АНДРЕЙ БИРЮКОВ, ведущий эксперт по информационной безопасности, abiryukov@samag.ru

Устройства однонаправленной
передачи данных

Технология однонаправленной передачи данных существует уже довольно давно. Однако не все знают, как это работает и зачем такие технологии нужны. Поговорим о том. чем полезны однонаправленные шлюзы и какие они бывают

Современные межсетевые экраны давно вышли за рамки устройств, работающих на нижних уровнях иерархической модели OSI. Сейчас брандмауэры могут анализировать пакет вплоть до уровня приложений, они могут выполнять функции средств предотвращения вторжений, потоковых антивирусов, песочниц, систем DLP и других. По сути, межсетевой экран на достаточно мощной аппаратной платформе может с успехом выполнять функции всех сетевых средств защиты для сети небольшой или средней компании.

Однако в некоторых случаях даже самые мощные межсетевые экраны не могут на 100% гарантировать защищенность сетевых сегментов. Причин тому может быть несколько. В общем случае, так как на брандмауэрах используется программное обеспечение, существует теоретическая вероятность наличия ошибок в данном ПО и, как следствие, возможность эксплуатации данных уязвимостей. Впрочем, вероятность этих ошибок не такая уж теоретическая [1-3].

Однако более распространенными причинами компрометации межсетевых экранов и защищаемых ими ресурсов являются действия персонала. Прежде всего это некорректные настройки правил межсетевого экранирования самими сетевыми администраторами. Зачастую для того, чтобы не разбираться с тем, какие порты и протоколы использует то или иное приложение, администраторы разрешают большие диапазоны портов, в результате создавая крупные дыры в безопасности. Нередко в конце списка правил, после нескольких десятков запрещающих конкретные порты, можно встретить банальный permit any any. Для борьбы с ошибками в конфигурациях сетевого оборудования существуют специализированные приложения, такие как Tufin или Algosec, однако их используют немногие компании.

Кроме того, злоумышленник может попытаться перехватить учетные данные для доступа к администрированию межсетевым экраном, заразив машину администратора вредоносным приложением. Для борьбы с этим необходимо регулярно проводить проверку машины администратора на вирусы.

Также не стоит забывать о такой стандартной уязвимости, как использование заводских настроек и простых паролей для администрирования межсетевых экранов. Такая уязвимость широко распространена в сетях небольших организаций и филиалах, где нет постоянного системного администратора.

Думаю, мне удалось заставить читателя задуматься о том, насколько надежно межсетевые экраны защищают сеть его организации, а также о необходимости регулярных аудитов настроек сетевого оборудования.

Проблема становится еще более серьезной и важной, если межсетевой экран должен защищать особо критичные сегменты сети. Например, сегменты автоматизированных систем управления технологического управления, информационные системы, требующие доступности в режиме 24х7, банковские системы и другие.

В ряде случаев проблему компрометации межсетевых экранов позволит решить использование однонаправленных шлюзов, обеспечивающих гарантированную передачу данных только в одном направлении за счет гальванической развязки между интерфейсами входа и выхода. Тогда, даже если злоумышленнику каким-либо образом удастся захватить полный контроль над однонаправленным шлюзом, он не сможет проникнуть в защищаемый сегмент, так как не сможет получить никакого ответа.

На этом месте у читателя может возникнуть резонный вопрос: протокол транспортного уровня TCP, используемый большинством приложений в качестве транспорта, требует установления соединения, то есть двусторонней связи между узлами. Это обстоятельство является существенным ограничением при использовании устройств однонаправленной передачи данных. Далее мы поговорим о том, как можно решить эту проблему.

