Конкурсы Диод Данных
Вы хотите, с одной стороны получать информацию из Интернета, а с другой гарантировать 100% отсутствие утечек из своей сети в Интернет. Значит Вам нужно использовать Диод Данных. Статья посвящена тем, кто устал переносить информацию на флешках из открытой сети в закрытую.
архитектор по информационной безопасности,
HP Enterprise Security (TippingPoint),
BDV@HP.COM
Введение
Почему многие компании отключают сети физически от Интернет? Потому что мы почти ежедневно узнаем про случаи с утечками конфиденциальной информации разного рода: от данных о здоровье сотрудников из военных подразделений США до схем месторождений из нефтяных компаний мирового уровня.
Многие считают, что 100% защиты данных от утечек по сети решается ТОЛЬКО при помощи физического разделения сетей. При наличии такого технического решения как Диод Данных вам совершенно необязательно это делать. При этом, вы все равно гарантируете 100% отсутствие утечек, одновременно с возможностью получения данных из Интернет.
История термина "Диод Данных" или "Data Diode"
Первое публичное упоминание термина Data Diode, как устройства безопасности, гарантирующего передачу информации между двумя компьютерами в одном направлении, можно найти в Интернете. Это сообщение из Австралии и датировано оно 1995 годом нашей эры после рождества Христова. То есть термину уже 16 лет. Вот ссылка на это упоминание. Далее эта технология развивалась различными компаниями и, в основном, термин использовался в англоязычном интернете. Так что, если набрать в поисковике "Data Diode", то вы найдете гораздо больше информации, нежели попытаетесь искать этот русскоязычный термин. Также, этой теме посвящена статья википедии, где вы сможете увидеть список источников, также рассказывающих о диодах данных.Защита государственных органов власти
В России государственные органы не имеют права по законодательству подключать свои сети к Интернет физически. Однако потребность в информации из Интернета в этих сетях остается: от обновления используемых программных продуктов до информации о погоде, необходимой в МЧС. Также существует потребность передавать данные из сетей с меньшей конфиденциальностью в сети с более высокими требованиями к секретности: допустим из сети, где обрабатываются документы с грифом «ДСП» в сеть, где обрабатываются документы с грифом «Секретно». Такие же потребности есть у коммерческих организаций, например банков: есть разные типы информации: персональные данные, коммерческая тайна и документы с этими грифами также должны быть гарантированно защищены от утечек, в том числе от одной группы сотрудников к другой. То есть диод данных применяют даже внутри сети.
Как сейчас решается задача однонаправленной передачи данных
Многим известно как обходятся физические ограничения доступа: люди внутри организации на флешках переносят информацию из Интернет в закрытую сеть или из бухгалтерии к программистам или из рабочей сети в тестовую, тратя на это уйму времени. Им приходится игнорировать, что вовнутрь можно принести вредоносный код на флешке точно так же как и по сети. И что самое обидное для владельца информации: на этой же флешке можно унести все в открытый доступ или, не ограничивая общности, к себе домой. А существуют сегменты сети в которых вообще нет никакого контроля. Я имею в виду тестовые сети с совершенно нетестовыми данными. Я пожалуй не буду описывать что творится в тестовых сетях, чтобы совсем уже не испортить безопасникам настроение.
Диод данных - программно-аппаратное решение для однонаправленной передачи данных
Итак, архитекторы по информационной безопасности используют для упрощения жизни таких компаний специальные сетевые решения, которые называются диод данных. Эти решения позволяют передавать данные только в одном направлении, гарантируя 100%, что утечка не может произойти из внутренней сети и одновременно проверяя получаемые данные, гарантируя отсутствие вредоносных вложений. Как аналог таких решений можно привести обыкновенное радио, которые мы все слушаем в машине или дома. Мы можем переключиться на любую радиостанцию, но передать им ничего не можем – у нас нет передатчика. И именно по такому принципу и работает диод данных – у него физически нет передатчика информации. Как же это сделано?
Пример: задание политики по перемещению потоков информации в сеть и внутри сети государственного органа.
Пример: задание политики по перемещению потоков информации в сеть и в сети коммерческой организации.
Принцип работы диода данных
Существует несколько производителей диодов данных, но все они используют для гарантии однонаправленной передачи законы физики. А именно: отсутствие передатчика в защищаемой сети и приемника в сети с более низким грифом (или публичной).
