טכנולוגיית NetGAP של ספירהד - כי מוכרחים להתנתק
לנוכח המגמה העולמית המתחזקת של סחר אלקטרוני, יותר ויותר עסקים מתחברים לאינטרנט, פותחים את מרכזי הנתונים הרגישים שלהם בפני רשתות חיצוניות ויוצרים קשרים עם לקוחות ושותפים עסקיים. גופים אלה תלויים בגישה לאינטרנט בכדי להמשיך ולצמוח. אותן רשתות חשופות להתקפות חוזרות ונשנות של האקרים באמצעות וירוסים, סוסים טרויאניים, קודים עוינים, התקפות Denial of Service, וונדליזם באתרי האינטרנט וכד'. התקפות אלו מדגישות כי רשת מחוברת הנה רשת פגיעה. מאחר ואין פתרון אחד שהינו חסין, נוצר צורך בפתרונות אבטחה חכמים יותר שיתגברו על איומים אלו.
מהו הפתרון?
המסקנה ההגיונית הנה יצירת נתק פיזי בין הרשתות, הפנימית - הבטוחה, והאינטרנט. טכנולוגיית ה- Gap יוצרת סביבה שבה שתי רשתות מנותקות פיזית אך מחוברות "לוגית". המשמעות הנה שחבילות מידע אינן יכולות לזרום מרשת אחת לשניה כך שלא נוצר קישור וחיבור "חי" בין מחשב ברשת המאובטחת למחשב ברשת החיצונית.
כיצד מיושמת טכנולוגיית ה- Gap?
אחד היישומים הראשוניים של רעיון ה- Gap הוא פתרון שבו הנתונים מועברים ידנית מרשת לרשת באמצעות מדיה מגנטית. סוג זה של Gap מספק רמת אבטחה גבוהה, למעט בדיקות תוכן. כמובן שהמשתמשים בצד ה"בטוח" עובדים באופן בלתי-מקוון ותדירות העדכונים מאד נמוכה. לטובת בדיקות התוכן מוסיפים מחשב שלישי מבודד לחלוטין שבו מתבצעות הבדיקות לפני העברת המדיה המגנטית לרשת הפנימית.
ומהו הפתרון שמציעה חברת ספירהד?
ספירהד פיתחה את טכנולוגיית הדור הבא הקרויה Reflective Gap. טכנולוגיה זו מבוססת על מיתוג בזמן אמת כאשר נתונים מרשת אחת משתקפים ברשת השניה במהירויות גבוהות. המערך מספק את רמת האבטחה המוחלטת המתקבלת ע"י שתי רשתות נפרדות זו מזו באמצעות מערך מתגים נשלטי חומרה. ארכיטקטורת המתג הכפול מאפשרת את פעולת ההפרדה הפיזית המלאה מחד, תוך שמירה על רמת ביצועים גבוהה מאידך. כל מתג ויחידת זיכרון מבצעים פעולת אחסון מידע ברמת Store and Forward, יחד עם זאת, ובזכות השימוש במערך מתגים כפול, קצב העברת המידע הכולל במערכת קרוב מאד ל- 100% קצב הקו (Full duplex), ומגיע לכ- 1Gbit/sec.
מה מציעה ארכיטקטורת NetGAP של ספירהד?
משפחת ה- NetG כוללת כיום שני מוצרים: NetGAP200 הנה מערכת מבוססת חומרה/תוכנה בהתקן אחד המכיל שתי יחידות מחשב מרכזיות Master ו- Slave, המקושרות ביניהן באמצעות חומרת ה- Gap הממומשת על כרטיסי Security Boards שפותחו ע"י SpearHead. כרטיסים אלו מכילים את מערך המתגים שתואר לעיל. ה- Slave מקושר לאינטרנט וה- Master מקושר לרשת הבטוחה. NetGAP300 הנו מוצר מתקדם יותר במשפחה הכולל בנוסף לשני המחשבים הנ"ל, מחשב ייעודי שלישי הנמצא באזור מבודד לחלוטין ומחובר באמצעות כרטיס חומרה (Security Board) נוסף. מחשב זה משמש לבדיקות תוכן (Content Inspection) באזור מאובטח - DMZ, בדומה למערך ה- Sneakernet.
כיצד מועבר המידע?