На практике существует ряд случаев, когда не требуется двустороннее взаимодействие. Самый простой случай, если из защищаемого сегмента необходимо получать пакеты, использующие в качестве транспорта протокол UDP. Например, система сбора событий собирает данные о событиях в защищаемом сегменте по протоколу Syslog. В таком случае односторонний шлюз позволит гарантировать отсутствие влияния извне на защищаемый сегмент. При этом мы сможем получать события по Syslog из защищаемой сети. Конечно, UDP не гарантирует доставку пакета, поэтому устройство однонаправленной передачи данных должно иметь высокую надежность и помехоустойчивость, для того чтобы пакеты не терялись и не искажались при передаче через них. О том, как это реализовывается на практике, мы поговорим чуть позже, а пока рассмотрим другие случаи применения.

В некоторых случаях в качестве транспорта используется протокол TCP. Например, когда необходим импорт данных в защищаемую сеть из внешних источников. Передача может осуществляться с помощью FTP или SMB. Классический случай – это необходимость загрузить обновления программного обеспечения или вирусных сигнатур для антивирусных систем в защищаемый сегмент. Аналогично зачастую необходимо обеспечить экспорт данных из защищаемого сегмента, например при выгрузке статистики, при этом делается акцент на гарантии целостности передаваемых данных.

Еще один вариант применения однонаправленных шлюзов – это одновременная выгрузка и загрузка данных. В этом случае обеспечивается двунаправленное взаимодействие между сегментами посредством однонаправленных шлюзов. По сути, один шлюз работает только на прием трафика в защищаемый сегмент, другой – только на отправку. Злоумышленнику в случае захвата одного шлюза придется вслепую пытаться получить доступ на второй однонаправленный шлюз, что практически невозможно. Таким образом, данный сценарий значительно превосходит по уровню защищенности традиционные схемы с межсетевым экраном на периметре.

Двунаправленное взаимодействие однонаправленных шлюзов может существенно повысить защищенность VPN-соединений между двумя площадками. В силу своей архитектуры однонаправленные шлюзы поддерживают передачу IPSec-трафика (ISAKMP, ESP), что в совокупности с использованием стойких криптоалгоритмов позволяет существенно увеличить защищенность сетей.

На рис. 1 представлена схема двунаправленного взаимодействия однонаправленных шлюзов.

Рисунок 1. Взаимодействие между двумя площадками

Такая схема позволяет дополнительно защитить критичные сети от атак из внешней сети.

Развитием данного сценария является использование двунаправленных схем для изоляции критичных сегментов в корпоративной сети. Такая ситуация довольно распространена в промышленных сетях, когда в силу исторических причин часть промышленных систем или сегментов «размазана» по корпоративной ЛВС. Данный сценарий позволяет расширить границы критичного сегмента, создав защищенную информационную систему внутри другой информационной системы. Использование технологии IPSec и однонаправленных шлюзов позволяет достигнуть дополнительного уровня изоляции, а значит, и безопасности.

В контексте использования VPN также интересна схема с использованием однонаправленных шлюзов при работе с Remote Access VPN. Так, в ряде случаев необходимо обеспечивать защищенный удаленный доступ к критичным ресурсам компании как внутренним пользователям, так и партнерам, подрядчикам. Тогда создают изолированную демилитаризованную зону, куда выгружаются только допустимые для удаленных пользователей и подрядчиков/партнеров данные. При этом мы получаем гарантию от нарушения конфиденциальности и целостности критичных данных внутри информационной системы: исключается возможность доступа удаленных пользователей посредством VPN-соединений к внутренним ресурсам.

Вот наиболее типовые сценарии применения однонаправленных шлюзов. В свете выхода Федерального закона № 187 «О безопасности критической информационной инфраструктуры РФ» и проектов подзаконных актов потребность в устройствах однонаправленной передачи данных может возникнуть как у государственных предприятий, структур оборонно-промышленного комплекса, критически важных объектов, а также у коммерческих организаций, использующих закрытые сети.

TCP, но не весь

Теперь поговорим о том, какие протоколы прикладного уровня можно передавать через однонаправленные шлюзы и как это реализовывается. В силу однонаправленной природы мы не можем пробросить любой TCP-трафик через шлюз. Однако ряд прикладных протоколов можно передать с помощью технологии проксирования. По сути, с обеих сторон от однонаправленного шлюза мы устанавливаем прокси-серверы, которые и выступают получателями и отправителями трафика в зависимости от направления передачи. Так, если мы передаем трафик из критичной сети во внешнюю, то на прокси, находящемся в критичной сети, трафик терминируется. Далее он передается через однонаправленный шлюз с помощью оптических сигналов. Затем прокси-сервер, находящийся во внешней сети, принимает трафик и далее создает TCP-сессию уже от своего имени до узла назначения. В случае если трафик передается в критичный сегмент, происходит обратный процесс. Очевидно, что при использовании UDP прокси не требуются. Трафик прозрачно проходит через однонаправленный шлюз.

Большинство однонаправленных шлюзов поддерживают следующие протоколы: SMTP, FTP, CIFS, а также некоторые промышленные протоколы, такие как OPC и IEC 104. На работе с промышленными протоколами мы не будем заострять внимание, так как это тема отдельной статьи. А рассмотрим работу с более распространенными протоколами.

Почтовый протокол SMTP реализуется с помощью технологии релеев. Прокси-сервер выступает в качестве почтового релея, на который поступает почтовое сообщение. Далее оно передается через однонаправленный шлюз, и затем внешний прокси как релей передает письмо на сервер получателя.

Файловые протоколы FTP и CIFS передаются по несколько иному принципу. При копировании файла через устройство однонаправленной передачи файл сначала копируется на прокси. Далее он по частям передается на устройство. Для того чтобы сообщить, что переданная часть уже прошла через шлюз, устройство возвращает прокси-отправителю переданную часть. Прокси-сервер побайтово сравнивает часть переданного файла с тем, что ему «отразилось» от шлюза, и если фрагменты идентичны, то переходит к передаче следующей части файла. Прокси на внешней стороне собирает все куски файла и отправляет его получателю. Для предотвращения искажений при однонаправленной передаче (напомню, что передать что-либо отправителю мы не можем) используются многократная передача данных (дублирование) и кодирование с возможностью восстановления данных.

На рис. 2 представлена общая схема работы однонаправленных шлюзов при передаче файлов по FTP и CIFS.

Рисунок 2. Передача файлов

На этом, полагаю, с теорией можно закончить. Надеюсь, мне удалось разъяснить читателю общие принципы работы однонаправленных шлюзов. Теперь перейдем к рассмотрению конкретных устройств. Ниже я привел описание наиболее распространенных решений данного класса, реально используемых на российских предприятиях.

АПК АМТ InfoDiode

Начнем с российского решения от компании «АМТ Груп». Аппаратно-программный комплекс InfoDiode [4] разработан на российской аппаратной платформе, российской сертифицированной операционной системе Astra Linux и программном обеспечении собственного производства.

Данный комплекс имеет классическую архитектуру с однонаправленным шлюзом и двумя прокси-серверами. При передаче UDP-трафика у производителя имеется аппаратный комплекс InfoDiode, состоящий только из однонаправленного шлюза, без прокси.

Основными характеристиками АПК InfoDiode являются следующие:

• Производительность: 1000 Mbps (при необходимости возможно расширение производительности до 10 Gbps)
• Возможность кластеризации: Есть
• Поддерживаемые протоколы: FTP, CIFS, SMTP, ESP IPSec, UDP (все протоколы), OPC UA
• Интерфейсы данных: Два 1000Base-SX
• Форм-фактор: 3 rack unit (3 компоненты ПАК по 1 rack unit )
• Возможность монтажа в 19» телекоммуникационный шкаф: Да
• Питание: 100-240 В (AC)
• Частота: 50-60 Гц (однофазный)
• Рабочая температура воздуха: 10-35 C
• Рабочая влажность воздуха: 5-95%

