Network

הקדמה

בעשור האחרון הרשת משמשת תשתית מרכזית כמעט לכל פעילות דיגיטלית של ארגונים ואנשים פרטיים. ידע מעשי בפרוטוקולים ותצורות הוא גורם קריטי בעיצוב פתרונות מאובטחים. המדריך נועד להעניק תשתית מוצקה ללומדים שרוצים להתקדם בתחומי אבטחת מידע ורשת. המונח גאמא סייבר מופיע פעמים רבות בתעשייה כיעד הכשרה יוקרתי ולכן הדוגמאות נבנו כך שישרתו גם מטרה זו.

מודל בקשה תגובה בפרוטוקול ‪HTTP‬

פרוטוקול ‪HTTP‬ פועל בשיטת קליינט שרת. בקשת ‪GET‬ שולחת פרמטרים גלויים בשורת הכתובת ולכן קל לאסוף אותם מיומני שרת או דפדפן. בקשת ‪POST‬ מעבירה את המטען בגוף ההודעה ומפחיתה סיכון דליפה. בעת העברת מידע רגיש חובה לצרף הצפנה באמצעות ‪HTTPS‬ וכך ליצור מעטפת TLS מעל TCP.

ביישום ממשקי תכנות מקובל להשתמש בכותרת Content Type, לדוגמה ‎application‪/json‬, כדי להגדיר מבנה משאבים. כאשר נדרשת העלאת קבצים מרובים כדאי לבחור בפריסה ‎multipart‪/form‬-data וכך להפריד תכולה לפי גבולות ידועים. הקפדה על קודי סטטוס תקניים כמו ‎200‎ או ‎404‎ מאפשרת ללקוחות לזהות מצבים במהירות. טיפול נכון בשדות Cache Control מונע חשיפת עותקים ישנים של תוכן סודי.

שירותי דואר אלקטרוני עם ‪IMAP‬ ו‪POP3‬

שרת ‪POP3‬ מוריד הודעות אל התחנה המקומית ומוחק אותן כברירת מחדל. שיטה זו פועלת היטב כאשר משתמש יחיד צורך דואר מאותו מחשב אך אינה מתאימה לניידות. לעומתו ‪IMAP‬ משמר את כל התיקיות בענן ומסנכרן מצבי קריאה ומחיקה בכל מכשיר. הפעלת STARTTLS ביציאה ‎143‎ עוטפת את הערוץ הקיים בהצפנת TLS ומאפשרת הגנת מידע גם ברשתות פתוחות.

מנהלי מערכות רבים בוחרים לבנות כלל חומת אש המתיר כניסה רק ליציאות מוצפנות כגון ‎993‎ כדי לצמצם שטח תקיפה. בעת ניטור תעבורה ניתן לאמת דגלים בשכבת אפליקציה ולוודא שההצפנה אכן הופעלה. גישה זו משפרת תאימות לתקני פרטיות מחמירים. משתמשי נייד עשויים לשלב חיבור דרך מנהרת ‪SSH‬ כדי לעקוף חסימות רשת קפדניות.

גישה מרחוק והחלפת ‪Telnet‬ בפרוטוקול ‪SSH‬

הביקוש למנהור מאובטח הוליד את ‪SSH‬ שהחליף את Telnet הישן שלא הצפין תעבורה. ‪SSH‬ מספק אימות מבוסס מפתחות, תיעוד חיבורים ביומן, וכן תמיכה בהעברת קבצים באמצעות ‎SCP‎ או ‎SFTP‎. הצוות יכול לבטל כניסת סיסמה לחלוטין וכך לבטל מתקפות ניסוי סיסמאות אוטומטיות. קובץ authorized_keys בשרת מכיל מפתחות ציבוריים המורשים ומקצר את זמן ההתחברות.

Agent Forwarding מאפשר להשתמש באותו מפתח פרטי מקומי בזמן קפיצה בין שרתים בלי להעתיק את הקובץ עצמו. שימוש זה מקטין סיכון דליפת מפתחות ומקל עבודה תפעולית. כדי להבטיח שלמות ערוץ מוצפן בונים רשימת known_hosts ומשווים טביעת אצבע בכל חיבור. כל התהליך חיוני במיוחד בסביבות ענן דינמיות שבהן כתובות משתנות תדיר.

Port Forwarding ו Reverse Port Forwarding

טכניקת ‎-L‎ בפקודת ‪ssh‬ מנתבת יציאה מקומית ליעד מרוחק ומאפשרת גישה פנימית ללא פתיחת חור חומת אש. הפיכה לטכניקה ‎-R‎ מאפשרת למחשב שמאחורי NAT לחשוף שירות זמני החוצה ללא שינוי תצורת נתב. בארגונים מתקדמים יוצרים חיבור אתר לאתר מאובטח על ידי שילוב פקודה Autossh המחדשת את החיבור במקרה נפילה. השימוש הנבון במנהרות מפחית עלויות חומרה ומגדיל גמישות פריסה.

