Comunicación estenopeica con red con espacio de aire

Navega tus respuestas
0

Hace mucho tiempo trabajé para un banco pequeño. Utilizamos una red separada físicamente para alojar nuestros servidores internos que manejaban todas las transacciones, así como las estaciones de trabajo que acceden al sistema.

Un día, alguien vino y quiso construir una interfaz web basada en Perl para eso, y básicamente intentó poner un servidor conectado a Internet en nuestra área de servidor seguro y conectarlo directamente al servidor del banco con cat5. Esto fue, por supuesto, denegado de inmediato.

Pero eso me hizo pensar; Y ahora, muchos años después sigo pensando en ello. ¿Cómo puede "hacer un hueco" en una red de manera eficiente y, sin embargo, proporcionar servicios a un mundo exterior?

Mi idea fue la siguiente.

  • Configure una red físicamente separada con un servidor que aloje datos críticos ( cuentas bancarias, transacciones, servicios de red eléctrica, registros de votación, etc. ). Asegurar todos los procedimientos de seguridad normales para redes con espacios de aire, etc., etc.
  • Configure una red conectada a Internet un poco menos sensible (pero aún altamente segura) para alojar servidores de aplicaciones, y más allá de eso, hacia el perímetro, los servidores web reales, los equilibradores de carga, los cortafuegos, etc.
  • Ejecute un cable serie entre dos hosts en las dos redes.
  • Cualquier comunicación entre las redes, por ejemplo, para consultar un saldo, publicar una transacción, etc., debe realizarse a través del cable serie. Cualquier solicitud también debe estar debidamente firmada de forma criptográfica, por lo que la autorización final se encuentra en los servidores seguros de la red con espacio de aire. No confían en nada que llegue a través del cable serial a menos que esté validado y autorizado criptográficamente.

Mi razonamiento aquí es que una vez que conectas un cable cat5 a un servidor, hay muchos tipos diferentes de tráfico que potencialmente ocurren en ese cable (incluso con los cortafuegos adecuados). Puede hacer que los intrusos se muevan lateralmente a través de la red, los firewalls mal configurados, tiene 65000 puertos posibles y está usando uno de ellos. Al usar un cable serial, está minimizando drásticamente los vectores de ataque. Por supuesto, todavía necesita asegurar la pila de software detrás del cable serie, y hay varios otros ataques posibles aquí, pero me siento bien al limitar el tráfico a un protocolo personalizado a través de un cable serial tonto, como el puente sobre Khazad-dûm, si lo sabes.

El inconveniente es que un cable serie no es particularmente efectivo . A 115 kbit / s, será difícil en comparación con un enlace normal de 1 Gbit / s. Supongo que podrías usar varios cables seriales ...

Entonces ...

  1. ¿Es esta una buena idea?
  2. ¿Hay mejores ideas?
  3. ¿Existe una alternativa práctica a un cable serie que aún no trae consigo una pila de red completa?
pregunta mgefvert 15.08.2018 - 15:14
fuente

1 respuesta

1

Un espacio de aire se utiliza como una separación completa entre redes con diferentes requisitos de seguridad. No desea este tipo de separación completa ya que hace imposible el intercambio de datos. En su lugar, desea tener la mayor separación posible. Especialmente desea asegurarse de que ningún dato de la red de seguridad más baja que se haya comprometido pueda dañar la red de seguridad más alta.

En el caso más sencillo, los datos nunca deben fluir de la red de baja seguridad a la red de mayor seguridad, sino solo en la otra dirección. Un caso de uso para esto es, por ejemplo, la transferencia de datos de registro y estado de una red de la industria a la red de monitoreo para la agregación, visualización y análisis de registros. Las tecnologías en esta área son diodos de datos que garantizan que los datos solo pueden fluir en una dirección, a veces garantizada por hardware y, a veces, por pilas de software mínimas y fáciles de auditar, como los micro-núcleos.

El caso más complejo es la comunicación bidireccional restringida. En este caso, los ataques desde la red de seguridad más baja pueden ocurrir en varias capas: desde la capa de red hasta la capa de aplicación. Su idea de utilizar una línea en serie intenta reducir los ataques en la capa de red al reemplazar la gran superficie de ataque de una pila de red completa y compleja con la superficie de ataque con la esperanza de ser más pequeña de una interfaz de línea en serie más simple.

También tratas de lidiar con los ataques en las capas más altas aceptando solo paquetes firmados de la red de seguridad más baja. Pero como la red de seguridad más baja podría haberse visto comprometida, el atacante también podría tener acceso a los secretos necesarios para la firma y, por lo tanto, puede firmar cualquier tipo de carga útil que desee. Esto significa que no debes confiar en nada que provenga de una red de baja seguridad, incluso si está firmada.

En su lugar, debe asegurarse de que solo las cargas útiles se envíen de una red de seguridad alta a baja, que se esperan completamente en la red de alta seguridad y, por lo tanto, no causarán daños allí. En la forma más fácil, esto podría ser un conjunto fijo de mensajes que están permitidos. Más complejo es un conjunto fijo de mensajes que se pueden parametrizar ligeramente, en cuyo caso debe validar que los parámetros coincidan con las expectativas. Dependiendo de los requisitos reales con respecto a la transferencia de datos y los costos de la falla, tal validación y tal vez la limpieza o transformación de la carga útil puede ser realmente compleja. Y, por supuesto, también puede contener errores explotables, por lo que también debe proteger la validación. En entornos de mayor seguridad (como el gobierno, los bancos o el sector energético), se puede optar por dispositivos de pasarela dedicados con un sistema operativo mínimo y reforzado que solo tienen esta tarea de validar, desinfectar y transferir cargas útiles en protocolos específicos y que se pueden auditar más fácilmente porque de menor complejidad.

    
respondido por el Steffen Ullrich 15.08.2018 - 21:18
fuente

Lea otras preguntas en las etiquetas

requisitos del certificado TLS [cerrado] Implicaciones prácticas de usar un servicio como ProtonMail