AGENCJA BEZPIECZEŃSTWA WEWNĘTRZNEGO DEPARTAMENT. ppłk mgr inż. Robert KOŚLA ABW TELEINFORMATYCZNEGO

Transkrypt

1 Bezpieczeństwo połączeń międzysystemowych i międzysieciowych w kontekście ochrony informacji niejawnych ppłk mgr inż. Robert KOŚLA JAWNE 1

2 AGENCJA Główne zagadnienia prezentacji Problemy i dylematy w użytkowników przy połączeniach miedzysieciowych Regulacje prawne w dotyczące łączenia systemów i sieci przetwarzających informacje niejawne - podstawowe wymagania bezpieczeństwa teleinformatycznego Przykładowe rozwiązania w dziedzinie przepływu jednokierunkowego i wykorzystania maszyn wirtualnych JAWNE 2

3 Problemy Konieczność korzystania z zasobów sieci publicznych w szczególności Internetu Dostęp do wielu sieci przetwarzających informacje oznaczone różnymi klauzulami tajności przy utrzymaniu wymaganego poziomu izolacji pomiędzy tymi sieciami Oczekiwania użytkowników w zakresie pełnej separacji lub kontrolowanego przepływu danych pomiędzy sieciami JAWNE 3

4 Stały dylemat: Jak użytkownicy sieci niejawnych mogą korzystać z zasobów sieci publicznych? JAWNE 4

5 Dotychczasowy scenariusz 1 Oddzielne stacje robocze podłączone do różnych sieci przenoszenie danych za pomocą nośników ( air gap :) JAWNE 5

6 Dotychczasowy scenariusz 2 Oddzielne stacje robocze podłączone do różnych sieci korzystające z przełącznika (np. KVM) w dostępie do pojedynczej klawiatury, monitora i innych urządzeń peryferyjnych JAWNE 6

7 Potrzeby korzystania z sieci publicznych i połączeń miedzysieciowych Poczta elektroniczna Dostęp do otwartych źródeł informacji za pomocą WWW Bezpośrednia komunikacja transmisja głosu i obrazu Handel elektroniczny w sieci Internet Mały koszt i duża dostępność sieci Internet JAWNE 7

8 Bezpieczeństwo w sieciach publicznych (1/2) Fakt niskiego poziomu bezpieczeństwa sieci publicznych jest powszechnie znany Typowy ruch w sieciach publicznych jest przekazywany w sposób jawny Transmisja prowadzona jest z wykorzystaniem standardowych formatów i publicznych protokołów realizowana poprzez urządzenia aktywne publicznie dostępne i w wielu wypadkach prawie niekontrolowane Takie warunki powodują narażenie na wiele form ataku JAWNE 8

9 Bezpieczeństwo w sieciach publicznych 2/2 Podsłuch nieszyfrowanych informacji w sieciach jest trywialny i nawet przy zastosowaniu pewnych form ochrony kryptograficznej źródło i adresat pozostają widoczni Zidentyfikowanie uczestników transmisji elektronicznej nie jest trudne nawet przy zapewnieniu ochrony jej treści Stosunkowo łatwo jest generować pakiety z fałszywym adresem źródłowym umożliwiające nieuprawnionym użytkownikom dostęp podszywając się pod uprawnionych użytkowników Niechronione wiadomości mogą być w sposób niewykrywalny modyfikowane podczas przekazywania w sieci i stosowane do przeprowadzania ataków DoS (denial of service) JAWNE 9

10 Zabezpieczenia stosowane w połączeniach miedzysieciowych 1/3 Uwierzytelnienie w sieci kryptografia asymetryczna SSL - Secure Sockets Layer uwierzytelniony dostęp do aplikacji Szyfrowanie w sieci szyfrowanie sesji nawiązywanych pomiędzy komponentami sieci (np. przeglądarką a serwerem WWW) podczas transmisji cała informacja jest chroniona kryptograficznie, ale na stanowiskach występuje w postaci jawnej szyfratory warstwy sieciowej IP - chronią zawartość pakietów i maskują adresy wewnętrzne chronionej sieci JAWNE 10

11 Zabezpieczenia stosowane w połączeniach miedzysieciowych 2/3 Ochrona haseł dostępu stosowanie haseł jednorazowych Ochrona stacji roboczych blokowanie aktywnych kodów (np. cookies, Java, ActiveX) Ochrona poczty elektronicznej kryptografia symetryczna do zapewnienia poufności treści kryptografia asymetryczna do wymiany kluczy symetrycznych i uwierzytelnienia Ochrona serwerów sieciowych właściwa konfiguracja systemu operacyjnego i narzędzi sieciowych JAWNE 11

12 Zabezpieczenia stosowane w połączeniach miedzysieciowych 3/3 Zabezpieczenie styku z siecią zapory sieciowe systemy wykrywania włamań narzędzia analizy bezpieczeństwa JAWNE 12

13 Połączenia międzysieciowe Wymiana danych dial-up stałe łącze separacja logiczna separacja fizyczna Ograniczone i autoryzowane usługi sieci zewnętrznych dostępne z poziomu sieci wewnętrznych W pełni funkcjonalne połączenia sieci wewnętrznych z sieciami zewnętrznymi JAWNE 13

14 Co mówią przepisy dotyczące ochrony informacji niejawnych w Polsce? JAWNE 14

15 Ochrona informacji niejawnych w systemach i sieciach teleinformatycznych Ustawa z dn o ochronie informacji niejawnych - rozdział X (Dz.U. 11/1999 poz. 95) ustawa z dnia 15 kwietnia 2005 r. o zmianie ustawy o ochronie informacji niejawnych oraz niektórych innych ustawach (Dz.U. nr 85 poz. 727 z 16 maja 2005 r.) Rozporządzenie Prezesa RM z dn w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U. nr 05 poz 171 z 08 września 2005 r.) JAWNE 15

16 Wymagania podstawowe Bezpieczeństwo teleinformatyczne zapewnia się: chroniąc informacje przetwarzane w systemach i sieciach teleinformatycznych przed utratą właściwości gwarantujących to bezpieczeństwo, w szczególności przed utratą poufności, dostępności i integralności przed rozpoczęciem oraz w trakcie przetwarzania informacji niejawnych w systemie lub sieci teleinformatycznej JAWNE 16

17 Odpowiedzialność kierownika jednostki za bezpieczeństwo teleinformatyczne Kierownik jednostki organizacyjnej: zapewnia opracowanie dokumentacji bezpieczeństwa teleinformatycznego realizuje ochronę fizyczną, elektromagnetyczną i kryptograficzną systemu lub sieci teleinformatycznej zapewnia niezawodność transmisji oraz kontrolę dostępu do urządzeń systemu lub sieci teleinformatycznej dokonuje analizy stanu bezpieczeństwa teleinformatycznego oraz zapewnia usunięcie stwierdzonych nieprawidłowości zapewnia przeszkolenie z zakresu bezpieczeństwa teleinformatycznego dla osób uprawnionych do pracy w systemie lub sieci teleinformatycznej zawiadamia właściwą służbę ochrony państwa o zaistniałym incydencie bezpieczeństwa teleinformatycznego dotyczącym informacji niejawnych oznaczonych co najmniej klauzulą "poufne" JAWNE 17

18 Podstawowe wymagania wynikające z Rozporządzenia Prezesa RM 1/2 Przekazywanie informacji niejawnych w formie transmisji poza strefę kontrolowanego dostępu wymaga ochrony kryptograficznej - 7ust.2 Niezawodność transmisji polega na zapewnieniu integralności i dostępności informacji niejawnych przekazywanych w systemach lub sieciach teleinformatycznych - zapewnia się ją w szczególności przez wykorzystywanie zapasowych łączy telekomunikacyjnych 8 ust JAWNE 18

19 Podstawowe wymagania wynikające z Rozporządzenia Prezesa RM 2/2 W celu zapewnienia kontroli dostępu do systemu lub sieci teleinformatycznej - 9 ust. 1: 1. kierownik jednostki organizacyjnej lub osoba przez niego upoważniona ustala warunki i sposób przydzielania uprawnień osobom uprawnionym do pracy w systemie lub sieci teleinformatycznej 2. administrator systemów określa warunki oraz sposób przydzielania tym osobom kont oraz mechanizmów kontroli dostępu, a także zapewnia ich właściwe wykorzystanie JAWNE 19

20 Podstawowe wymagania wynikające z Rozporządzenia Prezesa RM 2/2 System lub sieć teleinformatyczną wyposaża się w mechanizmy kontroli dostępu odpowiednie do klauzuli tajności informacji niejawnych w nich przetwarzanych. - 9 ust JAWNE 20

