© alphaspirit - Fotolia.com

Unidirektionale Netzwerke (Data Diode)

Eines der interessantesten, erfolgversprechendsten Möglichkeiten zur Absicherung sensibler Informationen, insbesondere zur Data Leakage Prevention, bieten unidirektionale Netzwerke mithilfe einer Data Diode. Diese Technik bietet eine der sichersten Möglichkeiten, Netzwerke auf hohem Niveau abzusichern.

Definition und genereller Aufbau unidirektionaler Netzwerke

Unidirektionale Netzwerke stellen sicher, dass Informationen nur von einer zur anderen Seite übertragen werden können, jedoch nicht umgekehrt. Data Dioden dienen der Netz-Trennung auf physikalischer Ebene.

Unidirektionales Netzwerk mit Data Diode
Unidirektionales Netzwerk mit Data Diode

Bezugnehmend auf die Abbildung könnte es sich beim "high"-Netzwerk beispielsweise um das Subnetz des Log-Servers handeln, dort sollen ausschließlich Protokoll-Meldungen eingehen und gespeichert, jedoch nicht wieder durch die Datenquelle ausgelesen bzw. geändert werden können. Gängig ist auch die Trennung und Absicherung des Forschungs- und Entwicklungsnetzwerks: Eine Data Diode verhindert hierbei zuverlässig, dass sensible Daten unbemerkt das Netzwerk verlassen können.

Anwendungsbeispiele einer Data Diode

Data Dioden finden in zahlreichen Szenarien Anwendung, einige Beispiele:

Syslog Server

Das Loggen von Nachrichten ist eine äußerst wichtige und sensible Aufgabe des Netzwerk- und Sicherheitsmanagements. Unidirektionale Netzwerke können realisieren, wie bereits beschrieben, dass Nachrichten zum Log-Server gesendet, jedoch durch die Quelle nicht wieder ausgelesen werden können.

Netzwerk-Trennung

Data-Dioden werden genutzt, um sichere von unsicheren Netzwerken physikalisch zu trennen. So kann unter anderem verhindert werden, das Daten unbewusst abfließen oder schädliche Funktionen/ Malware aus dem unsicheren auf das sichere Netzwerk übergreifen können.

In der Praxis könnten so zum Beispiel auch sensible Kunden- und Kreditkarteninformationen gesichert werden:

Erfassung Kundendaten
Nach der Erfassung der Kundendaten werden die Daten getrennt, die Bankdaten werden mit Hilfe einer Data-Diode im sicheren Netzwerk "rot" gespeichert und sind somit von extern nicht mehr auslesbar.

Sicherer Datentransfer

In verschiedenen Situationen kann es erforderlich sein, Dateien in ein Netzwerk zu übertragen, ohne das die übertragenen Dateien aus dem Quellnetzwerk wieder ausgelesen werden können.

Drucker/ Druckserver

Häufig in der Sicherheitsplanung vernachlässigt wird Netzwerk-Peripherie, z.B. Drucker. Drucker sind jedoch nicht selten hoch sensibel, relativ schlecht geschützt und enthalten die letzten Druckaufträge im Speicher, insofern diese noch nicht gedruckt bzw. überschrieben worden sind. Eine Möglichkeit zur Absicherung könnte wie folgt aussehen:

Data Diode Drucker
Der Netzwerkdrucker wird durch eine Data Diode vom restlichen Netzwerk getrennt.

Nachteilig ist hierbei jedoch, dass sich Druckerinformationen nun nicht mehr über das Netzwerk abrufen lassen können.

Mailserver

Ein weiteres Beispiel: Eingehende E-Mails werden direkt nach Empfang in ein sicheres Netzwerk übergeben und sind somit auch bei einem Angriff auf den externen Mailserver nicht mehr aus dem Internet auslesbar.

Das waren einige einfache Beispiele - Data Dioden sind im Rahmen der Planung eines Netzwerks unglaublich mächtig und vielseitig einsetzbar.

Probleme beim Einsatz einer Data Diode

Die Möglichkeiten klingen vielfältig, jedoch muss berücksichtigt werden, dass eine Data Diode physikalisch keine Möglichkeit bietet, Informationen zurück zum Sender zu übertragen. Netzwerkpakete können nur unidirektional übertragen werden, was Protokolle wie TCP/IP unmöglich macht, da nicht einmal der TCP Handshake mehr möglich ist.

Kurz: Alle Protokolle, die bidirektional arbeiten, werden durch die Data Diode funktionsunfähig gemacht: TCP, HTTP(s), FTP, ...

Funktionsfähig bleibt jedoch UDP: UDP benötigt keine Rückinformationen. RSyslog-Meldungen, die über das Netzwerk übertragen werden, werden standardmäßig "fire & forget" mit Hilfe von UDP übertragen, somit funktioniert das Logging etwa ohne weiteres.

Lösungsansätze für die genannten Probleme

Nehmen wir als Beispiel die sichere Dateiübertragung: Standardmäßig, etwa bei der Verwendung eines Samba-Dateiservers wird ein auf TCP/IP basierendes Protokoll für den Netzwerkzugriff verwendet. Da dies nicht funktioniert, müssen wir uns etwas anderes überlegen:

Sichere Infoübertragung
Eine Information oder Datei wird mithilfe des UDP Protokolls über das Netzwerk übertragen.

Ein Problem bleibt hierbei jedoch die Datenintegrität. Wird eine Datei fehlerhaft oder gar nicht übermittelt, hat der Empfänger keine Möglichkeit, den Sender darüber zu informieren. Um das Problem der Integrität abzumildern, kann das Verfahren der Vorwärtsfehlerkorrektur (forward error correction, FEC) angewandt werden.

Praxis / Fazit

Dieser Blog-Post hat das Thema der unidirektionalen Netzwerke kurz umrissen:

  • Unidirektionale Netzwerke ermöglichen mithilfe einer Data Diode, dass Informationen physikalisch nur in eine Richtung fließen können.
  • Der einseitige Fluss bricht Protokolle wie TCP/IP, da diese bereits im Handshake einen Kommunikation vom Empfänger zum Sender benötigen.
  • Der Sender kann nicht sicherstellen, das (a) die Information beim Sender überhaupt angekommen ist und (b) das die Information korrekt beim Empfänger angekommen ist.

Im nächsten Posting möchte ich in einem Praxisteil zeigen, wie man mit relativ einfachen Hilfsmitteln ein unidirektionales Netzwerk aufsetzen und nutzen kann sowie die genannten Probleme am Beispiel des Loggings und der sicheren Dateiübertragung vermindern kann.

Bildnachweis:

  • Beitragsbild: © alphaspirit - Fotolia.com

Ein Gedanke zu „Unidirektionale Netzwerke (Data Diode)“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert