Taggat med: datadiod

Ny liten datadiod från Advenica: DD1G

Jag tog ett snack med Jens Bogarve som är produktchef på svenska säkerhetsföretaget Advenica om deras nya lilla datadiod DD1G. Denna nya datadiod ingår i serien SecuriCDS och jag har tidigare bloggat om den större versionen som heter DD1000A. Storleken på denna mindre datadiod är 130x20x150/163 mm.

1. Vad är skillnaden mellan DD1G och de större modellerna som ni säljer exempelvis DD1000A som jag bloggade om tidigare?

Det är samma datadiodsteknik i Advenicas DD1G som DD1000A och DD1000i, prestandan är oförändrad. Skillnaden ligger förutom storleken främst i hur strömförsörjningen hanteras, i D1000A finns det möjlighet att använda separerad kraft medan i DD1G är det redundant kraft.

2. Hur ser efterfrågan ut gällande dessa. Tänkte mig att det finns ett behov av dessa mindre datadioder

Platsbrist är ett problem i flera tillämpningar, en mindre datadiod har varit önskvärt hos flera av våra kunder. Priset har också varit en faktor för våra kunder som nu ser att dom kan utnyttja datadiodens säkerhet där det tidigare inte gått på grund av ekonomiska skäl.

Vi ser också att datadioder behövs i industriellmiljö, till exempel i SCADA-nätverk, därav att vi har tagit fram en modell för DIN-skenemontage. Datadioderna blir mer och mer anpassade för den miljö dom är tänkta att verka i.

3. Kan du säga något om priset eller om hur mycket billigare denna version är jämfört med de större modellerna?

Listpriset för denna enhet är 31 448 SEK (€2995).

4. Förutom själva datadioden, vilka funktioner är det som efterfrågas som dioden ska lösa? Överföring av loggar? Patchar? Video?

Advenica

Överföring av loggar och video är bra exempel på vad Advenicas DD1G kan användas till. Genom att använda någon form av proxy-server kan andra protokoll tillgodoses. DD1G agerar på Ethernet Layer 2 vilket innebär att omgivande system måste vara anpassade för enkelriktad kommunikation, till exempel genom att använda UDP.

Advenicas datadiod DD1000i har inbyggda proxy-servrar för att hantera filöverföring, email, tid och loggar.

5. Vilka branscher är det som börjar få upp ögonen för datadioder, tänker mig att organisationer inom försvarsindustri alltid varit kunder men att dioder kan användas inom många andra branscher såsom sjukvård och kryptovalutor?

Försvarsmakter hos olika länder och myndigheter är fortfarande de största användarna av datadioder. Transport, eldistribution och V/A, men även finansiella och industriella företag, ser numera fördelarna med datadioder ur ett säkerhets och ackrediteringsperspektiv.

Det är ofta branscher som berörs av säkerhetsskyddslagen som behöver bevisa enkelriktningen i informationsflödet och segmenteringen mellan olika nätverk. Största fördelen med att använda en datadiod är att den inte går att konfigurera fel så att information läcker i fel riktning, därmed blir ackrediteringsarbetet betydligt enklare.

Produktblad finner du här samt mer information på Advenicas hemsida.

Faktaruta datadiod

En datadiod säkerställer att data enbart kan skickas i ena riktningen. Detta behövs när information ska skickas mellan nätverk i olika säkerhetszoner eller säkerhetsklasser.

Skiss från en presentation som FRA höll för några år sedan:

Test av Advenica datadiod SecuriCDS DD1000A

Datadioder är relativt simpla tekniska lösningar för att överföra data mellan två separata nätverk. Dioden ser till att kommunikation enbart kan genomföras åt det ena hållet mellan nätverken.

Tidigare har jag testat datadioden AROW från brittiska företaget Somerdata som du kan läsa om här.

Men denna gång har fått låna en datadiod från svenska företaget Advenica som har en produktserie vid namn SecuriCDS (CDS står för Cross Domain Solutions). Den mindre datadioden jag har lånat går under namnet DD1000A. Denna diod har en storebror som heter DD1000i som har ett antal extra funktioner såsom proxy-inspektion.

För att förevisa hur en datadiod kan kopplas in så har jag tagit ett exempel från en presentation från FRA:

Denna datadiod som jag har testat har blivit godkänd av Försvarsmakten till komponentassuransnivå N3, vilket är den näst högsta nivån och enligt Försvarsmaktens militära underrättelse- och säkerhetstjänst, MUST defineras N3-nivån enligt följande:

”MUST kan godkänna produkter vars funktionalitet helt eller till huvudsak syfta till att uppfylla IT-säkerhetskrav till N3. Alternativt kan produkten vara så modulärt uppbyggd att säkerhetsfunktionaliteten enkelt kan avgränsas och evalueras i enskildhet. Komponentutvecklaren ska bistå granskningen med allt granskaren behöver, såsom dokumentation och tillgång till relevanta resurser, t.ex. personal och testmiljö. Komponentutvecklaren ska visa att allt arbete med produkten styrs av en utförlig säkerhetsprocess som omfattar hela produktens livscykel.”

