהליך די פשוט. קבעו את תצורת התעבורה הנכנסת ויוצאת, וכן את תצורת הממשק וטווח השערים. אם תרצו לשלוט בפרוטוקול בודד, טווח השערים יהיה זהה עבור שערי ההתחלה והסיום.

  • קבצי היסטוריה - כדאי לבחור נתב, שמציג היסטוריה של תעבורת אינטרנט. כדאי שיהיו יומני אירועים טובים, למקרה שמשהו ישתבש. בנוסף, יכולות התראה יעילות, שמיידעות אתכם כשמשהו חריג קורה, יסייעו לבלום מתקפה.

  • פיירוול עם סינון בשכבת היישום - אם יש לכם מידע רגיש במיוחד ברשת, ואתם מעונינים באבטחה משופרת, שקלו רכישת פיירוול עם סינון בשכבת היישום (ALF). מנגנון שיקפיץ את העלות, אך תועלתו רבה. הוא ממוקמם בין הלקוח לבין השרת, ומנתח את כל היבטי התקשורת כדי להבטיח שהכל מבוצע לפי הפרוטוקול. מנגנונים כאלה יכולים לסנן גם ספאם.

  • לימדו את ההגדרות - קביעת התצורה של מנגנונים הפועלים ברובד היישומים מסובכת יותר מעבודה עם SPI או NAT ולכן פיירוול המבוסס עליהם מסופק עם תצורה קבועה מראש. ברוב המקרים הספק בוחר בסינון מרבי, ומאפשר להוריד את רמת ההגנה באופן אישי. ברירת המחדל עלולה להיות מחמירה מאוד. למשל, חסימת העברה של סוגי מסמכים רבים כנספחים.

  • היזהרו עם חוקי SPI - טכנולוגיית SPI מציעה רמת אבטחה גבוהה יותר מ-NAT. במקום לבחון אך ורק את כתובת היעד או המקור בכל חבילת מידע, היא בודקת מידע לגבי כל חבילה, ומנטרת את החיבור. סינון זה, שלוקח בחשבון את היסטוריית החיבור, מהווה הגנה משופרת נגד מתקפות Denial-of-Service. פיירוול עם SPI גם פותח שערים אך ורק על פי בקשת המשתמש או יישום מורשה, וכך פוחת האיום של פריצה.

    ודאו שהתצורה מבוססת על סדרת כללים, שמונעים כניסת חבילות מידע. יציאת חבילות מידע מהרשת הפנימית מותרת, וחבילות המגיעות בתגובה מותרות גם הן. בהסתמך על ברירת מחדל זו, פיתחו רק את השערים החיוניים. מומלץ לשמור על מדיניות אבטחה, לפיה אסור לשנות את החוקים.
  • קבעו את תצורת NAT - רוב הנתבים משלבים בין סינון שערים לבין NAT. הרעיון מאחוריו הוא הסתרת הרשת הפנימית מאחורי כתובת IP בודדת החשופה לעיני כל. היתרון הוא ששרת האינטרנט אינו חשוף ישירות לרשת. כדי לקבוע את תצורת NAT, ציינו את שם השער דרכו תעבור התעבורה. בררו את כתובת ה-IP של הרשת, גשו לממשק הניהול וצרו חוק חדש לגבי תעבורה נכנסת.

  • השתמשו ב-VPN - פיירוול אינו יכול להגן על הרשת, אם לעובדים ניידים יש גישה מחוץ למשרד. רוב הפיירוולים מבוססי החומרה כוללים אפשרות ליצירת רשת וירטואלית פרטית (VPN). כשעובדים ניידים מתחברים לרשת עם VPN, הם - והמידע - מוגנים כאילו היו במשרד.

  • לא מרחוק - אל תפעילו את אפשרות קביעת מאפייני ניהול מרחוק, אלא אם ממש חייבים. זוהי פירצה הקוראת לגנב.