Отдельно хотелось бы сказать о наличии сертификатов на данный комплекс. АПК InfoDiode сертифицирован ФСТЭК России на соответствие требованиям технических условий и руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999) по четвертому уровню контроля. Сертификат соответствия № 3434. Это позволяет применять InfoDiode на предприятиях совершенно разных отраслей для защиты конфиденциальной информации (автоматизированные системы до класса 1Г, системы защиты персональных данных до первого уровня защищенности, государственные информационные системы до первого класса, а также системы АСУ ТП (КИИ) до первого класса включительно). В планах получение сертификатов ФСБ, Министерства обороны и отраслевых систем сертификации.

Secure Diode

Программно-аппаратный комплекс Secure Diode [5] является российской разработкой и обеспечивает однонаправленный доступ к критическим сегментам сети. Данный шлюз можно использовать для безопасной передачи файлов из защищенной сети в сеть Интернет, обеспечения односторонней передачи электронной почты, трансляции видеопотока без риска деструктивного влияния на системы видеонаблюдения, безопасной выгрузки в защищенную сеть обновлений ОС и антивирусов и других задач, связанных с односторонней передачей данных.

Основной упор разработчики устройства постарались сделать на работе с промышленными протоколами, такими как МЭК 870-5-101 1, МЭК870-5-103 2, МЭК 870-5-104 3, МЭК 61850, ModbusRTU и другими. Также обеспечивается поддержка стандартных протоколов UDP (включая NTP), TCP (FTP, CIFS/SMB, SMTP, SNMP).

В реестре сертифицированных средств защиты ФСТЭК информации о наличии сертификатов на Secure Diode найти не удалось.

СТРОМ

Решение АПК СТРОМ от российского ООО «СиЭйЭн» [6] предназначено для гарантированной однонаправленной передачи информации из открытых сетей в сети, в которых циркулирует информация с грифом до «совершенно секретно» включительно, что подтверждается заключением ФСБ России. Данный комплекс предназначен для решения задач передачи потоковой информации и файлов. Передача потоковой информации представляет собой однонаправленную передачу данных с камер видеонаблюдения, телеметрии, передачи аудиопотоков и т.д.

Для передачи файлов, помимо однонаправленного шлюза, также необходимы два сервера с установленным специальным программным обеспечением, которое обеспечивает хранение, предоставление пользователям сетевых дисков и однонаправленную передачу файлов. В качестве операционных систем на данных серверах могут использоваться Linux 32/64 bit, Red Hat 64, Windows (от XP и выше), МСВС-3.0, МСВС-5.1

АПК СТРОМ имеет следующие характеристики:

• Производительность: До 950 Mbps
• Поддерживаемые протоколы: UDP, RTP, FTP
• Интерфейсы:
  • Внешний: RJ-45, медь, витая пара, Ethernet 100/1000 BASE-T; SFP, Ethernet 1000BASE-X.
  • Внутренний: SС, многомодовая оптика, 850нм, 1000BASE-SX.
• Форм-фактор: Два корпусных исполнения:
  • Исполнение 1: 1U в 19-дюймовую стойку (ВхШхГ 44х483х272).
  • Исполнение 2: корпус UniCase (ВхШхГ 50х180х240)
• Возможность монтажа в 19» телекоммуникационный шкаф: Да
• Питание: 100-240 В (AC)
• Частота: 50-60 Гц (однофазный)
• Рабочая температура воздуха: 10-35 C
• Рабочая влажность воздуха: 5-95%

Для конфигурирования устройства используются SD-карты с текстовыми конфигурационными файлами. Это обстоятельство может создать дополнительные неудобства при конфигурировании и отладке комплекса. На этом мы завершим рассмотрение российских решений и перейдем к иностранным игрокам на российском рынке.

Waterfall Security Solutions

Семейство продуктов на базе единого технологического ядра Waterfall’s® Unidirectional Security Gateways [7]. В России данные шлюзы нашли применение на ряде объектов энергогенерирующего комплекса.