När jag testar datadioden så stöter jag på två problem: Det första är att den enbart pratar gigabit-hastighet och måste således hitta en enhet som jag kan ansluta på insidan samt utsidan som stödjer detta.

Andra problemet jag stöter på är att den enbart skickar vidare data på Layer 2 (ethernet) nivå. Således måste allt som skickas via den först konverteras till ett protokoll för enkelriktad kommunikation såsom UDP. Som tur är så finns det minst en open-source mjukvara för detta, udp-sender (–async). För den med utvecklingskunskap eller budget kan man givetvis utveckla detta själv specifikt för den information man vill överföra.

Att enheten inte har någon inbyggd proxy-funktionalitet är givetvis bra för säkerheten och något som jag anser är bättre att bygga in i fristående komponenter och därmed bygga sin säkerhet modulärt.

Advenica berättar att ingen information i enheten kan gå i backriktningen och att det bygger på flera lager av säkerhet, bland annat en optisk fiber med endast sändare på ena sidan, och endast mottagare på den andra sidan.

Vilket kan förevisas lättast genom följande övergripande illustration:

Sammanfattning

Jobbar du på en organisation som anser att säkerhet är viktigt bör du ha en datadiod som separationsfunktion mellan olika segment i nätverket. Men att slentrianmässigt installera en diod tycker jag är felaktigt, utan bör föregås av en analys.

Det kanske är så att ni i dagsläget har ett fysiskt åtskilt nätverk, då kan en diod exempelvis användas för att skicka loggar till ett loggnätverk. Eller att ni har videoutrustning såsom kameror som står i utsatta positioner och behöver skicka in videoströmmar.

Jag har inte tittat på redundans och failover i denna utvärdering. Men rekommenderar att införskaffa två SecuriCDS DD1000A om du ska bygga en lösning som ska ha hög tillgänglighet.

Andra datadioder förutom Arow från Somerdata är Arbit Data diod, Fox it datadiode, Thales ELIPS-SD, Secunet SINA OneWay, DIY och QinetQ SyBard.

Test av Arow Datadiod från Somerdata

Somerdata är ett brittiskt företag som gör en mängd olika produkter som används av polismyndigheter och militär främst, världen runt. Jag fick låna deras produkt AROW som är en datadiod som används för säker överföring mellan två nätverk där hög assurans är viktig.

Arow Somerdata datadiod

Och med säker syftar jag på att det är fysiskt omöjligt att överföra data åt ena hållet. Detta uppnås genom att använda en fiber som enbart medger envägskommunikation. AROW står för Advanced Reliable Optical Wormhole och priset ligger runt 70000 SEK utan redundans.

Förutom intom polis och militär så är även denna produkt populär inom industriella kontrollsystem (ICS/SCADA) där nätverk ska separeras från exempelvis internet.

AROW har fyra stycken portar där Gigabit-ethernet kan anslutas. Två av dessa portar används för konfigurering och övervakning samt konfigureras via webbgränssnitt eller telnet.

Arow data dioide

Med hjälp av socat och en egen utvecklad programvara vid namn AROWBFTP så är det möjligt att överföra webbsidor, streamad video, filer, antivirus-uppdateringar samt E-post direkt via denna envägs-gateway. Det här är en produkt för dig som vill separera känsliga/klassificerade nätverk men ändå vill ha möjlighet att ta in information.

Förutom med eller utan redundans så finns AROW även S eller G-versionen. G-versionen har möjlighet att kontrollera att överförd data är korrekt och är den ej det så kan den begära omsändning, vilket så klart också öppnar upp för en kanal ut. Somerdata rekommenderar således ej G-versionen att användas i högsäkerhetsnätverk.

 

datadiod Blockdiagram Arow Datadiod

Även så säljer svenska företaget Advenica en produkt med likvärd funktionalitet vid namn SecuriCDS. Och Fibersystem har en datadiod vid namn 50-800.

För just detta märke som vi testat är Peelit återförsäljare i Sverige.

Installation av datadioden

Med hjälp av de två fysiska ethernet-portar som är märkta Control så kan vi logga in via telnet eller ett webbgui för att sätta IP-adresser till de olika portarna. När detta är klart är det bara att ansluta på data-porten och koppla upp en tcp-socket på respektive sida.

Det går även att få ut enklare statistik från control-porten.

Sammanfattning Somerdata datadiod

Fördelar: Inspekterbar kod eftersom majoriteten går via python. Snabb och enkel att använda och komma igång. Dataportarna har liten exponeringsyta, svarar inte på ping och har inga andra öppna portar exempelvis.

Nackdelar: Stor exponeringyta på kontrollporten. Ej separata nätaggregat för delad ström som kan gå mot olika faser exempelvis. Går att fingerprinta från Internet.

Somerdatas datadiod får 4 av 5 enigmor:

enigma