Diody danych - zabezpieczenie styków sieci z zastosowaniem
Transkrypt
Diody danych - zabezpieczenie styków sieci z zastosowaniem
„Diody danych” [email protected] Na początek... • Proponuję zapomnieć na chwilę, że transmisja danych implikuje potwierdzenia pakietów. • Proponuję nie odnosić tematu prezentacji do ogólnych zastosowań – dziedzina jest dość wąska. • Sugeruję założyć, że omawiane rozwiązania znajdują rzeczywiście zastosowanie. Bezpieczeństwo (tu: sieciowe) • Nie daje się udowodnić. • Zależne od wielu czynników: – Prawidłowość oprogramowania – brak (!) dziur. – Struktura protokołów. – Prawidłowość konfiguracji – czynnik ludzki. Dziedzina zainteresowania • Środowiska, w których poufność informacji ma krytyczne znaczenie. • Strefy bezpieczeństwa. • Styki sieci korporacyjnych i systemów SCADA (elektrownie, rafinerie, dystrybucja gazu, itp). • Centra: – Monitoringu – Logów audytowych • Ośrodki R&D Ogólna zasada Strefa „niebieska” (nadawcza) Strefa „czerwona” (odbiorcza) • Wyróżniamy dwie strefy, pomiędzy którymi przepływ informacji może przebiegać tylko w jednym kierunku. • Jednokierunkowy przepływ informacji musi być gwarantowany na poziomie fizycznym. Dlaczego nie firewall? • Jego działanie opiera się na konfiguracji a nie fizyce. • Wymaga wiedzy do prawidłowej, zapewniającej „bezpieczeństwo” konfiguracji. • Potencjalnie posiada dziury bezpieczeństwa. • Komunikacja niesie ze sobą pewną wiedzę na temat stron uczestniczących. Co zapewnia „dioda danych” • Całkowita separacja stron: nadawczej i odbiorczej – ich działanie jest niezależne. • Komunikacja fizycznie realizowana tylko w jednym kierunku. • Brak informacji o stronach komunikacji – przez diodę przenoszony jest tylko payload pakietów. • Separacja galwaniczna – brak emisji elektromagnetycznej. Styk ze „światem IP” • Dioda danych implementowana jest w oparciu o maszyny ze zwykłymi interfejsami sieciowymi IP. • Protokoły IP terminowane są na maszynie „niebieskiej”, pełniącej rolę serwera IP i równocześnie nadawczą w ramach diody. • Maszyna „czerwona”, odbiorcza w ramach diody, pełni rolę klienta na styku odbiorczym IP. Ilustracja styku ze światem IP Strumień UDP do 10.10.10.200:6000 10.10.10.1 192.168.1.10:2000 Strumień UDP do 192.168.1.10:2000 Serwer: 10.10.10.200:6000 Wysyłanie: kanał 222 Komunikacja jednokierunkowa payload strumiwnia UDP w kanale 222 Odbiór: kanał 222 Klient: 192.168.1.200 Przykład transmisji strumienia UDP Transmisja danych przez diodę • Odbywa się jednokierunkowo. • Realizowana „pakietami”, które tworzą „kanały” (channels). • Jedna „dioda” umożliwia transfer w wielu kanałach. • Kontrola poprawności przekazu jest realizowana w oparciu o funkcje skrótu. Przetwarzanie po stronie „niebieskiej” # Port 2000 2001 2002 SrcAddr * 10.10.1.1 10.10.1.10 Channel 100 101 102 Pakiety IP dtp 2000 dtp 2001 ch 100 dtp 2000 ch 101 dtp 2002 ch 100 Strumień „pakietów” w ramach „diody danych” Payload – dane użytkownika dtp 2002 ch 102 ch 102 Przetwarzanie po stronie „niebieskiej” - c.d. • Strumień danych po stronie „niebieskiej” generowany jest niezależnie od strony odbiorczej. • Strona „niebieska” nie ma żadnej informacji, czy po stronie odbiorczej pracuje proces odbiorczy. • W ramach diody przekazywany jest wyłącznie payload pakietów IP, informacje o kanałach oraz rezultaty funkcji skrótu (kontrola poprawności). Przetwarzanie po stronie „czerwonej” # Channel 100 101 102 DstAddr 192.168.10.30 192.168.10.31 192.168.20.255 Port 3100 3101 1234 # A # B # C Strumień „pakietów” w ramach „diody danych” ch 100 ch 101 dst A ch 100 dst B ch 102 dst A ch 102 dst C dst C Pakiety IP Payload – dane użytkownika Przetwarzanie po stronie „czerwonej” - c.d. • Weryfikacja funkcji skrótu jest mechanizmem kontroli poprawności przekazu danych. • Payload pakietów składających się na kanały służy do wygenerowania strumienia IP. • Strumień IP generowany jest wyłącznie na bazie konfiguracji strony „czerwonej”. Najistotniejsze cechy • Gwarantowany, jednokierunkowy przepływ danych. • Separacja galwaniczna. • Separacja logiczna – żadna informacja o pochodzeniu danych nie jest przekazywana na stronę „czerwoną”; brak informacji o tym w jaki sposób dystrybuowana jest informacja po stronie „czerwoną”. Modele zastosowań Transmisja UDP lub TCP – jeden do jeden Transmisja wiele do wielu Modele zastosowań - c.d. Transmisja jeden do wielu Zastosowania • Strumienie – SNMP – SYSLOG – Audio / Video • Transfer – Plików i katalogów – Danych aplikacyjnych – np. dane giełdowe Rozwiązania: SNMP+SYSLOG SYSLOG SRV Sieć monitorowana SNMP TRAP SINK Rozwiązania: MONITORING CCTV Kamery IP Strumień wideo Strumień sterujący Rejestratory Stacja sterująca Rozwiązania: styk z systemami SCADA Użytkownicy Serwery danych Strumień danych z systemu produkcyjnego Industrial Network Corporate Network Supervisory Control And Data Acquisition Owl Dual Diode • Dwie karty PCI – ATM – Nadawcza – pozbawiona modułu odbiorczego. – Odbiorcza – pozbawiona modułu nadawczego. – Oprogramowanie. – Do 2,5Gbps. Przykład zastosowania „Multidioda” Trunk 802.1q ZONE A ZONE B ZONE C Solaris 10 w/zones Multidioda zbudowana w oparciu o Owl Dual Diode oraz maszyny Sun Fire pracujące pod kontrolą Solaris 10. Wykorzystanie Solaris Zones. Dziękuję za uwagę [email protected]