יום שלישי, מרץ 29, 2011

קראתי את ה פוסט על אבטחת מידע במרכזיות , אנסה להרחיב על דבריו של עידו מהצד השני של המטבע ...

בואו נתחיל מהתחלה -

אין שום דרך מעשית לבצע אבטחה מושלמת של העברת מידע קולי ושעדיין תוכל להשתמש במכשירי קצה מוסדרים.
התשובה הרגילה לבעיות של הסתרת/אבטחת המידע היתה להצפין את תעבורת הקול ולהעביר את המידע על השיחה בצורה "מאובטחת".

הבעיה :
  1. רוב השיטות הנפוצות היום להעביר SIP בצורה מאובטחת מונעים ממכשירי קצה לעבוד (בין עם זה SIPS בן עם זה עם מעבר בתעלה נפרדת ועוד).
  2. אפילו שיחה שעוברת בSRTP ניתנת לזיהוי ללא מפתח הצפנה - כן גם עם לאליס ובוב יש מפתחות פרטים וציבורים טרודי המעצבנת יכולה לדעת על מה השיחה עם מדובר על קודק משתנה.

אין מה לעשות המכונה תפרץ במוקדם או מאוחר השאלה רק מה תעשו בשביל להקשות זאת , רוב הסיכויים שקיימת לכם האפשרות להקים vpn מהשרת עד למשתמשי הקצה שלכם - זה אמנם ימנע שימוש בחלק מהמכשירים , יאט את התעבורה שלכם אבל לדעתי הרווח מהנושא גדול יותר, יימנע שימוש לחלק מהשירותים אבל ... זה יאט במעט את החדירה לאירגון.

הדרך לגרום שהפריצה למרכזיה שלכם תיקח פחות זמן תהיה:

  • לצמצם את כמות הנזק האפשרית מחדירה.
  • מספר השלוחה לעולם לא תהיה שם משתמש הSIP או הסיסמה.
  • מניעת גישה ממכונות שטועות פעם K לבצע שיחה
כל שיחה יוצאת מחוץ למרכזיה ואינה בתחום מותר (למשל מהמשרד) צריכה לחייב הכנסת סיסמה
  • לצמצם את האפשרות לדעת מה לא נכון כשמישהוא מנסה לחדור -

זה שאתם מחזירים שגיעה עם זמני חזרה שונים עוזרים לפענח את הסיבה להתחבר (דוגמה מהחיים) -

שנייה עם יש סיסמה לא נכונה.
0.85 שניה עם יש שם משתמש לא נכון.
1.2 שניות עם יש משתמש נעול.

  • האם באמת אתם צריכים לאפשר גישה מכל מקום ?
אם מדובר בשרת העיסקי שלכם יש לכם את הפריווילגיה לקיים רשימה לבנה של משתמשי קצה שיכולים להתחבר .

רוב הסיכויים שיש לכם אפשרות להשתמש בipsec, זה יחסוך לכם הרבה כאב ראש אחרי זה.
בדקו עם מוצרי הקצה שלכם תומכים בכך (כמעט כל המכשירים שנתקלתי בהם פרט לאייפון באים עם תמיכה).

  • חוסר בדיקה תקופתית להתקנה שלכם -

קיבלת מוצר מדהים שהותקן והוגדר השאלה מתי בפעם האחרונה בדקתם אותה ?
יש יותר מכלי חופשי אחד שמאפשר לכם לבצע בדיקת חדירה למכונה,
האם אתם בטוחים שלא קיים מסלול ב IVR שלכם שיאפשר מעבר לקבלת הרשאות ?

  • מניעת התחזות למשתמש אחר (חטיפת שיחה) -
הפעלת מנגנון שיאפשר אימות בין משתמשי שיחה.

אין תגובות:

הוסף רשומת תגובה