Oldalunk a zavartalan működéshez cookiekat (sütiket) használ, ment le az Ön gépére. Ezek használatát engedélyeznie kell böngészőjében.

A légrés biztonsága

IT business, 2010. 02. 09. kedd
Régi informatikai vicc, hogy egy hálózat biztonságát a külső fenyegetések ellen csak két centiméter légréteg tudja biztosítani: legalább ennyinek kell lennie a hálózati kábel és a csatlakozóaljzat között. Nos, van egy olyan eszköz, amely tulajdonképpen ezt az elvet ülteti át a gyakorlatba.

Egy modern szervezet nem működhet hatékonyan a rendelkezésére álló adatok és információk minél szélesebb körű gyűjtése, feldolgozása, tárolása és értékelése nélkül. Ugyanakkor az információ megfelelő védelme legalább annyira fontos követelmény, mint annak birtoklása és menedzselése. E két jelentős feladat egyidejű, magas színvonalú és kockázatmentes megvalósítása a mai napig problémát okoz számos vállalatnál, intézménynél.

A legtöbb esetben az adatok védelmét elkülönítés révén igyekeznek megoldani: a mindennapi munkamenetet biztosító rendszerek mellett létrehoznak egy, a külvilágtól teljes mértékben izolált információs rendszert (tipikusan egy számítógépes hálózatot).

A két rendszer közötti adatáramoltatás jellemző módon manuálisan történik valamilyen adathordozó (cd-lemez, usb-memória) használatával. Sajnos az ilyen megoldás sohasem biztosít valós idejű hozzáférést, és ami még fontosabb, számottevő biztonsági kockázattal is jár.

Adatok csak egy irányban

Az említett probléma kiküszöbölésének vágya, illetve a lehető legmagasabb védelem kialakításának igénye hozta létre az újszerűnek számító megoldást, az adatdiódát: olyan minősítésű eszközre volt szükség, amely hivatalos akkreditációs szervezet által tanúsított módon képes biztosítani egy védett szegmens és a publikus, nyílt hálózat közötti biztonságos adatáramlást.

A különleges hálózati eszköz – ahogy a nevében is benne van – a hagyományos dióda működési elvére épül, azaz kizárólag egyirányú kommunikációt biztosít. Az eszközt bármilyen „irányban” be lehet kötni a hálózatba (vagyis vagy küldi az adatokat a védett szegmens felé, vagy fogadja onnan), de a forgalom egy eszközön csak egy irányban haladhat. A dióda megőrzi a védett szegmens fizikai elválasztását, mégis képes kiszolgálni a magasabb biztonsági környezet információigényét valós időben, szabályozott módon és külső erőforrások bevonása nélkül.

Fizikai megvalósítását tekintve az adatdióda egy fizikai eszközből, valamint két, hozzá kapcsolódó szerverből és az azon futó szoftverekből áll. A két szerver a védett és a publikus hálózatok határán helyezkedik el, és az adatdiódán keresztül kommunikál egymással. Ez utóbbi tökéletes fizikai szeparációt biztosít a két hálózati szegmens között: belsejében egy optikai adó-vevő pár továbbítja a jeleket egy légrésen keresztül, így a két összekapcsolt hálózat között semmilyen galvanikus kapcsolat nem jön létre – ez a biztosítéka annak, hogy a védett szegmens létezésének a „nyílt” hálózatban semmilyen nyoma se legyen.

Ha tehát a publikus hálózatból küldünk valamit az adatdiódán keresztül a védett hálózatba, garantáltan biztosak lehetünk abban, hogy onnan semmi sem fog visszajönni. Így nem áll fönn annak a veszélye, hogy a hálózatba bejuttatott kémprogram, trójai segítségével adatokat lehet kilopni onnan: egyszerűen nincs kivezető út.

Ezek tudatában nem véletlen, hogy az eszköz – kategóriájában egyedüliként – a Common Criteria szerinti legmagasabb védelmi besorolással (EAL7+) rendelkezik.