מחשב ה- Slave הנו היחיד המחובר לרשת הלא מוגנת. על ה- Slave פועלת תוכנה ייעודית שפותחה ע"י חברת SpearHead המעבדת את המידע המגיע מהעולם החיצון. התוכנה מסיימת את ה- sessions ומסירה את כותרות ה- TCP/IP לפני שהמידע עובר ל- Master, וזאת בכדי למנוע ניצול "חורים" בפרוטוקול. בנוסף, מבוצע ניתוח מדוקדק של הפרוטוקול מול תקן RFC. הבדיקה כוללת זיהוי סוג המידע המועבר (MIME Type וכד'), תקינות התחביר, סדר פקודות ועוד. לאחר מכן הנתונים נחתמים דיגיטלית ע"י מפתח המיוצר בכרטיסי החומרה ומאוחסנים בזיכרון המחשב. הנתונים הגולמיים שאוכסנו בזיכרון נמשכים ע"י כרטיסי החומרה (תהליך Pull), תוך בדיקת החתימה הדיגיטלית ומועברים בקצב מהיר דרך המתגים נשלטי החומרה אל ה- Master. במהלך העברה מקודדים הנתונים (לפני אחסונם ב- Master), כך שאינם מהווים סכנה (Data is harmless), עד לביצוע בדיקות ה- Security, בכדי למנוע הפעלה לא רצונית של וירוסים, סוסים טרויאניים וקודים עוינים.
מחשב ה- Master הנו היחיד המחובר לרשת המוגנת. על ה- Master פועלת תוכנה ייעודית שפותחה ע"י חברת SpearHead. התוכנה בודקת את המידע מול הגדרות האבטחה כפי שקיימות במערכת הניהול (כתובות מקור ויעד, סוג פרוטוקול, שעה וכד'). במידה והבדיקות תקינות ובהתאם להגדרות המערכת, המידע מועבר בערוץ Gap נוסף אל מחשב בדיקות התוכן, שם נפתח הקידוד ומבוצעות בדיקות אנטי-וירוס, בדיקת פורמטים וטפסים, חיפוש מילות מפתח וכד'. רק לאחר שהנתונים נבחנו ואומתו, מחשב ה- Master מייצר TCP/IP Session חדש אשר נשלח אל הרשת הבטוחה. כל מידע בלתי מאושר נחסם !
הפרוטוקולים המנותחים כיום במערכת ה- NetGAP הנם: FTP, HTTP, SMTP, POP3, DNS. ניתנת אפשרות להעביר דרך ה- Gap פרוטוקולים מסוג TCP or UDP ללא ניתוח מיוחד. המערכת מאפשרת העברת מידע הן מהרשת החיצונית פנימה והן מהרשת הפנימית החוצה, כולל אפשרות גלישה לאתרי רשת באופן מאובטח לחלוטין.
מהו הערך המוסף של ה- NetGAP למערכות הגנה קיימות?
הפתרון נועד לארגונים בינוניים עד גדולים אשר התקינו Firewall ונדרשים להקים רובד אבטחה נוסף וחזק יותר ע"י שימוש ב- NetGAP כמוצר משלים. הערך המוסף של מערכת ה- NetGAP הנו ביצירת נתק פיזי בין הרשתות. הארכיטקטורה במערכת ה- NetGAP מספקת את רמת ההגנה הגבוהה ביותר מפני איומים הנוצרים ברשת ובמערכת ההפעלה וכן לנקודות תורפה ו"חורים" ברמת פרוטוקול התקשורת, באמצעות ניתוח הפרוטוקולים הייחודי.
באמצעות שימוש ב- NetGAP הארגון אינו חשוף לבעיות עתידיות באבטחת מערכות הפעלה ועדכוני תוכנה הנדרשים במערכות Firewall חדשות לבקרים. בעיות אבטחה חמורות שהתגלו בעבר בסוגים שונים של מערכות Firewall (כדוגמת הטיפול הכושל של רוב מערכות ההפעלה ב- IP Fragments), אינן משפיעות כלל על רמת האבטחה שמספק ה- NetGAP ברשת עליה הוא מגן. בנוסף, ה- NetGAP מונע לחלוטין ניצול של התקפות מסוג Buffer-Overflow, התקפות המצליחות להפיל את השרת (התוקף לא יוכל לנצל את נפילת השרת לביצוע פעולות).
NetGAP כפלטפורמה משפר את האבטחה ברמות רבות מעבר ל- Gap רגיל, ומוסיף תכונות לאבטחה ברמת היישום. מאחר וכל התוכן, בשני הכיוונים עובר דרכו, מפורק ומורכב מחדש, ה- NetGAP נמצא בעמדה הטובה ביותר לנתח את המידע ברמת היישום, לאתר התקפות זדוניות ולנקוט פעולות התואמות את מדיניות האבטחה הנדרשת.