21 Połączenia międzysieciowe w NATO JAWNE 21

22 Scenariusze wykorzystania sieci publicznych w NATO W NATO istnieje zapotrzebowanie operacyjne na bezpieczny dostęp do sieci publicznych w celu: wymiany informacji z mobilnymi użytkownikami NATO poprawy wymiany informacji pomiędzy NATO, przedstawicielstwami krajów członkowskich i Partnerami oraz wewnątrz samych struktur NATO współpraca z przemysłem i udział w handlu elektronicznym, w projektach takich jak NATO BuyLine and ebid dostęp do i umieszczanie danych na publicznych i prywatnych serwerach NATO JAWNE 22

23 NATO CIS Policy Statement on the use of Internet (AC/322-D/0027 Rev. 1) Zawiera podstawy wykorzystywania przez NATO sieci Internet w bezpieczny, efektywny i opłacalny sposób Określa, że we wszystkich przypadkach wykorzystywania sieci Internet należy opracowywać dokument Wymagań Bezpieczeństwa definiujący sposób realizacji połączeń z systemami przetwarzającymi informacje oznaczone klauzulą NATO UNCLASSIFIED lub NATO RESTRICTED JAWNE 23

24 Trzy wykorzystywane modele połączeń połączenia otwarte Pojedyncze stanowiska podłączone do sieci Internet, chronione za pomocą oprogramowania antywirusowego, bez dodatkowych zabezpieczeń sprzętowych Wykorzystywane do przetwarzania informacji NATO UNCLASSIFIED releasable for Internet transmission i w dostępie do wszystkich usług sieci Internet 1.NATO SIDE 1.INTERNET 1.NU RELEASABLE FOR INTERNET TRANSMISSION JAWNE 24

25 Trzy wykorzystywane modele połączeń połączenia kontrolowane Akredytowane do przetwarzania informacji NATO UNCLASSIFIED lub NATO RESTRICTED sieci lokalne podłączone do sieci Internet z wykorzystaniem dopuszczonych zabezpieczeń styku Dostęp do sieci Internet ze stacji roboczych tej sieci lokalnej umożliwia korzystanie tylko z autoryzowanych usług (np. poczta elektroniczna, pobieranie informacji), dla których uzasadniono potrzeby i wsparto procedurami bezpiecznej eksploatacji 1.NATO SIDE 1.BPS 1.INTERNET 1.NATO UNCLASSIFIED OR NATO RESTRICTED JAWNE 25

26 Trzy wykorzystywane modele połączeń połączenia tunelowane 1.NATO SIDE 1.IP Crypto 1.BPS 1.NATO TS or NS or NC or NR or NU 1.INTERNET 1.NATO SIDE 1.IP Crypto 1.BPS 1.NATO TS or NS or NC or NR or NU JAWNE 26

27 NATO PKI w sieci rozległej NGCS klauzula NU i NR Użytkownicy NPKI przetwarzający informacje oznaczone klauzulą NATO UNCLASSIFIED/RESTRICTED będą obsługiwani przez infrastrukturę udostępnianą w systemie NGCS (NATO General Communication System), akredytowanym do poziomu NATO RESTRICTED, z wykorzystaniem sieci Internet jako szkieletu transportowego JAWNE 27

28 Dyrektywa Interconnection of Networks Grupa robocza Interconnection of Networks AHWG (ICN AHWG) opracowała zbiór dokumentów definiujących zasady realizacji połączeń międzysieciowych w następujących scenariuszach NATO NATO NATO kraj członkowski NATO organizacja międzynarodowa NATO Internet lub inne sieci publiczne W dyrektywie i opracowywanych załącznikach omówione zostały zagrożenia, podatności, podstawowe zasady i minimalne wymagania bezpieczeństwa połączeń międzysystemowych JAWNE 28

29 Aneks III do Dyrektywy ICN NATO połączenia NU i NR z sieciami publicznymi (1/2) Aneks ten zawiera opis wymagań bezpieczeństwa połączeń różnych typów systemów NATO z siecią Internet w tym np.: komputerów przenośnych, m.in. notebooków i laptopów wielkich systemów NATO (w tym mission critical systems) pojedynczych stacji roboczych systemów NATO prezentujących informacje publiczne komputerów przenośnych łączących się za pośrednictwem sieci Internet z macierzystymi systemami NU lub NR komputerów przenośnych łączących z siecią Internet wykorzystując usługę dial-up lub za pośrednictwem usług chronionych przez dopuszczone w NATO urządzenia zabezpieczające (BPD Boundary Protection Devices) Aneks nie definiuje wymagań w zakresie podłączania urządzeń typu Personal Digital Assistant (PDA) JAWNE 29

30 Aneks III do Dyrektywy ICN NATO połączenia NU i NR z sieciami publicznymi (2/2) Wartość zasobów systemów NATO określa minimalny zbiór wymagań bezpieczeństwa, które muszą być stosowane do ochrony informacji oznaczonych klauzulą NATO UNCLASSIFIED lub NATO RESTRICTED Rezultat przeprowadzonego oszacowania ryzyka oraz decyzje w zakresie zarządzania ryzykiem zatwierdzone przez Władzę Akredytacji Bezpieczeństwa określa kategorię, do której zaliczony zostanie dany system NATO Przy szacowaniu ryzyka brana jest pod uwagę klauzula tajności, operacyjne znaczenie systemu, wymagania w zakresie dostępności i integralności, ilość zagregowanych danych JAWNE 30

31 Aneks III do Dyrektywy ICN NATO podstawowe założenia System NATO został akredytowany do przetwarzania informacji oznaczonych klauzulą NATO UNCLASSIFIED lub NATO RESTRICTED Za eksploatację i administrowanie połączeniem systemu odpowiada cywilny lub wojskowy organ NATO System NATO spełnia wymagania dyrektywy Directive on Computer and Local Area Network Security System NATO spełnia wymagania zawarte w Technical and Implementation Directive on the Use of the Internet for the secure Transmission of NATO Information JAWNE 31

32 Przykładowe rozwiązania w zakresie kontrolowanej transmisji jednokierunkowej JAWNE 32

33 Opracowanie Agencji NC3A - High Speed Ethernet Diode Potrzeby NATO w zakresie pobierania informacji ze źródeł w sieci Internet lub za jej pośrednictwem Agencja NC3A opracowała High Speed Ethernet Diode (HiSED) wykorzystującą 100 Mbit/s protokół Ethernet zapewniającą jednokierunkowy kontrolowany przepływ danych zabezpieczoną pod kątem ochrony elektromagnetycznej JAWNE 33

34 Potencjalne zastosowania Transfer dużych plików (np. z otwartych źródeł wywiadowczych) Replikacja danych z systemów o niższej klauzuli tajności Pobieranie danych meteorologicznych Allied Environmental Support System Replikacja stron WWW w celu ich przeglądania w sieciach niejawnych brak trybu interaktywnego i kodów aktywnych JAWNE 34

35 Implementacja High Speed Ethernet Diode High Speed Ethernet Diode nie jest kompletnym systemem, a jedynie fizycznym zabezpieczeniem jednokierunkowego przepływu danych Implementacja wymaga zastosowania dodatkowych aplikacji m.in. w zakresie kontroli zawartości przekazywanych danych NC3A opracowała system transmisji plików wykorzystujący High Speed Ethernet Diode kontrola po obu stronach łącza kontrola dostępu do funkcji transmisji kontrola antywirusowa filtrowanie treści JAWNE 35

36 AGENCJA Wygląd zewnętrzny High Speed Ethernet Diode Widoczne zabezpieczenia fizyczne, uchwyty do szafy 19 i oznaczenia stron połączenia JAWNE 36

37 FOX Bezpieczny gateway filtrujący - THALES Communications (Francja) JAWNE 37

38 FOX - Filtre Obligatoire externe Filter - mandatory & external - System niższego poziomu LLS System wyższego poziomu - HLS Filtrowanie Zagrożenia Ujawnienie informacji Utrata dostępności i integralności JAWNE 38

39 FOX Informacje wstępne FOX został opracowany w THALES Communications dla francuskich sił zbrojnych zlecenie Délégation Générale pour l Armement (DGA) Został certyfikowany do poziomu E4 wg kryteriów ITSEC Został dopuszczony do zabezpieczenia połączeń pomiędzy sieciami akredytowanymi do różnych poziomów tajności JAWNE 39

40 Architektura sprzętowa 2 niezależne jednostki filtrujące połączone szybkim łączem Urządzenie nadzorujące 2 łącza Fast-Ethernet Urządzenie filtrujące HLS LLS Dwa interfejsy 10/100 Mbit/s Ethernet JAWNE 40

41 Analiza ruchu i filtrowanie Analiza i filtrowanie danych Data 4 Nadzór filtrowania Złożenie danych Data 4 TCP Data Analiza i filtrowanie TCP TCP Data 3 3 IP Data Analiza i filtrowanie IP IP Data ETH Data FCS ETH Data FCS JAWNE 41

42 Podstawowe funkcje Filtrowanie protokołów IP, TCP, UDP na łączach Ethernet Filtrowanie protokołów w warstwie aplikacji transfer plików (FTP) poczta elektroniczna (SMTP) aplikacje sieci Web (HTTP) usługi domenowe (DNS) Filtr zewnętrzny (LDAP, X400, ) Kontrola ukrytych kanałów TCP/IP Uwierzytelnienie sesji telnet Translacja adresów IP Zaawansowanae funkcje rejestracji zdarzeń i audytu Lokalne zarządzanie i konfiguracja JAWNE 42

43 Realizacja polityki bezpieczeństwa Dane za pośrednictwem FOX mogą wymieniać tylko autoryzowane aplikacje transfer plików poczta elektroniczna aplikacje sieci Web zdalne sesje Każdy z filtrów może być konfigurowany niezależnie JAWNE 43

44 Definiowanie polityk filtrowania Definiowanie Filtrów podstawowych dla każdej konfiguracji filtrowania Każdy Filtr Podstawowy posiada nazwę i zawiera: stosowany poziom bezpieczeństwa (średni, wysoki, bardzo wysoki, brak transmisji) listę autoryzowanych aplikacji wskazanie modułu filtrującego dla każdej z autoryzowanych aplikacji Polityka filtrowania definiowana jest poprzez listę reguł Nazwa domeny systemu wyższego poziomu (HLS) - Nazwa domeny systemu niższego poziomu (LLS) Filtr Podstawowy JAWNE 44

45 Cztery poziomy filtrowania 1/3 Brak transmisji bez wymiany danych pomiędzy HLS a LLS Tryb 1 ruting IP Kontrola protokołów Internetowych: IP, TCP, UDP, ICMP Filtrowanie protokołów (datagramy UDP mogą być odbierane lub odrzucane) Filtrowanie adresów IP i numerów portów TCP / UDP Filtrowanie wiadomości ICMP Ograniczanie fragmentacji IP podzielone datagramy IP mogą być odrzucane JAWNE 45

46 Cztery poziomy filtrowania 2/3 Tryb 2 Poziom wysoki Kontrola protokołów internetowych wszystkie jak w Trybie 1 Filtrowanie danych przekazywanych poprzez TCP lub UDP dane aplikacji wymieniane podczas sesji FTP, SMTP, HTTP lub DNS są: silnie analizowane (analiza syntaktyczna lub weryfikacja przepływu) niekontrolowane, w zależności od zdefiniowanej polityki filtrowania zaawansowane funkcje rejestracji zgdarzeń (logi) wszystkie zdarzenia związane z połaczeniami TCP i UDP podlegają monitorowaniu uwierzytelnienie sesji Telnet bazujące na haśle użytkownika kontrola szybkości transferu danych JAWNE 46

47 Cztery poziomy filtrowania 3/3 Poziom 3 Bardzo Wysoki Zaawansowane funkcje związane z analizą protokołów internetowych kontrola liczby połączeń i częstotliwości ich zestawiania usuwanie ukrytych kanałów Zaawansowane funkcje związane z filtrowaniem protokołów wysokiego poziomu analiza syntaktyczna przepływów w FTP, SMTP, HTTP lub DNS kontrola ilości przekazywanych danych JAWNE 47

48 Filtrowanie protokołu FTP Kontrola składni poleceń FTP (get, put, cd, ) Kontrola autoryzacji żądań FTP Kontrola połączeń FTP Kontrola kierunku przepływu danych podczas połączenia FTP Klient polecenie FTP GET <nazwa pliku> transfer danych FTP plik Serwer JAWNE 48

49 Filtrowanie protokołu SMTP Kontrola składni SMTP Kontrola adresów nadawców i odbiorców Kontrola nagłówków i rozszerzeń Ograniczanie typów zawartości serwer A wiadomość serwer B JAWNE 49

50 Filtrowanie protokołu HTTP Kontrola składni HTTP Dynamicz kontrola żądań Kontrola typów zawartości Kontrola apletów Java i komponentów ActiveX Przeglądarka połaczenie HTTP GET <dokument> Dokument (HTML... ) HTTP serwer JAWNE 50

51 Filtr zewnętrzny W przypadku dodatkowych potrzeb można dodawać zewnętrzne filtry Filtr zewnętrzny Dedykowana sieć FOX Urządzenie nadzorujące HLS LLS JAWNE 51

52 Zarządzanie FOX Zarządzanie FOX obejmuje dwie role Administrator Uruchamianie i konfigurowanie FOX Definiowanie minimalnego poziomu bezpieczeństwa wymaganego przez daną politykę Zarządzanie kontami operatorów Zarządzanie logami audytu Operator Definiowanie nowych konfiguracji filtrujących zgodnie z wymaganiami administratora Aktywowanie konfiguracji filtrujących w modułach filtrujących JAWNE 52

53 Zakres dopuszczenia FOX Wersja 3 FOX została dopuszczona we Francji do ochrony następujących configuracji połączeń międzysieciowych (HLS/LLS) dla przepływów FTP i SMTP z niższego poziomu (LLS) do systemu wyższego poziomu (HLS) HLS Tajne Poufne Zastrzeżone LLS Tajne Tak (*) nd. nd. Poufne Tak Tak (*) nd. Zastrzeżone Tak Tak Tak (*) JAWNE 53

54 HAVELSAN GUARD - Turcja JAWNE 54

55 HAVELSAN GUARD - podstawowe cechy Bazuje na modyfikowanym jądrze systemu Linux System operacyjny GUARD OS zintegrowany z funkcjami zapory sieciowej, systemu wykrywania włamań, weryfikacji integralności Konfiguracja dopuszczająca uruchamianie jedynie niezbędnych funkcji Własny protokół transmisji jednokierunkowej pomiędzy komponentami Zaawansowane mechanizmy wykrywania błędów i korekcji transmisji jednokierunkowej Możliwa integracja z oprogramowaniem antywirusowym innych producentów JAWNE 55

56 HAVELSAN GUARD - architektura Dane Dane jawne jawne np. np. meteo meteo Serwer interfejsu jawnego Wysyłanie danych GUARD SYSTEM One-Way Pobieranie danych Serwer interfejsu niejawnego System System niejawny Niższa klauzula Wyższa klauzula JAWNE 56

57 HAVELSAN GUARD architektura oprogramowania Niższa klauzula GUARD SYSTEM Wyższa klauzula Kontrola zawartości Skaner złośliwego kodu Lokalna kontrola integralności Lokalna kontrola integralności Lokalny system wykrywania włamań Lokalna zapora sieciowa Warstwa fizyczna Lokalny system wykrywania włamań Lokalna zapora sieciowa Warstwa fizyczna TCP/IP Komunikacja jednokierunkowa poprzez światłowód TCP/IP JAWNE 57

58 Za wielką wodą NetTop efekty współpracy Hewlett-Packard i National Security Agency źródło Tony MUSGRAVE (HP) JAWNE 58

59 Czym jest NetTop NetTop jest połączeniem otwartego systemu operacyjnego z oprogramowaniem, które umożliwia uruchomienie kilku wirtualnych komputerów na pojedynczej stacji roboczej, przy zapewnieniu separacji przetwarzanych danych NT Win98 Win2K Device, e.g., NT Router/FW VMware (monitor maszyny wirtualnej) SELinux (bazowy system operacyjny) Platforma sprzętowa x86 BIOS każda maszyna wirtualna posiada własny system operacyjny i własne wirtualne zasoby sprzętowe Monitor maszyny wirtualnej odpowiada za separację oraz kontrole dostępu do lokalnych zasobów Bazowy system operacyjny zapewnia główny interfejs do lokalnych urządzeń peryferyjnych JAWNE 59

60 NetTop jako programowy system wejściawyjścia - BIOS Brak dostępu do bazowego systemu operacyjnego (w tej roli SELinux), czy to lokalnie czy zdalnie Graficzny interfejs użytkownika podobny do MS Windows Brak konieczności znajomości systemu Linux przez użytkowników JAWNE 60

61 Certyfikacja NetTop przez National Security Agency System NetTop uzyskał certyfikat NSA (Information Assurance Directorate) w sierpniu 2003 r. obejmujący: silne mechanizmy separacji dla oprogramowania VMware mechanizmy obowiązkowej kontroli dostępu dostępne w SELinux NetTop spełnia wymagania testowe NSTISSP 11 (NIAP/NSA) Ograniczenie do separacji sieci SECRET i TOP SECRET JAWNE 61

