Issa security in a virtual world

אבטחה בעולם הווירטואלי

רפאל איבגי

ל"מנכ

אבטחה בעולם הווירטואלי 1

?על מה נדבר


?HyperVisorמהו •

עולם חדש של בעיות•

בעיות בעולם רישיונות התוכנה•

•Snapshot Debugging

?איך מזהים מכונה וירטואלית•

•Spoofing - שני הצדדים של המטבע

•NAT vs. Bridge

עולם חדש של פתרונות•

...נגיעות פתיחה


" נגישים"לבין משאבים ( חומרה)שינוי היחס בין משאבים פיסיים •

(:וירטואליים ופיסיים)

.ברזל אחד( סביבות, תוכנות)הרבה שרתים •

.רשת מספר מצומצם של כרטיסי IP הרבה כתובות •

דיסקים קשיחים פיסיים הרבה דיסקים קשיחים וירטואליים •

.בודדים

.כרטיסי מסך פיסיים בודדים הרבה כרטיסי מסך וירטואליים •

המכונות הפיסיות שמארחות את השרתים הוירטואליים הופכות להיות •

.הנכסים המרכזיים ואולי אף החשובים ביותר בארגון

?HyperVisorמהו


חומרה המאפשר הרצת מספר מערכות הפעלה /זהו רכיב התוכנה•

.במקביל

.Virtual Machine Monitor (VMM)נקרא גם •

:HyperVisorsישנם שני סוגים של •

•Type 1 (native, bare metal) – שרת , לדוגמאVMWare ESX

Server , הינו מערכת הפעלה שהיא עצמה הHyperVisor של

.המכונות המורצות תחתיה

•Type 2 (hosted) – לדוגמא ,VMWare Workstation ו

VMWare GSX Server המורצים על גבי מערכת ההפעלה

Windows.

...הסביבה הוירטואלית


Hack One Hack Them All...

מייצרים , (VMware, VirtualPC, Xen)מספר מצומצם של יצרנים •

.המתבססים על אותם רכיבי ליבה, מספר מצומצם של מוצרים

כך שהיא תורמת גם ליצרן , זוהי ארכיטקטורה מאוד רווחית ומאוד יציבה•

.וגם ללקוח

בעת איתור חולשה באחד מן השרתים נוצרת חשיפה לכלל השרתים •

.הווירטואליים בארגון


...שאלות קשות


Webיספק שירותי ( HOST)של השרת המארח IPכיצד ייתכן שה •

(TCP Port 80 )ליותר משרת וירטואלי אחד ?

כיצד ניתן , חלק מהמכונות הוירטואליות כבויות לתקופות מסוימות•

?לשמור על מכונות אלו מעודכנות לטלאי האבטחה האחרונים ביותר

...תשובות קלות


ללא וירטואליזציה ניתן ליישם מספר אתרי אינטרנט , בשרתים פיסיים•

.Shared Hostingעל אותה המכונה בקלות באמצעות

באמצעות Host Headerיש לבצע זיהוי של ה , בשרתים וירטואליים•

.ISAרכיב צד שלישי כמו

המאפשרים את עדכון מערכות , ישנם פתרונות של יצרני צד שלישי•

.ההפעלה של המכונות וירטואליות בהיותן כבויות

Infection After-Party


שוקלות לבצע , ארגונים המעוניינים לבצע פעולות הטומנות בחובן סיכון•

.פעולות אלו בשרתים וירטואליים

על השרתים ההגנה ארגונים אלו מיישמים את מיטב מנגנוני•

.המוקצים להם (תוכנה וחומרה) הוירטואליים ומשאבי גישה

ארגונים מאוד חוששים כי המכונות הוירטואליות הללו ידבקו , עם זאת•

.בקוד זדוני לאורך זמן ויפגעו ברשת הארגון ביום מן הימים

ארגונים מעבירים את הפעולות בעלות הסיכון לביצוע בשרתי ענן , לכן•

(Cloud )המאוחסנים בידי ארגון צד שלישי.

בעיות בעולם רישיונות התוכנה


חברות רבות ברחבי העולם מספקות גרסת ניסיון של מוצרי התוכנה •

.שלהן

Anti Reverse Engineeringתוכנות אלו מוגנות לרוב במנגנוני•

.המונעים את הסרת הגנת התפוגה של התוכנה

. ברוב המקרים הגנת התפוגה של התוכנה מבוססת על הגבלת זמן•

התקנת התוכנה במכונה וירטואלית מאפשרת את שיחזור , לפיכך

.מערכת ההפעלה בשלמותה

. מנגנון ההגנה אינו יכול לאמוד את כמות הזמן האמיתית שחלפה•

(Revert To Snapshot)

הגבלת ניידות תוכנה למחשב ספציפי על פי נתוניה הפיסיים של •

.גם היא הגנה הנפגעת מתופעה זו, המכונה

Snapshot Debugging


חברות אבטחת מידע רבות ברחבי העולם משתמשות במכונות •

.וירטואליות לבחינת וירוסים וקוד עוין

החלו חוקרי , לאור ההתפתחות במהירות המעבדים בשנים האחרונות•

של מערכת Snapshot" / תצלומי מצב"אבטחת מידע להשתמש ב

.ההפעלה לטובת פיתוח הדגמות לניצול חולשות

כך שהתהליך לשחזור החולשה דורש , ישנן חולשות מורכבות מאוד•

.מספר רב של פעולות ונתונים ספציפיים

מאפשר שמירה מדויקת , של המכונה הוירטואלית Snapshotשימוש ב •

.מצב הזיכרון ומצב המעבד, של מצב הריצה של התוכנה

טכניקה זו מאפשרת לחוקרי אבטחת מידע והאקרים לבצע פיתוח מהיר •

.גם של החולשות המורכבות ביותר

?איך מזהים מכונה וירטואלית


על התוקף לזהות , בכדי לנצל חולשות של הסביבה הוירטואלית בארגון•

.את המכונה כוירטואלית

ישנם שני מקרים מרכזיים בהם התוקף נדרש לדעת כי המכונה היא •

:וירטואלית

כאשר התוקף מחובר לאותה הרשת עם המכונה –מבחוץ •

הוירטואלית

כאשר התוקף מצליח להריץ קוד בסביבה הוירטואלית –מבפנים •

הראשי וכך לשלוט בכלל המכונות Hostומעוניין להשתלט על ה

.הוירטואליות

MACי כתובת ה "ניתן לזהות שרת כמכונה וירטואלית באופן מרוחק ע•

.של כרטיס הרשת הווירטואלי שלה בהגדרות ברירת המחדל

?כיצד מזהים מכונה וירטואלית

:VMWareשל המכונה מזוהה כחברת MACכתובת ה •

00:05:69 VMWARE, Inc.

00:0C:29 VMware, Inc.

00:1C:14 VMware, Inc

00:50:56 VMWare, Inc.

