07.11.2011

Диод Данных

image

Вы хотите, с одной стороны получать информацию из Интернета, а с другой гарантировать 100% отсутствие утечек из своей сети в Интернет. Значит Вам нужно использовать Диод Данных. Статья посвящена тем, кто устал переносить информацию на флешках из открытой сети в закрытую.

Автор: Денис Батранков,
архитектор по информационной безопасности,
HP Enterprise Security (TippingPoint),
BDV@HP.COM

Введение

Почему многие компании отключают сети физически от Интернет? Потому что мы почти ежедневно узнаем про случаи с утечками конфиденциальной информации разного рода: от данных о здоровье сотрудников из военных подразделений США до схем месторождений из нефтяных компаний мирового уровня.

Многие считают, что 100% защиты данных от утечек по сети решается ТОЛЬКО при помощи физического разделения сетей. При наличии такого технического решения как Диод Данных вам совершенно необязательно это делать. При этом, вы все равно гарантируете 100% отсутствие утечек, одновременно с возможностью получения данных из Интернет.

История термина "Диод Данных" или "Data Diode"

Первое публичное упоминание термина Data Diode, как устройства безопасности, гарантирующего передачу информации между двумя компьютерами в одном направлении, можно найти в Интернете. Это сообщение из Австралии и датировано оно 1995 годом нашей эры после рождества Христова. То есть термину уже 16 лет. Вот ссылка на это упоминание. Далее эта технология развивалась различными компаниями и, в основном, термин использовался в англоязычном интернете. Так что, если набрать в поисковике "Data Diode", то вы найдете гораздо больше информации, нежели попытаетесь искать этот русскоязычный термин. Также, этой теме посвящена статья википедии, где вы сможете увидеть список источников, также рассказывающих о диодах данных.

Защита государственных органов власти

В России государственные органы не имеют права по законодательству подключать свои сети к Интернет физически. Однако потребность в информации из Интернета в этих сетях остается: от обновления используемых программных продуктов до информации о погоде, необходимой в МЧС. Также существует потребность передавать данные из сетей с меньшей конфиденциальностью в сети с более высокими требованиями к секретности: допустим из сети, где обрабатываются документы с грифом «ДСП» в сеть, где обрабатываются документы с грифом «Секретно». Такие же потребности есть у коммерческих организаций, например банков: есть разные типы информации: персональные данные, коммерческая тайна и документы с этими грифами также должны быть гарантированно защищены от утечек, в том числе от одной группы сотрудников к другой. То есть диод данных применяют даже внутри сети.

Как сейчас решается задача однонаправленной передачи данных

Многим известно как обходятся физические ограничения доступа: люди внутри организации на флешках переносят информацию из Интернет в закрытую сеть или из бухгалтерии к программистам или из рабочей сети в тестовую, тратя на это уйму времени. Им приходится игнорировать, что вовнутрь можно принести вредоносный код на флешке точно так же как и по сети. И что самое обидное для владельца информации: на этой же флешке можно унести все в открытый доступ или, не ограничивая общности, к себе домой. А существуют сегменты сети в которых вообще нет никакого контроля. Я имею в виду тестовые сети с совершенно нетестовыми данными. Я пожалуй не буду описывать что творится в тестовых сетях, чтобы совсем уже не испортить безопасникам настроение.

Диод данных - программно-аппаратное решение для однонаправленной передачи данных

Итак, архитекторы по информационной безопасности используют для упрощения жизни таких компаний специальные сетевые решения, которые называются диод данных. Эти решения позволяют передавать данные только в одном направлении, гарантируя 100%, что утечка не может произойти из внутренней сети и одновременно проверяя получаемые данные, гарантируя отсутствие вредоносных вложений. Как аналог таких решений можно привести обыкновенное радио, которые мы все слушаем в машине или дома. Мы можем переключиться на любую радиостанцию, но передать им ничего не можем – у нас нет передатчика. И именно по такому принципу и работает диод данных – у него физически нет передатчика информации. Как же это сделано?

Пример: задание политики по перемещению потоков информации в сеть и внутри сети государственного органа.

Пример: задание политики по перемещению потоков информации в сеть и в сети коммерческой организации.

Принцип работы диода данных

Существует несколько производителей диодов данных, но все они используют для гарантии однонаправленной передачи законы физики. А именно: отсутствие передатчика в защищаемой сети и приемника в сети с более низким грифом (или публичной).