Как вы знаете, для соединения сетей используют оптоволоконное соединение, которое в привычном многим случае состоит из двух оптоволоконных кабелей. В случае с диодом данных кабель, который отвечает за передачу данных из секретной сети убирают и, заодно, выпаивают передатчик и приемник. Соответственно, поскольку у канала передачи данных теперь есть только кабель, по которому можно передавать в одну сторону, то передавать в обратную сторону физически невозможно. То есть образуется однонаправленный канал передачи. Таким образом мы физичечески гарантируем отсутствие утечки информации из секретной сети, но зато имеем возможность получать информацию из Интернет или других сетей: своих партнеров или своей же организации. Производители таких решений должны решить как этот физический канал окружить необходимым функционалом, программным обеспечением и другими компонентами, о которых мы поговорим ниже, например антивирусной защитой принимаемой информации. Однако, первый вопрос, который мне задают, когда слышат про диод данных:
«А как же работает TCP/IP?”. Читаем дальше.
Пример: диод данных, окруженный Ethernet конверторами. Вы видите, что второго оптического кабеля нет, соответственно передавать информацию возможно только в одном направлении.
Реализация диода данных
Казалось бы – так просто, что можно сделать самому. Однако производители таких устройств сталкиваются с несколькими проблемами. В первую очередь это как гарантировать высокую и безошибочную скорость передачи и синхронизацию данных, когда нет никаких сигналов подтверждения. Вдобавок, оказалось, что все транспортные протоколы, например TCP (или кто еще помнит SPX) – им всем нужна двунаправленная физическая линия для работы. В случае с прерыванием передачи данных в одном из направлений, транспортный протокол вообще не работает.
Для того, чтобы заработали двунаправленные протоколы все производители устанавливают до и после диода данных специальные прокси сервера. Это могут быть обычные компьютеры, которые эмулируют необходимый протокол: TCP/IP, FTP, SMTP, SMB, HTTP и т.д. Таким образом до диода данных и после диода данных в обеих разделяемых сетях работает двунаправленный протокол, работают привычные нам сервисы FTP, SMB(CIFS), SMTP, POP3, IMAP, HTTP и, благодаря совместной работе таких прокси серверов через диод данных, наши данные оказываются внутри защищаемой сети, но никак не могут уже выйти наружу. Соответственно, при выборе производителя интересуйтесь какие прокси реализованы и, самое главное, кто будет их настраивать под ваши задачи.
Физическая скорость передачи данных бывает разная. Я встречал производителей, которые декларируют скорость 1Гбит в секунду. В основном скорость работы таких устройств 100Мб/с. При выборе такого устройства, обязательно интересуйтесь этим параметром.
Пример: схема использования диода данных с прокси серверами.
Типовые задачи, которые решает диод данных
В первую очередь это получение обновлений для программного обеспечения и для средств безопасности. Например, вы можете установить у себя Microsoft WSUS и соотвественно централизованно в закрытой сети ставить с него обновления, а сами обновления WSUS будет получать из Интернет автоматически через диод данных. То же самое с другими программами, например обновление антивирусных баз удобно получать таким образом. Это гораздо быстрее чем на флешке.
Репликация базы данных из публичной сети с внутренней базой. Соответственно вы можете собирать любые необходимые вам данные, анализировать и обрабатывать, не боясь что результаты вашей работы «утекут» наружу. Пример такой системы – система сбора результатов выборов (президента или депутатов). В центре вы можете получать информацию о работе всех участков в стране, но сводные данные из центра гарантированно не могут быть отправлены в общедоступные сети.
Можно придумать и другие приложения, например, я знаю решение когда диод данных принимает скриншоты с компьютеров или другое, где передают буфер обмена (Clipboard) или где синхронизируют время по NTP между открытой и закрытой сетями. Число решений на этой базе можно увеличивать и увеличивать.
Обратная картина. Часто вы должны собирать информацию по SNMP, Syslog и другим способом из сетей, к которым у вас гарантированно не должно быть доступа. То есть вы должны получать ровно то, что вам передают. Вспоминаем пример с радио. Для этой задачи ставится диод данных – в центр мониторинга передают из таких сетей необходимые данные, а в случае появления злоумышленника в центре мониторинга – при всем желании он не сможет попасть в сети, которые мы мониторим. Естественно, здесь характерным примером являются сети SCADA (АСУТП). Именно в них часто не хватает такого необходимого компонента, как диод данных. Также такие решения являются полезными для аутсорсинга: когда некоторые внешние организации должны получать только явно заданную информацию, но никак не должны проникать внутрь через другие сервысы. На сегодняшний день для такого разграничения используются межсетевые экраны, но они гарантировать отсутствие утечек не могут.
