(Best Practices) המלצות ליישום גישת משתמשים לסביבה הארגונית ע"י שימוש ברשת וירטואלית פרטית )VPN( @ 1
תוכן מבוא 3... (Introduction) מטרות ויעדים Objectives) 3...(Goals & קהל היעד תיחום המסמך 3... (Target Audience) 3... (Scope of This Document) ארכיטקטורת תשתית VPN ארגונית טיפוסית... 3 פרוטוקולים שכיחים למימוש 5... VPN המלצות ליישום בעת תכנון תשתית VPN ארגונית... 7 נספחים 13... (Appendixes) קיצורי שמות 16...(Acronyms) מסמכים ישימים Documents) 17...(Applicable.4.6.7 2. גישת משתמשים לסביבה הארגונית ע"י שימוש ברשת וירטואלית פרטית )VPN( 2
מבוא (INTRODUCTION) בשנים האחרונות הולך וגובר הצורך במתן גישה של משתמשים לסביבה הארגונית, בין אם הם נמצאים בבית, באתר לקוח או באתר אחר. המימוש השכיח מבוסס על שימוש ברשת פרטית וירטואלית Network(,)VPN - Virtual Private אשר מטרתה לקשר בין נכסי סייבר באופן המונע התערבות זרה בתוכן המידע המועבר וביניהם או את חשיפתו. נגישות זו, אשר יש בחובה יתרונות עסקיים בולטים, דוגמת גמישות בשעות העבודה של העובד, ניצול מיטבי של ההון האנושי, ומתן מענה לתרחישי המשכיות עסקית Continuity(,)Business מחייבת במקביל מתן מענה לסיכוני הגנת מידע וסייבר הנובעים מפעילות זו. לאור זאת, עולה הצורך להבטיח )Assure( כי תהליך הגישה אינו יוצר חשיפה שלא לצורך. מסמך זה מכיל המלצות ליישום Practices( )Best בעת מתן גישת משתמשים לסביבה הארגונית ע"י שימוש ברשת וירטואלית פרטית )VPN(. מטרות OBJECTIVES) (GOALS & 2. ויעדים מסמך זה מכיל המלצות ליישום Practices( )Best לארגוני (Small Medium Business) SMB לסביבה הארגונית מהאינטרנט וזאת ע"י שימוש ברשת וירטואלית פרטית )VPN(. ראוי לציין כי מדובר במסמך המלצות לא מחייב. בעת מתן גישת משתמשים היעד קהל AUDIENCE) (TARGET מסמך זה נכתב עבור מנהלי הגנת מידע וסייבר,)CISO( ובעלי המקצוע הבאים: מיישם הגנת סייבר, טכנולוג הגנת סייבר )ארכיטקט(, מתודולוג הגנת סייבר. כמו כן, אנשי IT )דוגמת מנהלי רשת ואנשי סיסטם( וביקורת פנים בעולם ה- IT והסייבר עשויים אף הם לקבל ערך מוסף מקריאת מסמך זה. תיחום DOCUMENT) (SCOPE OF THIS 4. המסמך המסמך "גישת משתמשים לסביבה הארגונית ע"י שימוש ברשת וירטואלית פרטית ")VPN( מספק המלצות ליישום לשם אבטחת תהליך עבודה מרחוק Access).(Remote עם זאת, אין המסמך בא להחליף המלצות מקובלות לאבטחת רשת ה- IT, וזאת דוגמת האמור בתורת ההגנה בסייבר לארגון מטעם מערך הסייבר הלאומי. ראוי לציין כי ההמלצות במסמך זה הינן כלליות, ואינן מותאמות לארגון ואמצעי אבטחה ומיצרן ספציפי, ולפיכך מומלץ כי הארגון יבחן במסגרת תהליך הערכת הסיכונים Assessment( )Risk את התאמת ההמלצות במסמך זה לצרכיו. ארכיטקטורת VPN תשתית ארגונית טיפוסית פרק זה סוקר את הארכיטקטורה השכיחה בעת שימוש ברשת פרטית וירטואלית Network),(VPN - Virtual Private כך שמשתמשים יוכלו לקבל גישה לסביבה הארגונית, בין אם הם נמצאים בבית, באתר לקוח או באתר אחר. להלן אבני הבניין השכיחים בארכיטקטורה: 3
א. ב. ג. ד. לקוח ה- VPN (VPN Client) נכס הסייבר ממנו המשתמש יוזם הבקשה לקבלת גישה לסביבה הארגונית, וזאת באמצעות שימוש ברשת פרטית וירטואלית.