Use LEFT and RIGHT arrow keys to navigate between flashcards;
Use UP and DOWN arrow keys to flip the card;
H to show hint;
A reads text to speech;
19 Cards in this Set
- Front
- Back
|
Firewall |
חומת האש יושבת על התעבורה, כלומר על צינור היציאה/כניסה מ/אל הרשת, כך שכל חבילה (packet) שיוצאת/נכנסת מ/אל הצינור, עוברת בדיקה ע"י חומת האש, שמחליטה מה לעשות איתה ע"פ הנוהל הבא: Accepted: החבילה עוברת ברשת באופן מאושר Rejected: החבילה נדחית ונשלחת בחזרה הודעת שגיאה ICMP (נשתדל לא לספק יותר מדי פרטים בהודעת השגיאה, על מנת לא להסתכן בעזרה לתוקפים). Dropped: החבילה נדחית ללא שליחת ICMP. |
|
|
BlackList |
1. הגדרת סט חוקים שמונע מחבילות לעבור. 2. טוב במידה ואנו יודעים באופן מדויק מה עלינו לחסום. 3. פחות בטוח, אנחנו יותר חשופים לתקיפות. כל החבילות מאושרות פרט לאלו העונות על אחד הכללים שב- blacklist. |
|
|
WhiteList |
1. הגדרת סט חוקים שמאפשר לחבילות לעבור 2. לוקח יותר זמן להגדיר במדויק מה מאושר, על מנת לא לחסום סתם שירותים. 3. בטוח יותר, כיוון שרק תעבורה שנבדקה באופן ספציפי מאושרת. כל החבילות נדחות פרט לאלו העונות על אחד הכללים שב-whitelist. |
|
|
מה הן שתי הגישות לסינון חבילות (Packet Filtering)? |
הכללים שמגדירים האם עלינו לקבל את החבילה או לדחות אותה נקראים ACLs (שזה Access Control List). קיימות שתי גישות לסינון החבילות: Stateless - כל חבילה נבדקת בפני עצמה, ללא קשר לחבילות הקודמות/הבאות. Stateful - כל חבילה נבדקת בהקשר לחבילות הקודמות/הבאות (למשל חבילות באותו הסשן). |
|
|
מערכות המתריעות על התקפות IDS - Intrusion Detection System |
מערכת שמטרתה לסרוק את התעבורה ברשת ולהתריע על חדירות ועל דברים חשודים שעלולים להצביע על התקפה. לפעמים היא נכשלת בגילוי ולפעמים היא מובילה להתרעות שווא. |
|
|
מערכות המתריעות על התקפות מה הם שלושת סוגי ה-IDS? |
Home based - מערכת שמתריעה על התקפות כנגד מחשב ספציפי ברשת. Network based - מערכת שמתריעה על התקפות בכל הרשת. מתקשה בזיהוי התקפות מתוחכמות. Decoy based - מלכודת לתוקפים שתעזור לנו להתריע על דברים שאולי לא היינו עולים עליהם. אלו מחשבים ללא ייעוד, שלא מספקים שום שירות, ולפיכך הם לא צריכים לגשת לאף אחד ואף אחד לא צריך לגשת אליהם. לכן, אם מישהו מנסה לגשת אליהם, נוכל לדעת שאנחנו ככל הנראה תחת התקפה |
|
|
מערכות המתריעות על התקפות IPS - Intrusion Prevention System |
מערכת שבדומה ל-IDS סורקת את התעבורה ומתריעה על בעיות, אולם היא לא מסתפקת רק בדיווח אלא גם פועלת ומנסה למנוע/לעצור את התקיפות. |
|
|
זיהוי ההתקפות Signature Detection |
רוב ההתקפות משדרות איזושהי חתימה ברשת תוך כדי ההתקפה. נוכל לחפש את החתימות הללו ולדווח עליהן. הדבר יעיל כמובן רק במקרה ואכן שודרו חתימות מוכרות. כמו כן, תוקפים יכולים לנסות להטעות את מערכת הזיהוי ולהתנהג באופן לא צפוי ולא חשוד. |
|
|
זיהוי ההתקפות Statistical Detection |
שימוש בחיזוי סטטיסטי למציאת ההתקפות. יש סיכוי רב להתרעות שווא. - למידת כל המשתמשים לצורך הגדרת "פרופיל משתמש" ודיווח במקרה וישנה התנהגות שלא תואמת את הפרופיל (למשל - משתמש שקונה באתר מסוים פעמיים בשבוע ופתאום מבצע 5 רכישות רצופות). - למידת ההתנהגות הסטנדרטית ברשת ודיווח על חריגות והתנהגויות חשודות. |
|
|
Application Layer Packet Filtering |
סינון חבילות בשכבת האפליקציה על בסיס נתונים שניתן לבחון רק בשכבה זו. זאת כיוון שסינון בשכבות נמוכות יותר הוא אמנם מהיר, אבל מוגבל רק לנתונים המופיעים ב- header,מבלי יכולת הבנת המידע. ההסתכלות ברמה העמוקה נקראת DeepPacket Inspection. בדר"כ, הסינון בשכבת זו מתבצע ע"י proxy. |
|
|
Proxy |
שרת שמשמש כ- MITM בין שני מחשבים ואפשר להחיל עליו חוקים שיעזרו בסינון החבילות בין המחשבים. בנוסף, אפשר להיעזר בו על מנת לעקוף firewall - אם מחשב מסוים חסם אותנו, אנו יכולים לשלוח הודעה ל- proxy, שיעביר אותה למחשב שחסם, מבלי שהוא יידע שההודעה הגיעה מאיתנו,ולכן היא לא תיחסם.חשוב לזכור שלשימוש ב- proxy יש תקורה והשפעה על ביצועי המערכת. |
|
|
Anti Spoofing (Ingress and Egress Filtering) |
Egress filtering - תהליך סינון החבילות שיוצאות מהרשת החוצה. Ingress filtering - תהליך סינון החבילות שנכנסות מבחוץ אל הרשת.