62 Korzystanie z oprogramowania VMware Workstation Dwa moduły jądra - vmmon i vmnet Zbiór procesów, dysków wirtualnych, plików konfiguracyjnych i logów należący do każdej z maszyn wirtualnych jest oznaczany jako przydzielony do określonej domeny Polityka systemu SELinux zapewnia separację danych pomiędzy maszynami wirtualnymi NSA dokonuje przeglądów kodu źródłowego VMware JAWNE 62

63 Przykład pulpitu HP NetTop JAWNE 63

64 Kopiowanie danych i dostęp do zasobów sprzętowych w NetTop NetTop umożliwia wyłączenie domyślnej opcji VMware kopiowania danych pomiędzy maszynami wirtualnymi NetTop umożliwia kontrolę dostępu do zasobów: napęd dyskietek (dostęp tylko z jednej maszyny wirtualnej) napęd CD-ROM (dostęp tylko z jednej maszyny wirtualnej) karta dźwiękowa (dostęp tylko z jednej maszyny wirtualnej) karta sieciowa (różne opcje) Polityka systemu SELinux może zapobiegać równoczesnemu dostępowi z poziomu wielu maszyn wirtualnych JAWNE 64

65 Korzystanie z interfejsów sieciowych dostęp maszyn wirtualnych do osobnych kart sieciowych JAWNE 65

66 Korzystanie z interfejsów sieciowych dostęp maszyn wirtualnych do pojedynczej karty sieciowej Wymaga koncentratora VPN i oprogramowania VPN uruchamianego w poszczególnych maszynach wirtualnych JAWNE 66

67 Polacy nie gęsi Zestawy Nadawczo-Odbiorcze Filbico (Polska) źródło Andrzej DUDYŃSKI (Filbico( Filbico) JAWNE 67

68 Przykładowe zastosowania Zestawów Nadowczo-Odbiorczych JAWNE 68

69 Przykładowe zastosowania Zestawów Nadowczo-Odbiorczych (1/2) Przykłady możliwych zastosowań: przesyłanie plików danych pomiędzy systemami teleinformatycznymi różnych instytucji przesyłanie plików z danymi ze stron www do sieci wewnętrznej przesyłanie plików poczty elektronicznej eksport baz danych eksport danych z systemu sensorów eksport danych z central telefonicznych do systemów gromadzących informacje (baz danych) pobieranie danych z sieci publicznych do sieci zaufanych JAWNE 69

70 Przykładowe zastosowania Zestawów Nadowczo-Odbiorczych (2/2) Organizacja dostępu do zasobów organizacji z sieci publicznych: transakcje bankowe informacje z rejestrów państwowych dostęp do danych osobowych dostęp do ksiąg wieczystych dostęp do danych o pojazdach dostęp do danych skarbowych JAWNE 70

71 Komponenty Zestawu Nadawczo- Odbiorczego (ZNO) (1/2) Podstawowym komponentem tworzącym bezpieczne połączenie jest zestaw nadawczo-odbiorczy składający się z następujących elementów: serwera (sterownika) nadawczego - SRV/TX separatora światłowodowego nadawczego - SPS/TX kabla światłowodowego jednożyłowego separatora światłowodowego odbiorczego - SPS/RX serwera (sterownika) odbiorczego - SRV/RX JAWNE 71

72 Komponenty Zestawu Nadawczo- Odbiorczego (ZNO) (2/2) Serwer nadawczy SRV/TX przeznaczony jest do zapewnienia komunikacji z siecią wysyłającą ą dane (na rysunku LAN B) oraz do wysyłania danych do separatora światłowodowego - wyposażony jest w dwie karty Ethemet,, z których jedna połączona jest z siecią LAN B (zwykle komputerem em gateway sieci LAN B), a druga z separatorem światłowodowym nadawczym SPS/TX S/TX Separator światłowodowy SPS/TX (nadawczy) jest specjalizowanym konwerterem optycznym, zapewniającym wysylanie danych kablem optycznym w standardzie 100FX albo 1000FX. Separator światłowodowy SPS/TX połączony jest kablem optycznym (jednowłóknowym( jednowłóknowym) ) z separatorem światłowodowym SPS/RX Separator światłwodowy SPS/RX (odbiorczy) jest specjalizowanym konwerterem optycznym, zapewniającym odbieranie danych kablem optycznym w standardzie 100FX 1 albo 1000FX. Separator światłowodowy SPS/RX połączony jest z serwerem odbiorczym SRV/RX Serwer odbiorczy SRV/RX przeznaczony jest do odbierania danych od separatora światłowodowego SPS/RX oraz zapewnienia komunikacji z siecią odbierającą dane (na rysunku LAN A) - wyposażony jest w dwie karty Ethemet,, z których jedna połączona jest z separatorem światłowodowym odbiorczym SPS/RX, a druga z siecią LAN A, (zwykle e komputerem gateway sieci LAN A) JAWNE 72