(VPN) ראוי לציין כי ישנם מקרים שבו נכס הסייבר אינו הגורם אשר יוזם את הבקשה בעצמו, אך לאור העובדה כי הדבר אינו שכיח, אין מסמך זה סוקר את שיטת עבודה זו. Network) - VPN (Virtual Private רשת המקשרת בין נכסי סייבר באופן המונע התערבות זרה בתוכן המידע המועבר וביניהם או את חשיפתו. פרוטוקולים שכיחים המממשים רשת מסוג זו הינם: IPsec ו- SSL/TLS. נקודת בקרת גישה מנוהלת Gateway) (VPN נכס הסייבר אשר משמש כגורם המקבל את בקשת "לקוח ה- VPN ", ובכפוף לעמידה בדרישות מדיניות הארגון )דוגמת הצלחה באימות של המשתמש ועמידה בדרישות היגיינה טכנולוגית של יעד הגנה(, מתיר גישה לנכסי סייבר אחרים אשר נמצאים בסביבה הארגונית. ראוי לציין כי שכיח לראות כי את תפקיד נקודת בקרת גישה מנוהלת מבצע ה- FW הארגוני או אמצעי אבטחה ייעודיי. כמו כן, ישנם מקרים בהם קיימת הפרדה בין המודול האחראי לאכיפת המדיניות בפועל, לבין המודול האחראי לניהול וקביעת המדיניות עצמה. שירותי ספרייה ארגונית Services) (Directory מאגר מידע מרכזי לאחסון וניהול אובייקטים, דוגמת משתמשים והרשאות. ראוי לציין כי כחלק מהפתרונות בשוק המממשים נקודת בקרת גישה מכילים שירותי ספריה ארגונית מובנים ו/או מסוגלים להתממשק לשירותי ספריה ארגונית חיצוניים. פרוטוקול גישה וניהול שכיח של שירותי ספריה ארגונית הינו.LDAP להלן תרשים ארכיטקטורה בסיסי: תרשים 1: תרשים ארכיטקטורה בסיסי של תשתית VPN 4
6. פרוטוקולים שכיחים למימוש VPN א. פרק זה מספק סקירה ברמת-על אודות פרוטוקולים שכיחים למימוש :VPN (Internet Protocol Security) IPsec משפחת פרוטוקולים המקנים יכולת זיהוי של השולח, וידוא שלמות של חבילות,IP הצפנת תוכן החבילות, מניעת שליחה מחדש של חבילות ישנות Resistance( )Replay IPsec כולל מספר תתי פרוטוקולים, שהעיקריים בהם הינם:, והגנה בפני ניתוח התעבורה ברשת )דלף מידע(. 1 (Authentication Header) AH מספק אימות בלבד (Encapsulating Security Payload) ESP מספק הצפנה ו/או אימות (Internet Key Exchange) IKE - פרוטוקול לניהול והחלפת מפתחות. IKE עושה שימוש בשתי פאזות )שלבי עבודה(: פאזה - I שני הצדדים מייצרים SA ISAKMP )דבר הכולל החלטה על אלגוריתמים, שיטת אימות ומפתחות( וזאת כתשתית לאבטחת הפאזה הבאה. פאזה זו מאפשרת החלת שני מצבים: מצב ראשי Mode) (Main מצב זה איטי יותר )מחייב החלפת שישה הודעות(, אך מאפשר לשמור על זהות השותפים לשיח, וזאת ע"י שימוש בהצפנה. מצב אגרסיבי Mode) (Aggressive מצב זה מהיר יותר )מחייבת החלפה של שלושה הודעות(, אך אינו מאפשר לשמור על זהות השותפים לשיח. כמו כן, מצב זה חשוף יותר לתקיפת.(Daniel of Services) DoS - - יש לעשות שימוש במצב ראשי Mode) (Main בלבד. פאזה - II מיוצרים ה- SA IPsec אשר מאוחסנים ב- SAD.Quick Mode הגרסה העדכנית הינה,IKEv2 כאשר גרסה זו מספקת רמת ביצועים ואבטחה משופרת ביחס לקודמתה. בעת עבודה עם IPsec ניתן להחיל את אחת מדרכי הפעולה הבאות: תעבורה Mode) (Transport מספקת הגנה רק על החלק הפנימי של החבילה.(Data) לשם כך מוסף IPsec Header חדש וגלוי בין התוכן מוצפן ל- Header IP הרגיל, והתוכן מוצפן. כפועל יוצא מכך, ניתוח תוכן הכותרת מאפשר לזהות פרטים דוגמת כתובת ה- IP האמיתית של הגורם השולח/המקבל. מנהור Mode( )Tunnel מספקת הגנה לכל החבילה, וזאת ע"י שימוש בכימוס.(Encapsulation) קרי, כל חבילה מקורית נעטפת בחבילת IP נוספת, ו- Header IPsec מוכנס בין ה- Header IP המקורי לחדש. במקרה זה מידע דוגמת הכתובת האמיתית של השולח/מקבל מוסתרת מגורמים זרים הנמצאים בתווך )דוגמת רשת האינטרנט(. ראוי לציין כי המנהור היא דרך הפעולה המקובלת לעבודה בעת שימוש ב VPN לטובת גישה מרחוק לסביבת העבודה. 1 ראוי לציין כי הסקירה המובאת במסמך זה הינה חלקית, וזאת מטעמי נוחות והתאמה לקהלי ידע בעלי רמות ידע שונות. 5
ב. (Transport Layer Protocol) TLS Protocol) TLS (Transport Layer הינו יורשו של פרוטוקול ה- SSL,(Secure Sockets Layer) אשר השימוש בו שכיח לאבטחת הגישה לאתר TLS.Web מציע יכולות אבטחה הדומות ל- IPsec, וזאת לצד גמישות טובה יותר. ראוי לציין כי חלק מאמצעי האבטחה בשוק מאפשרים מימוש,IPsec over TLS אך הדבר אינו תמיד שכיח. להלן טבלת השוואה עקרונית בין הפרוטוקולים: TLS נמוכים בינונית מופעל כברירת מחדל בינונית נמוכה TCP, port 443 (HTTPS) IPSEC קריטריון משאבים נדרשים לתחזוקה וניהול תאימות לאפליקציות ויישומים אכיפת הגנה על סודיות המידע יכולת שליטה ובקרה במישור הגנת מידע וסייבר סבירות לחסימת התקשורת ב- FW חיצוני )דוגמת בית קפה( פורטי תקשורת אשר נדרש לאפשר לשם גישה מהעולם לנקודת בקרת גישה מנוהלת Gateway) (VPN 2 בינוניים גבוהה מחייב שימוש ב- ESP )שכיח כי הפרוטוקול נאכף כברירת מחדל ע"י יצרן אבטחה האבטחה( גבוהה בינונית UDP, port 500 (for IKE, to manage encryption keys) UDP, port 4500 (for IPSEC NAT-Traversal mode) ESP, value 50 (for IPSEC) AH, value 51 (for IPSEC) טבלה 1: השוואה עקרונית בין פרוטוקולים שכיחים למימוש VPN ראוי לציין כי המידע בטבלה זו הינו כללי, וכי היכולות הזמינות לארגון תלויות ביצרן אמצעי האבטחה, הדגם והרישוי הקיים. 2 ראוי לציין כי רשימת פורטי התקשורת עשויה להיות שונה בפועל, וכן במקרים מסוימים ניתן לשנות את ההגדרה באופן יזום באמצעי האבטחה. כך לדוגמא, ניתן לשנות פורט התקשורת בעת עבודה ב- TLS מ- 443,TCP לפורט חלופי. 6
המלצות ליישום בעת תכנון תשתית VPN ארגונית.7 א. פרק זה בא לסייע לארגון בגיבוש תכנון מיטבי של תשתית ה- VPN הארגונית: מיפוי משתמשים וצרכים מומלץ למפות את המשתמשים אשר נדרשים להתחבר לסביבה הארגונית ע"י שימוש ברשת וירטואלית פרטית.)VPN( נספח א' מכיל טבלת עזר בנושא. ב. הערכת סיכונים Assessment) (Risk מומלץ כי הארגון יבצע הערכת סיכונים וזאת לשם איתור פערי אבטחה המחייבים מתן מענה. בכלל זה מומלץ כי הערכת הסיכונים תכלול התייחסות לנושאים הבאים: איתור ומיפוי תרחישי תקיפה רלוונטיים. איתור ומיפוי פערים קיימים Analysis).(Gap איתור ומיפוי דרישות חקיקה ורגולציה רלוונטיות. איתור ומיפוי דרישות חוזיות ועסקיות. איתור ומיפוי נכסי הסייבר אשר גישה אליהם מחוץ לסביבה ארגונית עשויה ליצור סיכון לא סביר. איתור ומיפוי פעולות אשר מחייבות נוכחות מקומית של משתמשים )דוגמת ביצוע שינויים בהגדרות תצורה של מערך הגנת המידע וסייבר מהווה פעולה רגישה, אשר יתכן כי בהתאם למדיניות הארגונית לא ניתן לבצע מרחוק(. המלצה על בקרות הגנה ליישום. הגדרת מסגרת תקציב מומלצת..4.6.7.8 ראוי לציין כי את ממצאי הערכת הסיכונים על הנהלת הארגון לאשר בכתב. ג. אימות משתמשים מומלץ לוודא כי כברירת מחדל תשתית ה- VPN תחייב השלמה מוצלחת של אימות המבוסס על MFA (Multi-Factor Authentication), וזאת לפני מתן גישה של המשתמש לסביבה הארגונית. דוגמא ליישום: סיסמה אישית בת 14 תווים לפחות + סיסמת OTP בת שישה תווים. יש לוודא את קיומה של החלפת סיסמאות עתית, הן בתשתית ה- VPN, והן בתשתית הפנים הארגונית. שכיח לראות כי ארגונים משלבים כיום אימות מול שירותי ספרייה ארגונית Services( )Directory "חיצוניים", וזאת על-מנת לחסוך את הצורך בניהול כפול של חשבונות משתמשים וסיסמאות, לדוגמא. לאור זאת, יש לשים את הדעת לאבטחת הממשק בין נקודת בקרת גישה מנוהלת לשירותי ספרייה ארגונית Services(,)Directory וזאת ע"י יישום עקרונות מקובלים, דוגמת: א. ב. הצפנת התעבורה בתווך בעת ביצוע תשאול )בין אם ע"י שימוש בפרוטוקול LDAPS או פרוטוקול אחר(. אימות מקדים ומוצלח של חשבון המשתמש עמו בקרת גישה מנוהלת (VPN עושה שימוש לטובת גישה לשירותי ספרייה ארגונית Services(.)Directory 7
ג. ד. צמצום ההרשאות Privilege) (Least המוקנות לחשבון המשתמש עמו בקרת גישה מנוהלת (VPN עושה שימוש לטובת גישה לשירותי ספרייה ארגונית Services(.)Directory דוגמא ליישום: החשבון יהיה בעל גישה קריאה בלבד Only) (Read לאובייקטים מסוג חשבונות משתמשים Accounts),(Users אך ללא גישה לשדה הסיסמה באובייקט. שימוש בסיסמה חזקה )32 תווים ומעלה( ע"י המשתמש הנ"ל, תוך החלת תהליך עתי להחלפת הסיסמה ושמירה על חשאיות הסיסמה. ראוי לציין שימוש בפקטור הזדהות אחד בעת שימוש ב- VPN אינו מומלץ כיום, וזאת עקב העובדה כי זמינות תשתית ה- VPN מקלה על תוקף פוטנציאלי לקבל גישה לפקטור זה, בין אם ע"י שימוש ב- Brute Force/Dictionary Attack או ע"י שימוש בדרך חלופית. ככלל, יש להימנע ממתן אפשרות למשתמשים בעלי הרשאות גבוהות )דוגמת )Administrator לעשות שימוש בפרטי האימות החזקים. במקום זה ניתן לאפשר אימות מקדים של משתמשים אלו כמשתמשים רגילים, ולאחר מכן לאפשר התחברות לנכסי הסייבר עם פרטי אימות ייעודיים. בדומה לאבטחת חשבונות משתמשים ברשת הארגונים, מומלץ להחיל הגבלות מקובלות בעת גישה באמצעות תשתית ה- VPN, דוגמת נעילת חשבון Lookout) (Account לאחר 10 ניסיונות כניסה לא מוצלחים, וזאת עד לשחרור ידני ע"י מורשה מטעם הארגון. ד. אימות נכס הסייבר בארגונים המעוניינים לקבל רמת אבטחה גבוהה יותר, ניתן להגדיר אימות לנכס הסייבר, וזאת על-מנת לוודא את זהותו לפני מתן גישה לסביבה הארגונית. דוגמא ליישום: שימוש בתעודה דיגיטלית Signature).(Digital ה. היגיינה טכנולוגית של נכס הסייבר Hygiene( )Technology 3 היגיינה טכנולוגית של נכס הסייבר Hygiene( )Technology מהווה שם מאגד לסט בדיקות אבטחה אשר מטרתן להגביר את ודאות הארגון כי ניתן לתת אמון ביעד ההגנה.(Trustworthy) להלן מצ"ב דוגמאות לבדיקות מקובלות אשר ניתן להחילן במסגרת בדיקת רמת ההיגיינה הטכנולוגית של נכס הסייבר: גרסת מערכת ההפעלה הינה עדכנית. גרסת ה- Client VPN הינה עדכנית. עדכוני האבטחה )פאצ'ים( האחרונים הותקנו בהצלחה. אמצעי האבטחה, דוגמת תוכנת אנטי-וירוס, פעילים ועדכניים. גרסת רכיבי התוכנה הינה עדכנית, דוגמת דפדפן.(Browder) רשימת רכיבי התוכנה הינה בהתאם למדיניות הארגון Whitelist).(Application וידוא כי כל תעבורת נכס הסייבר עוברת דרך (Non-Split-Tunnel) בקרת גישה מנוהלת.(VPN האנטי-וירוס עושה שימוש בחתימות מזהים עדכניות ל- 24 שעות האחרונות. סריקת אנטי-וירוס בוצעה ב- 24 שעות האחרונות, ולא דווח על קיומה של נוזקה.(Malware) העדר ממצאים/אינדיקטורים (Indicators) המעידים על תוספות לא מורשות בדפדפן..4.6.7.8.9 0 3 חלק מהיצרנים משתמשים במונח חלופי "בדיקת ציות" Compliance) (Security 8
מניעת גישה מכתובת IP בעלת רמת אמון נמוכה Level(.)Trust דוגמא לכתובות IP בעלות רמת אמון נמוכה: כתובת IP אשר משויכת לתשתית גישה אנונימית )דוגמת,)Tor כתובת IP אשר מודיעין איומים בסייבר גילה וזיהה שמתבצעים דרכה פעולות זדוניות )דוגמת שליחת.)Spam קיומה של הקשחה בהתאם למדיניות הארגון, לרבות תקיפות פעילות חומת האש המקומית Firewall).(Personal ניתוק הפעילות (Session) לאחר 5 דקות ללא פעילות מצד המשתמש. 1 2 3 ראוי לציין כי ישנם מקרים שיצרני הפתרונות מחייבים קיומו של רישיון מתאים לשם מתן אפשרות לוידוא כי נכס הסייבר עומד רמת היגיינה טכנולוגית מאושרת. ראוי לציין כי חלק מיצרני הפתרונות מציעים יכולת מובנית ואוטומטית/חצי-אוטומטית לתיקון הליקויים אשר אותרו במסגרת בדיקת ההיגיינה הטכנולוגית. ו. א. ב. ג..4 א. ב. ג. ד. תשתית ה- VPN מומלץ כי הארגון יקבע איזה נכס סייבר ישמש כנקודת בקרת גישה מנוהלת.Gateway) ככלל, מומלץ לצמצם למינימום את מספר נקודות בקרת הגישה המנוהלות, וזאת לשם קבלת יכולת ניהול מרכזית טובה יותר, וזאת לצד מיצוי משאבים באופן אפקטיבי. מומלץ כי הארגון יקבע באיזה פרוטוקול/טכנולוגיית VPN הוא יעשה שימוש, וזאת תוך בחינת התאימות לסביבה העבודה. מומלץ כי הארגון יוודא כי נקודת בקרת גישה מנוהלת מכילה כמינימום את יכולות האבטחה הבאות, וזאת לשם בחינת תקינות התעבורה לפני כניסתה לארגון: גילוי, זיהוי וחסימה של נוזקות (Malwares) וזאת על סמך בחינת מזהים/אינדיקטורים.(Indicators) דוגמא ליישום: מנוע אנטי-וירוס משולב ב- FW. גילוי, זיהוי וחסימה של תעבורה חשודה/זדונית וזאת על סמך בחינת מזהים/אינדיקטורים.(Indicators) דוגמא ליישום: Intrusion Prevention) System) IPS הכולל בדיקה של תעבורה מוצפנת ולא מוצפנת. גילוי, זיהוי וחסימה של ניסיונות גישה מכתובות IP בעלות רמות אמון נמוכות. דוגמא ליישום: שימוש ביכולות מודיעין איומים בסייבר משולבות ב- FW. מומלץ כי הארגון יבצע הקשחה של בקרת גישה מנוהלת, וזאת תוך התייחסות לנושאים הבאים: צמצום פונקציונאליות Functionality) (Least שאינה נדרשת בנקודת בקרת גישה מנוהלת. הקשחה Hardening) (System 4 וזאת בהתאם להמלצות מערך הסייבר הלאומי. שימוש בגרסה עדכנית והחלת עדכוני אבטחה )פאצ'ים( של רכיבי התוכנה המעורבים בתהליך. הניסיון מלמד כי חלון הזמן העומד לצד המגן להתקנת עדכוני אבטחה בטרם תוקפים יעשו שימוש לרעה בחולשה הידועה הינו קצר מאוד, ולפיכך יש לוודא הטמעה של העדכונים תוך 48 שעות מרגע פרסומם. גרסאות פרוטוקולים/אלגוריתמים הנדרשים למימוש, וזאת תוך החלת מנגנון למניעת שנמוך גרסה Resistance). נספח ב' מכיל הרחבה בנושא. (Downgrade מומלץ להפעיל את הפונקציונליות סודיות מושלמת קדימה Secrecy) (PFS - Perfect Forward של פרוטוקול שיתוף המפתחות )הפונקציונליות זמינה בית עבודה עם IPSEC ובגרסאות החדשות של,)TLS וזאת במטרה למנוע מצב שבו תוקף אשר השיג גישה למפתח ארוך טווח, יצליח לפענח מידע של פעילות (Session) מהעבר. Diffie- Hellman הינו פרוטוקול מקובל למימוש פונקציונליות זו. - הקשחת מערכות מחשוב, מערך הסייבר הלאומי, אפריל, 2019 4 המלצות ליישום Practices( )Best https://www.gov.il/he/departments/general/systemhardening 9
שכיח לראות כיום כי פתרונות למימוש בקרת גישה מנוהלת הינם בעלי תאימות לתקינת,FIPS 140-2 דבר המעלה את הסבירות כי הפתרון מספק רמת עמידות טובה לפרוטוקולים/אלגוריתמים הנתמכים. ה. ו. וידוא כי כתובת ה- IP אשר נכס הסייבר המתחבר מרחוק יעשה בה שימוש תהיה ייעודית, ולא תחפוף טווחי IP אשר בשימוש בשגרה (Overlap) ברשתות הארגון. וידוא צמצום גישת המשתמשים מרחוק לנכסי הסייבר וזאת בהתאם לעקרונות מקובלים, דוגמת הצורך לדעת (Need Know),to מתן הרשאות נמוכות Privilege),(Least וצמצום משטח התקיפה Surface) (Attack למינימום. המימוש בפועל עשוי לכלול שימוש בטכניקות מקובלות, דוגמת: גידור רשתי Segregation( )Network - חלוקת הרשת לאזורי ניהול קטנים, וזאת על סמך פונקציונאליות יעד ההגנה ורמת הסיכון. קיטוע רשתי Isolation( )Network Segmentation/Network - אכיפת כללי גישה בין יעדי הגנה החולקים רשת משותפת. ישנה חשיבות יתרה להקפדה על תקינות רשימת בקרת הגישה List) (ACL Access Control באמצעי ההגנה השונים, וזאת לאור העובדה כי טעות אנוש בהגדרה עשויה ליצור פער אבטחתי אשר זמין למספר רב של תוקפים פוטנציאלים באינטרנט. בהתאם מומלץ כי הארגון יוודא את אפקטיביות תהליך ניהול השינויים (Change.Management) ז. ח. שימוש בתעודה דיגיטלית Signature) (Digital ממקור מהימן,(Trustworthy) כך שמשתמשים אשר עושים שימוש בלקוח ה- VPN יוכלו לוודא כי הם מתחברים ליעד האמיתי. שימוש בכתובת IP ציבורית קבועה. במקרה שלא ניתן להקצות כתובת IP ציבורית קבועה, ישנו צורך לוודא תמיכה בהרחבה.(Server Name Indication) SNI א. ב. ג. ד. תכנון משאבים Management) (Captivity - מומלץ כי הארגון יוודא ברשות נכסי הסייבר ברשותו המשאבים הנדרשים למתן מענה הולם לנושא התחברות מרחוק. להלן נקודות לבחינה לדוגמא: מספר פעילויות Sessions) (Concurrent VPN הנתמכות בזמן נתון פס הרוחב המוקצה לכל פעילות ( Session )/לכלל הפעילויות (Throughput) רמת התיעדוף Services) (QoS Quality of הניתנת לתעבורת ה- VPN ביחס לתעבורה הכוללת הזמן הממוצע המומלץ/הרצוי להגעת חבילת מידע מיעד וחזרה (Round-Trip) גיבוי והגדרות תצורה Configuration) (System מומלץ כי הארגון יוודא כי ברשותו גיבוי עתי לתשתית ה- VPN, וכן הגדרות תצורה, כך שניתן יהיה לבצע שחזור מאפס במקרה הצורך. קישור למערך הניטור וזאת לשם העברת התראות ודיווחים על אירועים חריגים, דוגמת העברת Syslog ל- SIEM (Security.Information and Event Management).6.7 במקרה שאין לארגון,SIEM מומלץ לוודא העברה של הלוגים לאחסון בשרת ייעודי, תוך מניעת אפשרות ביצוע שינויים לא מורשים/מחיקה, כך שניתן יהיה להשתמש בלוגים לטובת תחקור אירועים עתידיים. יש לשים את הדעת כי דרישות חוק ורגולציה, דוגמת תקנות הגנת הפרטיות )אבטחת מידע(, תשע"ז- 2017, מחייבים שמירה של לוגים לתקופה מוגדרת. ארגונים המעוניינים לשפר את רמת האבטחה יכולים לחייב את המשתמשים אשר עברו אימות מוצלח לעשות שימוש בשרת מתווך Server),(Jump כך שהגישה ליעדי ההגנה בסביבה הארגונית לא תתבצע ישירות מנכס הסייבר אשר יזם את ההתחברות. כמו כן, מומלץ להשתמש בפתרון (Privileged Account and Session Management) PASM לשם הקלטת פעילות המשתמש Record),(Session ואיתור ביצוע פעולות חריגות בזמן אמת Time).(Real 10
ז. הדרכת משתמשים מומלץ להעביר למשתמשים הדרכה מקדימה, וזאת על-מנת שמשתמשים יכירו את תהליך ההתחברות, תקלות שכיחות ותרחישי תקיפה אשר הם עשויים להיחשף אליהם. ככלל, מומלץ להנחות את המשתמשים להימנע משימוש ברשת אלחוטית שיתופית )דוגמת רשת אלחוטית בבית קפה( בעת גישה לארגון. כחלופה ניתן להציע שימוש בתקשורת סלולרית, אשר יחסית לתוקפים פוטנציאליים יותר קשה ליזום באמצעותה תקיפות. להלן דוגמא לתרחישי תקיפה שכיחים: קבלת הודעת דוא"ל בה )פיישינג( המשתמש מתבקש לאפס את סיסמת ההתחברות באופן דחוף, כאשר להודעה מצורפת הפנייה לאתר המתחזה לאתר הארגון או אתר לגיטימי אחר. קבלת הודעת דוא"ל בה המשתמש מתבקש לשדרג את תוכנת ה- VPN אש ברשותו, וזאת עקב "חולשות אבטחה קריטיות". גניבת פרטי האימות בעת הזנתם במקום ציבורי, דוגמת צפייה במשתמש מקליד את הסיסמה. גניבת מכשיר סלולרי המכיל תוכנת חילול מפתח חד-פעמי OTP).(Software פנייה למשתמש בבקשה לקבל גישה למחשב למספר דקות על-מנת לבצע "פעולה דחופה"..4 יש להימנע ממתן גישה של משתמשים לסביבה הארגונית באמצעות תשתית ה- VPN מנכסי סייבר אשר אינם נמצאים בבעלות ושליטה מלאה של הארגון. ח. זמינות והמשכיות עסקית מומלץ כי הארגון יקבע את רמת הזמינות הנדרשת מתשתית ה- VPN, וזאת תוך אימוץ מדדים מקובלים בתחום המשכיות עסקית )דוגמת.)RTO - Recovery Time Objective בהתאם למדדים אלו יש לגזור דרישות טכנולוגיות נגזרות, דוגמת: א. ב. ג. ד. ה. ו. יתירות קווי תקשורת יתירות בקרת גישה מנוהלת (VPN תדירות ביצוע בדיקות ותרגולים להתאוששות עסקית תדירות ביצוע גיבויים ובדיקות תקינות שחזור רמת זמינות חלפים למקרה של תקלה טכנית רמת זמינות גורמי מקצוע, דוגמת גורמי תמיכה חיצוניים ט. בדיקות קבלה מומלץ כי הארגון יגדיר בדיקות קבלה, וזאת לשם העלאת רמת הסבירות התשתית אשר הוקמה עומדת בדרישות הארגון. בכלל זה ניתן להשתמש בבדיקות חוסן, וכן ביצוע בחינת הגדרות התצורה Review) (System Configuration ע"י גורם מקצוע נוסף. מומלץ לוודא כי ברשות הארגון כלי ממוכן אשר יבדוק באופן עתי את תקינות תשתית ה- VPN מהאינטרנט, כך שניתן יהיה לאתר חולשות / טעויות בהגדרות תצורה בזמן קצר, וזאת לפני ניצול לרעה ע"י תוקף פוטצניאלי. 11