י "תוקף מסוגל לזהות כי הסביבה בה הוא רץ הינה סביבה וירטואלית ע•

זיהוי התנהגויות יוצאות דופן של מערכת ההפעלה בעת ביצוע פעולות

.ייחודיות וקריאה לפקודות יוצאות דופן של המעבד

הסביבה הוירטואלית משנה את , לאחר ביצוע הפעולה הייחודית•

.הנתונים כך שהתוקף מזהה שאיננו רץ תחת מערכת הפעלה רגילה


כיצד מזהים ריצה מתוך מכונה וירטואלית ?VMWareשל


כיצד מזהים ריצה מתוך מכונה וירטואלית ?של מיקרוסופט


?מתקפות רשת


הרבה יותר קל לבצע בסביבה וירטואלית את מתקפות , מצד אחד•

...'וכד Arp Spoofing ,ICMP Redirectהרשת הקלאסיות כגון

אינן חורגות מגבולות המכונה הפאקטותזאת מכיוון שבחלק מן המקרים •

הפיסית המארחות את השרת הווירטואלי התוקף את שאר השרתים

.הוירטואליים

ברוב המקרים על התוקף להתמודד עם הגדרות ברירת המחדל של •

Switch המוגדר להתמודד עם חלק , או נתב של חברת תקשורת נפוצה

.מההתקפות הקלאסיות

Switchבאמצעות התשתית הווירטואלית ניתן להשתמש ב , מצד שני•

וירטואלי ולמנוע כמעט כל מתקפה אפשרית בין השרתים Routerאו

.הוירטואליים לבין עצמם ובין השרתים הוירטואליים לבין שאר הרשת

NAT vs. Bridge


NAT vs. Bridge


"?Bridgeאו כ NATהאם להגדיר את השרתים הוירטואליים שלי כ "•

.בשני המקרים ישנם סיכונים שונים•

:NATכאשר המכונה הוירטואלית מוגדרת כ •

י חיבורי "ע רקהיא מסוגלת לתקשר עם רכיבי הרשת הנגישים לה •

.תקשורת אשר יזמה בעצמה

היא , אין למכונה זהות רשת משל עצמה, במסגרת הגדרה זו •

.המארח את השרתים HOST -מזוהה בתור ה

היא מוגנת ובטוחה כאשר מגבילים את כרטיס הרשת מנגישות •

Low-Level כגוןPromiscuous Mode וMonitor Mode.

Portהמכונה מסוגלת לספק שירותים באמצעות הגדרת•

Forwarding לשירותים המסופקים.

NAT vs. Bridge


:Bridge -כאשר המכונה מוגדרת כ•

.מדובר במכונה בעלת נגישות רשת סטנדרטית•

...('וכד Web, SQL, NetBIOS: כגון)היא מסוגלת לספק שירותים •

.3בעלת זהות בשכבה / משלה IPבעלת כתובת •

.קלה לניהול•

.מסוגלת לבצע כל מתקפת רשת•

. Bridgeרוב הארגונים מגדירים את המכונות הוירטואליות שלהם במצב •

.גם את אלו שאינן מארחות שירותים ונחשפים לסיכונים מיותרים

Virtual Switch...


.vSphereיצרה מנגנון בשם VMWareחברת •

.Switchמנגנון זה מאפשר ליישם רכיבי תוכנה המשמשים בעיקר ליישום •

מנגנון זה מאפשר ליצור גרסה וירטואלית של כמעט כל אחד מרכיבי רשת •

,Routers, Appliances (NAC, Firewall, IPS: כגון, המוכרים כיום

Load Balancer, etc…(.

בהקשר למכונות ) STPשימוש במנגנון זה מבטל את הצורך במנגנוני •

(.תחת אותו הברזל

לבחירה ( Uplink & Downlink)ומספר פורטים Isolationתומך במנגנוני •

.ברמת תוכנה

.שלא עוזבות את הברזל הפיסי פאקטותקשה לאבד •

Virtual Switch...


Virtual Switch...


Virtual Switch...


Virtual Switch...


...Virtual Switchיתרונות יתירות של


Virtual Switch...


Virtual Switch...


RHEV - Red Hat Enterprise Virtualization








Vyatta – פתרון קוד פתוח




Vyatta














בVirtual Firewalls in יצרני 100יותר מ VMWare Virtual MarketPlace


לסיכום

.וירטואליזציה היא טכנולוגיה מדהימה•

יש לבחון בכדי לאתר את הסיכונים , נוצר גם סיכון, היכן שנוצרת נוחות•

.החדשים ולהתמודד איתם

יש ללמוד על הפתרונות , נוצרים פתרונות חדשים, לבעיות חדשות•

.החדשים

42

נוחות סיכון

אבטחה בעולם הווירטואלי

Issa security in a virtual world

Technology