Архитектура этого комплекса имеет некоторые отличия от описываемых ранее решений с использованием прокси-серверов. Здесь вместо прокси используются агенты. Трафик из технологической сети поступает на агента, который может размещаться как на самом однонаправленном шлюзе, так и на отдельном сервере. При этом агентов можно устанавливать на серверы под управлением как Windows, так и Linux.

Помимо классического однонаправленного шлюза, у данного вендора имеется также решение Secure Bypass, представляющее собой однонаправленный шлюз, который в случае необходимости на аппаратном уровне может стать двунаправленным. Например, если необходимо срочное вмешательство в работу защищаемых систем из внешней сети службы техподдержки. В таком случае посредством нажатия на кнопку на самом устройстве оно превращается в двунаправленный шлюз. Отключение двунаправленного режима возможно как с помощью нажатия кнопки, так и по истечении определенного интервала.

Комплекс обеспечивает пропускную способность до 1 GBps, поддерживает кластеризацию. В реестре сертифицированных средств защиты ФСТЭК информации о наличии сертификатов на ПАК Waterfall Security Solutions найти не удалось.

Fox DataDiode

Еще одним иностранцем, в прошлом достаточно широко применявшимся на российских предприятиях, является решение Fox DataDiode от голландской компании Fox IT [8]. Комплекс помимо стандартных протоколов поддерживает также несколько промышленных с помощью специализированных приложений, называемых репликаторами. Данные репликаторы позволяют реализовать функционал, специфичный для промышленных сетей.

Основные технические характеристики данного комплекса следующие:

• Производительность: До 1,25 Gbps
• Возможность кластеризации: Есть
• Интерфейс входящий: IEEE-802.3z Gigabit Ethernet (1000Base-SX)
• Интерфейс исходящий: IEEE-802.3z Gigabit Ethernet (1000Base-SX)
• Питание: 100-240 В (AC)
• Частота: 50-60 Гц (однофазный)
• Рабочая температура воздуха: 0-50 C
• Рабочая влажность воздуха: 5-90%

Однако боюсь, что в современных сложных политических условиях о голландском шлюзе на российском рынке придется говорить преимущественно в прошедшем времени. Дело в том, что хотя данное решение имеет действующий сертификат ФСТЭК, однако при этом Fox DataDiode также имеет сертификат NATO Secret. А кроме того, в настоящее время компания ввела запрет на поставку данного решения в Россию.

На этом я завершаю описание решений по однонаправленной передаче данных. Эти решения имеют ряд ограничений в применении, однако в некоторых случаях они могут существенно увеличить защищенность критичных ресурсов. Понимая основные принципы работы однонаправленных шлюзов, а также требования регуляторов к средствам защиты, читатель сможет самостоятельно выбрать подходящее решение по однонаправленной защите данных.

1. https://geektimes.ru/post/279662/ – АНБ эксплуатировало уязвимость межсетевых экранов PIX от Cisco более десяти лет.
2. https://habrahabr.ru/company/pt/blog/277575/ – XSS-уязвимость нулевого дня позволяет похищать учетные данные пользователей Cisco ASA.
3. https://www.securitylab.ru/news/483925.php – уязвимости в межсетевых экранах Kerio Control позволяют скомпрометировать корпоративную сеть.
4. http://www.amt.ru/web/ru/infodiode – описание АПК InfoDiode.
5. http://securediod.com/ru_RU/ – описание Secure Diode.
6. http://cansec.ru/products/strom-1000.html – АПК СТРОМ 1000.
7. https://waterfall-security.com/ – ПАК Waterfall Security Solutions.
8. https://fox-it.com/datadiode/ – Fox DataDiode.

Ключевые слова: однонаправленная передача данных, однонаправленные шлюзы, средства защиты.

Комментарии могут оставлять только зарегистрированные пользователи