Taggat med: SecuriCDS

Test av Advenica datadiod SecuriCDS DD1000A

Datadioder är relativt simpla tekniska lösningar för att överföra data mellan två separata nätverk. Dioden ser till att kommunikation enbart kan genomföras åt det ena hållet mellan nätverken.

Tidigare har jag testat datadioden AROW från brittiska företaget Somerdata som du kan läsa om här.

Men denna gång har fått låna en datadiod från svenska företaget Advenica som har en produktserie vid namn SecuriCDS (CDS står för Cross Domain Solutions). Den mindre datadioden jag har lånat går under namnet DD1000A. Denna diod har en storebror som heter DD1000i som har ett antal extra funktioner såsom proxy-inspektion.

För att förevisa hur en datadiod kan kopplas in så har jag tagit ett exempel från en presentation från FRA:

Denna datadiod som jag har testat har blivit godkänd av Försvarsmakten till komponentassuransnivå N3, vilket är den näst högsta nivån och enligt Försvarsmaktens militära underrättelse- och säkerhetstjänst, MUST defineras N3-nivån enligt följande:

”MUST kan godkänna produkter vars funktionalitet helt eller till huvudsak syfta till att uppfylla IT-säkerhetskrav till N3. Alternativt kan produkten vara så modulärt uppbyggd att säkerhetsfunktionaliteten enkelt kan avgränsas och evalueras i enskildhet. Komponentutvecklaren ska bistå granskningen med allt granskaren behöver, såsom dokumentation och tillgång till relevanta resurser, t.ex. personal och testmiljö. Komponentutvecklaren ska visa att allt arbete med produkten styrs av en utförlig säkerhetsprocess som omfattar hela produktens livscykel.”

När jag testar datadioden så stöter jag på två problem: Det första är att den enbart pratar gigabit-hastighet och måste således hitta en enhet som jag kan ansluta på insidan samt utsidan som stödjer detta.

Andra problemet jag stöter på är att den enbart skickar vidare data på Layer 2 (ethernet) nivå. Således måste allt som skickas via den först konverteras till ett protokoll för enkelriktad kommunikation såsom UDP. Som tur är så finns det minst en open-source mjukvara för detta, udp-sender (–async). För den med utvecklingskunskap eller budget kan man givetvis utveckla detta själv specifikt för den information man vill överföra.

Att enheten inte har någon inbyggd proxy-funktionalitet är givetvis bra för säkerheten och något som jag anser är bättre att bygga in i fristående komponenter och därmed bygga sin säkerhet modulärt.

Advenica berättar att ingen information i enheten kan gå i backriktningen och att det bygger på flera lager av säkerhet, bland annat en optisk fiber med endast sändare på ena sidan, och endast mottagare på den andra sidan.

Vilket kan förevisas lättast genom följande övergripande illustration:

Sammanfattning

Jobbar du på en organisation som anser att säkerhet är viktigt bör du ha en datadiod som separationsfunktion mellan olika segment i nätverket. Men att slentrianmässigt installera en diod tycker jag är felaktigt, utan bör föregås av en analys.

Det kanske är så att ni i dagsläget har ett fysiskt åtskilt nätverk, då kan en diod exempelvis användas för att skicka loggar till ett loggnätverk. Eller att ni har videoutrustning såsom kameror som står i utsatta positioner och behöver skicka in videoströmmar.

Jag har inte tittat på redundans och failover i denna utvärdering. Men rekommenderar att införskaffa två SecuriCDS DD1000A om du ska bygga en lösning som ska ha hög tillgänglighet.

Andra datadioder förutom Arow från Somerdata är Arbit Data diod, Fox it datadiode, Thales ELIPS-SD, Secunet SINA OneWay, DIY och QinetQ SyBard.

Test av Arow Datadiod från Somerdata

Somerdata är ett brittiskt företag som gör en mängd olika produkter som används av polismyndigheter och militär främst, världen runt. Jag fick låna deras produkt AROW som är en datadiod som används för säker överföring mellan två nätverk där hög assurans är viktig.

Arow Somerdata datadiod

Och med säker syftar jag på att det är fysiskt omöjligt att överföra data åt ena hållet. Detta uppnås genom att använda en fiber som enbart medger envägskommunikation. AROW står för Advanced Reliable Optical Wormhole och priset ligger runt 70000 SEK utan redundans.

Förutom intom polis och militär så är även denna produkt populär inom industriella kontrollsystem (ICS/SCADA) där nätverk ska separeras från exempelvis internet.

AROW har fyra stycken portar där Gigabit-ethernet kan anslutas. Två av dessa portar används för konfigurering och övervakning samt konfigureras via webbgränssnitt eller telnet.

Arow data dioide

Med hjälp av socat och en egen utvecklad programvara vid namn AROWBFTP så är det möjligt att överföra webbsidor, streamad video, filer, antivirus-uppdateringar samt E-post direkt via denna envägs-gateway. Det här är en produkt för dig som vill separera känsliga/klassificerade nätverk men ändå vill ha möjlighet att ta in information.

Förutom med eller utan redundans så finns AROW även S eller G-versionen. G-versionen har möjlighet att kontrollera att överförd data är korrekt och är den ej det så kan den begära omsändning, vilket så klart också öppnar upp för en kanal ut. Somerdata rekommenderar således ej G-versionen att användas i högsäkerhetsnätverk.

 

datadiod Blockdiagram Arow Datadiod

Även så säljer svenska företaget Advenica en produkt med likvärd funktionalitet vid namn SecuriCDS. Och Fibersystem har en datadiod vid namn 50-800.

För just detta märke som vi testat är Peelit återförsäljare i Sverige.

Installation av datadioden

Med hjälp av de två fysiska ethernet-portar som är märkta Control så kan vi logga in via telnet eller ett webbgui för att sätta IP-adresser till de olika portarna. När detta är klart är det bara att ansluta på data-porten och koppla upp en tcp-socket på respektive sida.

Det går även att få ut enklare statistik från control-porten.

Sammanfattning Somerdata datadiod

Fördelar: Inspekterbar kod eftersom majoriteten går via python. Snabb och enkel att använda och komma igång. Dataportarna har liten exponeringsyta, svarar inte på ping och har inga andra öppna portar exempelvis.

Nackdelar: Stor exponeringyta på kontrollporten. Ej separata nätaggregat för delad ström som kan gå mot olika faser exempelvis. Går att fingerprinta från Internet.

Somerdatas datadiod får 4 av 5 enigmor:

enigma