Digitális trezor

Az ilyen védelemre számos helyen van szükség. Az adatdióda egyik legfontosabb felhasználási területét a katonai alkalmazások adják (kifejlesztésére is ilyen igények alapján került sor). Jellemző katonai példa a bevetésirányítási rendszer: az irányító tisztnek a belső, védett hálózatról kapott parancsokat továbbítania kell különféle nyílt hálózatok felé – anélkül, hogy ezzel esélyt adnának egy külső támadónak a védett hálózathoz való hozzáférésre.

Ezen kívül természetesen számtalan polgári célú felhasználása is elképzelhető. Jelenleg három fő felhasználási területe van az adatdiódának: a digitális archívum, az adatszolgáltatás és az extrém biztonságú tűzfal.

Az első az adatdiódának azt a tulajdonságát használja ki, hogy a védett szegmensbe küldött adat többé nem érhető el a forráshálózatból, így lehetővé válik egyfajta digitális trezor kialakítása. Olyan esetekben, amikor statikus jellegű, de bizalmas információt kell megőrizni, a tárolórendszerek elhelyezhetők az adatdióda mögött. (Ilyen jellegű adatok lehetnek kritikus naplóállományok, videomegfigyelő és telefonrögzítő rendszerek video- és hangfelvételei, archivált, de kritikus adatbázisok, esetleg ügyféladatbázisok.) Ezeknek az adatoknak a feltöltése folyamatosan történhet a nyílt hálózatból, a tárolt információkat viszont már csak a védett szegmensből lehet elérni.

Szolgáltat és véd

Egy másik terület az adatszolgáltatás: vannak olyan adatbázisok vagy állományok, amelyek sértetlenségét minden körülmények között meg kell őrizni. Ebben az esetben az adatdiódát „fordítva” kell alkalmazni, a védett adatok bármilyen formában történő módosítása ellen. Az éppen szükséges információk a védett adatbázisból átemelhetők a mindenki által elérhető munkahelyi hálózatba, a dióda viszont megakadályozza az adatok visszaírását, és így az információk esetleges nem kívánatos módosítását. Ilyesmire szükség lehet számlavezető rendszereknél, más banki tranzakciós adatbázisoknál, egyetemi-kutatói adatbázisoknál vagy éppen hr-rendszereknél.

Más, mint a tűzfal

Szokták az adatdiódákat a tűzfalakhoz is hasonlítani, de ez meglehetősen rossz analógia. Az adatkapcsolat védelmét ugyanis az adatdióda az OSI hálózati modell legalacsonyabb, fizikai szintjén valósítja meg; ennél még a tűzfalak is magasabb szinten működnek. Tűzfalak sorba kapcsolásával meg lehetne közelíteni az adatdióda működését, de az említett EAL7+ minősítési szintet ily módon nem lehet elérni.

Ebből adódóan viszont pluszfunkciókat nem is képes ellátni: nem biztosít vírusszűrést, nem titkosít. Ha az adatfolyamban benne vannak a kártevők, ezek átmennek az adatdiódán – de akkor sem lesznek képesek adatokat kijuttatni onnan. Ilyen értelemben az adatdióda nem váltja ki a hagyományos hálózati eszközöket és védelmi megoldásokat (víruskeresés, tartalomszűrés): azokkal összehangolva, rendszerben kell alkalmazni.

Végül a harmadik fontos felhasználási terület, amikor extrém biztonságú tűzfalként alkalmazzák az adatdiódát. Az államigazgatásban, a pénzügyi szektorban, de a versenyszférában is számtalan olyan szervezet, vállalat található, amely bizalmas adatokkal dolgozik, viszont adatszolgáltatási kötelezettsége van külső partnerek felé. Ilyen környezetekben a tűzfalakhoz hasonlóan az adatdióda is azt a feladatot látja el, hogy megakadályozza a betörési kísérleteket a megbízhatatlan hálózat felől. Az eszközt ebben az esetben is „fordítva” kell alkalmazni, vagyis az egyirányú kommunikáció a védett hálózatból a megbízhatatlan nyilvános hálózat felé irányul: ennek révén pedig tökéletesen blokkolja az internet felől érkező támadásokat.

Alkalmazások igény szerint

A fenti felhasználási területekhez szükség van speciális alkalmazásokra is, ugyanis a hagyományos hálózati protokollok – amelyek rendszerint rövid üzenetek ide-oda küldésével építik fel a kapcsolatot – nem használhatók az egyirányú adatdiódával. A szükséges funkcionalitást ezért a két oldalon kapcsolódó diódaszerverek és az azokon futó alkalmazások biztosítják.

Az öt legfontosabb alkalmazás a következő:

Állományátvitel. Biztosítja a fájlok biztonságos átemelését a forráshálózatból a célhálózatba. Az átvitel történhet eseményvezérelten vagy időzített rendszerességgel, maga az alkalmazás pedig integrálható külső tartalomszűrő és/vagy vírusirtó megoldással.

Adatfolyam-továbbítás. Ez tcp és udp protokollokon alapuló adatfolyamokat továbbít a hálózati szegmensek között. Az adatfolyam lehet biztonsági kamerák képe, hangrögzítő adata, naplózási adat vagy akár hírcsatorna (rss); ezeket – a dióda működési jellegéből adódóan – valós időben és alacsony késleltetéssel továbbítja, miközben naplózási és eseménykövetési képességekkel is rendelkezik.

Elektronikus levelek továbbítása.Segítségével megvalósítható a biztonságos elektronikus levelezés. Természetesen ez az alkalmazás is képes együttműködni tartalom- és vírusszűrőkkel, és kiterjedt naplózási és auditképességekkel rendelkezik.

Vágólap kezelése. A diódával együttműködve biztosítja a másolás/beillesztés típusú műveleteket: saját, úgynevezett dropbox-felületén keresztül a nyílt hálózaton lévő számítógépről képes a vágólap tartalmát a védett hálózat egy gépére eljuttatni.

Monitor- és billentyűzetátkapcsoló. Ez az adatdióda alapfunkcionalitásának kiterjesztése. Segítségével a védett hálózati szegmens felhasználója számára elérhetővé válnak a nyílt hálózat alkalmazásai. A két eltérő minősítésű hálózat alkalmazásainak kezelése egyetlen terminálról, vékonykliens-technológián keresztül lehetséges. A billentyűzetátkapcsoló a diódához hasonló hardveres megoldásokon keresztül biztosítja a kapcsolatot a két szegmens között. A munkamenetek terminálhoz eljutó adatainak útja továbbra is a diódán keresztül vezet a védett hálózatba. Bármilyen, már meglévő munkaállomáson használható, amely képes az X protokoll kezelésére. Windows és Linux rendszereket is támogat, valamint egy diódán keresztül több független átkapcsoló is használható.

Speciális igényekhez

Az alkalmazási területekből látszik, hogy az adatdióda nem olyan eszköz, amelyre minden vállalatnak szüksége lehet. Az elsődleges célcsoportot a következők alkotják: az államigazgatás (azon belül is kiemelten a rendvédelmi szervek és a honvédelem); a pénzügyi szolgáltatók; valamint minden olyan vállalat, amely számára az adatbiztonság elsőrendű fontosságú – gyógyszergyárak, erőművek, közművek, távközlési szolgáltatók.

A leendő felhasználói kört már a megoldás ára is szűkíti. Ez számos tényezőtől függ ugyan (alkalmazási területtől, a meglévő infrastruktúrától, a szükséges további komponensektől), de így is milliós nagyságrendű. Informatikai rendszerről lévén szó ez nem is annyira kirívóan magas, és mindenképpen a védendő adatok és rendszerek értékével kell összevetni.

Bevezetése igényel némi előzetes felmérést és tervezést. Mindenképpen oda kell figyelni arra, hogy az adatdiódát más biztonsági megoldásokkal együtt, rendszerben kell alkalmazni (lásd keretes írásunkat), mert csak így nyújt teljes értékű védelmet. Nagy előnye viszont, hogy telepítése után semmilyen karbantartásra és üzemeltetésre sincs szükség: a háttérben működve, csendben végzi a dolgát. Az első, Magyarországon telepített rendszerek már másfél éve működnek, és azóta még nem történt meghibásodás.

Mallász Judit–Schopp Attila