Как вы знаете, для соединения сетей используют оптоволоконное соединение, которое в привычном многим случае состоит из двух оптоволоконных кабелей. В случае с диодом данных кабель, который отвечает за передачу данных из секретной сети убирают и, заодно, выпаивают передатчик и приемник. Соответственно, поскольку у канала передачи данных теперь есть только кабель, по которому можно передавать в одну сторону, то передавать в обратную сторону физически невозможно. То есть образуется однонаправленный канал передачи. Таким образом мы физичечески гарантируем отсутствие утечки информации из секретной сети, но зато имеем возможность получать информацию из Интернет или других сетей: своих партнеров или своей же организации. Производители таких решений должны решить как этот физический канал окружить необходимым функционалом, программным обеспечением и другими компонентами, о которых мы поговорим ниже, например антивирусной защитой принимаемой информации. Однако, первый вопрос, который мне задают, когда слышат про диод данных:
«А как же работает TCP/IP?”. Читаем дальше.

Пример: диод данных, окруженный Ethernet конверторами. Вы видите, что второго оптического кабеля нет, соответственно передавать информацию возможно только в одном направлении.

Реализация диода данных

Казалось бы – так просто, что можно сделать самому. Однако производители таких устройств сталкиваются с несколькими проблемами. В первую очередь это как гарантировать высокую и безошибочную скорость передачи и синхронизацию данных, когда нет никаких сигналов подтверждения. Вдобавок, оказалось, что все транспортные протоколы, например TCP (или кто еще помнит SPX) – им всем нужна двунаправленная физическая линия для работы. В случае с прерыванием передачи данных в одном из направлений, транспортный протокол вообще не работает.

Для того, чтобы заработали двунаправленные протоколы все производители устанавливают до и после диода данных специальные прокси сервера. Это могут быть обычные компьютеры, которые эмулируют необходимый протокол: TCP/IP, FTP, SMTP, SMB, HTTP и т.д. Таким образом до диода данных и после диода данных в обеих разделяемых сетях работает двунаправленный протокол, работают привычные нам сервисы FTP, SMB(CIFS), SMTP, POP3, IMAP, HTTP и, благодаря совместной работе таких прокси серверов через диод данных, наши данные оказываются внутри защищаемой сети, но никак не могут уже выйти наружу. Соответственно, при выборе производителя интересуйтесь какие прокси реализованы и, самое главное, кто будет их настраивать под ваши задачи.

Физическая скорость передачи данных бывает разная. Я встречал производителей, которые декларируют скорость 1Гбит в секунду. В основном скорость работы таких устройств 100Мб/с. При выборе такого устройства, обязательно интересуйтесь этим параметром.

Пример: схема использования диода данных с прокси серверами.

Типовые задачи, которые решает диод данных

В первую очередь это получение обновлений для программного обеспечения и для средств безопасности. Например, вы можете установить у себя Microsoft WSUS и соотвественно централизованно в закрытой сети ставить с него обновления, а сами обновления WSUS будет получать из Интернет автоматически через диод данных. То же самое с другими программами, например обновление антивирусных баз удобно получать таким образом. Это гораздо быстрее чем на флешке.

Репликация базы данных из публичной сети с внутренней базой. Соответственно вы можете собирать любые необходимые вам данные, анализировать и обрабатывать, не боясь что результаты вашей работы «утекут» наружу. Пример такой системы – система сбора результатов выборов (президента или депутатов). В центре вы можете получать информацию о работе всех участков в стране, но сводные данные из центра гарантированно не могут быть отправлены в общедоступные сети.

Можно придумать и другие приложения, например, я знаю решение когда диод данных принимает скриншоты с компьютеров или другое, где передают буфер обмена (Clipboard) или где синхронизируют время по NTP между открытой и закрытой сетями. Число решений на этой базе можно увеличивать и увеличивать.

Обратная картина. Часто вы должны собирать информацию по SNMP, Syslog и другим способом из сетей, к которым у вас гарантированно не должно быть доступа. То есть вы должны получать ровно то, что вам передают. Вспоминаем пример с радио. Для этой задачи ставится диод данных – в центр мониторинга передают из таких сетей необходимые данные, а в случае появления злоумышленника в центре мониторинга – при всем желании он не сможет попасть в сети, которые мы мониторим. Естественно, здесь характерным примером являются сети SCADA (АСУТП). Именно в них часто не хватает такого необходимого компонента, как диод данных. Также такие решения являются полезными для аутсорсинга: когда некоторые внешние организации должны получать только явно заданную информацию, но никак не должны проникать внутрь через другие сервысы. На сегодняшний день для такого разграничения используются межсетевые экраны, но они гарантировать отсутствие утечек не могут.

