Диод Данных

Диод Данных

Вы хотите, с одной стороны получать информацию из Интернета, а с другой гарантировать 100% отсутствие утечек из своей сети в Интернет. Значит Вам нужно использовать Диод Данных. Статья посвящена тем, кто устал переносить информацию на флешках из открытой сети в закрытую.

Автор: Денис Батранков,
архитектор по информационной безопасности,
HP Enterprise Security (TippingPoint),
BDV@HP.COM

Введение

Почему многие компании отключают сети физически от Интернет? Потому что мы почти ежедневно узнаем про случаи с утечками конфиденциальной информации разного рода: от данных о здоровье сотрудников из военных подразделений США до схем месторождений из нефтяных компаний мирового уровня.

Многие считают, что 100% защиты данных от утечек по сети решается ТОЛЬКО при помощи физического разделения сетей. При наличии такого технического решения как Диод Данных вам совершенно необязательно это делать. При этом, вы все равно гарантируете 100% отсутствие утечек, одновременно с возможностью получения данных из Интернет.

История термина "Диод Данных" или "Data Diode"

Первое публичное упоминание термина Data Diode, как устройства безопасности, гарантирующего передачу информации между двумя компьютерами в одном направлении, можно найти в Интернете. Это сообщение из Австралии и датировано оно 1995 годом нашей эры после рождества Христова. То есть термину уже 16 лет. Вот ссылка на это упоминание. Далее эта технология развивалась различными компаниями и, в основном, термин использовался в англоязычном интернете. Так что, если набрать в поисковике "Data Diode", то вы найдете гораздо больше информации, нежели попытаетесь искать этот русскоязычный термин. Также, этой теме посвящена статья википедии, где вы сможете увидеть список источников, также рассказывающих о диодах данных.

Защита государственных органов власти

В России государственные органы не имеют права по законодательству подключать свои сети к Интернет физически. Однако потребность в информации из Интернета в этих сетях остается: от обновления используемых программных продуктов до информации о погоде, необходимой в МЧС. Также существует потребность передавать данные из сетей с меньшей конфиденциальностью в сети с более высокими требованиями к секретности: допустим из сети, где обрабатываются документы с грифом «ДСП» в сеть, где обрабатываются документы с грифом «Секретно». Такие же потребности есть у коммерческих организаций, например банков: есть разные типы информации: персональные данные, коммерческая тайна и документы с этими грифами также должны быть гарантированно защищены от утечек, в том числе от одной группы сотрудников к другой. То есть диод данных применяют даже внутри сети.

Как сейчас решается задача однонаправленной передачи данных

Многим известно как обходятся физические ограничения доступа: люди внутри организации на флешках переносят информацию из Интернет в закрытую сеть или из бухгалтерии к программистам или из рабочей сети в тестовую, тратя на это уйму времени. Им приходится игнорировать, что вовнутрь можно принести вредоносный код на флешке точно так же как и по сети. И что самое обидное для владельца информации: на этой же флешке можно унести все в открытый доступ или, не ограничивая общности, к себе домой. А существуют сегменты сети в которых вообще нет никакого контроля. Я имею в виду тестовые сети с совершенно нетестовыми данными. Я пожалуй не буду описывать что творится в тестовых сетях, чтобы совсем уже не испортить безопасникам настроение.

Диод данных - программно-аппаратное решение для однонаправленной передачи данных

Итак, архитекторы по информационной безопасности используют для упрощения жизни таких компаний специальные сетевые решения, которые называются диод данных. Эти решения позволяют передавать данные только в одном направлении, гарантируя 100%, что утечка не может произойти из внутренней сети и одновременно проверяя получаемые данные, гарантируя отсутствие вредоносных вложений. Как аналог таких решений можно привести обыкновенное радио, которые мы все слушаем в машине или дома. Мы можем переключиться на любую радиостанцию, но передать им ничего не можем – у нас нет передатчика. И именно по такому принципу и работает диод данных – у него физически нет передатчика информации. Как же это сделано?

Пример: задание политики по перемещению потоков информации в сеть и внутри сети государственного органа.

Пример: задание политики по перемещению потоков информации в сеть и в сети коммерческой организации.

Принцип работы диода данных

Существует несколько производителей диодов данных, но все они используют для гарантии однонаправленной передачи законы физики. А именно: отсутствие передатчика в защищаемой сети и приемника в сети с более низким грифом (или публичной).

Как вы знаете, для соединения сетей используют оптоволоконное соединение, которое в привычном многим случае состоит из двух оптоволоконных кабелей. В случае с диодом данных кабель, который отвечает за передачу данных из секретной сети убирают и, заодно, выпаивают передатчик и приемник. Соответственно, поскольку у канала передачи данных теперь есть только кабель, по которому можно передавать в одну сторону, то передавать в обратную сторону физически невозможно. То есть образуется однонаправленный канал передачи. Таким образом мы физичечески гарантируем отсутствие утечки информации из секретной сети, но зато имеем возможность получать информацию из Интернет или других сетей: своих партнеров или своей же организации. Производители таких решений должны решить как этот физический канал окружить необходимым функционалом, программным обеспечением и другими компонентами, о которых мы поговорим ниже, например антивирусной защитой принимаемой информации. Однако, первый вопрос, который мне задают, когда слышат про диод данных:
«А как же работает TCP/IP?”. Читаем дальше.

Пример: диод данных, окруженный Ethernet конверторами. Вы видите, что второго оптического кабеля нет, соответственно передавать информацию возможно только в одном направлении.

