• partner

  • partner

  • partner

Whitepaper

inhoudsopgave

Uitgaand netwerkverkeer elektronisch onmogelijk gemaakt

Géén fysieke verbinding maken is een gegarandeerd veilige manier is om te voorkomen dat informatie via een netwerk naar buiten komt. Maar dat is een jammerlijke misvatting. Daar komt bij dat in veel gevallen volledig afsluiten van de digitale buitenwereld  onverstandig is.  inkomend verkeer moet mogelijk blijven. De oplossing die tegemoet komt aan beide eisen is de zogeheten datadiode. Een fysiek apparaat zonder IP-adres, zonder software, firmware of FPGA’s (programmeerbare chips) dat netwerkverkeer in de ene richting toestaat, maar in de andere richting absoluut onmogelijk maakt.

Staten zijn altijd geïnteresseerd in elkaars defensiegeheimen en het ondermijnen van elkaars infrastructuren. Daarvoor zetten zij de meest uiteenlopende middelen in, dus ook digitale. Met welke online dreigingen defensieorganisaties op dit moment te maken hebben is ongetwijfeld bekend. Minder bekend is dat digitale middelen al veel langer worden ingezet dan menigeen denkt. Een van de oudste voorbeelden stamt uit het pre-internet tijdperk.

In 1982 ontplofte een Russische pijpleiding bij de Siberische stad Urengoy. Het was de grootste niet-nucleaire ontploffing die vanuit de ruimte te zien was. De oorzaak was – naar verluidt – sabotage door de CIA. Niet door agenten ter plekke, maar door een trojaans paard dat door de CIA in de besturingssoftware van de pijplijn was ondergebracht. Deze software was door een Canadees bedrijf ontwikkeld. Sindsdien is er geregeld malware opgedoken die ontwikkeld zou zijn door ‘statelijke actoren’ en waarvan Stuxnet de bekendste is. Naast statelijke actoren hebben ook terroristen en hacktivisten het steeds vaker voorzien op geheimen van ‘onwelgevallige landen’ en hun infrastructuren.

Kwetsbare netwerken
Door deze ontwikkelingen ontstaat steeds meer druk op defensienetwerken waarop zich geheimen bevinden. Deze netwerken zijn op een aantal gebieden kwetsbaar: het netwerkontwerp (de architectuur), het securitybeleid (bijvoorbeeld het afdwingen van wachtwoorden die aan bepaalde eisen moeten voldoen), de software die op het netwerk wordt gebruikt en de communicatieprotocollen. Een enkel gaatje in een van deze gebieden volstaat om het netwerk binnen te dringen.

De bekendste manier om een netwerk rigoureus te isoleren is het creëren van een zogeheten ‘air gap’. Het netwerk is dan verder nergens op aangesloten en informatie kan alleen op het netwerken komen, of er vanaf worden gehaald, via een USB-stick, een cd-rom of een andere gegevensdrager. De bezwaren tegen deze methode zijn dat het absoluut niet real-time is, veel gedoe met zich meebrengt en óók niet veilig is omdat via de gegevensdragers schadelijke software alsnog het netwerk kan binnenkomen en gevoelige informatie in principe via dezelfde weg het netwerk kan verlaten.

Een andere manier is het afschermen van het netwerk met een firewall, bij voorkeur van de ‘next generation’. Maar dit zijn IP-oplossingen die gehackt kunnen worden, niet kunnen garanderen dat ze foutloos werken (bugs, backdoors) en gevoelig zijn voor al dan niet opzettelijke configuratie- en beheerfouten. En dan is er nog een mogelijkheid om op fysiek niveau alle netwerkverkeer naar buiten - óf naar binnen - onmogelijk te maken: met een zogeheten datadiode.

Elektronische blokkade niet genoeg
De datadiode is - net als zijn elektronische naamgever – een apparaat dat alleen verkeer in één richting mogelijk maakt. In de ene richting kan stroom (data) lopen, in de andere richting is dat fysisch onmogelijk. Zelfs het elektronisch onmogelijk maken van het verkeer in één richting is niet voldoende. Voor solide oplossing is wel wat meer nodig. Zo betreffen de meeste protocollen tweeweg-verkeer en zal het blokkeren van verkeer in één richting het protocol breken. Als het IP-verkeer in één richting onmogelijk is, is er ook geen flow control mogelijk en ook hier moet dus een oplossing voor komen.

Grondige check ikomend verkeer
Een datadiode kan garanderen dat uitgaand verkeer onmogelijk is. Alle vertrouwelijke en geheime informatie kan het netwerk niet via de datadiode verlaten. Dat betekent echter wel dat het inkomend verkeer in principe zaken kan bevatten die op het afgeschermde netwerk schade kunnen aanrichten. In de praktijk wordt het inkomend verkeer eerst via een netwerk geleid dat voorzien is van alle gangbare security, van antivirus tot IPS en SIEM. Ook kunnen technieken worden gebruikt, zoals het omzetten van het ene naar het andere bestandsformaat (bijvoorbeeld van Word naar pdf) om een eventueel schadelijke inhoud te neutraliseren. De kans is minimaal dat het gebeurt, maar het blijft in principe mogelijk dat er ondanks alles toch malware in het afgeschermde netwerk terecht komt. In de praktijk weegt echter zwaarder dat informatie het netwerk niet kan verlaten.

Deze configuratie komt veel voor bij bedrijven en instellingen in sectoren zoals energie, olie & gas, nucleaire industrie, die een absolute garantie willen dat extern verkeer niets kan verstoren. Het uitgaande verkeer dient dan bijvoorbeeld om vanaf een booreiland productiegegevens en dergelijke door te geven aan het hoofdkantoor. Ook voor defensie kan een deze configuratie zijn nut bewijzen. Denk aan situaties waar externe invloeden via een netwerk moeten worden uitgesloten (zoals lanceerinrichtingen), maar waarop zich geen geheime informatie bevindt en uitgaand verkeer toch nodig is.

Oplossing voor flow control
Voor de flow control worden twee proxy servers gebruikt: een tussen het binnenkomende verkeer en de datadiode en een tussen de datadiode en het afgeschermde netwerk. Dit maakt het mogelijk om voor het dataverkeer tot aan de diode de flow control te regelen, en dat geldt ook voor het verkeer vanaf de diode verder naar het afgeschermde netwerk. De overbrugging via de diode gaat via een speciaal ontworpen protocol dat geschikt is voor het betrouwbaar versturen van informatie zonder dat er feedback kan worden ontvangen. Uitgebreide tests en praktijkervaring laten zien dat in dit zeer korte traject geen fouten optreden.

Geen beheer betekent lage kosten
Doordat de datadiode zelf volledig in hardware is gerealiseerd en zonder software en programmeerbare chips werkt, zijn er ook geen geregelde updates nodig en hoeft het apparaat niet beheerd te worden. Dit heeft bovendien een zeer positieve impact op de bedrijfszekerheid van het apparaat. Alleen al de besparing op de beheerkosten maakt de datadiode een zeer aantrekkelijke oplossing voor het gegarandeerd fysiek afschermen van een netwerk.

Peter C. Geijtenbeek, International Sales Director van Fox-IT

trefwoorden

security |netwerken |fox-it |datadiode |

Meest gelezen op IT Executive

Meest bekeken partnercontent