Проверка данных, получаемых через диод данных.

Еще одна тонкость: данные, которые вы получаете в закрытую сеть через диод данных по-прежнему нужно проверять на целостность, точность и достоверность. Для этого существуют уже давно известные системы: шифрование, электронная подпись и т.д. Часто такие системы оборудуются проверкой на вирусы: любую информацию после диода данных нужно пропускать через антивирусную систему и через системы обнаружения (а лучше предотвращения) атак, поскольку передачу вредоносного кода и уязвимости в используемом вами программном обеспечении никто не отменял.

Пример: Диод данных, реализованный как сетевая карта. Работает либо как приемник, либо как передатчик информации. Разработка компании АНКАД.

Другие виды диодов данных

Многие вспоминают: у меня висит сниффер и система обнаружения атак на SPAN порту и соответственно у меня уже есть диод данных . Это не так: SPAN порт может принимать данные и вносить изменения в сетевой трафик.

Другим сетевым устройством, которое вы можете рассмотреть, является TAP (не знаю как перевести c английского. Кран – некрасиво. Завёртыш – чуднО.) Кстати, купить его в нашей стране очень трудно. Он сделан так, что не может передавать данные в порт, на котором слушаете трафик. И он может быть полноценным диодом данных для вас, хотя, конечно, его предназначение другое. И еще у него нет сертификата. А у многих диодов данных есть сертификат по Commom Criteria EAL 4+ или даже EAL 7+.

Учитывайте, что бывают и версии TAP специально созданные под системы обнаружения атак, которые могут посылать данные в сеть (называются Active Response TAP). Они нужны, поскольку TCP Reset нужен для некоторых таких систем для остановки атаки.

Пример: TAP (на картинке оптический TAP) получает информацию о трафике в сети, но передавать не может.

Существуют еще диоды данных для USB, они гарантируют, что информация будет копироваться только в одном направлении через подключенную к ним флешку. Это какой-то эволюционно переходный метод, так что серьезно его рассматривать не стоит.

Пример: USB диод данных для передачи информации через флешку.

Заключение

На конец 2011 года диоды данных предлагаются одним российским и многочисленными зарубежными производителями. Лучше всего заказывать данное решение вместе с интеграцией, чтобы получить готовый функционал, который вам необходим.

В то же время расcмотренная технология однонаправленной передачи данных и используемые методы защиты еще редко преподаются на курсах и в институтах. Поэтому распространяйте эти знания среди своих коллег и используйте эту технологию сами.

или введите имя

CAPTCHA
Страницы: 1  2  3  4  5  
nekto
07-11-2011 11:15:17
Интернет работает по принципу запрос - ответ. Без исходящего запроса и ответа не будет. И если запросы передаются, то существует возможность передачи данных наружу.
0 |
97737
07-11-2011 11:26:49
Диод данных Такого бреда я ещё не встречал. Если пользователь МОЖЕТ сделать запрос, он может передать что угодно. Даже если закрыть всё кроме HTTP GET. Далее. Никакой анализ вам не поможет, стенографию можно реализовать через обыкновенные текстовые запросы. А если ваш замечательный прокси сервер поддерживает передачу TCP/IP, FTP, SMTP то досвидания данным придется сказать очень быстро.
0 |
i_got_it
07-11-2011 13:49:49
Похоже смысл в том, что запросов-то нет. Просто время от времени в одну сторону передаются строго заданные изначально (на сервере-передатчике) данные. Например, апдейты АВ из инета с сайта производителя. Это как спутниковая рыбалка. Можешь принять только то, что передаётся, свой запрос сделать не можешь.
0 |
17703
07-11-2011 15:41:15
Для того чтобы скачать обновления виндоус и антивирусов не обязательно подключать машину к интернету вообще Тут же заявлено "о работе привычных" FTP, SMB(CIFS), SMTP, POP3, IMAP, HTTP Я ещё могу представить получение почты через шлюз, который от вас принимает только логин и пароль (на бумажке ). Но отправка вашего письма без отправки информации это нечто PS односторонняя HTTP рыбалка с магическим диодом В 12.20 сисадмин Вася зайдет на секлаб! Всем желающим получить свежие комменты - включить снифферы. Сотрудники устроили акцию протеста - хабра кэшируется только раз в две недели Чего будет хоть отбавляй - так это порнухи, моё предложение порно-диода ещё актуально.
0 |
08-11-2011 14:15:19
верно вот, например, описание конкретного решения для SMTP http://www.datadiode.eu/products/protocols/10/#smtp-email-10
0 |
фрезеровщик
09-11-2011 13:57:47
И что? Какая схема, охренеть! 2 днс сервера подменяющих адреса, 2 прокси (черненькая и красенькая) и ещё супер диод посередине! И ключевая фраза - the BLACK proxy sends the mail to the RED proxy via the hardware Data Diode. Данные утекли Теперь вопрос, чем их простая фильтрация SMTP трафика не устроила?
0 |
09-11-2011 21:32:07
тем, что "простая фильтрация SMTP трафика" не дает гарантий от утечек по сети.
0 |
16910
11-11-2011 01:47:46
Да? И в чем же "гарантия от утечек" при передаче вашего письма из супер-защищенной сети в интернет через пупер-диод?
0 |
Serg
05-12-2011 12:37:38
Вы свои собственные слова прочитать не можете: "И ключевая фраза - the BLACK proxy sends the mail to the RED proxy via the hardware Data Diode." Длиннее 140 символов статьи в голове не умещаются, да? поколение твиттера нафиг.. Утечка, это когда из _красной_ сети утекло в _черную_, что в данном случае невозможно. Вы же сами подчеркнули ключевую фразу. По-русски она звучит так (перевожу для тех кто в танке) движение трафика осуществляется из _черной_ сети в _красную_. В обратную сторону это невозможно сделать, поскольку стоит диод данных. В этом и состоит гарантия! Вроде русские люди, читают книгу и видят фигу. Я хренею. Даже свои же каракули читают и говорят потом противоположные вещи.
0 |
05-12-2011 12:25:14
Правильно. Именно поэтому прокси сервер, стоящий снаружи, посылает запросы и получает ответы, затем передает по однонаправленному каналу на внутренний прокси сервер, который эмулирует и TCP и необходимый север или сервис. Это может быть обычный FTP или SMB. А между прокси серверами обеспечивается гарантированная передача. Это уже задача разработчика диода данных.
0 |
Электронщик
07-11-2011 11:55:23
мне кажется целесообразно использовать транзистор данных тут имеем двойной функционал и полупроводник и усилитель ну если использовать операционный усилитель то можно регулировать коэффициент усиления короче, все эти штучки ну никак не смогут предатвротить учеку данных есть масса способов передачи данных обходя ФВ, пример DNS запросом
0 |
67228
07-11-2011 12:14:08
Старое доброе туннелирование через DNS - единственное что можно заблокировать, даже магический диод бретанских ученных не потребуется Кэширование - принудительно и запретить обновление записей чаще чем, ... Только зачем извращаться? Всё куда проще, а решений на базе HTTP достаточно Лучше бы Денис изобрел порно-диод, как только сотрудница заходит на сайт с бабским порно, тут же сисадмин направляется к ней для воспитательной беседы
0 |
63480
07-11-2011 12:33:40
Автор: Денис Батранков, архитектор по информационной безопасности, HP Enterprise Security (TippingPoint), BDV@HP.COM Кстати я не прочь разработать для HP порно-диод на базе snort
0 |
c00lzer0
07-11-2011 11:55:44
russian nano in action что заканчивали? так, для интереса.
0 |
127.0.0.1
07-11-2011 14:51:13
Это American nano. Читаем U.S. patent 20100235561 - это как раз оно. Заявка на патент подана в 2008 году, патент получен в 2010-м.
0 |
c00lzer0
07-11-2011 11:58:09
да, почитайте pci dss, все что вы тут описали в виде (своих?) "идей", давно уже концептуально выражено и используется на практике. за веселую терминологию спасибо, трава у вас что надо.
0 |
max
07-11-2011 12:40:14
Апплодирую стоя маркетологам компании HP! Что будет дальше? Резистор? Конденсатор?
0 |
Rex
07-11-2011 14:46:01
Дальше будет тиристор )))
0 |
бо
07-11-2011 16:30:01
если касаться комп. безопасности, то следует развивать мысль в область "оптической развязки данных", как средства спасения от ddos-а.
0 |
Страницы: 1  2  3  4  5