Реализация диода данных

Казалось бы – так просто, что можно сделать самому. Однако производители таких устройств сталкиваются с несколькими проблемами. В первую очередь это как гарантировать высокую и безошибочную скорость передачи и синхронизацию данных, когда нет никаких сигналов подтверждения. Вдобавок, оказалось, что все транспортные протоколы, например TCP (или кто еще помнит SPX) – им всем нужна двунаправленная физическая линия для работы. В случае с прерыванием передачи данных в одном из направлений, транспортный протокол вообще не работает.

Для того, чтобы заработали двунаправленные протоколы все производители устанавливают до и после диода данных специальные прокси сервера. Это могут быть обычные компьютеры, которые эмулируют необходимый протокол: TCP/IP, FTP, SMTP, SMB, HTTP и т.д. Таким образом до диода данных и после диода данных в обеих разделяемых сетях работает двунаправленный протокол, работают привычные нам сервисы FTP, SMB(CIFS), SMTP, POP3, IMAP, HTTP и, благодаря совместной работе таких прокси серверов через диод данных, наши данные оказываются внутри защищаемой сети, но никак не могут уже выйти наружу. Соответственно, при выборе производителя интересуйтесь какие прокси реализованы и, самое главное, кто будет их настраивать под ваши задачи.

Физическая скорость передачи данных бывает разная. Я встречал производителей, которые декларируют скорость 1Гбит в секунду. В основном скорость работы таких устройств 100Мб/с. При выборе такого устройства, обязательно интересуйтесь этим параметром.

Пример: схема использования диода данных с прокси серверами.

Типовые задачи, которые решает диод данных

В первую очередь это получение обновлений для программного обеспечения и для средств безопасности. Например, вы можете установить у себя Microsoft WSUS и соотвественно централизованно в закрытой сети ставить с него обновления, а сами обновления WSUS будет получать из Интернет автоматически через диод данных. То же самое с другими программами, например обновление антивирусных баз удобно получать таким образом. Это гораздо быстрее чем на флешке.

Репликация базы данных из публичной сети с внутренней базой. Соответственно вы можете собирать любые необходимые вам данные, анализировать и обрабатывать, не боясь что результаты вашей работы «утекут» наружу. Пример такой системы – система сбора результатов выборов (президента или депутатов). В центре вы можете получать информацию о работе всех участков в стране, но сводные данные из центра гарантированно не могут быть отправлены в общедоступные сети.

Можно придумать и другие приложения, например, я знаю решение когда диод данных принимает скриншоты с компьютеров или другое, где передают буфер обмена (Clipboard) или где синхронизируют время по NTP между открытой и закрытой сетями. Число решений на этой базе можно увеличивать и увеличивать.

Обратная картина. Часто вы должны собирать информацию по SNMP, Syslog и другим способом из сетей, к которым у вас гарантированно не должно быть доступа. То есть вы должны получать ровно то, что вам передают. Вспоминаем пример с радио. Для этой задачи ставится диод данных – в центр мониторинга передают из таких сетей необходимые данные, а в случае появления злоумышленника в центре мониторинга – при всем желании он не сможет попасть в сети, которые мы мониторим. Естественно, здесь характерным примером являются сети SCADA (АСУТП). Именно в них часто не хватает такого необходимого компонента, как диод данных. Также такие решения являются полезными для аутсорсинга: когда некоторые внешние организации должны получать только явно заданную информацию, но никак не должны проникать внутрь через другие сервысы. На сегодняшний день для такого разграничения используются межсетевые экраны, но они гарантировать отсутствие утечек не могут.

Проверка данных, получаемых через диод данных.

Еще одна тонкость: данные, которые вы получаете в закрытую сеть через диод данных по-прежнему нужно проверять на целостность, точность и достоверность. Для этого существуют уже давно известные системы: шифрование, электронная подпись и т.д. Часто такие системы оборудуются проверкой на вирусы: любую информацию после диода данных нужно пропускать через антивирусную систему и через системы обнаружения (а лучше предотвращения) атак, поскольку передачу вредоносного кода и уязвимости в используемом вами программном обеспечении никто не отменял.

Пример: Диод данных, реализованный как сетевая карта. Работает либо как приемник, либо как передатчик информации. Разработка компании АНКАД.

Другие виды диодов данных

Многие вспоминают: у меня висит сниффер и система обнаружения атак на SPAN порту и соответственно у меня уже есть диод данных . Это не так: SPAN порт может принимать данные и вносить изменения в сетевой трафик.

Другим сетевым устройством, которое вы можете рассмотреть, является TAP (не знаю как перевести c английского. Кран – некрасиво. Завёртыш – чуднО.) Кстати, купить его в нашей стране очень трудно. Он сделан так, что не может передавать данные в порт, на котором слушаете трафик. И он может быть полноценным диодом данных для вас, хотя, конечно, его предназначение другое. И еще у него нет сертификата. А у многих диодов данных есть сертификат по Commom Criteria EAL 4+ или даже EAL 7+.

Учитывайте, что бывают и версии TAP специально созданные под системы обнаружения атак, которые могут посылать данные в сеть (называются Active Response TAP). Они нужны, поскольку TCP Reset нужен для некоторых таких систем для остановки атаки.

Пример: TAP (на картинке оптический TAP) получает информацию о трафике в сети, но передавать не может.

Существуют еще диоды данных для USB, они гарантируют, что информация будет копироваться только в одном направлении через подключенную к ним флешку. Это какой-то эволюционно переходный метод, так что серьезно его рассматривать не стоит.

Пример: USB диод данных для передачи информации через флешку.

Заключение

На конец 2011 года диоды данных предлагаются одним российским и многочисленными зарубежными производителями. Лучше всего заказывать данное решение вместе с интеграцией, чтобы получить готовый функционал, который вам необходим.

В то же время расcмотренная технология однонаправленной передачи данных и используемые методы защиты еще редко преподаются на курсах и в институтах. Поэтому распространяйте эти знания среди своих коллег и используйте эту технологию сами.

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться