מדריך להתקנת שרת קבצים : OPENFILER – חלק ב' (חיבור ל-DOMAIN)

במדריך הקודם, למדנו איך להתקין שרת OPENFILER ב-20 דקות בצורה בסיסית.

כאן אני מפרסם את החלק השני של סדרת הכתבות על OPENFILER.

במדריך זה נלמד מהן ההגדרות הראשוניות של השרת ואיך לחבר את השרת ל-DOMAIN של הארגון כדי לנהל הרשאות המידע ברמת ACTIVE DIRECTORY.

סדרת הכתבות על OPENFILER :

מדריך להתקנת שרת קבצים : OPENFILER – חלק א' (התקנה)

מדריך להתקנת שרת קבצים : OPENFILER – חלק ב' (חיבור ל-DOMAIN)

מדריך להתקנת שרת קבצים : OPENFILER – חלק ג' (יצירת שיתוף)

מדריך להתקנת שרת קבצים : OPENFILER – חלק ד' (יצירת LUN)

דרישות מקדימות :

ACTIVE DIRECTORY (כאן במעבדה : test.local) : השרת OPENFILER צריך גישה לשרת DOMAIN CONTROLLER

הגדרות בסיסיות :

1) יש לגשת לתחנה כלשהי שמחוברת לאותה רשת עליה התקנו את השרת OPENFILER

2) יש לגלוש לדף הניהול דרך כתובת השרת בפורט 446 (כאן בדוגמא, השרת OPENFILER קיבל את הכתובת 192.168.30.136)

http://192.168.30.136:446

3) יש לבצע LOGIN עם המשתמש בחירת המחדל של המערכת (נחליף בהמשך)

usnername : openfiler

password : password

4) אם כבר הוגדרה כתובת IP סטאטית בהתקנה – ראו מדריך א' – ניתן לדלג עד לסעיף 7.

יש לעבור ללשונית SYSTEM. יש לתת שם לשרת (כאן הגדרתי openfiler) ויש ללחוץ על CONFIGURE ליד הגדרת כרטיס הרשת

5) יש להעביר את ה=BOOT PROTOCOL למצב STATIC ויש ללחוץ על CONTINUE

6) יש להגדיר את כרטיס הרשת עם כתובת סטאטית (בהתאם לרשת שאנו נמצאים בה) ויש ללחוץ על CONFIRM

7) חזרנו לחלון SYSTEM

יש להגדיר את כתובת של שרתי ה-DNS ברשת (לפחות אחד) ואת כתובת השרת GATEWAY במידת הצורך

8 ) עדיין בחלון SYSTEM, יש לגשת לחלק התחתון של הדף, יש להגדיר את כל הרשתות שצריכות לגשת לשרת OPENFILER (כאן בדוגמא יש לי רק רשת אחת) : חשוב לציין שם ברור לאותה הרשת וה-MASK הנכון של הרשת. הסוג יהיה "SHARE". יש ללחוץ על UPDATE

9) עדיין בחלון SYSTEM, יש ללחוץ על CLOCK SETUP, יש להגדיר תאריך/שעה (או שרת NTP אם קיים ברשת) ויש לאשר

חיבור ל-ACTIVE DIRECTORY :

10 ) יש לגשת ללשונית SERVICES

יש להפעיל את השירות SMB / CIFS SERVER ע"י לחיצה על ENABLE

11) עדיין בחלון SERVICES, יש ללחוץ על SMB / CIFS SETUP בצד ימין

12) יש להגדיר שם DNS לשרת OPENFILER ב-2 החלונות העליונים (אין לשנות את שאר הערכים), יש ללחוץ על APPLY ויש ללחוץ לאחר מכן על Rsync SETUP

13) יש לסמן את כרטיס הרשת הרלוונטי (כאן יש לנו רק כרטיס רשת אחד) ויש לאשר את השינוי ע"י לחיצה על APPLY

14) יש לעבור ללשונית ACCOUNTS ויש ללחוץ על EXPERT

15) בחלק הראשון ("USE LDAP"), יש להגדיר אך ורק את הפרטים הבאים :

יש לסמן USE LDAP

אין לסמן USE LOCAL LDAP SERVER

יש לרשום משתמש אדמין ב-DOMAIN ואת הסיסמא שלו

שאר הנתונים לא רלוונטיים (המערכת תשלים בעצמה את הגדרת BASE DN)

16) בחלק הבא (יותר למטה : USE DC AND AUTHENTICATION), יש להגדיר את הפרטים הבאים :

יש לסמן את USE WINDOWS DOMAIN CONTROLLER AND AUTHENTICATION

יש לסמן ACTIVE DIRECTORY

יש לרשום את השם הקצר של ה-DOMAIN (כאן בדוגמא : TEST)

יש לרשום את השם המלא של ה-DC ב-DOMAIN (כאן בדוגמא : DC1.TEST.LOCAL)

יש לרשום את השם הארוך של ה-DOMAIN (כאן דוגמא : TEST.LOCAL)

יש לסמן JOIN DOMAIN

יש לרשום פרטי משתמש אדמין ב-DOMAIN (כאן ADMINISTRATOR והסיסמא שלו)

17) יש לגלוש לסוף הדף לחלק "AUTHENTICATION CONFIGURATION"

יש לסמן שימוש ב-KERBEROS

יש לרשום את השם הארוך של ה-DOMAIN (כאן בדוגמא :TEST.LOCAL)

תחת KDC ו-ADMIN SERVER, יש לשנות את הכתובות הקיימת לכתובת השרת DC (חשוב לא לשנות את הגדרת הפורט בסוף השורה)

יש ללחוץ על SUBMIT

18) סיימנו !!! (יש להמתין מספר דקות ומומלץ לבצע RESTART לשרת החדש)

חשוב לבדוק שההגדרות תקינות :

ניתן לגשת לניהול ACTIVE DIRECTORY ולוודא שהתווסף אובייקט עם שם השרת החדש תחת "COMPUTERS"

ברמת השרת OPENFILER, ניתן לגשת ל-USER ולזהות את משתמשי ACTIVE DIRECTORY שמופיעים (כנ"ל אם עוברים ל-GROUPS)

לסיכום

לאחר התקנה בסיסית וחיבור ל-ACTIVE DIRECTORY, אנו מוכנים לייצר SHARE בשרת OPENFILER ולהגדיר הרשאות גישה בהתאם למשתמשים וקבוצות ה-DOMAIN (במדריך הבא בסדרת הכתבות).

קישורים

מדריך להתקנת שרת קבצים : OPENFILER – חלק א' (התקנה)

מדריך להתקנת שרת קבצים : OPENFILER – חלק ב' (חיבור ל-DOMAIN)

מדריך להתקנת שרת קבצים : OPENFILER – חלק ג' (יצירת שיתוף)

מדריך להתקנת שרת קבצים : OPENFILER – חלק ד' (יצירת LUN)

איך מנתחים מזיקים (Malwares) ?

חבר שלי פנה אליי עם סוגיה מעניינת : איך אפשר לדעת מה קורה כשמפעילים וירוס או טרויאני  (או כל מזיק אחר) ?

הוא קיבל דיסק עם קובץ הפעלה (EXE) שכמעט בוודאות מכיל מזיק כלשהו והוא אמור לנתח את הקובץ.

חבר שלי מנהל רשת בחברה לא קטנה אך אין לו את הידע ואת הכלים כדי לבצע REVERSE ENGINEERING או ניתוח מקצועי.

ניתוח אירועים ומזיקים ? למה הוא ?

נכון, ברוב המקרים, צוות ה-IT יחשוד בקובץ או תוכנה אך אין לו את הכלים להתמודד עם הניתוח (לבדוק מה עושה התוכנה כדי לדעת להגיב בהתאם). עדיף לעביר את הטיפול למומחה (חברת FORENSIC, צוות מפתחים …).

מצד שני, קשה מאוד לארגון קטן או בינוני (לפעמים גם ארגונים גדולים) לבקש עזרה מגורם חיצוני (לרבות משמעות כספית).

מצד שלישי, אולי החשד לא לגיטימי ? אולי נשקיע זמן ומשאבים בגילוי איום שבכלל לא קיים …

מה עושים ?

ניתן לבצע בדיקות בסיסיות ללא ידע בתכנות או ב-FORENSIC.

ישנם כלים פשוטים שיכולים לעזור ולבדוק מה עושה תוכנה.

איך עושים ?

בעיקר מבצעים השוואות בין מערכת תקינה לבין מערכת בה פועלת התוכנה.

ניתן להשוות מצב קבצים, ספריות, קובץ רישום (REGISTRY) ופעילות רשת.

אפשר גם להריץ סוג של DEBUGGER שאדם נורמאלי (כוונה : לא מומחה) יוכל להבין.

לני סלזר (Lenny Zeltser) פרסם מדריך וידאו מאוד נחמד בנושא, כולל דוגמא (ניתן אפילו להוריד את קובץ הדוגמא מהאתר שלו כדי להתנסות).

הסרטון מומלץ מאוד לכל מי שצריך להתמודד עם משימות חקירה מסוג זה (אורך הוידאו : שעה).

לסיכום :

הסרטון מסביר איך ניתן לנתח מזיקים בצורה פשוטה.

אהבתי במיוחד את הכלים החינמיים "REGSHOT" (ביצוע SNAPSHOT והשוואה של קובץ, קבצים וספריות) ואת "CAPTURE-BAT" (התייחסות לפעילות רשת).

תראו את המדריך וידאו ותבינו שגם אתם יכולים 🙂

קישורים :

האתר של לני סלזר (Lenny Zeltser)

קישור ישיר למצגת הוידאו

REGSHOT

CAPTURE-BAT

מדריך להתקנת שרת קבצים : OPENFILER – חלק א' (התקנה)

אחסון המידע בארגון חשוב מאוד. לא כולם יכולים להרשות לעצמם לקנות רכיבי אחסון יקרים של NETAPP, EMC, IBM וכדומה. לפעמים, אנו צריכים פתרון קטן ופשוט לאחסון קבצים. גם כשיש כסף ויכולות, עדיף להתקין שרת קטן וחינמי לצוות ה-QA בלי להיכנס לפרוייקט מסובך.

חשוב לנהל את ה-DATA בצורה טובה ומרכזית ככל האפשר כדי להימנע מאיבוד מידע חשוב.

כאן אני מציע להתקין OPENFILER : מדובר במערכת הפעלה לינוקסית בנויה לשמש כשרת קבצים.

ישנם פתרונות אחרים בעולם החופשי (חשוב להזכיר את FREENAS) אבל OPENFILER מאוד ידידותית למשתמש (במיוחד למי שמפחד מהפינגוין האכזרי).

OPENFILER יודע לשתף מידע בדרכים שונות : שיתוף SMB, שרת FTP, פרוטוקול ISCSI (כולל יצירת LUNS), הרשאות על בסיס ACTIVE DIRECTORY …

כאן אני מתחיל סדרת כתבות על OPENFILER, בואו נלמד יחד איך מתקינים את המערכת ובלי לעזוב את הממשק הגראפי (כן, כן … אפשרי).

הערה חשובה : כתבה זו מתייחסת לשלב ההתקנה של השרת. ניתן להוריד ישירות מכונות וירטואליות מוכנות עבור VMWARE (כולל תמיכה ב-ESX) או ZEN אבל אני מתייחס להתקנה של שרת פיזי. מי שרוצה להוריד מכונה מוכנה יכול לדלג על החלק הזה (בקרוב אפרסם כתבות המשך).

סדרת הכתבות על OPENFILER :

מדריך להתקנת שרת קבצים : OPENFILER – חלק א' (התקנה)

מדריך להתקנת שרת קבצים : OPENFILER – חלק ב' (חיבור ל-DOMAIN)

מדריך להתקנת שרת קבצים : OPENFILER – חלק ג' (יצירת שיתוף)

מדריך להתקנת שרת קבצים : OPENFILER – חלק ד' (יצירת LUN)

מה אנחנו צריכים ?

כמוכן שרת כלשהו, לא חייב להיות חדש, לא חייב להיות פיזי (פועל מצויין במעבדת VMWARE שלי). בגדול צריך כרטיס רשת ומשאבים בסיסיים.

מומלץ מאוד שיהיו 2 דיסקים לפחות (אחד למערכת ההפעלה והשני למידע).

צריך להוריד את דיסק ההתקנה (קובץ ISO) מאתר היצרן – קישור כאן

אני מוכן להתקנה !

1) יש לאתחל את השרת מהדיסק (או מקובץ ה-ISO)

2) יש ללחוץ על ENTER לתחילת תהליך ההתקנה הגראפי

3) ניתן לבדוק את תקינות הדיסק ע"י לחיצה על OK או ניתן להתחיל את התהליך ע"י לחיצה על SKIP

4) יש ללחוץ על NEXT

5) יש לבחור התקנה באנגלית ויש ללחוץ על NEXT

6) יש לסמן חלוקה אוטומאטית של מחיצות השרת ויש ללחוץ על NEXT (מי שיודע מה הוא עושה מוזמן לשנות את ההגדרות)

7) יש ללחוץ על OK כדי לאשר מחיקה של המידע הקיים על הדיסק

8 ) יש לוודא הגדרות תואמות לצילום הבא ויש ללחוץ על NEXT

9) יש לוודא (שוב) הגדרות תואמות לצילום הבא ויש ללחוץ על NEXT

10 ) כאן אנו נדרשים להגדיר את הרשת – בשלב זה, נגדיר קבלת כתובת דרך DHCP (בכתבה עתידית נשנה את ההגדרה דרך ממשק הניהול)

