Výměna dat s klasifikovanými systémy Bezpečnostní oddělovací blok Libor Kratochvíl ICZ a.s

2 Agenda Úvod Popis architektury Poskytovaná funkcionalita Příklad použití

3 Potřeba nové architektury Protichůdné požadavky: Aplikační  Umožnit přenos dat mezi systémy  Komunikovat Bezpečnostní  Zachovat oddělenost jednotlivých systémů  Nepropojit Současné řešení:  Přenos fyzickým transportem datových médií  (BOB)

4 BOB versus Datová média

5 Plně rozdělené prostředí  Žádné průchozí spojení  Žádná aktivita z BOB do LAN  Nemožnost kompromitující konfigurace

6 Začlenění BOB Firewall Vysoká propustnost Nízká latence Bez časového omezení Filtrace standardních komunikačních protokolů Rizika průniku Rizika chyb konfigurace Datová média Omezená propustnost Vysoká latence Závislost na přítomnosti obsluhy Přenos dat v obecných datových souborech Zachování oddělenosti sítí Rizika chyb obsluhy BOB

7 Funkční cíle zařízení Umožnění výměny datových souborů mezi oddělenými sítěmi:  Nahrazení fyzického přenosu datových médií  Spolehlivý audit, neodmítnutelnost  Automatická archivace přenášených dat  Interaktivní a automatizované přenosy  Prioritizace a časování přenosů  Multiuživatelský návrh

8 Co BOB neposkytuje Funkce prokázání původu dat Funkce zajištění integrity dat Jakékoliv síťové služby směrem do připojených sítí Kontrolu obsahu přenášených dat Antivirovou kontrolu …

9 Základní pravidla návrhu Pravidlo technologické rozmanitosti  Zařízením „neprolíná“ žádná technologie Pravidlo nedůvěry  Žádný bezpečnostní mechanismus není považován za zcela spolehlivý Pravidlo násobných mechanismů  Každý bezpečnostní mechanismus je znásoben na principu technologicky odlišné realizace

10 Dělená architektura

11 Rozdělená administrace Každý blok BOB je pod úplnou správou pouze odpovídající autority  Fyzické zabezpečení Každý blok nabízí tři administrátorské role  Správce hraničního směrovače  Správce operačního systému předávacího serveru  Správce aplikace uživatelského rozhraní Omezení administrace  V provozním módu lze systém pouze monitorovat  V módu administrace nelze spouštět moduly BOB  Vynucený restart po ukončení administrace

12 Přenosové fronty BOB LAN A LAN B Blok “A”Blok “B” BOB Uživatelské rozhranní Přenosový subsystém Uživatelské rozhranní Přenosový subsystém A B IN C :::: X A B OUT C :::: X A B IN C :::: X A B OUT C :::: X

13 Průchod dat přes BOB

14 Bezpečnostní mechanismy BOB Přístupové (uživatelské rozhranní) Umožnit přenos dat pouze oprávněným entitám Implementovány více technologiemi Využití více mechanismů Oddělovací (přenosový subsystém) Zamezit průniku z jedné sítě do druhé Využití více technologií Využití více mechanismů Nesdílet jedno prostředí

15 Funkce zajištění integrity Integrita systému- při startu serveru  Start pouze z CDROM  Přeformátování pracovních disků  Vytvoření adresářů z archivu na CDROM Integrita procesů- při startu procesu  Smazání pracovních adresářů  Prověření konfiguračních souborů  Prověření obsahu konfiguračních adresářů  Dostupnost potřebných modulů

16 Certifikační autority BOB Dedikované off-line CA pro BOB Na každé straně BOB existují dvě root CA Způsob ověřování  pouze platnost Možnost okamžité dočasné revokace klientského certifikátu bez úpravy CDROM

17 Model CA BOB

18 Možnosti přístupu uživatelů Interaktivní režim – WWW browser Dávkový režim –program Win32 (command line interface) Přímý přístup z uživatelských aplikací (prostřednictvím definovaného rozhraní ) Model dvou nezávislých CA (CA serverů a CA klientů BOB) Šifrovaná komunikace (128bit)

19 GUI BOB

20 Přenosové rozhraní BOB Komunikační rozhraní Definováno nad protokolem HTTPS Funkce: Odeslání souboru Příjem souboru Přesun souboru Výmaz souboru Informace o frontě IP TCP SSL HTTP BOB Standardní knihovny APV

21 Automatizovaný klient BOB Příklad využití rozhraní BOB Řádková aplikace pro Win32 Rozdělení odesílání a příjmu – 2xEXE Konfigurace z příkazové řádky nebo konfiguračního souboru Vynucené logování činnosti Nedovolený přepis existujících souborů Návratové kódy, logy a standardní výstup signalizují výsledek operace

22 Příklad použití BOB(1)

23 Příklad použití BOB(2)

24 Příklad použití BOB(3)

25 Základní charakteristiky Průchodnost 2 x 1,3MB/s 2 duplexní nezávislé přenosové linky 2 typy front 10 úrovní priorit pro každou frontu 5 časových intervalů přenosu souborů ve frontě 2 parametry omezení velikostí souborů fronty 2 typy přístupu uživatelů Volitelná archivace Možnost přepisu při uploadu 2 typy uživatelů Individuální konfigurace uživatel X fronta 4 typy přístupů uživatelů ke každé frontě 2 časová omezení přístupu uživatelů Přenos souborů do velikosti 100MB Připojení do libovolné IP sítě Průměrná latence 1min

Děkujeme za pozornost Libor Kratochvíl Bezpečnostní architekt ICZ a.s.