Datendiode cyber-diode – technischer Überblick (Teil 2)

Datendiode cyber-diode – technischer Überblick (Teil 2)

Die Security Appliance cyber-diode basiert auf dem L4-Microkernel und Separationstechnologie und erlaubt  Datenkommunikation in nur eine Richtung. Gleichzeitig lässt sie aber Feedback zu, ob die Daten korrekt beim Empfänger angekommen sind. So können Daten zuverlässig und schnell von einem Netzwerk an ein anderes übertragen werden – ohne Risiko, dass der Sender in Gegenrichtung angegriffen werden kann. Die Details zur cyber-diode erfahren Sie hier.

Im ersten Teil dieses Artikels haben Sie erfahren, in welchen Einsatzszenarien Datendioden Verwendung finden. Im zweiten Teil werden wir auf die Vorteile der Datendiode cyber-diode eingehen.

L4-Microkernel und Separation

Der L4-Microkernel garantiert, dass die Compartments ausschließlich Zugriff auf die ihnen zugeordneten Hardware-Ressourcen haben und dass sie nur über definierte Kanäle miteinander kommunizieren können. Er fungiert in dieser Hinsicht als Sepa­ration Kernel.

Die Netzwerkkarte zum schwarzen Netz wird vom Microkernel nur dem schwarzen genuscreen Compartment zugeordnet, die Netzwerkkarte zum roten Netz nur dem roten genuscreen Compartment. Zugriff auf die Controller für USB und die Festplatte (SSD) bekommt dagegen ausschließlich das Update-Compartment.

Die beiden genuscreen Compartments dürfen nur über den Oneway-Task miteinander kommunizieren. Eine direkte Kommunikation am Oneway-Task vorbei wird vom L4-Microkernel nicht zugelassen. Diese Separation ist mithilfe sogenannter Capabilities statisch konfiguriert und kann nicht geändert oder umgangen werden.

Oneway-Task und Oneway-Protokoll

Der Oneway-Task ist als Task direkt auf dem L4-Microkernel implementiert, läuft unprivilegiert im Userspace (Ring 3) und hat keinen Zugriff auf Peripheriegeräte, sondern nur auf die CPU und Teile des Arbeitsspeichers. Der Oneway-Task kann auf Teile des Arbeitsspeichers der genuscreen Compartments zugreifen und Daten zwischen ihnen hin- und herkopieren. Er ist jedoch so implementiert, dass Nutzdaten nur von Schwarz nach Rot kopiert werden. In Gegenrichtung werden nur interne Steuerdaten kopiert.

cyber-diode: Zur hochsichere Einbahn-Datentransfers an sensiblen Schnittstellen

Adapter für bidirektionale Kommunikationsprotokolle

Bislang wurde erläutert, wie die cyber-diode TCP-Streams und UDP-Datagramme überträgt.

Einige Netzwerkprotokolle benötigen jedoch eine bidirektionale Datenübertragung. Für die Protokolle SMTP und FTP sind bereits spezielle Proxies, sogenannte Adapater, in den genuscreen-Compartments installiert, die die Daten aus dem schwarzen Netz annehmen, über die Oneway TCP-Verbindung ans rote genuscreen weiterleiten und dort wieder per SMTP bzw. FTP an den Zielserver im roten Netz senden. Status- und Fehlermeldungen des Servers werden vom Adapter im roten genuscreen in FIN bzw. RST Nachrichten des Oneway-Protokolls umgesetzt, über den Oneway-Task an das schwarze genuscreen übertragen und vom dortigen Adapter wieder in Status- und Fehlermeldungen des SMTP- bzw. FTP-Protokolls umgesetzt. Auf diese Weise kann man E-Mails über die cyber-diode versenden und Dateien auf einen FTP-Server hochladen.

Konfiguration und Software Updates

Das Update-Compartment erlaubt es, die Konfiguration der cyber-diode per USB-Stick zu aktualisieren. Konfiguriert werden können nur die beiden genuscreen-Compartments, also die externen IP-Adressen der cyber-diode, die erlaubten Adressen und Ports für die Sender und Empfänger, der Übertragungsmodus (Proxy oder Transparent) sowie die Angabe, welche Adapter auf welchen Ports benutzt werden. Der Oneway-Task und die Aufteilung des Systems in Compartments ist dagegen vollkommen statisch. Die unidirektionale Datenübertragung ist also immer garantiert – egal, was konfiguriert wird.

Software-Updates werden ebenfalls per USB-Stick eingespielt und nur dann akzeptiert, wenn sie von genua digital signiert sind. Passt die Signatur, schreibt das Update-Compartment die neue Software auf die Festplatte (SSD) und rebootet die cyber-diode. Der Bootloader lädt dann die neue Software (Microkernel und Compartments) von der SSD in den Arbeitsspeicher und startet sie.

Weil das Update-Compartment keinen Zugriff auf die anderen Compartments und die Netzwerkkarten hat, kann es die Datenübertragung nicht beeinflussen. Umgekehrt haben die genuscreen Compartments und der Oneway-Task keinen Zugriff auf die Festplatte (SSD) oder auf das Update-Compartment und können somit keine Updates anstoßen.

Vorteile gegenüber Firewalls und klassischen Datendioden

Im Gegensatz zu klassischen Datendioden auf Glasfaser-Basis, bei denen auf physikalischer Ebene nur eine Datenübertragung in eine Richtung möglich ist, unterstützt die cyber-diode auch das TCP Protokoll. Dies erlaubt es nicht nur, Daten zuverlässig zu übertragen, sondern auch die Datenübertragungsgeschwindigkeit zu optimieren.

Nur der L4-Microkernel läuft im privilegierten Modus (Ring 0) des Prozessors. Sollte es daher einem Angreifer gelingen, ein genuscreen Compartment anzugreifen, eine Sicherheitslücke auszunutzen und dort Root-Rechte zu erlangen, kann er dennoch keine privilegierten Operationen ausführen und unterliegt weiterhin den Zugriffsbeschränkungen, die der Microkernel definiert. Er bleibt also in diesem Compartment gefangen.

 

Bildquellen: © Cigdem - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.