Ilmarako (tietoverkot)

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 19. kesäkuuta 2018 tarkistetusta versiosta . tarkastukset vaativat 14 muokkausta .

Fyysinen eristäminen ( eng.  air gap  "air gap" [1] ) on yksi tietoturvan varmistavista toimenpiteistä , joka koostuu siitä, että suojattu tietokoneverkko on fyysisesti eristetty turvattomista verkoista: Internetistä ja paikallisista verkoista, joilla on alhainen tietoturva. turvallisuustaso [2] . Fyysistä eristystä käytetään tietokoneverkoissa, kun se on tarpeen korkean tietoturvatason takaamiseksi. Fyysinen eristysmekanismi ei välttämättä ole "ilmarako" kirjaimellisessa merkityksessä. Esimerkiksi erillisten kryptografisten laitteiden avulla, jotka tunneloivat liikennettä turvattomien verkkojen läpi, mutta eivät anna muutosta verkkoliikenteen määrään ja pakettien kokoon, luodaan viestintäkanava. Silti ilmaraon vastakkaisilla puolilla olevat tietokoneet eivät voi kommunikoida keskenään.

Rajoitukset

Näissä ympäristöissä käytettävien laitteiden rajoitukset voivat sisältää tulevan langattoman yhteyden kiellon korkean suojan verkkoon, lähtevän langattoman yhteyden tai vastaavat rajoitukset sähkömagneettisen säteilyn vuotamiselle korkean turvatason verkosta käyttämällä TEMPEST- tai Faraday-häkkejä . Yksi tunnetuista esimerkeistä on " Floppinet ", jossa kahden laitteen tai verkon välisen yhteyden muodostaa henkilö, joka kantaa fyysisesti mukanaan tietoa sisältävää mediaa: levykkeet, laserlevyt, USB -levyt , magneettinauhat jne.  

Sovellus

Ympäristöissä, joissa verkkoja tai laitteita erottavat eri suojaustasot, kahta toisiinsa kytkemätöntä laitetta tai kahta verkkoa kutsutaan "alakerrokseksi" ja "ylemmäksi kerrokseksi": alempi kerros on luokittelematon ja ylempi on salainen tai luokiteltu korkeimmalla tasolla. salaisuudesta. Niitä kutsutaan myös "punaisen ja mustan" tiedon käsitteeksi ( NSA :n terminologiasta ) [3] . Tietojen siirtämiseksi ylemmältä kerrokselta alemmalle kerrokselle sinun on kirjoitettava tiedot fyysiselle medialle ja siirrettävä tietoväline alemman kerroksen laitteeseen. Bell-LaPadula-mallin mukaan data voi siirtyä alemmalta kerrokselta ylempään kerrokseen minimaalisilla kustannuksilla, kun taas tiedon siirtäminen ylemmältä kerrokselta alemmalle kerrokselle vaatii paljon tiukemman menettelyn, jolla varmistetaan tietosuoja korkeammalla tasolla. salaisuudesta.

Konsepti on lähes maksimaalinen yhden verkon suoja toiselta. Paketti tai datagrammi ei voi millään "hyppää" ilmaraon yli verkosta toiseen, mutta useat tietokonevirukset (kuten Stuxnet [4] ja Agent.BTZ ) ovat tulleet tunnetuiksi pystyessään muodostamaan sillan verkosta toiseen. aukko käyttämällä irrotettavaa mediaa . Joskus virukset yrittävät myös käyttää langattomia verkkoja kuilun kuromiseen.

Ilmaväliä käyttävää verkkoa voidaan yleensä pitää suljettuna järjestelmänä (informaation, signaalien ja sähkömagneettisten harhalähetysten suhteen), johon ulkomaailmalta ei päästä käsiksi. Sivuvaikutuksena on, että hyödyllisen tiedon siirtäminen verkkoon ulkopuolelta on äärimmäisen aikaa vievä tehtävä, joka vaatii usein ihmisen osallistumista ilmaraon ulkopuolelle tuotujen tulevien ohjelmien tai datan turvallisuuden analysointiin ja mahdollisesti jopa uusien tietojen manuaalinen syöttäminen ja turvallisuuden analysointi [5] .

Esimerkkejä

Hienovaraisuudet

USB-protokollan [10] ilmeisten puutteiden vuoksi on suositeltavaa käyttää optisia tietovälineitä siirrettäessä tietoja ilmaraon kautta: Mini-CD- , CD- , DVD- ja Blu-Ray- levyt [11] .

On olemassa näkemys, jonka mukaan ilmavälin takana olevan verkon kautta kerran käytetty tietoväline tuhoutuu tai eristetään, eikä sitä koskaan enää yhdistetä laitteisiin epäluotettavasta verkosta.

Tutkijat kuvaavat erilaisia ​​tapoja siirtää tietoja ilman pääsyä verkkoon ja asemiin .

Katso myös

Muistiinpanot

  1. Electropedia: Maailman sähkötekninen online-sanasto: Air Gap . Haettu 13. marraskuuta 2013. Arkistoitu alkuperäisestä 13. marraskuuta 2013.
  2. RFC 4949
  3. PUNAINEN/MUSTA  konsepti . sanasto; CNSSI 4009-2015 . NIST-TIETOTURVAKESKUS. Haettu 18. marraskuuta 2017. Arkistoitu alkuperäisestä 1. joulukuuta 2017.
  4. Stuxnet toimitettu Iranin ydinvoimalalle peukalon avulla  (12. huhtikuuta 2012). Arkistoitu alkuperäisestä 23. elokuuta 2013. Haettu 8. syyskuuta 2013.
  5. Lemos, Robert NSA yrittää suunnitella halkeamattoman tietokoneen . ZDNet-uutiset . CBS Interactive Inc. (1. helmikuuta 2001). "Esimerkiksi erittäin salaisia ​​tietoja voidaan säilyttää eri tietokoneella kuin vain arkaluontoiseksi materiaaliksi luokiteltua tietoa. Joskus jopa kuusi eri tietokonetta voi olla yhdellä työpöydällä, jotta työntekijä voi päästä käsiksi tietoihin. Tällaista turvallisuutta kutsutaan tyypillisessä tiedusteluyhteisön ammattikielessä ilmaväliksi. ". Haettu 12. lokakuuta 2012. Arkistoitu alkuperäisestä 9. lokakuuta 2012.
  6. Rist, Oliver Hack Tales: Ilmaraon verkottumista tennarien hinnalla (linkki ei saatavilla) . infomaailma . IDG-verkko (29. toukokuuta 2006). – ”Korkean turvallisuuden tilanteissa erilaista dataa joudutaan usein pitämään poissa tuotantoverkoista, koska ne voivat saastua epäturvallisista resursseista, kuten esimerkiksi Internetistä. Joten IT-järjestelmänvalvojien on rakennettava suljetut järjestelmät näiden tietojen säilyttämiseksi – esimerkiksi erilliset palvelimet tai pienet palvelinverkot, jotka eivät ole yhteydessä mihinkään muuhun kuin toisiinsa. Näiden ja muiden verkkojen välillä ei ole muuta kuin ilmaa, tästä johtuu termi air gap , ja tiedonsiirto niiden välillä tapahtuu vanhanaikaisesti: levyjä liikutetaan edestakaisin käsin ' sneakernet'in kautta .". Käyttöpäivä: 16. tammikuuta 2009. Arkistoitu alkuperäisestä 24. heinäkuuta 2008. 
  7. SIPRNet-historia ja yleiset tiedot . — "NIPRNet toimii "ilmarakoisena" analogina SIPRNetille. "Airgapping" on turvaominaisuus, jota käytetään usein ei-sotilaallisilla alueilla, kuten ydinvoimaloissa, ilmailussa sekä lääketieteellisissä tiedoissa ja laitteissa. Käyttöpäivä: 19. syyskuuta 2013. Arkistoitu alkuperäisestä 3. helmikuuta 2013.
  8. Weber vs SEC (downlink) 35. insurancenewsnet.com (15. marraskuuta 2012). - "Pörssin sisäiset verkkotietokonejärjestelmät ovat niin herkkiä, että ne ovat "ilmarakoisia" eivätkä ne ole yhteydessä Internetiin suojatakseen niitä hyökkäyksiltä, ​​tunkeutumiselta tai muilta kolmansien osapuolien vihollisilta. Haettu 8. syyskuuta 2013. Arkistoitu alkuperäisestä 3. joulukuuta 2013. 
  9. Zetter, Kim FAA: Boeingin uusi 787 voi olla alttiina hakkerihyökkäykselle . langallinen lehti . Condenet, Inc. (4. tammikuuta 2008). "(... Boeing ...) ei menisi yksityiskohtiin siitä, kuinka (...se...) ratkaisee ongelman, mutta sanoo käyttävänsä ratkaisujen yhdistelmää, joka sisältää jonkin verran verkkojen fyysistä erottamista. ilmarakoina ja ohjelmistopalomuurina." Käyttöpäivä: 16. tammikuuta 2009. Arkistoitu alkuperäisestä 23. joulukuuta 2008.
  10. Joanna Rutkowska - USB-tietoturvahaasteet (6. tammikuuta 2011). - "USB on nimien mukaan väyläliitäntä, mikä tarkoittaa, että kaikki saman USB-ohjaimen jakavat USB-laitteet pystyvät haistamaan ja huijaamaan väylällä olevia signaaleja. Tämä on yksi tärkeimmistä eroista USB- ja PCI Express -standardien välillä, joissa jälkimmäinen käyttää peer-to-peer-yhdysliikennearkkitehtuuria." Käyttöpäivä: 15. lokakuuta 2013. Arkistoitu alkuperäisestä 16. lokakuuta 2013.
  11. Schneier turvallisuudesta - Air Gaps  (11. lokakuuta 2013). Arkistoitu alkuperäisestä 16. lokakuuta 2013. Haettu 15. lokakuuta 2013.

Linkit