ABA
יומן פעילות לוח שנה מבזקי חדשות תקנון RSS כותרות כותרות לפי תגובה ניקוי קוקיז IP להורדת אפליקציה


"שאלה בקשר לרמת האבטחה באינטרנט אלחוטי"
גירסת הדפסה        
קבוצות דיון חומרה, רשתות ואבטחת מידע נושא #10135 מנהל    סגן המנהל    מפקח   Winner    צל"ש   מומחה  
אשכול מספר 10135
the-shaq 
חבר מתאריך 19.9.04
14337 הודעות		   21:49   06.12.12   
אל הפורום  
  שאלה בקשר לרמת האבטחה באינטרנט אלחוטי  
 
   אני עובד במוסד ממשלתי ועד היום היה לנו אינטרנט אלחוטי מאובטח עם סיסמא, אנו בתהליך שינוי של כל הרשת והם מתנגדים באופן מוחץ לאפשר אינטרנט אלחוטי בטענה שהוא לא מאובטח מספיק.
האם זה נכון? אין דרך לגרום לרשת אלחוטית להיות מאובטחת ברמה גבוהה ? במוסדות כמו בנקים אין רשת אלחוטית?


                                שתף        
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

  האשכול     מחבר     תאריך כתיבה     מספר  
  אין דבר כזה רשת אלחוטית בטוחה... Avi139   06.12.12 22:47 1
     במוסדות שאבטחת המידע מאד חשובה להם sza  06.12.12 23:26 2
         אכן, כמו שאמרתי, אין קצה חוט שמחבר בין הרשת הפנימית לחיצונית. Avi139   07.12.12 02:35 8
  יש דרך מאובטחת, פשוט הם לא רוצים להתקדם אלייה שניקראת : Certificates Asi Gueta 06.12.12 23:43 3
  למוסדות של משרד החינוך ''ממליצים'' לרכוש ראוטר ג'וניפר ב 1K לכפרות amir1   07.12.12 00:20 4
     זה נכון אבל התקנת תוכנות כגון teamviewer וכדו' מוגדרת כפרצת אבטחה... sza  07.12.12 00:32 5
         גם לפני האינטרנט זה היה amir1   07.12.12 00:51 6
             lol sza  07.12.12 00:53 7
         אצלנו זה חוקים שנכתבו בדם, היה בחור שפוטר בגלל TeamViewer ... Avi139   07.12.12 02:41 9
             קרא כאן על פרצות באבטחת מידע באירגונים amir1   07.12.12 11:44 11
                 האמת שברמה הארגונית זה לא אמור להטריד אותי, אלא את צוות הIT שלנו... Avi139   07.12.12 14:19 12
  כמו שאמרו פה חלק מהחבר'ה האבטחה הכי טובה היא הפרדה code_blue  07.12.12 06:56 10
     אכן, וזה המודל שהיה בצה''ל בשנים שאני שירתתי בממר''מ... Avi139   07.12.12 14:25 13

       
Avi139   לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 1.8.02
76234 הודעות, 28 פידבק		   22:47   06.12.12   
אל הפורום  
  1. אין דבר כזה רשת אלחוטית בטוחה...  
בתגובה להודעה מספר 0
 
   גם אם תגן על זה בWPA2 או כל הצפנה חזקה אחרת זה רק עיניין של זמן עד שזה יפרץ.

מה שעושים במוסדות שאבטחת המידע זה דבר חשוב זה מפצלים את הרשת, רשת פנים ארגונית שמאובטחת ומתוחזקת כל הזמן ורשת אלחוטית שאין לה שום קשר לרשת הפנימית המאובטחת.


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
sza  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 26.4.02
12897 הודעות, 22 פידבק		   23:26   06.12.12   
אל הפורום  
  2. במוסדות שאבטחת המידע מאד חשובה להם  
בתגובה להודעה מספר 1
 
  
ואת הדוגמא הזו ראיתי בעייני, מפרידים לגמרי את הרשת הארגונית מהאינטרנט, והצפיה בדפי אינטרנט היא דרך RDP לשרת מאובטח ומסונן. (ככה לפחות איפה שיצא לי לראות..)


--
צחי.


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Avi139   לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 1.8.02
76234 הודעות, 28 פידבק		   02:35   07.12.12   
אל הפורום  
  8. אכן, כמו שאמרתי, אין קצה חוט שמחבר בין הרשת הפנימית לחיצונית.  
בתגובה להודעה מספר 2
 
  


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Asi Gueta
חבר מתאריך 17.9.10
2865 הודעות		   23:43   06.12.12   
אל הפורום  
  3. יש דרך מאובטחת, פשוט הם לא רוצים להתקדם אלייה שניקראת : Certificates  
בתגובה להודעה מספר 0
 
   יש היום אופציה כמו בחברת ECI שעבדתי בה
שכדי להתחבר לרשת האלחוטית של החברה חייב Certificate שהשרת מייצר לכל מחשב במיוחד כאשר אתה נמצא בדומיין ומחובר לרשת של החברה
אתה תוכל למשוך אותו להתקין ויהיה מזהה ייחודי רק למחשב שלך
משהו מאוד מאובטח ואיכותי
כמובן שתמיד טוב לעשות רשת נפרדת כמו ההמלצות שהביאו לך פה
אבל נכון לעכשיו זה רק certificates


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
amir1   לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 15.4.02
21333 הודעות, 8 פידבק		   00:20   07.12.12   
אל הפורום  
  4. למוסדות של משרד החינוך ''ממליצים'' לרכוש ראוטר ג'וניפר ב 1K לכפרות  
בתגובה להודעה מספר 0
 
   ערכתי לאחרונה בתאריך 07.12.12 בשעה 00:36 בברכה, amir1
 
סליחה על הזילזול במערכת שלהם
אבל אני מטבעי קצת אדיש ולא פרנואיד לכל נושא האבטחה,
ונכון שאני קצת מזלזל בחוקים שלהם, אבל זה נובע מכך שאני לא רואה חשיבות בלהשקיע באבטחה ששווה לרוח ,

הם מתקשרים למוסדות ומציעים להם שיקנו מהם ראוטר של ג'וניפר ב 1000+
הראוטר הזה מנהל שני רשתות נפרדות
האחת היא רשת חוטית בלבד שמיועדת למחשבי המשרד שלהם יש גישה לתוכנת מנב"ס משלוחית וכו'
והרשת השניה היא האלחוטית שמיועדת למורים שמגיעים עם הניידים שלהם .
אגב, האופציה הזו קיימת גם בראוטרים ביתיים+ , כמו D-LINK 615 למשל ,
זה נקרא partition
רק שתבינו את המיקרים שאני פוגש,
אחד מהמוסדות שאני תומך ,זו פנימיה קטנה של כ 100 תלמידים באיזה מושב נידח
המשרד שלה זה מחשב אישי בבית של המזכירה ,
למוסד הזה התקשרו והציעו את הראוטר המהולל דלעיל והם ברוב תמימותם שילמו עליו ,
המשרד הזה לא צריך כלום חוץ ממודם של בזק וסתם דחפו להם ראוטר ועוד אלחוטי .
במשך הזמן הם ביקשו ממני נייד 10" רק לצורך עבודת קלות במקביל לנייח ,
אך כעת התעוררה בעיה, כיצד אשתף קבצים בין המחשבים "במשרד" (סלון) אם כל אחד מהם יושב על רשת אחרת ,
אז מה הפתרון הכ"כ מורכב ובעייתי, ובכן, מחברים כרטיס אלחוטי גם למחשב הנייח
ומחברים אותו לשני הרשתות, גם לחוטית וגם לאלחוטית,
וכך מצד אחד יש לו גישה לאינטרנט של משרד החינוך ומצד שני הוא "חשוף" למחשב שלידו .
ומי שחושב שזו פגיעה באבטחה, אז לדעתי יש עוד 1000 פרטים אחרים שאמורים להיות קודמים לדברים האלו ,
למשל ,כידוע הרשת שלהם היא מעין VPN של המוסדות נמצאים תחת IP חיצוני אחד
והם למעשה יכולים אפילו לתת גישה "מקומית" ממחשב שנמצא באתר אחד למחשב שנמצא בעיר אחרת ,
כך למשל הם סידרו לנו רשת מהבית של המזכירה למדפסת רשת שנמצאת במוסד ,
והמזכירה מדפיסה את הדפים ישירות מהבית .
ולכן גם נוצרת בעיה שלא ניתן להגיע מבחוץ למחשבים האלו משום שאין לך שליטה על הפניית הפורטים
אבל , מי לא מכיר את התוכנות הכ"כ נפוצות כמו TEAMVIEWERו- LOGMEIN וכדו'
שכל מורה/מנהל/טכנאי יכול לשלוט על מחשב המוסד מהבית ,
אגב כך אני מנהל כמה מוסדות ומבצע את הזמנת הבגרויות וכדו' מהבית .
אז מה התועלת בחסימת השירות של POP3 למשל שלא יתפעלו מאייל חיצוני מתוכנה
אם כל אחד יכול להוציא קבצים או לצפות מרחוק בכל המחשב "המאובטח" ..

בעבר אפילו יצרתי רשת WDS אלחוטית בין שני מבנים במוסד כשההצפנה הייתה WEP בלבד + הסתרת SSID,
כשהייתי מתקשר לתמיכה והם היו מבינים שאני בכלל נמצא בבית או שהרשת שם אלחוטית,
הם סה"כ היו אומרים לי , נו נו נו, שזה לא בסדר ...ו ...
בקיצור, אם המשטרה לא שומרת חוק שלא יצפו שהאזרח ישמור .

טוב זו הייתה ההרצאה שלי בנושא,
עכשיו תעשו את השיקולים שלכם, האם לזרוק כספים לריק ,
או אולי להתיעץ עם מומחה שלא רק ינעל ויקשה על החיים בהתחברות וכדו'
אלא גם יתחשב במשתמש ויתן לו גמישות ולא יגרום לו ליצור פרצות לנוחיותו .


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
sza  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 26.4.02
12897 הודעות, 22 פידבק		   00:32   07.12.12   
אל הפורום  
  5. זה נכון אבל התקנת תוכנות כגון teamviewer וכדו' מוגדרת כפרצת אבטחה...  
בתגובה להודעה מספר 4
 
  
זה שלא אוכפים את זה זה משהו אחר.
אבל ככה זה בארץ, עד שתלמיד לא יפרוץ וישנה את התעודה שלו לממוצע יבש 100 אף אחד לא יתאפס...

--
צחי.


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
amir1   לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 15.4.02
21333 הודעות, 8 פידבק		   00:51   07.12.12   
אל הפורום  
  6. גם לפני האינטרנט זה היה  
בתגובה להודעה מספר 5
 
   לא אשכח את הלילה (לפני 20+ שנה) , שבו חבר בפנימיה העיר אותי בשעה 3 כדי שאכנס למחשב של ההנהלה
ואשנה את ציון ההגשה שלו (במקצוע זניח) לגבוהה יותר כדי שיוכל לגשת לעתודה .


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
sza  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 26.4.02
12897 הודעות, 22 פידבק		   00:53   07.12.12   
אל הפורום  
  7. lol  
בתגובה להודעה מספר 6
 
  


--
צחי.


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Avi139   לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 1.8.02
76234 הודעות, 28 פידבק		   02:41   07.12.12   
אל הפורום  
  9. אצלנו זה חוקים שנכתבו בדם, היה בחור שפוטר בגלל TeamViewer ...  
בתגובה להודעה מספר 5
 
   הוא התחבר למחשב שלו בעבודה דיי בתום לב, רק שלמחרת כשמנהל הIT ראה את הLOGים , המנכ"ל בירך את הברנש לדרכו...

באבטחה כמו באבטחה, גם אם יש לך את המערכת הכי מאובטחת והאלגוריתם לא יטעה מעולם, יש את הגורם שתמיד טועה - הגורם האנושי.

לגבי רשתות בתי הספר, לא יודע איך זה כיום, אבל לפני 12-13 שנים כשהייתי בתיכון זה היה בדיחה... גם כיום אני מאמין שאין שום אבטחה שתעמוד בפני תלמיד נחוש וטכנולוג, גם אם 90% מהנוער מתעסק בשטויות של בני הנוער ובזבל הטלויזיוני, עדיין יש קומץ של חבר'ה שחושבים מחוץ לקופסא וצמאים לידע...


