Diody danych grzegorz.cempla@solidex.com.pl
Na początek... Proponuję zapomnieć na chwilę, że transmisja danych implikuje potwierdzenia pakietów. Proponuję nie odnosić tematu prezentacji do ogólnych zastosowań dziedzina jest dość wąska. Sugeruję założyć, że omawiane rozwiązania znajdują rzeczywiście zastosowanie.
Bezpieczeństwo (tu: sieciowe) Nie daje się udowodnić. Zależne od wielu czynników: Prawidłowość oprogramowania brak (!) dziur. Struktura protokołów. Prawidłowość konfiguracji czynnik ludzki.
Dziedzina zainteresowania Środowiska, w których poufność informacji ma krytyczne znaczenie. Strefy bezpieczeństwa. Styki sieci korporacyjnych i systemów SCADA (elektrownie, rafinerie, dystrybucja gazu, itp). Centra: Monitoringu Logów audytowych Ośrodki R&D
Ogólna zasada Strefa niebieska (nadawcza) Strefa czerwona (odbiorcza) Wyróżniamy dwie strefy, pomiędzy którymi przepływ informacji może przebiegać tylko w jednym kierunku. Jednokierunkowy przepływ informacji musi być gwarantowany na poziomie fizycznym.
Dlaczego nie firewall? Jego działanie opiera się na konfiguracji a nie fizyce. Wymaga wiedzy do prawidłowej, zapewniającej bezpieczeństwo konfiguracji. Potencjalnie posiada dziury bezpieczeństwa. Komunikacja niesie ze sobą pewną wiedzę na temat stron uczestniczących.
Co zapewnia dioda danych Całkowita separacja stron: nadawczej i odbiorczej ich działanie jest niezależne. Komunikacja fizycznie realizowana tylko w jednym kierunku. Brak informacji o stronach komunikacji przez diodę przenoszony jest tylko payload pakietów. Separacja galwaniczna brak emisji elektromagnetycznej.
Styk ze światem IP Dioda danych implementowana jest w oparciu o maszyny ze zwykłymi interfejsami sieciowymi IP. Protokoły IP terminowane są na maszynie niebieskiej, pełniącej rolę serwera IP i równocześnie nadawczą w ramach diody. Maszyna czerwona, odbiorcza w ramach diody, pełni rolę klienta na styku odbiorczym IP.
Ilustracja styku ze światem IP Strumień UDP do 10.10.10.200:6000 10.10.10.1 192.168.1.10:2000 Strumień UDP do 192.168.1.10:2000 Serwer: 10.10.10.200:6000 Wysyłanie: kanał 222 Komunikacja jednokierunkowa payload strumiwnia UDP w kanale 222 Odbiór: kanał 222 Klient: 192.168.1.200 Przykład transmisji strumienia UDP
Transmisja danych przez diodę Odbywa się jednokierunkowo. Realizowana pakietami, które tworzą kanały (channels). Jedna dioda umożliwia transfer w wielu kanałach. Kontrola poprawności przekazu jest realizowana w oparciu o funkcje skrótu.
Przetwarzanie po stronie niebieskiej # Port SrcAddr Channel 2000 * 100 2001 10.10.1.1 101 2002 10.10.1.10 102 Pakiety IP dtp 2000 dtp 2001 dtp 2000 dtp 2002 dtp 2002 ch 100 ch 101 ch 100 ch 102 ch 102 Strumień pakietów w ramach diody danych Payload dane użytkownika
Przetwarzanie po stronie niebieskiej - c.d. Strumień danych po stronie niebieskiej generowany jest niezależnie od strony odbiorczej. Strona niebieska nie ma żadnej informacji, czy po stronie odbiorczej pracuje proces odbiorczy. W ramach diody przekazywany jest wyłącznie payload pakietów IP, informacje o kanałach oraz rezultaty funkcji skrótu (kontrola poprawności).
Przetwarzanie po stronie czerwonej # Channel DstAddr Port 100 192.168.10.30 3100 # A 101 192.168.10.31 3101 # B 102 192.168.20.255 1234 # C Strumień pakietów w ramach diody danych ch 100 ch 101 ch 100 ch 102 ch 102 dst A dst B dst A dst C dst C Pakiety IP Payload dane użytkownika
Przetwarzanie po stronie czerwonej - c.d. Weryfikacja funkcji skrótu jest mechanizmem kontroli poprawności przekazu danych. Payload pakietów składających się na kanały służy do wygenerowania strumienia IP. Strumień IP generowany jest wyłącznie na bazie konfiguracji strony czerwonej.
Najistotniejsze cechy Gwarantowany, jednokierunkowy przepływ danych. Separacja galwaniczna. Separacja logiczna żadna informacja o pochodzeniu danych nie jest przekazywana na stronę czerwoną ; brak informacji o tym w jaki sposób dystrybuowana jest informacja po stronie czerwoną.
Modele zastosowań Transmisja UDP lub TCP jeden do jeden Transmisja wiele do wielu
Modele zastosowań - c.d. Transmisja jeden do wielu
Zastosowania Strumienie SNMP SYSLOG Audio / Video Transfer Plików i katalogów Danych aplikacyjnych np. dane giełdowe
Rozwiązania: SNMP+SYSLOG SYSLOG SRV Sieć monitorowana SNMP TRAP SINK
Rozwiązania: MONITORING CCTV Kamery IP Strumień wideo Rejestratory Strumień sterujący Stacja sterująca
Rozwiązania: styk z systemami SCADA Użytkownicy Serwery danych Strumień danych z systemu produkcyjnego Industrial Network Corporate Network Supervisory Control And Data Acquisition
Owl Dual Diode Dwie karty PCI ATM Nadawcza pozbawiona modułu odbiorczego. Odbiorcza pozbawiona modułu nadawczego. Oprogramowanie. Do 2,5Gbps.
Przykład zastosowania Multidioda Trunk 802.1q ZONE A ZONE B ZONE C Solaris 10 w/zones Multidioda zbudowana w oparciu o Owl Dual Diode oraz maszyny Sun Fire pracujące pod kontrolą Solaris 10. Wykorzystanie Solaris Zones.
Dziękuję za uwagę grzegorz.cempla@solidex.com.pl