 

אנטי וירוס

 

משרדים צריכים לנקוט בגישה משולבת במלחמה בווירוסים: פתרון אנטי וירוס לרשת, הסורק את כל הדואר האלקטרוני הנכנס, תוכנת זיהוי חדירות, המגלה פעילות חשודה והגנת אנטי וירוס אישית לתחנות עבודה.

 

  • התקן חומרה (Appliance) או תוכנה? פתרונות אנטי וירוס לרשת זמינים כהתקני חומרה, או כחבילות תוכנה, המותקנות על שרתים. ניתן למצוא מגוון התקנים, החל מהתקנים רב תפקודיים (הכוללים גם פיירוול או אנטי ספאם) במחירים זולים יחסית - אך ללא חופש לקביעת תצורה - וכלה בהתקני קצה גבוה, בהם קיימת גמישות רבה בקביעת התצורה. לעסקים קטנים כדאי לבחור בראשונים, שמציעים הגנה טובה במחיר נמוך.

  • התאמה לשרת הדואר - רוב חברות האנטי וירוס מציעות מוצרים התפורים לפי מידת שרת הדואר שלכם, או מתחברים אליו ישירות. התקני חומרה זקוקים רק לחיבור רשת. הם ממוקמים מאחורי הפיירוול, על אותה תת רשת של הרשת המקומית. אם בחרתם באנטי וירוס מבוסס תוכנה לרשת, קנו חומרה אמינה.

  • עדכנו באופן תדיר - הורו לתוכנה לבצע עדכונים בכל שעה לפחות, זאת, עקב מהירות הפצתם של וירוסים חדשים.

  • סרקו הכל - סרקו תמונות, וידאו, אודיו, קבצים מכווצים וקבצי EXE. אם אפשר, הורו לפיירוול להסיר אוטומטית קבצי EXE, וודאו ששער הכניסה סורק את הדואר היוצא והנכנס. רוב השערים של מתקני אנטי וירוס כוללים תצורות או מתגים, הספציפיים ליישומים, עבור סוגי המידע הנפוצים ביותר, וכוללים פרוטוקולים כמו: FTP, HTTP, IMAP, POP ו-SMTP. ודאו שהפעלתם את כולם.

  • בחרו פתרון עם אזור הסגר - אם עובדיכם מקבלים מסמכים רבים כקבצים מצורפים, ניהול אזור הסגר (Quarantine) יאפשר להשגיח על קבצים נגועים או חשודים, שצורפו לדברי דואר אלקטרוני. המשתמש יוכל לקבוע האם למחוק או להציל את הקובץ.

  • מנעו מתקפות Denial-of-Service - במתקפות אלו שולחים התוקפים קבצים גדולים, כדי להעסיק את מנגנון הסריקה. בשל כך, חלק מהאנטי וירוסים מאפשרים לבצע הפסקות לסריקת קבצים מצורפים.
אנטי ספאם

 

בדומה לקודמיהם, מוצרי אנטי דואר זבל זמינים כמוצרי תוכנה, להתקנה על שרת, או כמתקני חומרה. כדאי לבחור בפתרון המשלב מספר מנועי סינון, כמו

מנוע "בייזיאני" (Bayesian, מבוסס על ענף אקזוטי בסטטיסטיקה, שמנסה להתמודד עם קבלת החלטות בתנאי חוסר וודאות), גישה "היוריסטית" (Heuristics, מבוססת על חוקי שכל ישר) ומסנני "רשת" (מונעים מעבר של קבצים על בסיס הגודל שלהם).

 

  • קחו התקן חומרה - אם אתם רוצים שליטה ויש לכם את המיומנות, מומלץ להפעיל התקן סינון משלכם, שמיועד ללכוד את הזבל לפני כניסתו לרשת המקומית. המסנן מתפקד כמו שער דואר (SMTP) והזבל עובר דרכו לפני ההורדה.

  • נהלו רשימות שחורות - שירותי Blacklist בזמן אמת מנהלים מסדי נתונים גדולים של שולחי דואר זבל. רוב מוצרי סינון הספאם תומכים ברשימות שחורות, וחלקם מאפשרים להזין ידנית ערכים נוספים.

  • רשימות לבנות - הסתמכו על רשימות לבנות רק כדי להבטיח שדואר תמים נכנס פנימה. אף על פי שרשימות לבנות (רשימת אנשים שאפשר לסמוך עליהם) יעילות, שימוש בהן מהווה דרך מחמירה, אך מתישה לנהל סינון זבל.

  • אפשרו סינון HTML - שולחי זבל רבים מסוגלים לעקוף את מסנני המילים באמצעות שימוש בתמונות, במקום בטקסט. תצורת מתקדמות מאפשרות להפשיט תסריטי Visual Basic, או לבודד קבצי מדיה מצורפים לפני העברת הדואר למשתמשים.

  • הגדירו קטגוריות ובצעו התאמה אישית - אתם עשויים לרצות להגדיר את המסננים שלכם לזיהוי מילים בעלות אופי מיני, או התעשרות מהירה, אך אולי לאשר מילים כמו "משכנתא", שעשויות להיות לגיטימיות עבורכם.
     
ניהול טלאים

 

עם הגנת אנטי וירוס, סינון זבל ואבטחות שער הכניסה, עוד תטעו לחשוב שהרשת שלכם בטוחה, אבל זה לא מדויק. מנהלי רשת רבים, במיוחד בעסקים קטנים, מתעלמים מגורם עיקרי, האחראי לרבים מכשלי האבטחה וקריסת המערכת: החוסר בעדכוני תוכנה.

 

  • הישארו מעודכנים - אלפי נקודות תורפה בתוכנות מתגלות כל שנה. יצרנים תופרים טלאי תוכנה עבור כולן, אך תיקונן דורש זמן. למעשה זה לא ממש מעשי, שעסק קטן יתקן כל באג שמתגלה, אבל חיוני לעקוב אחרי האיומים המהותיים ולתקנם.

  • שימו עין על נכסיכם - נהלו רשימה לגבי סוגי מערכות ההפעלה, מהדורות, תאריכי ההתקנה, הטלאים החסרים וכל הפרצות שתוקנו. עקבו גם אחרי יישומים החיוניים לפעילות העסקית, ואם אפשר, גם אחרי החומרה.

  • רכזו את הטלאים בתיקיה - שימרו את כל העדכונים שהורדתם בתיקיה ייעודית.

  • נצלו את מה שמגיע בחינם - מערכת ההפעלה מגיעה עם כלי עדכון אוטומטי, ומיקרוסופט מציעה גם גם כלי חינמי - MBSA, להערכת פגיעות המערכת, ובדיקה עד כמה אתם מעודכנים.

  • עקבו אחרי האיומים המרכזיים - הדרך הטובה ביותר להישאר מעודכנים היא לגלוש לאתר SANS, שם תמצאו רשימה של 20 נקודות התורפה החמורות ביותר, המתעדכנת באופן קבוע, עם קישור להורדת הטלאים.

  • בדקו את אתרי היצרנים - בדקו אם חברות התוכנה הוציאו טלאים חדשים ומומלצים. יישומים מסוימים וכן רוב ההתקנים, כמו פיירוול, אנטי וירוס ואנטי ספאם, מספקים כלי עדכון משולבים, אותם ניתן לתזמן באופן קבוע לבדיקת עדכונים חיוניים.

 

תרגום: נדבי נוקד

 

  תגובה חדשה
הצג:
אזהרה:
פעולה זו תמחק את התגובה שהתחלת להקליד
ביטול אישור
הקפידו על עדכונים
הקפידו על עדכונים
מומלצים

אודות ועזרה

כלים ושירותים

ערוצי תוכן