י. ביטוח סייבר Insurance) (Cyber מומלץ כי הארגון יבחן יחד עם יועץ ביטוח מוסמך רכישת ביטוח סייבר, וזאת כבקרה מפצה. יא. תגובה לאירועים חריגים מומלץ כי ברשות הארגון יהיה מיפוי של אירועים חריגים רלוונטיים, וזאת תוך בניית Playbooks מתאימים. להלן דוגמאות לאירועי חריגים שכיחים: אובדן אמצעי אימות של משתמש גניבת אמצעי אימות של משתמש, וזאת ללא ידיעתו ניסיונות גישה חוזרים ונשנים ע"י אותו משתמש ניסיונות לפתיחת מספר פעילויות (Sessions) במקביל ע"י אותו משתמש ניסיונות גישה חוזרים ונשנים ע"י אותו משתמש, כאשר בכל פעם כתובת ה- IP משויכת לספקי אינטרנט שונים הממוקמים באזורים שונים בעולם, ולפיכך אין סבירות ממשית כי מדובר בגישה לגיטימית Location) (GEO ניסיונות גישה עם פרטי אימות תקפים מכתובת IP בעלת רמת אמון נמוכה חולשת אבטחה בתשתית ה- VPN המחייבת הטמעת עדכון דחוף העדר זמינות גורמי תמיכה/מקצוע העדר רישוי מתאים עקב גדילה לא צפויה תקלה טכנית בתשתית ה- VPN או בספק האינטרנט.4.6.7.8.9 0 12
נספחים (APPENDIXES) פרק זה מכיל את רשימת הנספחים הנלווים למסמך זה. נספח א' טבלת מיפוי משתמשים וצרכים נספח זה מהווה עזר למיפוי משתמשים וצרכים. מס'.4 שם פרטי + שם משפחה ישראל ישראלי תפקיד מנהל מכירות ימים שעות פעילות מותרים א-ה, 08:00 עד 20:00 האם מותר/אסור למשתמש להתחבר מכתובת IP שאינה של ISP ישראלי הגישה מותרת מכתובות IP של ISP's ישראלים בלבד נכס הסייבר ממנו )מקור( המשתמש יתחבר לסביבה הארגונית לפטופ משרדי נכס הסייבר אליו )יעד( המשתמש יתחבר בסביבה הארגונית שרת דוא"ל פרוטוקולים ושירותים מותרים SMTP TCP Port 25 POP3 TCP Port 110 טבלה 2: עזר למיפוי משתמשים וצרכים 13
נספח ב' רשימת אלגוריתמים ופרוטוקולים מומלצים לשימוש נספח זה סוקר אלגוריתמים/פרוטוקולים מומלצים לשימוש, וזאת עד לשנת 2023. רשימת אלגוריתמי קריפטוגרפיה מומלצים לשימוש: האלגוריתם תפקיד מפרט טכני ערך מינימלי 128 Bit P-224 Bit P-224 Bit SHA-224 Bit 4,096 Bit 2,048 Bit 2,048 Bit ערך מומלץ 256 Bit P-384 Bit P-384 Bit SHA-384 Bit 6,144 Bit 3,072 Bit 3,072 Bit FIPS Pub 197 NIST SP 800-56A FIPS Pub 186-4 FIPS Pub 180-4 IETF RFC 3526 NIST SP 800-56B rev 1 FIPS PUB 186-4 Symmetric block cipher used for information protection Asymmetric algorithm used for key establishment Asymmetric algorithm used for digital signatures Algorithm used for computing a condensed representation of information Asymmetric algorithm used for key establishment Asymmetric algorithm used for key establishment Asymmetric algorithm used for digital signatures Advanced Encryption Standard (AES) Elliptic Curve Diffie- Hellman (ECDH) Key Exchange Elliptic Curve Digital Signature Algorithm (ECDSA) Secure Hash Algorithm (SHA) Diffie- Hellman (DH) Key Exchange RSA RSA טבלה 3: רשימת אלגוריתמי קריפטוגרפיה מומלצים לשימוש גרסאות פרוטוקולים מומלצים לשימוש: הפרוטוקול ערך מינימלי אין להשתמש ערך מומלץ אין להשתמש הערה יש לוודא כי השימוש בדחיסה (Compression) בנקודת בקרת גישה מנוהלת מבוטל. יש לוודא כי בכל 60 דקות מתבצעת החלפה יזומה של מפתח הפעילות Key) (Session בין לקוח ה- VPN לנקודת בקרת גישה. יש לוודא כי פאזה I עושה שימוש במצב ראשי Mode) (Main בלבד, וכי לקוח ה- VPN אינו מסוגל לכפות שימוש במצב אגרסיבי.(Aggressive Mode) יש לוודא כי בכל 60 דקות מתבצעת החלפה יזומה של מפתח הפעילות Key) (Session בין לקוח ה- VPN לנקודת בקרת גישה. 1 ומעלה 2.0 1 1.0 SSL TLS IKE טבלה 4: גרסאות פרוטוקולים מומלצים לשימוש 14
נספח ג' רשימת תיוג למעקב (Checklist) נספח זה מהווה עזר למעקב אחר משימות לביצוע. גורם אחראי סטאטוס )בוצע/לא בוצע( משימה לביצוע מס' מיפוי משתמשים וצרכים הערכת סיכונים Assessment( )Risk אימות משתמשים אימות נכס הסייבר.4 היגיינה טכנולוגית של נכס הסייבר ) Technology Hygiene( תשתית ה- VPN. 6 הדרכת משתמשים.7 זמינות והמשכיות עסקית.8 בדיקות קבלה.9 ביטוח סייבר Insurance( )Cyber 0 תגובה לאירועים חריגים 1 טבלה 5: רשימת משימות לביצוע 15
