Légrés (adathálózatok)

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2018. június 19-én felülvizsgált verziótól ; az ellenőrzések 14 szerkesztést igényelnek .

A fizikai izoláció ( ang.  air gap  "air gap" [1] ) az információbiztonság biztosításának egyik intézkedése , amely abban áll, hogy a biztonságos számítógépes hálózat fizikailag el van szigetelve a nem biztonságos hálózatoktól: az internettől és a helyi hálózatoktól biztonsági szint [2] . A fizikai elszigetelést akkor alkalmazzák a számítógépes hálózatokban, amikor magas szintű biztonságot kell biztosítani. A fizikai izolációs mechanizmus nem biztos, hogy a szó szoros értelmében vett "légrés". Például különálló kriptográfiai eszközök segítségével, amelyek a nem biztonságos hálózatokon keresztül vezetik át a forgalmat, miközben nem adnak változást a hálózati forgalom és a csomagok méretében, kommunikációs csatorna jön létre. Ennek ellenére a légrés ellentétes oldalán lévő számítógépek nem kommunikálhatnak egymással.

Korlátozások

Az ezekben a környezetekben használt eszközökre vonatkozó korlátozások magukban foglalhatják a nagy biztonságú hálózathoz való bejövő vezeték nélküli kapcsolat , a kimenő vezeték nélküli kapcsolat tilalmát, vagy hasonló korlátozásokat az elektromágneses sugárzás szivárgására egy nagy biztonságú hálózatból TEMPEST vagy Faraday ketrecek használatával .  Az egyik jól ismert példa a „ Floppinet ”, amikor két eszköz vagy hálózat közötti kapcsolatot olyan személy végzi, aki fizikailag hordoz információt tartalmazó adathordozót: hajlékonylemezeket, lézerlemezeket, USB -lemezeket , mágnesszalagokat stb.

Alkalmazás

Azokban a környezetekben, ahol a hálózatokat vagy eszközöket különböző biztonsági szintek választják el egymástól, két egymáshoz nem kapcsolódó eszközt vagy két hálózatot "alsó rétegnek" és "felső rétegnek" neveznek: az alsó nem minősített, a felső pedig titkos, vagy a legmagasabb fokozatú. a titoktartás. „Vörös és fekete” információ fogalmának is nevezik őket (az NSA terminológiájából ) [3] . Ahhoz, hogy az adatokat a felső rétegből az alsó rétegbe vigye át, az adatokat a fizikai adathordozóra kell írnia, és át kell vinnie az adathordozót az alsó rétegen lévő eszközre. A Bell-LaPadula modell szerint az adatok minimális költséggel mozoghatnak az alsó rétegből a felső rétegbe, míg a felső rétegből az alsó rétegbe történő adatátvitel sokkal szigorúbb eljárást igényel a magasabb szintű adatvédelem biztosítása érdekében. a titoktartás.

A koncepció szinte az egyik hálózat maximális védelme a másikkal szemben. Nincs mód arra , hogy egy csomag vagy datagram átugorjon a légrésen egyik hálózatról a másikra, de számos számítógépes vírus (például a Stuxnet [4] és az Agent.BTZ ) vált ismertté, mivel képes áthidalni a hálózatot. rés egy cserélhető adathordozó exploit segítségével. Néha a vírusok is megpróbálnak vezeték nélküli hálózatokat használni a szakadék áthidalására.

A légrést használó hálózat általában zárt rendszernek tekinthető (az információ, a jelek és az elektromágneses hamis sugárzás szempontjából), amely a külvilágból megközelíthetetlen. Mellékhatásként jelentkezik, hogy a hasznos információk kívülről történő átvitele a hálózatba rendkívül időigényes feladat, amely gyakran emberi részvételt igényel a jövőbeli programok vagy adatok biztonságának elemzésében, amelyek a légrésen túlra kerülnek, és esetleg még új adatok kézi bevitele és biztonságának elemzése [5] .

Példák

Finomságok

Tekintettel az USB protokoll nyilvánvaló hiányosságaira [10] , légrés útján történő adatátvitelnél előnyösebb optikai adathordozók használata: Mini CD , CD , DVD és Blu-Ray lemezek [11] .

Van egy olyan álláspont, amely szerint a légrés mögötti hálózat által egyszer elért médium megsemmisítésnek vagy elszigetelésnek van kitéve, és soha többé nem csatlakozik nem megbízható hálózatról származó eszközökhöz.

A kutatók különféle módokat írnak le az adatok átvitelére a hálózathoz és a meghajtókhoz való hozzáférés nélkül .

Lásd még

Jegyzetek

  1. Electropedia: A világ online elektrotechnikai szókincse: Air Gap . Letöltve: 2013. november 13. Az eredetiből archiválva : 2013. november 13..
  2. RFC 4949
  3. PIROS/FEKETE  koncepció . szójegyzék; CNSSI 4009-2015 . NIST SZÁMÍTÓGÉPES BIZTONSÁGI ERŐFORRÁS KÖZPONT. Letöltve: 2017. november 18. Az eredetiből archiválva : 2017. december 1..
  4. A Stuxnet kézbesítve az iráni atomerőműbe  (2012. április 12.). Archiválva az eredetiből 2013. augusztus 23-án. Letöltve: 2013. szeptember 8.
  5. Lemos, Robert NSA repedésbiztos számítógépet próbál megtervezni . ZDNet News . CBS Interactive Inc. (2001. február 1.). „Például előfordulhat, hogy szigorúan titkos adatokat egy másik számítógépen tárolnak, mint a pusztán érzékeny anyagnak minősített adatokat. Néha, hogy egy dolgozó hozzáférjen az információkhoz, akár hat különböző számítógép is lehet egyetlen asztalon. Az ilyen típusú biztonságot a titkosszolgálati közösség tipikus zsargonjában légrésnek nevezik . ". Letöltve: 2012. október 12. Az eredetiből archiválva : 2012. október 9..
  6. Rist, Oliver Hack Tales: Légközi hálózatépítés egy pár tornacipő áráért (a link nem elérhető) . infovilág . IDG hálózat (2006. május 29.). – „Nagyon biztonságos helyzetekben az adatok különféle formáit gyakran távol kell tartani a termelési hálózatoktól a nem biztonságos források – például az internet – általi esetleges szennyeződése miatt. Tehát az informatikai rendszergazdáknak zárt rendszereket kell építeniük az adatok elhelyezésére – például önálló szervereket vagy kis szerverhálózatokat, amelyek nem csatlakoznak semmihez, csak egymáshoz. Ezek és más hálózatok között nincs más, csak levegő, innen ered a légrés kifejezés , és a köztük lévő adatátvitel a régimódi módon történik: a lemezek kézi mozgatása a „ sneakernet ”-en keresztül. Hozzáférés dátuma: 2009. január 16. Az eredetiből archiválva : 2008. július 24. 
  7. SIPRNet előzmények és általános információk . — „A NIPRNet a SIPRNet „légréses” analógjaként működik. Az „airgapping” egy olyan biztonsági funkció, amelyet gyakran használnak nem katonai területeken, például atomerőművekben, légi közlekedésben, valamint egészségügyi feljegyzésekben és berendezésekben. Hozzáférés dátuma: 2013. szeptember 19. Az eredetiből archiválva : 2013. február 3.
  8. Weber vs SEC (downlink) 35. insurancenewsnet.com (2012. november 15.). — „A tőzsdei belső hálózati számítógépes rendszerek annyira érzékenyek, hogy „légrésben” vannak, és nincsenek az internethez csatlakoztatva, hogy megvédjék őket a harmadik felek támadásaitól, behatolásától vagy más rosszindulatú cselekedeteitől. Letöltve: 2013. szeptember 8. Archiválva az eredetiből: 2013. december 3. 
  9. Zetter, Kim FAA: A Boeing új 787-ese sebezhető lehet a hackertámadásokkal szemben . vezetékes magazin . Condenet, Inc. (2008. január 4.). „(... Boeing ...) nem részletezi, hogy (...ez...) hogyan kezeli a problémát, de azt állítja, hogy olyan megoldások kombinációját alkalmazza, amely magában foglalja a hálózatok bizonyos fizikai szétválasztását. légrésként és szoftveres tűzfalként." Hozzáférés dátuma: 2009. január 16. Az eredetiből archiválva : 2008. december 23.
  10. Joanna Rutkowska – USB biztonsági kihívások (2011. január 6.). - "Az USB a nevek szerint egy buszösszekötő, ami azt jelenti, hogy az ugyanazon az USB-vezérlőn megosztó USB-eszközök mindegyike képes a buszon lévő jelek szippantására és hamisítására. Ez az egyik legfontosabb különbség az USB és a PCI Express szabványok között, ahol az utóbbi peer-to-peer interconnect architektúrát használ." Hozzáférés időpontja: 2013. október 15. Az eredetiből archiválva : 2013. október 16.
  11. Schneier a biztonságról – Légrések  (2013. október 11.). Archiválva az eredetiből 2013. október 16-án. Letöltve: 2013. október 15.

Linkek