Проверка данных, получаемых через диод данных.
Еще одна тонкость: данные, которые вы получаете в закрытую сеть через диод данных по-прежнему нужно проверять на целостность, точность и достоверность. Для этого существуют уже давно известные системы: шифрование, электронная подпись и т.д. Часто такие системы оборудуются проверкой на вирусы: любую информацию после диода данных нужно пропускать через антивирусную систему и через системы обнаружения (а лучше предотвращения) атак, поскольку передачу вредоносного кода и уязвимости в используемом вами программном обеспечении никто не отменял.
Пример: Диод данных, реализованный как сетевая карта. Работает либо как приемник, либо как передатчик информации. Разработка компании АНКАД.
Другие виды диодов данных
Многие вспоминают: у меня висит сниффер и система обнаружения атак на SPAN порту и соответственно у меня уже есть диод данных . Это не так: SPAN порт может принимать данные и вносить изменения в сетевой трафик.
Другим сетевым устройством, которое вы можете рассмотреть, является TAP (не знаю как перевести c английского. Кран – некрасиво. Завёртыш – чуднО.) Кстати, купить его в нашей стране очень трудно. Он сделан так, что не может передавать данные в порт, на котором слушаете трафик. И он может быть полноценным диодом данных для вас, хотя, конечно, его предназначение другое. И еще у него нет сертификата. А у многих диодов данных есть сертификат по Commom Criteria EAL 4+ или даже EAL 7+.
Учитывайте, что бывают и версии TAP специально созданные под системы обнаружения атак, которые могут посылать данные в сеть (называются Active Response TAP). Они нужны, поскольку TCP Reset нужен для некоторых таких систем для остановки атаки.
Пример: TAP (на картинке оптический TAP) получает информацию о трафике в сети, но передавать не может.
Существуют еще диоды данных для USB, они гарантируют, что информация будет копироваться только в одном направлении через подключенную к ним флешку. Это какой-то эволюционно переходный метод, так что серьезно его рассматривать не стоит.
Пример: USB диод данных для передачи информации через флешку.
Заключение
На конец 2011 года диоды данных предлагаются одним российским и многочисленными зарубежными производителями. Лучше всего заказывать данное решение вместе с интеграцией, чтобы получить готовый функционал, который вам необходим.
В то же время расcмотренная технология однонаправленной передачи данных и используемые методы защиты еще редко преподаются на курсах и в институтах. Поэтому распространяйте эти знания среди своих коллег и используйте эту технологию сами.
(Голосов: 15, Рейтинг: 3.05) |
И если запросы передаются, то существует возможность передачи данных наружу.
Такого бреда я ещё не встречал.
Если пользователь МОЖЕТ сделать запрос, он может передать что угодно. Даже если закрыть всё кроме HTTP GET.
Далее. Никакой анализ вам не поможет, стенографию можно реализовать через обыкновенные текстовые запросы.
А если ваш замечательный прокси сервер поддерживает передачу TCP/IP, FTP, SMTP то досвидания данным придется сказать очень быстро.
Это как спутниковая рыбалка. Можешь принять только то, что передаётся, свой запрос сделать не можешь.
Тут же заявлено "о работе привычных" FTP, SMB(CIFS), SMTP, POP3, IMAP, HTTP
Я ещё могу представить получение почты через шлюз, который от вас принимает только логин и пароль (на бумажке
). Но отправка вашего письма без отправки информации это нечто
PS
односторонняя HTTP рыбалка с магическим диодом В 12.20 сисадмин Вася зайдет на секлаб! Всем желающим получить свежие комменты - включить снифферы.
Сотрудники устроили акцию протеста - хабра кэшируется только раз в две недели
Чего будет хоть отбавляй - так это порнухи, моё предложение порно-диода ещё актуально.
вот, например, описание конкретного решения для SMTP Какая схема, охренеть! 2 днс сервера подменяющих адреса, 2 прокси (черненькая и красенькая) и ещё супер диод посередине!