11) יש לסמן איזור ASIA/JERUSALEM, יש לסמן SYSTEM CLOCK USES UTC ויש ללחוץ על NEXT

12) יש להגדיר סיסמא למשתמש ROOT (לפחות 6 תווים)

13) יש ללחוץ על NEXT כדי להתחיל את ההתקנה

14) בסוף התהליך, ניתן להוציא את הדיסק ולהפעיל מחדש את המערכת

15) אם המערכת עולה בצורה תקינה (ראו צילום הבא), סיימנו את ההתקנה

השרת מוכן לעבודה. ניתן לבצע LOGIN בממשק CONSOLE עם ההרשאות המובנות של OPENFILER (שם משתמש : openfiler, סיסמא : password) אבל בחלק הבא של המדריך נלמד איך להגדיר את המערכת על בסיס ממשק הניהול WEB ולהקשיח את הסיסמא.

לסיכום

OPENFILER קל מאוד להתקנה. אין צורך בידע בלינוקס כדי לסיים את ההתקנה (גם לא כדי להגדיר את המערכת).

ניתן להתקין את המערכת בפחות מ-20 דקות.

המדריך הבא יסביר איך מגדירים את המערכת בצורה בסיסית ואיך מחברים אותה ל-ACTIVE DIRECTORY כדי לנהל הרשאות בצורה מרכזית.

קישורים

OPENFILER – אתר היצרן

מדריך להתקנת שרת קבצים : OPENFILER – חלק א' (התקנה)

מדריך להתקנת שרת קבצים : OPENFILER – חלק ב' (חיבור ל-DOMAIN)

מדריך להתקנת שרת קבצים : OPENFILER – חלק ג' (יצירת שיתוף)

מדריך להתקנת שרת קבצים : OPENFILER – חלק ד' (יצירת LUN)

BlackBox Security Monitor : כלי חינמי לניטור מחשבים

פרצת האבטחה הגדולה ביותר היא המשתמש, זוהי עובדה כואבת בכל ארגון.

עובד יכול לבצע פעולות לא לגיטימיות גם במודע (הוצאת מידע לקרת עזיבה לדוגמא) וגם בלא מודע (סוס טרוייאני מותקן על התחנה לדוגמא).

במצבים מסויימים, אנו חושדים בעובד (לרבות זליגת מידע ופעולות לא לגיטימיות באופן כללי).

בכתבה זו, אתייחס לכלי ניטור שיאפשר "להאזין" לפעולות העובד על התחנה שלו כדי לנסות להבין האם העובד מבצע פעולות נגד נהלי הארגון.

מה הכלי ?

תכירו את BlackBox Security Monitor החינמית (לצערי לא קוד פתוח).

ניתן להתקין על כל תחנה (התקנה לוקאלית או דרך רשת).

ההתקנה מאוד פשוטה וקצרה (באמת NEXT, NEXT, NEXT).

ניתן לנהל מספר רב של תחנות מנקודה מרכזית.

יכולות התוכנה מאוד מעניינות, כאן ניתן לראות לאן גלש המשתמש ויש אפילו התייחסות למנועי חיפוש (מהן השאילתות שהמשתמש ביצע)

שימו לב לצילומי המסך שנלקחו (לא רק לוגים)

ניתן לראות את המיילים שנשלחו

כמוכן, התוכנה מכילה סוג של KEYLOGGER (הקלטת הקלדות המשתמש)

BlackBox Security Monitor הינו פתרון סביר לחקירת משתמש החשוד בביצוע פעולות לא לגיטימיות.

לא מדובר בכלי מתאים להתקנה המונית אבל הכלי מאוד מתאים לחקירות נקודתיות.

מומלץ מאוד לקבל אישור עיקרוני מיועץ משפטי לפני הפעלת התוכנה.

כמובן, יש להשתמש בכלי זה אך ורק במקרים של חשד סביר כי מדובר בפגיעה חמורה בפרטיות העובד.

קישור למקור הכתבה

SSLH : להתחבר לשרת WEB ב-HTTPS וב-SSH דרך אותו פורט

הגישה לשרת ב-SSH בפורט 22 יכולה להיות בעייתית מכל מני סיבות :

  1. יתכן וספק אחסון האתר חוסם פורט 22 כחלק ממדיניות האבטחה שלו
  2. באופן כללי לא נרצה לפתוח גישת SSH בפורט 22 (מומלץ מאוד לשנות את פורט החיבור כדי להימנע מהתקפות אוטומאטיות)
  3. לפתוח גישה בפורט 22 ובפורט 443 על אותו שרת WEB יכול להיות פגיעה במדיניות אבטחת המידע של בעל האתר (למה לפתוח 2 פורטים ב-FIREWALL ?)

הפתרון הפשוט ביותר מובנה ברוב הפצות לינוקס והוא SSLH.

מה הוא SSLH ?

SSLH הינו סקריפט קטן ופשוט שיודע לנתב כל פניה לפורט מסויים (נגיד HTTPS – 443) אל השירות המתאים (לדף HTTPS או לחיבור SSH).

לצורך כך, נתקין ונגדיר SSLH להזנה בפורט 443, נשנה פורט ההזנה של אתר ה-WEB ל-8443 (ניתן לבחור כל פורט פנוי). המשתמשים ימשיכו לגלוש ב-HTTPS (לא ירגישו את השינוי) ונוכל גם להתחבר ב-SSH דרך אותו פורט (443).

איך מתקינים ?

פשוט מאוד.

הנחה בסיסית למדריך זה היא שאנו מבצעים את ההתקנה על שרת UBUNTU 10.04 עם שרת WEB פעיל בפורט 443 (אבל ניתן ליישם בכל הפצת לינוקס נורמאלית עם שרת ווב פעיל ב-HTTPS בכל פורט אפשרי). שרת ה-WEB שבחרתי הינו APACHE (הנפוץ ביותר).

1) יש להתחבר לשרת לינוקס ב-SSH או ב-CONSOLE

2) יש לעלות את רמת ההרשאה ע"י פקודת SUDO SU והקלדת הסיסמא של משתמש ROOT

3) יש להתקין את הסקריפט ע"י הפקודה הבאה :

apt-get install sslh

4) יש לערוך את קובץ ההגדרות של SSLH :

nano /etc/default/sslh

יש לערוך את שורת ההגדרה ולשנות את הפורט המסומן לפורט הרצוי (כאן בדוגמא החליף 443 ל-8443)

DAEMON_OPTS="-u sslh -p 0.0.0.0:443 -s 127.0.0.1:22 -l 127.0.0.1:8443 -P /var/run/sslh.pid"

יש להוסיף מעל אותה שורה את הפקודה הבאה (מסומן באדום) :

RUN=yes

DAEMON_OPTS="-u sslh -p 0.0.0.0:443 -s 127.0.0.1:22 -l 127.0.0.1:8443 -P /var/run/sslh.pid"

יש לשמור את השינוי (ע"י לחיצה על צירוף CNTRL + X ואישור עם לחיצה על Y)

5) יש לערוך את קובץ הגדרת הפורט של השרת APACHE :

nano /etc/apache2/ports.conf

יש לשנות את LISTEN=443 ל-

LISTEN 8443

יש לשמור את השינוי (ע"י לחיצה על צירוף CNTRL + X ואישור עם לחיצה על Y)

6) יש לערוך את קובץ הגדרת ה-VIRTUAL PORT של האתר :

vi /etc/apache2/sites-enabled/default-ssl

יש לשנות את מספר הפורט של ה-VIRTUAL HOST מ-<VirtualHost _default_:443> ל-

<VirtualHost _default_:8443>

7) יש להפעיל מחדש את APACHE ואת SSLH ע"י הפקודות הבאות :

/etc/init.d/apache2 restart

/etc/init.d/sslh start

יש לשמור את השינוי (ע"י לחיצה על צירוף CNTRL + X ואישור עם לחיצה על Y)

זהו, ניתן לבדוק ע"י שתי פעולות פשוטות : גלישה לאתר ב-HTTPS ופתיחת SESSION של SSH בפורט 443.

תוספת לוגים :

יש לנו פתרון נהדר וניתן לגשת באותו פורט גם לאתר HTTPS וגם לשירות SSH, אבל איך ניתן להתמודד עם נושא הלוגים ?

איך נדע מי ניגש ואיפה ?

קל מאוד להתגבר על הסוגיה כי SSLH מפעיל יכולות לוגים דרך SYSLOG ולכן ניתן לייצר פילטר פשוט לקריאה.