תצורות DNS ו DHCP

מערכת שמות האתר מתבססת על שרתי Root ומורידה אחריות בהיררכיה עד רשומת ‎A‎ או ‎AAAA‎. ארגון שמחזיק שרתים חיצוניים ופנימיים בוחר בפתרון Split DNS וכך מסתיר מבנה פנימי מעיני הציבור. בשרת דואר מומלץ להוסיף רשומת PTR כדי להקטין דירוג ספאם. הקצאת כתובות בכפוף ל DHCP הופכת ניהול להרבה יותר פשוט מאחר שהשרת שולח פרטים כמו Gateway ומסכת רשת באופן אוטומטי על פי תהליך DORA.

בעת חלוקה למקטעים לוגיים משתמשים ב DHCP Relay כדי להעביר בקשות בין VLAN שונים. הגדרה זו מונעת הצפה של שידורי Broadcast ומאפשרת שליטה מרכזית במערכות גדולות. Option ‎121‎ מאפשר הזרקת נתיבי ניתוב סטטיים ישירות לעמדת משתמש ולחסוך קונפיגורציה ידנית. שילוב נכון של DNS דינמי עם DHCP יוצר חוויה עקבית גם במחשבים ניידים.

ARP NAT ו DMZ

ARP משייך כתובת IP לכתובת MAC ומאוחסן בטבלה זמנית במערכת ההפעלה. Proxy ARP מאפשר לנתב לענות בשם מכשיר אחר ובכך לגשר בין מקטעי רשת בלי לשנות שער ברירת מחדל בתחנות. תרגום כתובות NAT מקל על חיסכון בכתובות ציבוריות ומעניק שכבת מיסוך בסיסית. הפרדה של שרתים חיצוניים אל DMZ מגינה על רשת פנימית בכך שהיא כולאת תוקף באזור מוגבל אם הצליח לחדור לשרת ציבורי.

העברת נתונים אמינה עם ‪TCP‬

חיבור ‪TCP‬ נפתח באמצעות שלוש חבילות SYN, SYN ACK ו ACK. במהלך העבודה המנגנון מנהל חלון זרימה המאזן בין קצב השולח לקיבולת המקבל. אם השהיה גדלה מדי האלגוריתם משנה את גודל חלון הקבלה ומונע הצפת באפר. סיום חיבור מבוקר נעשה בעזרת FIN ו ACK בעוד סיום אלים נעשה בעזרת RST שחותך את השיחה מיד.

מצבי ביניים כמו CLOSE WAIT ו TIME WAIT מסייעים להבטיח שלא ייווצר ערבוב נתונים בין סשנים ברצף. מערכות שרת עמוסות חייבות להגדיל backlog כדי לא לאבד חיבורים בזמן עומס פסגות. מנגנון keepalive שולח הודעות בקרה דקות כדי לזהות סשן חצי פתוח שבו צד אחד התרסק. שרתים קריטיים מפעילים גם חומת אש פנימית המנתקת חיבור לא פעיל ומשחררת משאבים.

כלי בדיקה וניתוח

פקודת Ping שולחת הודעת Echo ומודדת זמן RTT בין שני קצוות. Traceroute מגלה מסלול Hop אחרי Hop על ידי הקטנת ערך TTL בחבילות עוקבות. כלי mtr משלב את שתי השיטות ומציג גרף אובדן חבילות בזמן אמת. Wireshark מציג חבילות גולמיות ומאפשר לסנן לפי ביטים ספציפיים בכותרת.

בדיקות חדירה רבות משלבות Nmap לסריקת יציאות פתוחות והפקת דוח גרסה. כאשר ICMP חסום ניתן להשתמש ב Traceroute שמשתמש בחבילות UDP או לבחור באופציה של TCP SYN scan. ניתוח זרם ב Wireshark חושף דגלים חריגים כמו URG שיכולים להעיד על ניסיון עקיפה של מנגנון אבטחה. שילוב כלים שונים יוצר תהליך אבחון יעיל יותר מאשר כלי אחד בודד.

סיכום ומבט קדימה

במדריך סקרנו מושגים מהשכבות הנמוכות ועד שכבת אפליקציה ונגענו בהיבטי אבטחה מעשיים. הטקטיקות שהופיעו כאן משמשות צוותי תגובה באירועים מורכבים וגם מפתחים שרוצים לבנות שירותים יציבים. המשך התמקצעות דרך מעבדות ביתיות וקורסים ייעודיים יסלול דרך לקריירה מתגמלת.

הדרכה זו נכתבה גם במטרה לסייע בתהליך הכנה למיונים גאמא סייבר והיא מספקת בסיס תיאורטי ומעשי להתמודדות עם שאלות עומק. תלמיד שיתרגל בניית רשתות וניתוח חבילות יעמוד בדרישות האתגר ויתקדם לשלב הבא. העולם הדיגיטלי ממשיך להשתנות ולכן מומלץ לעקוב אחרי עדכוני תקן ואיומי יום אפס בצורה רציפה. בהצלחה במסע הלמידה ובשמירה על אינטרנט בטוח יותר עבור כולם.