Prüfung einer Unidirectional Gateway/Datendiode
Produkttests sind wichtig, da nur so sichergestellt werden kann, dass das Produkt die von der Industrie und dem Unternehmen vorgeschlagenen Normen erfüllt.
Das Wichtigste beim Testen unidirektionaler Gateways ist es, sicherzustellen, dass es keine Datenverluste gibt und dass die übertragenen Daten vor und nach der Übertragung genau gleich sind. Das gleiche Prinzip kann auf die Prüfung von Datendioden angewandt werden.
Das Testen einer unidirektionalen Gateway-/Datendiode bringt einige Herausforderungen mit sich, für die wir eine Lösung finden mussten:
1. Das Produkt arbeitet mit zwei verschiedenen Netzen, ohne dass eine Verbindung zwischen ihnen möglich ist.
2. Testprotokolle wie TCP, UDP, OPCUA, MODBUS sind manuell schwer zu testen.
3. Testen von Protokollen wie FTP und CIFS (Dateiübertragung). Obwohl manuelle Tests durchgeführt werden können, ist es unmöglich sicherzustellen, dass jedes Bit der übertragenen Datei genau mit dem Original übereinstimmt, wenn nur manuelle Tests durchgeführt werden.
4. Bei automatischen Tests müssen Sie eine Möglichkeit finden, die Synchronisierung zwischen den Testskripten der vertrauenswürdigen und der nicht vertrauenswürdigen Domäne aufrechtzuerhalten, da diese nicht miteinander kommunizieren können.
5. Die unidirektionale Gateway-/Datendiode muss einem Stresstest unterzogen werden, bei dem eine große Datenmenge übertragen werden muss.
Die unidirektionale Gateway-Lösung von OPSWAT ist MetaDefender Unidirectional Security Gateway USG), und hier beschreiben wir, wie wir es testen und bieten Lösungen für die oben genannten Probleme.
Was ist MetaDefender Unidirectional Security Gateway USG)?
NetWall ist ein Produkt, das Daten von einer vertrauenswürdigen Domäne (Blau) zu einer nicht vertrauenswürdigen Domäne (Rot) überträgt. NetWall besteht aus zwei physischen Computern, die über eine Hochgeschwindigkeits-Datenverbindung miteinander verbunden sind. Es besteht keine Netzwerkverbindung zwischen den beiden physischen Computern. Die Datenübertragung über NetWall erfolgt über ein proprietäres internes, nicht routingfähiges Protokoll.
NetWall bietet eine Lösung für das gravierendste Sicherheitsproblem von Firewalls: Sie können kompromittiert werden. NetWall überwindet auch das inhärente Problem von Datendioden: die fehlende Garantie für die Datenzustellung.
Warum NetWall besser ist als eine Firewall
Wenn sich ein böser Akteur Zugang zu einer Firewall verschafft, kann diese Person die Firewall so konfigurieren, dass sie ihren Bedürfnissen entspricht, und vollen Zugang zur vertrauenswürdigen Domäne erhalten. NetWall Die Sicherheitslücke zwischen der vertrauenswürdigen Domäne (Blau) und der nicht vertrauenswürdigen Domäne (Rot) ist jedoch vollständig protokoll- und netzwerkseitig geschlossen. Wenn ein bösartiger Akteur die Kontrolle über die Seite der nicht vertrauenswürdigen Domäne (rot) von NetWall erlangt, kann er nicht auf die vertrauenswürdige Domäne zugreifen, da keine Netzwerkverbindung zwischen der vertrauenswürdigen Domäne (blau) und den Computern der nicht vertrauenswürdigen Domäne (rot) NetWall besteht.
Tiefer eintauchen: Datendioden vs. Firewalls - Netzwerksicherheit, Datenfluss und Compliance im Vergleich
NetWall Anwendungsfälle
NetWall wird in jeder Umgebung eingesetzt, in der Daten von einer vertrauenswürdigen Domäne an eine nicht vertrauenswürdige Domäne übertragen werden müssen und die Sicherheit der vertrauenswürdigen Domäne geschützt werden muss.
Ein Unternehmen kann zum Beispiel ein oder mehrere Wasserwerke haben, die sich in einem vertrauenswürdigen Bereich ohne Internetzugang befinden. Das Unternehmen benötigt zu jedem Zeitpunkt den Status der Wasserwerke oder wie viel Wasser produziert wurde. Die Lösung, um diese Informationen zu erhalten, ohne die vertrauenswürdige Domäne zu gefährden, ist die Verwendung von NetWall.
Wie man testet NetWall
Die Tests umfassen eine Belastungsprüfung NetWall. Das bedeutet, dass das Produkt für eine gewisse Zeit an seine Grenzen gebracht wird und sichergestellt wird, dass das Verhalten den Erwartungen entspricht.
Das Produkt ist in der Lage, Dateien von der vertrauenswürdigen Seite auf die nicht vertrauenswürdige Seite mittels FTP oder CIFS zu übertragen. Es kann auch TCP-, UDP-, MODBUS-, OPCUA- und SMTP-Protokolle verwenden. Bei den Tests werden alle diese Technologien gleichzeitig verwendet.
Die Skripte erzeugen Daten, die von der vertrauenswürdigen Domäne in die nicht vertrauenswürdige Domäne von NetWall verschoben werden.
Die Tests zeichnen die Daten auf, die NetWall aus der vertrauenswürdigen Domäne sendet. Die Tests zeichnen auch die Daten auf, die von NetWall in der nicht vertrauenswürdigen Domäne empfangen werden.
Am Ende der Tests werden die aufgezeichneten Ergebnisse verglichen. Jeder Datenverlust wird in den Testergebnissen vermerkt.
FTP, CIFS Prüfung
Beide Protokolle werden für die Übertragung von Dateien verwendet.
NetWall verschiebt Dateien, die sich in einem FTP- oder CIFS-Ordner in der vertrauenswürdigen Domäne befinden, in einen FTP- oder CIFS-Ordner in der nicht vertrauenswürdigen Domäne.
Die Tests simulieren Benutzer, die Dateien in den FTP- und CIFS-Ordnern der vertrauenswürdigen Domäne ablegen. Er simuliert reale Bedingungen, indem er viele Benutzer erzeugt, die kleine Dateien schreiben, einige, die mittelgroße Dateien schreiben, und einige wenige Benutzer, die große Dateien schreiben.
Die Testskripte auf der vertrauenswürdigen Domäne zeichnen die folgenden Informationen für jede übertragene Datei auf:
- Der Name der Datei
- Die Tageszeit, zu der die Datei von NetWall aus der vertrauenswürdigen Domäne abgerufen wurde
- Der Hash-Code für die Datei
Die Testskripte auf der nicht vertrauenswürdigen Domäne zeichnen die folgenden Informationen für jede Datei auf, die sie von NetWall Blue erhalten:
- Der Name der Datei
- Der Hash-Code für die Datei
- Tageszeit des Eingangs der Datei
Am Ende des Tests werden die Datensätze aus dem vertrauenswürdigen Bereich mit den Datensätzen aus dem nicht vertrauenswürdigen Bereich verglichen. Der auf Blau generierte Hash-Code und der auf Rot generierte Hash-Code werden verglichen, um die Integrität der auf NetWall Rot empfangenen Datei zu überprüfen. Der Vergleich erzeugt eine Excel-Datei ähnlich der folgenden:
TCP-Prüfung
NetWall unterstützt unidirektionale TCP-Streams, die in der vertrauenswürdigen Domäne beginnen und in der nicht vertrauenswürdigen Domäne enden.
Es wurde ein Testcode geschrieben, der auf Rechnern außerhalb von NetWall sowohl in der vertrauenswürdigen Domäne als auch in der nicht vertrauenswürdigen Domäne ausgeführt wird. Dieser Testcode erstellt eine Datei in der vertrauenswürdigen Domäne und verwendet dann einen TCP-Kanal auf NetWall , um die Dateidaten an den Testcode in der nicht vertrauenswürdigen Domäne zu übertragen.
Am Ende des Testzyklus wird eine Excel-Datei erstellt, um die Testergebnisse zu veröffentlichen. Diese Excel-Datei wird wie das folgende Beispiel aussehen.
UDP-Prüfung
NetWall unterstützt auch UDP-Datenströme.
Es wurde ein Testcode geschrieben, der auf Rechnern außerhalb von NetWall sowohl in der vertrauenswürdigen als auch in der nicht vertrauenswürdigen Domäne ausgeführt wird. Dieser Testcode erstellt Datennachrichten in der vertrauenswürdigen Domäne und verwendet dann einen UDP-Kanal auf NetWall , um die Dateidaten an den Testcode in der nicht vertrauenswürdigen Domäne zu übertragen.
Am Ende des Testzyklus wird eine Excel-Datei erstellt, um die Testergebnisse zu veröffentlichen. Diese Excel-Datei wird wie das folgende Beispiel aussehen.
Modbus-Prüfung
Bei den Modbus-Tests werden die Werte in den Spulen und Registern auf der blauen Seite geändert. Die geänderten Werte werden protokolliert, und wenn sie an die rote Seite übertragen werden, werden sie ebenfalls protokolliert. Nach Abschluss des Tests werden die Werte verglichen und eine Excel-Datei erstellt:
OPCUA-Prüfung
Um einen OPCUA-Test zu initiieren, werden die Werte der Knoten auf der blauen Seite geändert. Diese werden protokolliert, und wenn sie auf der roten Seite ankommen, werden sie ebenfalls protokolliert. Auf der roten Seite werden einige Knoten ausgelesen, und andere geben die neuen Werte an die abonnierten Clients weiter. Nach Beendigung des Tests werden die beiden Datensätze verglichen und ein Excel-Dokument erstellt:
SMTP-Tests
Zur Durchführung von SMTP-Tests sendet ein Skript Hunderte von E-Mails von der Seite der vertrauenswürdigen Domäne an einen Server, der sich in der nicht vertrauenswürdigen Domäne befindet. Hier wird überprüft, ob alle E-Mails ankommen.
Schlussfolgerung
Jede NetWall Version ist für die Anwendung dieser und anderer Testverfahren zertifiziert. Wir sind zuversichtlich, dass NetWall immer stabil und effizient sein wird.