73 Zestaw połączeniowy ZNO-xx/B - jednokierunkowa transmisja pomiędzy sieciami lokalnymi JAWNE 73

74 Jednokierunkowa transmisja z sieci A1 za pośrednictwem sieci rozległej do sieci lokalnej B JAWNE 74

75 Zestaw połączeniowy ZNO-xx/A - jednokierunkowa transmisja pomiędzy systemami połączonymi siecią rozległą JAWNE 75

76 Transmisja dwukierunkowa pomiędzy systemami połączonymi siecią rozległą JAWNE 76

77 Zestawy Nadawczo-Odbiorcze ZNO-10, ZNO-40, ZNO-50 ZNO-10 wykonanie komercyjne, rozwiązanie do ochrony informacji wrażliwych, Dual Use ZNO-40 rozwiązanie do ochrony informacji niejawnych, transfer plików, Dual Use, koncesja ZNO-50 - rozwiązanie do ochrony informacji niejawnych, transfer plików oraz informacji z sensorów, Military Use, koncesja, JAWNE 77

78 Zestawy Nadawczo-Odbiorcze ZNO-10, ZNO-40, ZNO-50 ( Prototyp ZNO-10) JAWNE 78

79 Zestawy Nadawczo-Odbiorcze ZNO-10, ZNO-40, ZNO-50 (przemysłowa obudowa serwera w ZNO - rack 19 ) JAWNE 79

80 Rola oprogramowania elementów ZNO W przypadku łącza jednokierunkowego jakość połączenia jest wskaźnikiem krytycznym, warunkującym użyteczność danego rozwiązania technicznego Istota poprawności konstrukcji tkwi w oprogramowaniu serwerów, które wykorzystuje tylko część dostępnej przepustowości w taki sposób, że w praktyce transmisja jest niezawodna W przypadku łączenia sieci o różnych klauzulach poufności ZNO zabezpiecza przed nieuprawnionym dostępem do danych w sieci o wyższej klauzuli z systemu o niższej klauzuli JAWNE 80

81 Zestawy Nadawczo-Odbiorcze ZNO-10, ZNO-40, ZNO-50 Pierwszą serię wyrobów wdrożono do eksploatacji w 2004 roku (urządzenia działają w trybie 24/7/365) Zestawy Nadawczo-Odbiorcze zostały zgłoszone do certyfikacji w służbach ochrony państwa Dalszy rozwój ZNO zakłada dostosowanie do specjalnych wymagań użytkowników (m.in. dodatkowe funkcje oprogramowania kontrolującego przepływ danych) JAWNE 81

82 Do brzegu czyli czas na podsumowanie JAWNE 82

83 Podsumowanie Potrzeby w zakresie dostępu do zasobów sieciowych (w tym zasobów sieci Internet) z systemów przetwarzających informacje niejawne będą rosły Zapewnienie pożądanego poziomu bezpieczeństwa wymaga certyfikowanych rozwiązań sprzętowo-programowych Zapowiedzi projektantów systemów operacyjnych i producentów sprzętu wskazują na dalsze wzmocnienie mechanizmów kontroli zasobów programowych i sprzętowych, co umożliwi korzystanie z maszyn wirtualnych w dostępie do sieci o różnym poziomie tajności (ochrony) JAWNE 83

84 Bezpieczeństwo połączeń międzysystemowych i międzysieciowych w kontekście ochrony informacji niejawnych Dziękuję Czy mają Państwo pytania? Kontakt z autorem Robert KOŚLA robert.kosla.dbti@abw.gov.pl tel.kom tel. (+48 22) lub fax (+48 22) Warszawa ul. Rakowiecka 2A JAWNE 84