יש להפעיל את הפקודות הבאות ב-SSH :

echo "# sslh log file" >> /etc/rsyslog.conf

echo -e ":programname, isequal, \"sslh\"\t\t /var/log/sslh.log" >> /etc/rsyslog.conf

מפעילים מחדש את SYSLOG ע"י הפקודה :

service rsyslog restart

לאחר מכן, ניתן לזהות בלוגים את הפעולות שבוצעו ע"י הפקודה הבאה :

tail /var/log/sslh.log

ונקבל את הלוג המאוד נעים לקריאה :

root@linux1:/home/user1# tail /var/log/sslh.log

Jul  6 18:08:24 linux1 sslh[2326]: connection from 192.168.30.1:4408 forwarded to SSL

Jul  6 18:08:34 linux1 sslh[2326]: connection from 192.168.30.1:4409 forwarded to SSH

לסיכום :

לפעמים אבטחת מידע לא דורשת שינוי גדול בתצורת העבודה או הגדרות מתקדמות.

בעזרת הפעלת סקריפט פשוט, צמצמנו את הסיכון לפריצות לאתר (שינוי פורט חיבור בחירת מחדל של SSH + פורט אחד בלבד פתוח במקום שניים).

הערה קטנה : התקנת SSLH בהפצות לינוקס אחרות תדרוש מתנו תהליך של קימפול (COMPILE) שלא קיים בהפצת UBUNTU. ניתן למצוא חומר אצל האח הגדול של המשפחה (GOOGLE).

קישור :

דף הסבר על SSLH

שימוש ב-DISK ON KEY : האיום הכפול (או למה לפחד מזליגת מידע ?)

בעולם אבטחת המידע, רכיבי הזיכרון הניידים מוכרים בעיקר כאיום (ורוב הזמן בצדק!).

כל איש אבטחת מידע מתייחס להכנסת DISK ON KEY (או כרטיס זיכרון או CD או DVD) לרשת הארגונית כאל הכנסת מזיק פוטנציאלי (וירוס, סוס טרויאני, ROOTKIT …).

אבל האיום כפול : אם נכון לחשוש מהכנסת DISK ON KEY של גורם חיצוני למחשב של הרשת הארגונית, חשוב להבין שיש גם סיכון להכניס DISK ON KEY של הארגון במחשב חיצוני (גם רק לפעם אחת).

רכיבי הזיכרון הניידים של כולנו מאחסנים מסמכים לפעמים רגישים (אם מהצד העסקי או אם מהצד האישי) ויש סיכון גבוה לזליגת מידע.

דוגמא :

הדרך הפשוטה להוכיח את הטענה היא להכיר לכם את USB GRABBER (תוכנת OPEN SOURCE וחינמית כרגיל).

מדובר ביכולת פשוטה וקטלנית : כל DOK (קיצור של DISK ON KEY) שיוכנס למחשב בה מותקנת התוכנה "יגובה" ללא ידיעת המשתמש אל אותו המחשב.

תדמיינו שאתם מוזמנים אצל ספק חיצוני ושבגלל לחץ של זמן, אתם מחליטים לקחת איתכם לעבודה חלק מהמסמכים כדי לעבור עליהם בקשט. אתם מכניסים את ה-DISK ON KEY למחשב של הספק וזהו, החומר שיש על ה-DOK כבר מועתק למחשב (אם או בלי ידיעת בעל המחשב).

USB GRABBER הינה מאוד ידידותית ואין צורך בידעה מתקדמת בהאקינג כדי להפעיל אותה.

ניתן גם להגדיר העתקת סוג מסיים של קבצים וגם ניתן לסנן מקורות העתקה.

הפעלת התוכנה יכולה להיות אוטומאטית וניתן להסתיר את התוכנה מעין המשתמש.

איך אפשר להגן על זיכרונות ניידים ?

קשה מאוד להתגונן מפני האיום הזה כי גם אם ה-DOK מוצפן (ע"י TRUE CRYPT לדוגמא), ברגע שאתם "פותחים" את ההצפנה לצרכי שימוש ב-DOK, ה-DOK נגיש לתוכנה.

מומלץ מאוד להסתובב עם DOK "ריק" (או ללא מסמכים רגישים) כדי לאפשר עבודה על מחשבים חיצוניים.

כמובן, חשוב לבדוק טוב את ה-DOK לפני הכנסה לרשת הארגונית (יתכן והדיסק נדבק ע"י מזיק כלשהו ראו כאן עד כמה זה פשוט).

לסיכום :

חשוב להבין שהכנסת רכיבי זיכרון ניידים מהווה סיכון לזליגת מידע.

יש להדריך את המשתמשים ולהסביר למה יש סיכון (לא תמיד משתמש הקצה מודע לרמת הסיכון וליכולות הטכנולוגיות של "האנשים הרעים").

מומלץ גם לוודא שכל מי שמחזיק DOK בארגון מופקד על רכיב ספציפי ואישי.

ניתן לשקול יישום מערכות הגנה על DOK שלא מאפשרות שימוש בדיסקים הארגונים על מחשבים חיצוניים (כיום רוב מערכות DLP מאפשרות זאת).

קישורים :

הורדת USB GRABBER (לבדיקות בלבד – אל תגנבו מסמכים 🙂 )

מקור הכתבה

איך חוסמים גישה לאתר ממדינות מסויימות ? (דרך HTACCESS)

שנת 2010 הינה שנה חשובה בקשר למלחמות הקיברנטיות. לאחר פרשת "המשט", התחיל גל של תקיפות מסיביות של האקרים ממדינות ערב על אתרים ישראלים (ולא רק על אתרים ממלכתיים של מדינת ישראל או אתרים "ציוניים").

גיא מזרחי מזכיר בבלוג שלו מחקר סטאטיסטי מעניין על הסיבות, דרכים ושיטות לפריצות לאתרי אינטרנט. שימו לב לשתי טבלאות הקשורות לסוגי מערכות ההפעלה הנפרצות ביותר (יותר ויותר מערכות לינוקס נפרצות) ועל הדרכים הנפוצות לפריצות (SQL INJECTION, טעויות בהגדרות, התקפות נגד סיסמאות והשתלת קבצים).

כתבה זו מסבירה איך ניתן להגן על האתר שלכם דרך חסימה פשוטה של התקשורת המגיעה ממדינות ערב.

למה ?

אם אני מחבר את ההנחות הבסיסיות של תחילת הכתבה (רצון לפרוץ לאתרים ישראלים מסיבות אידיאולוגיות ופריצות נפוצות יותר במערכות לינוקס דרך פגיעויות באתר עצמו), אני מגיע למסקנה פשוטה : מכיוון שרוב האתרים כיום רצים על לינוקס ושההתקפות מתבצעות ברמת האתר עצמו (בניגוד להתקפות על תשתיות האתרים), אז ניתן לצמצם את הסיכון על ידי חסימת האתר מפני האקרים פוטנציאלים (ברוב המקרים יושבים במדינות ערב).

איך ?

בהנחה ואין לנו גישה ישירה לתשתית האתר, קשה מאוד להגדיר את החסימה ברמת ה-FIREWALL של חוות השרתים (מי שיכול ויודע -> עדיף לחסום את הגישה עוד בכניסה לספק).

כמו כן, ברוב האתרים המבוססים לינוקס, אנו מפעילים שרת APACHE ויש לנו גישה ישירה ל-htaccess. (ספקי אחסון אתרים נותנים גישה ישירה בדרך כלל דרך ממשק הניהול המרכזי, ניתן לפנות לספק לקבלת הסבר מפורט).

ניתן להגדיר ב-htaccess. חסימה מכתובת, כתובות או טווחי כתובות שונים ורבים.

מה זה htaccess. ?

הקובץ הנ"ל הינו אחד קבצי ההגדרות של שרת הווב (בדרך כלל APACHE). דרכו ניתן להגדיר הרשאות וחסימות שונות בשרת הווב או אפילו תרגום כתובות האתר.

איך אני יכול לדעת מהן הכתובות של המדינות הרלוונטיות ואיך אני מעביר את ההגדרות לאתר שלי ?

זהו החלק הקל 🙂

ניתן לגשת לאתר מסוג "Country IP Blocks" (יש עוד הרבה אתרים באותו סגנון) ולהגדיר שאילתה של חסימת מדינות. את פלט השאילתה נעתיק בקובץ ה-htaccess.

1) יש לסמן "htaccess deny."

2) יש לבחור את המדינות הרלוונטיות ברשימה (לחיצה על כפתור CNTRL תאפשר סימון של מדינות רבות)

3) יש ללחוץ על "Choose Countries"

4) הפלט של השאילתה יופיע תחת "Here is the data you requested"

יש לעתיק את המידע שבחלון לקובץ בצד (מומלץ לבצע פעולת "עתק-הדבק")

5) יש לגשת לממשק הניהול של הקובץ .htaccess ולהעתיק ("הדבק") את התוכן

6) יש לשמור את השינויים ולוודא שאין בעיה לגשת מהאתר (לפחות מהמקום שאנו נמצאים)

בהנחה והפעולה הצליחה, מי שינסה לגשת מתחומי הכתובות החסומות יקבלת שגיאה XXX בכתובת האתר. מומלץ להחליף את ההודעה ע"י דף אישי (לדוגמא לייצר דף באנגלית שמדווח על תקלה באתר).

זהו ? חסמתי ? אפשר ללכת לישון ?

חלוקת כתובות IP באינטרנט בעולם מתבצעת בצורה דינאמית. החלוקה משתנה במהלך הזמן.

מומלץ מאוד לעדכן את הנתונים באופן קבוע (לפי דעתי, פעם בחודש מספיק).

לסיכום :

השיטה שהוסברה בכתבה זו היא דרך טובה להגן על האתר שלנו מפני מתקפות מסיביות נגד אתרים ישראלים.

כמו כן, זה יעצור רק את ההתקפות "העיוורות", מי שבאמת ירצה להגיע לאתר שלנו (התקפה ממוקדת) לא יעצור בגלל החסימה הזו (ניתן לעקוף את החסימה ע"י התקפה דרך "מדינה מאושרת").

אני חייב לציין שקצת עצוב לי : כשהכרתי את המושג של אינטרנט, מאוד התלהבתי מעצם העובדה שגבולות העולם נהיו מטושטשים ושניתן לתקשר עם כל אחד בעולם כאילו היה קרוב מבחינה גיאוגראפית. המציאות מכתיבה לנו שזה לא עובד ככה (מדינות וחברות מסחריות חוסמות שירותים לפי רצונן). בגלל המצב ביטחוני, למדינת ישראל נופל "האסימון" הרבה פעמים לפני האחרים : אני צופה שבשנים הקרובות הגישה לאינטרנט תשתנה בעולם בעקבות המצב הפוליטי הגלובאלי (יותר מדינות וחברות יחסמו גישות למשאבים ולאתרים לפי אזורים גאוגראפים). אני מאוד מקווה שאני טועה אבל כתבה זו היא כבר סוג של תחילת דרך.

בכל אופן, בעולם הקיברנטי של היום, מומלץ מאוד לבצע את החסימה כי היא קלה ליישום ולא דורשת הרבה מאמץ.

קישורים :

הכתבה של גיא מזרחי

htaccess. לפי ויקיפדיה

אתר COUNTRY IP BLOCKS

TheFolderSpy : ניטור שינויים בקבצים וספריות

יש לכולנו קבצים רגישים פחות (מספרי הטלפון כל הדודים והדודות) וקבצים רגישים יותר (ה-EXCEL שמרכז את כל הסיסמאות 🙂 ) וזאת, גם בבית וגם בעבודה.

אחד נושאים המעצבנים ביותר בעולם של אבטחת המידע הוא ניטור שינויים בקבצים וספריות : איך אני יכול לדעת האם מישהו נגע, שינה, קרא את הקבצים שלי ?

מייקרוסופט מספקת מערכת ניטור מאוד לא ידידותית דרך POLICY התחנות (אם ברמה המקומית או אם ברמה הגלובלית בדומיין). קשה מאוד להגדיר ולקרוא את הלוגים של מייקרוסופט ולא ניתן לשלב את הניטור באפליקציות או שימושיים אחרים. עוד לא יצא לי לפגוש את "הגיק" שמנטר את הקבצים שלו עם הכלי המובנה של מייקרוסופט (שייצור איתי קשר, אזמין אותו לכוס קפה ועוגה 🙂 ).

היום אני מציג TheFolderSpy : התוכנה קטנה, פשוטה ונהדרת (אין צורך להדגיש שהיא גם חינמית 🙂 ).

התוכנה לא דורשת התקנה (ניתן להסתובב איתה בדיסק און קי או לשלוח במייל בקלות), ניתן להפעיל ברקע (בלי ידיעת המשתמשים), ניתן לנטר קבצים, ספריות, סוגי קבצים …

ממשק הניהול מאוד פשוט ונוח.

ניתן להגדיר הפעלת קובץ בזמן שינוי (לדוגמא : הפעלת סקריפט שישלח התרעה במייל או ב-SNMP אם מישהו נגע, מחק או שינה את הקבצים).

כל השינויים נשמרים מתועדים בקבצי לוג.

אין מה להוסיף פרט לכך שלכל שינוי בהגדרות, יש להפעיל את המערכת מחדש.

שלושה דברים קטנים לשיפור : אין תמיכה במערכות לא מבוססות WINDOWS, התוכנה לא OPENSOURCE ואין קובץ עזרה … חבל אבל לא נורא בכלל.

התוכנה לא מתאימה לניטור של רשת גדולה אך ניתן לשלב אותה עם כלים אחרים ולנצלה למטרות ממוקדות.

תורידו ותפעילו !!! 🙂

קישור לאתר הרשמי

מקור הכתבה