И ключевая фраза - the BLACK proxy sends the mail to the RED proxy via the hardware Data Diode.
Данные утекли
Теперь вопрос, чем их простая фильтрация SMTP трафика не устроила?
Утечка, это когда из _красной_ сети утекло в _черную_, что в данном случае невозможно. Вы же сами подчеркнули ключевую фразу. По-русски она звучит так (перевожу для тех кто в танке) движение трафика осуществляется из _черной_ сети в _красную_. В обратную сторону это невозможно сделать, поскольку стоит диод данных. В этом и состоит гарантия!
Вроде русские люди, читают книгу и видят фигу. Я хренею. Даже свои же каракули читают и говорят потом противоположные вещи.
тут имеем двойной функционал и полупроводник и усилитель
ну если использовать операционный усилитель то можно регулировать коэффициент усиления
короче, все эти штучки ну никак не смогут предатвротить учеку данных
есть масса способов передачи данных обходя ФВ, пример DNS запросом
Кэширование - принудительно и запретить обновление записей чаще чем, ...
Только зачем извращаться? Всё куда проще, а решений на базе HTTP достаточно
Лучше бы Денис изобрел порно-диод, как только сотрудница заходит на сайт с бабским порно, тут же сисадмин направляется к ней для воспитательной беседы
давно уже концептуально выражено и используется на практике.
за веселую терминологию спасибо, трава у вас что надо.
Причём данных от массы абонентов, вещающих одновременно.
Отсутствие второго кабеля(как и его присутствие) ничего - кроме, разве что, бОльшей устойчивости канала - не даёт.
2. Протокол TCP/IP не работает в одну сторону - по меньшей мере, нужны подтверждения получения пакета информации, а это уже прохождение данных ОТ получателя.
3. Каким образом можно "эмулировать работу двусторонних протоколов с помощью прокси-серверов" - загадка весьма великая есть...
Дениса не зря спрашивают, "а как же работает стек протоколов TCP/IP?".
Если бы он это знал, великолепной статьи про "диод данных" просто не могло бы появиться...
В какую сторону реально возможно передать данные по кабелю, полностью определяет железка, в которую он вставлен. А не теоретическая возможность. Автор, как я понял, рассказывает про отсутствие передатчика со стороны LAN и отсутствие приёмника с другой стороны. Именно в конкретной, специально "спаянной" железке. Возможно даже сертифицированной по отечественным и/или "вражеским" стандартам.
Что касается TCP. Речь как раз о том, что стандартные программые средства, его реализующие, НЕ РАБОТАЮТ, если нет обратного канала передачи данных. Именно поэтому и используется некое хитрое ПО (возможно, оно даже ставится на выделенные машины), которое по обе стороны этого чудо-устройства реализует некие костыли, которые позволяют трафик TCP с внешней стороны пробрость во внутреннюю. Как конкретно эти костыли работают - личное дело производителя (и как их обозвать - в принципе тоже). Главное, что снаружи и внутри может использоваться ПО, которое умеет работать со стандартными протоколами.
Больше того, судя по рекламе АНКАД в статье, такие устройства реально есть и кем-то (кому это действительно нужно) используются.
Конечно устройства существуют, и кому-то впариваются. Я видел у начальника таблетки для продления жизни с эксклюзивными водраслями.
Если говорить по-делу и эта штука работает как и сказано в статье, то выглядит она на фоне всего решения как 5 колесо в телеге, которое не нужно, но очень надо продать... ну конечно маркетинг... только 1 волокно на прием..фантастика!
Повторюсь Интернет работает по принципу запрос - ответ. Без исходящего запроса и ответа не будет.
И если запросы передаются, то существует возможность передачи данных наружу.
Что конкретно отправить во внутреннюю сеть, определяет ПО внешней сети. Например, весь трафик, который идет из инета на определённый публичный IP. Или, как там автор писал, обновления всего и вся (но они должны принудительно отправляться из внешней сети, из внутренней их запросить нельзя!)
"Интернет" это ведь не только сидя за браузером серфить. Некоторые через него ещё и данные передают.
TOP Новости 
Уязвимости 22 февраля, 2012
21 февраля, 2012
20 февраля, 2012
17 февраля, 2012
16 февраля, 2012
Подписка
Вирусы 
Комментарии: