Network Infrastructure & Configuration

.rll-youtube-player .play{--wpr-bg-8635b6e9-9134-4768-888a-741f712e57b7: url('https://8200university.co.il/wp-content/plugins/wp-rocket/assets/img/youtube.png');}

תצוגה מקדימה

בעמוד הקרוב תמצאו מבוא מרוכז ליסודות רשתות.
נבחן כיצד DNS מתרגם שמות.
נראה למה Reverse חשוב לשרתי דואר, ואיך Split מחלק מידע פנימי.
נמשיך אל DHCP ורצף DORA, כולל תפקיד Relay Agent בין VLAN מבודדים.
נבין השפעת ARP ו-Proxy ARP בתעבורה מקומית.
נגדיר אזור DMZ ונשווה בין Static NAT ל-Dynamic NAT.
נסביר שימוש בחומת אש מרובת רגליים, נדגיש את שדה TTL, ונבחין בין Hub, Switch ו-Bridge.
לבסוף נזהיר מפני ICMP Redirect.
סקירה זו תעניק בסיס יציב לפני העמקה בכל נושא.

.rll-youtube-player .play{--wpr-bg-8635b6e9-9134-4768-888a-741f712e57b7: url('https://8200university.co.il/wp-content/plugins/wp-rocket/assets/img/youtube.png');}

מבוא

רשתות תקשורת מהוות את הבסיס לחיבור בין מערכות מחשוב בתוך ארגונים ובין ארגונים לאינטרנט.
כדי להבין לעומק נושאים מתקדמים כגון ‪DMZ‬ ופתרונות אבטחה מורכבים, חשוב להתחיל בהיכרות עם הרכיבים הבסיסיים של רשתות.

שכבות וכתובות: ‪IP‬, ‪MAC‬ ו-‪ARP‬

ברשת מקומית יש צורך לזהות לא רק את כתובת ה‪IP‬, אלא גם את כתובת ה‪MAC‬ של כל כרטיס רשת.
כתובת ‪MAC‬ מזוהה בשכבה הפיזית של הרשת, בעוד כתובת ‪IP‬ פועלת בשכבת הרשת.
כאשר מחשב רוצה לשלוח חבילה למחשב אחר בתוך אותו סגמנט, הוא משתמש בפרוטוקול ‪ARP‬ כדי לגלות איזו כתובת ‪MAC‬ משויכת לכתובת ‪IP‬ היעד.
‪ARP‬ שולח הודעת שידור ‪Broadcast‬ לכל התחנות, וזו שמזהה את כתובת ה‪IP‬ שלה עונה עם כתובת ה‪MAC‬ המתאימה.

לצד ‪ARP‬ רגיל, קיים גם מנגנון ‪Proxy ARP‬ המאפשר למכשיר להגיב בשם מכשיר אחר.
פתרון זה רלוונטי בסביבות שבהן מכשיר מסוים (כמו ‪Firewall‬ או ‪Router‬) אמור לטפל בתעבורה עבור רשת סמוכה, בלי לחשוף את הכתובות האמיתיות.

משמעות של ‪DNS‬ ו-‪Reverse DNS‬

שרת ‪DNS‬ (‪Domain Name System‬) אחראי על המרת שמות מתחם לכתובות ‪IP‬.
כך ניתן לגשת בקלות לשירותים שונים בלי לזכור רצף מספרים ארוך.
שירות חשוב נוסף הוא ‪Reverse DNS‬ המגדיר רשומות ‪PTR‬, המתרגמות כתובת ‪IP‬ בחזרה לשם מתחם.
כאשר שרת דוא״ל מקבל מייל, הוא עשוי לבדוק את רשומת ה‪PTR‬ כדי לוודא שהשם תואם לכתובת השולח.
הגדרה נכונה של ‪Reverse DNS‬ חשובה במיוחד לשרתי דוא״ל, ובפרט כשהם ממוקמים ב‪DMZ‬.

בארגונים גדולים נהוג גם לעשות שימוש ב‪Split DNS‬, שבו קיים שרת ‪DNS‬ פנימי ושרת ‪DNS‬ חיצוני.
כך נמנעת חשיפה של כתובות פנימיות לציבור, והשאילתות החיצוניות נענות על ידי שרת ‪DNS‬ שמספק רשומות מצומצמות לכתובות השרתים שב‪DMZ‬ בלבד.

הקצאות דינמיות: ‪DHCP‬ ו-‪DHCP Relay Agent‬

פרוטוקול ‪DHCP‬ (‪Dynamic Host Configuration Protocol‬) מאפשר להקצות כתובות ‪IP‬ ונתונים נוספים (כמו שער ברירת המחדל ושרת ‪DNS‬) באופן אוטומטי.
הוא מפחית את הצורך בהגדרת כתובות ידניות בכל מחשב.
בתרחישים מורכבים, ניתן להעביר באמצעות ‪DHCP‬ אופציות נוספות כגון ‪Option 33‬ או ‪Option 121‬ המגדירות נתיבים סטטיים בלקוחות.
כך הלקוחות מקבלים מלבד כתובת ה‪IP‬ גם הגדרות ניתוב מותאמות.

כאשר שרת ה‪DHCP‬ המרכזי ממוקם בסבנט אחר, נדרש להשתמש ב‪DHCP Relay Agent‬.
מאחר ובקשות ‪DHCP‬ הן ‪Broadcast‬, הן אינן עוברות מעבר ל‪Router‬ כברירת מחדל.
ה‪DHCP Relay Agent‬ מקבל את הבקשה ומשגר אותה כ‪Unicast‬ לשרת ה‪DHCP‬ הנמצא בסבנט מרוחק, ובכך מאפשר הקצאה מרכזית לתחנות בכל הארגון.

מנגנון ‪NAT‬: עקרונות ויישום

‪NAT‬ (‪Network Address Translation‬) הוא מנגנון המאפשר שיתוף כתובת ציבורית אחת למספר גדול של כתובות פנימיות.
ניתן ליישם ‪NAT‬ בצורה דינמית (‪Dynamic NAT‬) שבה התחנות מקבלות כתובת ציבורית זמנית, או בצורה סטטית (‪Static NAT‬) שבה לכל שרת פנימי מוגדרת כתובת ציבורית ייעודית.
עם זאת, ‪Static NAT‬ חושף את השרת הפנימי באותו אופן כל הזמן, כך שתוקף יכול למקד את התקיפה ביתר קלות אם לא ננקטו צעדי הגנה נוספים.

‪NAT‬ גם מוסיף שכבת אבטחה בסיסית בכך שהכתובות הפנימיות אינן גלויות ישירות.
לכן נעשה בו שימוש נרחב ברשתות ‪IPv4‬, בעיקר לנוכח המחסור בכתובות הציבוריות.

הגדרת ‪DMZ‬ ושימוש ב‪VLAN‬

‪DMZ‬ (‪Demilitarized Zone‬) היא תת-רשת הממוקמת בין הרשת הפנימית המאובטחת לאינטרנט.
בתוכה מוצבים שרתים ציבוריים כגון שרתי דוא״ל, שרתי רשת או שרתי אפליקציות נגישים לציבור.
אם שרת זה נפרץ, השחקן הזדוני לא יקבל גישה ישירה לרשת הפנימית.
חשוב להגביל ככל האפשר את החיבורים מה‪DMZ‬ לתוך הרשת.
יחידה 8200 נחשבת למקום שבו למדו לעומק נושאים אלה של אבטחת רשת ותכנון אזורי ‪DMZ‬.

לצורך בידוד נוסף, ניתן להגדיר ‪VLAN‬ נפרד לאזור ה‪DMZ‬.
כך התעבורה של ה‪DMZ‬ מופרדת בשכבה 2 מהרשת הפנימית, ומעבר התעבורה חייב להיעשות דרך נתב או ‪Firewall‬ המגנים על הרשת הפנימית.

הבדל בין ‪Multi-homed Firewall‬ ל‪Single-homed Firewall‬

בארכיטקטורה של ‪Multi-homed Firewall‬, ל‪Firewall‬ יש מספר ממשקים פיזיים נפרדים: אחד לפנים, אחד ל‪DMZ‬ ואחד לרשת החיצונית.
כך נוצרת הפרדה ברורה יותר בין הרשתות, ומקטינה את הסיכון לאירועי אבטחה בהם תעבורה מה‪DMZ‬ "מסתננת" ישירות לרשת הפנימית.

לעומתו, ‪Single-homed Firewall‬ נסמך על שימוש ב‪VLAN‬ או הגדרות וירטואליות בממשק בודד.
זוהי אפשרות קיימת, אך רמת ההפרדה לעתים פחות ברורה או דורשת מיומנות גבוהה להקשחה.

הגבלת ‪ICMP Redirect‬

פרוטוקול ‪ICMP‬ (Internet Control Message Protocol) כולל גם הודעות מסוג ‪ICMP Redirect‬.
הודעות אלו מורות למכונות ברשת לבחור נתיב אחר למשלוח תעבורה.
בסביבה ארגונית, בעיקר בין הרשת הפנימית ל‪DMZ‬, קבלת ‪ICMP Redirect‬ עלולה לפתוח פתח לתוקף לשנות מסלולי תעבורה ולהוביל תחנות אל שרתים זדוניים.
לכן מומלץ לבטל או להגביל יכולת זו ב‪Router‬ או ב‪Firewall‬.

ניהול ‪DNS Delegation‬

בתצורת האצלת סמכות (‪DNS Delegation‬), ניתן להגדיר שרת ‪DNS‬ חיצוני שמפנה שאלות לשרת ‪DNS‬ פנימי או לשרת הנמצא ב‪DMZ‬.
כך רק הרשומות הרלוונטיות לתחום ציבורי מפורסמות החוצה.
שאר הרשומות של הרשת הפנימית נשארות מאחורי ה‪Firewall‬ ואינן נחשפות לציבור.
זה משפר אבטחה ושומר על מבנה הרשת כמידע פנימי.
הכנה למיונים גאמא סייבר לעיתים כוללת גם לימוד על היבטי אבטחה מגוונים, ובהם הגדרת ‪DNS‬ נכונה.

‪Bridge‬, ‪Hub‬ ו‪Switch‬

התקן ‪Hub‬ משדר כל מסגרת שמתקבלת בכל פורט, אל כל שאר הפורטים, ללא ניתוח של כתובת יעד.
זוהי טכנולוגיה מיושנת יחסית, כיוון שהיא יוצרת עומס רב על הרשת.
‪Bridge‬ מסנן תעבורה בין שני מקטעים על בסיס כתובות ‪MAC‬.
אם ה‪Bridge‬ מזהה שהיעד נמצא באותו מקטע, הוא לא יעביר את החבילה למקטע השני.
‪Switch‬ הוא המתקדם ביותר מביניהם, ובעל טבלת ‪MAC‬ מפורטת ויכולת ניתוב פנימי של התעבורה לפורט הנדרש בלבד.

מנגנון ‪Broadcast‬ וערך ‪TTL‬

כאשר מידע נשלח ב‪Broadcast‬, הוא מגיע לכל התחנות ברשת המקומית.
כך פועלים פרוטוקולים כמו ‪ARP‬ ו‪DHCP‬ למציאת כתובות או להפצת הגדרות.
עם זאת, בנתבים לא מעבירים ‪Broadcast‬ כברירת מחדל אל רשתות אחרות, כדי למנוע עומס.

ערך ה‪TTL‬ (Time To Live) בכל חבילת ‪IP‬ מגדיר כמה "קפיצות" מותר לחבילה לעשות לפני שהיא מושלכת.
בכל מעבר דרך נתב ערך ה‪TTL‬ קטן ב-1.
כאשר ה‪TTL‬ מגיע ל-0, הנתב האחרון משליך את החבילה ושולח הודעת שגיאה, וכך נמנעות לולאות ניתוב אינסופיות.

סיכום

בתכנון רשת ארגונית חשוב לשלב באופן מחושב בין מנגנוני אבטחה כמו ‪DMZ‬, ‪NAT‬ ו‪Firewall‬ לבין הגדרות נכונות של ‪DNS‬ ו‪DHCP‬.
הבנה מעמיקה בפרוטוקולים כמו ‪ARP‬ ו‪ICMP‬, יחד עם טיפול נכון ב‪Broadcast‬ וערכי ‪TTL‬, מסייעת במניעת תקלות ובהקשחה אבטחתית של הרשת.
השימוש ב‪Proxy ARP‬, ‪Split DNS‬, ‪Reverse DNS‬ ו‪DNS Delegation‬ משפר את אבטחת המידע ואת הניהול הנכון של זהויות ברשת.
באמצעות שילוב של ארכיטקטורות ‪Multi-homed Firewall‬, הגדרת ‪VLAN‬ ל‪DMZ‬ והגבלת הודעות ‪ICMP Redirect‬, ארגון יכול להקטין את משטח התקיפה בצורה משמעותית.

תכנון רשתות ויישום אבטחה ברמת הפרוטוקול דורשים הבנה מלאה בכל הרבדים הללו, מה שמסייע למנוע פרצות ולשמור על זמינות השירותים.