Diody danych - zabezpieczenie styków sieci z zastosowaniem

„Diody danych”
[email protected]
Na początek...
• Proponuję zapomnieć na chwilę, że
transmisja danych implikuje
potwierdzenia pakietów.
• Proponuję nie odnosić tematu
prezentacji do ogólnych zastosowań –
dziedzina jest dość wąska.
• Sugeruję założyć, że omawiane
rozwiązania znajdują rzeczywiście
zastosowanie.
Bezpieczeństwo
(tu: sieciowe)
• Nie daje się udowodnić.
• Zależne od wielu czynników:
– Prawidłowość oprogramowania –
brak (!) dziur.
– Struktura protokołów.
– Prawidłowość konfiguracji – czynnik
ludzki.
Dziedzina zainteresowania
• Środowiska, w których poufność
informacji ma krytyczne znaczenie.
• Strefy bezpieczeństwa.
• Styki sieci korporacyjnych i systemów
SCADA (elektrownie, rafinerie,
dystrybucja gazu, itp).
• Centra:
– Monitoringu
– Logów audytowych
• Ośrodki R&D
Ogólna zasada
Strefa
„niebieska”
(nadawcza)
Strefa
„czerwona”
(odbiorcza)
• Wyróżniamy dwie strefy, pomiędzy którymi
przepływ informacji może przebiegać tylko w
jednym kierunku.
• Jednokierunkowy przepływ informacji musi
być gwarantowany na poziomie fizycznym.
Dlaczego nie firewall?
• Jego działanie opiera się na konfiguracji
a nie fizyce.
• Wymaga wiedzy do prawidłowej,
zapewniającej „bezpieczeństwo”
konfiguracji.
• Potencjalnie posiada dziury
bezpieczeństwa.
• Komunikacja niesie ze sobą pewną
wiedzę na temat stron uczestniczących.
Co zapewnia „dioda danych”
• Całkowita separacja stron: nadawczej i
odbiorczej – ich działanie jest
niezależne.
• Komunikacja fizycznie realizowana
tylko w jednym kierunku.
• Brak informacji o stronach komunikacji
– przez diodę przenoszony jest tylko
payload pakietów.
• Separacja galwaniczna – brak emisji
elektromagnetycznej.
Styk ze „światem IP”
• Dioda danych implementowana jest w
oparciu o maszyny ze zwykłymi
interfejsami sieciowymi IP.
• Protokoły IP terminowane są na
maszynie „niebieskiej”, pełniącej rolę
serwera IP i równocześnie nadawczą w
ramach diody.
• Maszyna „czerwona”, odbiorcza w
ramach diody, pełni rolę klienta na
styku odbiorczym IP.
Ilustracja styku ze światem IP
Strumień UDP do
10.10.10.200:6000
10.10.10.1
192.168.1.10:2000
Strumień UDP do
192.168.1.10:2000
Serwer: 10.10.10.200:6000
Wysyłanie: kanał 222
Komunikacja jednokierunkowa
payload strumiwnia UDP
w kanale 222
Odbiór: kanał 222
Klient: 192.168.1.200
Przykład transmisji strumienia UDP
Transmisja danych przez
diodę
• Odbywa się jednokierunkowo.
• Realizowana „pakietami”, które tworzą
„kanały” (channels).
• Jedna „dioda” umożliwia transfer w
wielu kanałach.
• Kontrola poprawności przekazu jest
realizowana w oparciu o funkcje skrótu.
Przetwarzanie po stronie
„niebieskiej”
# Port
2000
2001
2002
SrcAddr
*
10.10.1.1
10.10.1.10
Channel
100
101
102
Pakiety IP
dtp
2000
dtp
2001
ch
100
dtp
2000
ch
101
dtp
2002
ch
100
Strumień „pakietów” w ramach „diody danych”
Payload – dane użytkownika
dtp
2002
ch
102
ch
102
Przetwarzanie po stronie
„niebieskiej” - c.d.
• Strumień danych po stronie
„niebieskiej” generowany jest
niezależnie od strony odbiorczej.
• Strona „niebieska” nie ma żadnej
informacji, czy po stronie odbiorczej
pracuje proces odbiorczy.
• W ramach diody przekazywany jest
wyłącznie payload pakietów IP,
informacje o kanałach oraz rezultaty
funkcji skrótu (kontrola poprawności).
Przetwarzanie po stronie
„czerwonej”
# Channel
100
101
102
DstAddr
192.168.10.30
192.168.10.31
192.168.20.255
Port
3100
3101
1234
# A
# B
# C
Strumień „pakietów” w ramach „diody danych”
ch
100
ch
101
dst
A
ch
100
dst
B
ch
102
dst
A
ch
102
dst
C
dst
C
Pakiety IP
Payload – dane użytkownika
Przetwarzanie po stronie
„czerwonej” - c.d.
• Weryfikacja funkcji skrótu jest
mechanizmem kontroli poprawności
przekazu danych.
• Payload pakietów składających się na
kanały służy do wygenerowania
strumienia IP.
• Strumień IP generowany jest wyłącznie
na bazie konfiguracji strony
„czerwonej”.
Najistotniejsze cechy
• Gwarantowany, jednokierunkowy
przepływ danych.
• Separacja galwaniczna.
• Separacja logiczna – żadna informacja o
pochodzeniu danych nie jest
przekazywana na stronę „czerwoną”;
brak informacji o tym w jaki sposób
dystrybuowana jest informacja po
stronie „czerwoną”.
Modele zastosowań
Transmisja UDP lub TCP – jeden do jeden
Transmisja wiele do wielu
Modele zastosowań - c.d.
Transmisja jeden do wielu
Zastosowania
• Strumienie
– SNMP
– SYSLOG
– Audio / Video
• Transfer
– Plików i katalogów
– Danych aplikacyjnych – np. dane
giełdowe
Rozwiązania: SNMP+SYSLOG
SYSLOG SRV
Sieć monitorowana
SNMP TRAP SINK
Rozwiązania: MONITORING
CCTV
Kamery IP
Strumień wideo
Strumień sterujący
Rejestratory
Stacja
sterująca
Rozwiązania: styk z systemami
SCADA
Użytkownicy
Serwery danych
Strumień danych z systemu produkcyjnego
Industrial Network
Corporate Network
Supervisory Control And Data Acquisition
Owl Dual Diode
• Dwie karty PCI – ATM
– Nadawcza –
pozbawiona modułu
odbiorczego.
– Odbiorcza –
pozbawiona modułu
nadawczego.
– Oprogramowanie.
– Do 2,5Gbps.
Przykład zastosowania
„Multidioda”
Trunk 802.1q
ZONE A
ZONE B
ZONE C
Solaris 10
w/zones
Multidioda zbudowana
w oparciu o Owl Dual Diode
oraz maszyny Sun Fire
pracujące pod kontrolą
Solaris 10. Wykorzystanie
Solaris Zones.
Dziękuję za uwagę
[email protected]