קיצורי (ACRONYMS) 2. שמות פרק מציג את קיצורי השמות בהם נעשה במסמך זה. מס'.4.6.7.8.9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 קיצור שם ACL AH ESP FIPS IKE IP ISAKMP IPsec IT QoS LDAP PASM PFS OTP SA SAD SIEM SMB SNI SSL VPN UDP TCP TLS ביאור Access Control List Authentication Header Encapsulating Security Payload Federal Information Processing Standard Internet Key Exchange Internet Protocol Internet Security Association and Key Management Protocol IP Security Information Technology Quality of Services Lightweight Directory Access Protocol Privileged Account and Session Management Perfect Forward Secrecy One Time Password Security Association Security Policy Database Security Information and Event Management Small Medium Business Server Name Indication Secure Socket Layer Virtual Private Network User Datagram Protocol Transmission Control Protocol Transport Layer Security טבלה 6: ביאור לקיצורי השמות בהם נעשה שימוש במסמך זה 16
מסמכים DOCUMENTS) (APPLICABLE 3. ישימים פרק זה מכיל מקורות המידע עליהם הכותבים הסתמכו בעת כתיבת המסמך. מקורות מידע בעברית: מערך הסייבר הלאומי המלצות הגנה התמודדות ארגונית במרחב הסייבר: הגורם הפנימי https://www.gov.il/blobfolder/generalpage/coping_thret/he/organizational_coping.pdf המלצות ליישום - הקשחת מערכות מחשוב https://www.gov.il/he/departments/general/systemhardening מדיניות לאומית להזדהות בטוחה https://www.gov.il/he/departments/news/bio_safeidpolicy מדיניות לאומית ליישומים ביומטריים בישראל שימוש בשירותי ענן - הרחבה לתורת ההגנה בסייבר לארגון https://www.gov.il/he/departments/news/bio_biopolicy_app https://www.gov.il/he/departments/policies/cloud_services תורת ההגנה בסייבר לארגון https://www.gov.il/he/departments/policies/cyber_security_methodology_for_organizations תפיסה לאומית בסייבר להיערכות ולניהול מצבי משבר https://www.gov.il/he/departments/news/cybercrisispreparedness מקורות מידע באנגלית: General PCI DSS v3, May, 2018 https://www.pcisecuritystandards.org/document_library SSL and TLS Deployment Best Practices https://github.com/ssllabs/research/wiki/ssl-and-tls-deployment-best-practices Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) draft-sheffer-uta-bcp195bis-00, IETF https://tools.ietf.org/html/draft-sheffer-uta-bcp195bis-00 Commercial National Security Algorithm Suite, NSA https://apps.nsa.gov/iaarchive/programs/iad-initiatives/cnsa-suite.cfm 17
BlueKrypt https://www.keylength.com/en/ NIST NIST 800-57 Part 2, Rev. 1 - Recommendation for Key Management: Part 2 Best Practices for Key Management Organizations, May, 2019 https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-57pt2r1.pdf NIST SP 800-131A, Rev. 2 - Transitioning the Use of Cryptographic Algorithms and Key Lengths, March, 2019 https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-131ar2.pdf NIST 800-176B - Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanisms, August, 2016 https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-175b.pdf NIST 800-57 Part 1, Rev. 4 - Recommendation for Key Management, January, 2016 https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-57pt1r4.pdf *** סוף מסמך *** 18