תהליכים אלו מונעים spoofing,מכיוון שאם לחבילה שמגיעה מחוץ לרשת יש כתובת IP מתוך הרשת, או להפך, נוכל להסיק שהכתובת מזויפת. |
|
|
Content Filtering |
סינון ע"פ תוכן, מילים לא ראויות, ספאם וכו'... ניתן לשנות חלק מתוכן ההודעה במקום לדחות את כולה. |
|
|
התחמקות מזיהוי Morphing |
שינוי ה"צורה" האמיתית של התוכן במטרה להימנע מזיהוי החתימה. |
|
|
התחמקות מזיהוי Tricks |
קידוד או שימוש בהזזת אותיות. |
|
|
התחמקות מזיהוי Splitting |
חיתוך הקוד הזדוני למספר חבילות שונות, כך שכל חבילה נראית תקנית אך ביחד נוצר הקוד הזדוני. למשל - חבילה מסתיימת ב- "scr>", או טכניקות כגון "ipt>", או טכניקות כגון "ript>" - הסוגריים הפנימיות יימחקו וייגרמו לכך שהתגית החיצונית תיווצר. |
|
|
NAT - Network Address Translation |
ל- NAT שימושים רבים. NAT גם עוזר לנו בעניין האבטחה ברשת: - כאמור,כל התעבורה עוברת דרך ה- NAT, ולכן כל המחשבים הפנימיים אינם חשופים כלפי חוץ. - כיוון שהתעבורה עוברת דרך ה- NAT, יש לנו יכולת לשלוט על התוכן המועבר ולסנן אותו. - אם מישהו שלח הודעה ל- NAT מבלי שנשלחה אליו הודעה קודם לכן, נחשוד ונדחה את ההודעה. |
|
|
Hole Punching |
נניח ששני מחשבים שנמצאים תחת NAT רוצים לתקשר אחד עם השני. אף אחד מהם לא יכול להתחיל את "השיחה" כיוון שכל אחד מהם ישלח הודעה בפעם הראשונה ל- NAT של השני, מבלי שהוא קיבל מה- NAT הזה הודעה לפני כן, ולכן ה- NAT ידחה את ההודעה. הפתרון הוא Hole Punching - יצירת "חור" ב- NAT.
התהליך: 1. השרת פונה דרך ה- NAT שלו אל המתווך וע"י כך הוא יוצר חור דרכו יועברו אליו הודעות מהמתווך. 2. הלקוח פונה דרך ה- NAT שלו אל המתווך ומבקש להתחבר לשרת וע"י כך יוצר גם הוא חור. 3. המתווך שולח הודעה אל השרת דרך החור ב- NAT ואומר לו שלקוח מסוים מנסה להתחבר אליו. 4. המתווך שולח הודעה אל הלקוח דרך החור ב- NAT(הודעת חיווי). 5. כעת שני הצדדים יודעים שהם מנסים לתקשר ביניהם ולכן הם לא צריכים יותר את המתווך. הם שולחים הודעות אחד לשני דרך ה- NAT. ההודעה הראשונה מהשרת אל הלקוח נכשלת, אבל היא יוצרת חור דרכו יוכלו ההודעות של הלקוח להיכנס בפעם הבאה. כנ"ל עבור ההודעה הראשונה מהלקוח אל השרת. לאחר הניסיון הראשון של כל אחד מהצדדים, הם יכולים לתקשר ביניהם. |
|
|
DMZ - De-Militarized Zone |
הפרדה של חלק מהרשת לטובת שרתים עם דרישות מיוחדות שזקוקים לכללים יותר מתירניים. למשל - נניח שחסמנו באמצעות firewall את כל הבקשות היוצאות לפורט 80, כלומר חסמנו את הגישה לאינטרנט מתוך הארגון, ויש לנו שרת אינטרנט שאנו מעוניינים שימשיך לתת שירות לעולם החיצון (שאנשים יוכלו לגלוש בו). במקום לאפשר גישה לכלל הרשת, נפריד את השרת הספציפי הזה ונספק רק לו את הגישה לפורט 80. בכך גם נספק לשרת את הדרישות שלו וגם נבטיח את אבטחת כל שאר הרשת. |