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
amir1   לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 15.4.02
21333 הודעות, 8 פידבק		   11:44   07.12.12   
אל הפורום  
  11. קרא כאן על פרצות באבטחת מידע באירגונים  
בתגובה להודעה מספר 9
 
   ערכתי לאחרונה בתאריך 07.12.12 בשעה 11:48 בברכה, amir1
 
כאן
http://sectorix.blogspot.co.il/2007/07/logmein.html

וכאן

http://ciso1.wordpress.com/2010/07/12/%D7%94%D7%A9%D7%AA%D7%9C%D7%98%D7%95%D7%AA-%D7%9E%D7%A8%D7%97%D7%95%D7%A7-%D7%93%D7%A8%D7%9A-%D7%9E%D7%99%D7%99%D7%9C/


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Avi139   לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 1.8.02
76234 הודעות, 28 פידבק		   14:19   07.12.12   
אל הפורום  
  12. האמת שברמה הארגונית זה לא אמור להטריד אותי, אלא את צוות הIT שלנו...  
בתגובה להודעה מספר 11
 
   מה גם שכעת שאנחנו שייכים לCISCO אז מן הסתם שהנהלים בנושא קפצו והוחמרו (בצדק) ככה שדברים כאלה לא יקרו יותר...


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
code_blue  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 5.7.06
21680 הודעות, 7 פידבק		   06:56   07.12.12   
אל הפורום  
  10. כמו שאמרו פה חלק מהחבר'ה האבטחה הכי טובה היא הפרדה  
בתגובה להודעה מספר 0
 
   כל עוד אתה מבטל כל חיבור בין הרשתות, ממש ממש מבדל ביניהם
רשת X לרשת פנימית
רשת Y לרשת אינטרנט

יש A.P שיודעים לשדר מספר SSID לפי VLAN וככה תוכל להטמיע את זה.
שוב זאת אבטחה מתקרבת לטובה אבל כמו שגם אמרו קודמיי אם מישהו ירצה לעשות בלאגנים הוא יוכל לעשות זאת על ידי חיבור 2 כרטיסי רשת וחיבור ל 2 הרשתות גם יחד .

לדעתי גם את זה אפשר למנוע על ידי שימוש במצב HOTSPOT ושימוש ברדיוס
וברגע שמחשב מתחבר ל SSID מסויים הוא לא יוכל להתחבר לשני


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Avi139   לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 1.8.02
76234 הודעות, 28 פידבק		   14:25   07.12.12   
אל הפורום  
  13. אכן, וזה המודל שהיה בצה''ל בשנים שאני שירתתי בממר''מ...  
בתגובה להודעה מספר 10
 
   לא יודע איך זה כיום, פעם היה איסור חמור לחבר מחשבים מוקשחים מהרשת הפנימית לשקע של עמדת אינטרנט שהיה במשרדים ומדוריםש הייתה דרישה לאינטרנט.

כיום, לא רק שיש WIFI מחוץ לבסיסים באיזורים עירוניים, אלא שלכל חייל שיש סמארטפון והוא מחבר אותו למחשב לפעולה פשוטה כמו הטענה, יכול להווצר מצב שכל המחשב והרשת עלולים להיות בסכנה רק ע"י זה שהחייל בלי כוונה הפעיל במכשיר בזמן החיבור את שיתוף אינטרנט ה3G למחשב עצמו... ואז זה יכול להיות קריטי בהחלט.
כמובן שאני מאמין שההקשחה הוחמרה מאז ימי השירות שלי ואני בספק אם חיבורי הUSB מותרים לחיבור התקני USB לא צבאיים...

וגם אם לא, כבר שמענו על נוזקות ווירוסים שרצים באנדרואיד ובIOS ברקע ומשתמשים במצלמה ובמיקרופון כדי להקליט חומרים רגישים, בין אם סיסמאות שנאמרו בחלל החדר ובין אם מסכי מחשב שנלכדו בעין העדשה של הסמארטפון בעודו במשרד...

אני זוכר שדיברו על הנחייה ואיסור חמור של הכנסת סמארטפונים לבסיסי צה"ל רגישים, אני מקווה שההנחיה נכנסה לתוקף! כי אחרת מדובר בסכנה של ממש...


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

תגובה מהירה  למכתב מספר: 
 
___________________________________________________________________

___________________________________________________________________
למנהלים:  נעל | תייק בארכיון | מחק | העבר לפורום אחר | מחק תגובות | עגן אשכול
       
דרג לפי חשיבות הנושא  דרג לפי חשיבות הנושא   



© כל הזכויות שמורות ל-רוטר.נט בע"מ rotter.net