Het is een wijdverbreid idee dat er maar één gegarandeerd veilige manier is om te voorkomen dat geheimen via een netwerk naar buiten uitlekken: zorg dat er geen fysieke verbinding meer is. Een misverstand. Bovendien is het compleet afsluiten van de digitale buitenwereld niet verstandig: inkomend verkeer moet mogelijk blijven. De oplossing die tegemoet komt aan beide eisen is de zogeheten datadiode. Een fysiek apparaat zonder ip-adres, zonder software, firmware of FPGA’s (programmeerbare chips) dat netwerkverkeer in de ene richting toestaat, maar in de andere richting absoluut onmogelijk maakt.
Van oudsher zijn landen zeer geïnteresseerd in elkaars defensiegeheimen en het ondermijnen van elkaars infrastructuren. Daarvoor zetten zij de meest uiteenlopende middelen in, dus ook digitale. Met welke online dreigingen defensieorganisaties op dit moment te maken hebben is ongetwijfeld bekend. Minder bekend is dat digitale middelen al veel langer worden ingezet dan menigeen denkt. Een van de oudste voorbeelden stamt uit het pre-internet tijdperk.
In 1982 ontplofte een Russische pijpleiding bij de Siberische stad Urengoy. Het was de grootste niet-nucleaire ontploffing die vanuit de ruimte te zien was. De oorzaak was – naar verluidt – sabotage door de CIA. Niet door agenten ter plekke, maar door een trojaans paard dat door de CIA in de besturingssoftware van de pijplijn was ondergebracht. Deze software was door een Canadees bedrijf ontwikkeld. Sindsdien is er geregeld malware opgedoken die ontwikkeld zou zijn door ‘statelijke actoren’ en waarvan Stuxnet de bekendste is. Naast statelijke actoren hebben ook terroristen en hacktivisten het steeds vaker voorzien op geheimen van ‘onwelgevallige landen’ en hun infrastructuren.
Maatregelen
Door deze ontwikkelingen ontstaat steeds meer druk op defensienetwerken waarop zich geheimen bevinden. Deze netwerken zijn op een aantal gebieden kwetsbaar: het netwerkontwerp (de architectuur), het securitybeleid (bijvoorbeeld het afdwingen van wachtwoorden die aan bepaalde eisen moeten voldoen), de software die op het netwerk wordt gebruikt en de communicatieprotocollen. Een enkel gaatje in een van deze gebieden volstaat om het netwerk binnen te dringen.
Een bekende manier om een netwerk rigoureus te isoleren is het creëren van een zogeheten ‘air gap’. Het netwerk is dan verder nergens op aangesloten en informatie kan alleen op het netwerken komen, of er vanaf worden gehaald via een usb-stick, een cd-rom of een andere gegevensdrager. De bezwaren tegen deze methode zijn dat het absoluut niet realtime is, veel gedoe met zich meebrengt en óók niet veilig i, omdat via de gegevensdragers schadelijke software alsnog het netwerk kan binnenkomen en gevoelige informatie in principe via dezelfde weg het netwerk kan verlaten.
Een andere manier is het afschermen van het netwerk met een firewall, bij voorkeur van de ‘next generation’. Maar dit zijn ip-oplossingen die gehackt kunnen worden, niet kunnen garanderen dat ze foutloos werken (bugs, backdoors) en gevoelig zijn voor al dan niet opzettelijke configuratie- en beheerfouten. En dan is er nog een mogelijkheid om op fysiek niveau, maar anders dan met een ‘air gap’, alle netwerkverkeer naar buiten – óf naar binnen – onmogelijk te maken: met een zogeheten datadiode.
‘Hardware-only’
De datadiode is – net als zijn elektronische naamgever – een apparaat dat eenrichtingsverkeer mogelijk maakt. In de ene richting kan stroom (data) lopen, in de andere richting is dat fysisch onmogelijk.
Het elektronisch onmogelijk maken van het verkeer in één richting is niet voldoende. Voor solide oplossing is wel wat meer nodig. Zo betreffen de meeste protocollen tweeweg-verkeer en zal het blokkeren van verkeer in één richting het protocol breken. Als het ip-verkeer in één richting onmogelijk is, is er ook geen flow control mogelijk en ook hier moet dus een oplossing voor komen.
Blokkade inkomend verkeer
Een datadiode kan garanderen dat uitgaand verkeer onmogelijk is. Alle vertrouwelijke en geheime informatie kan het netwerk niet via de datadiode verlaten. Dat betekent echter wel dat het inkomend verkeer in principe zaken kan bevatten die op het afgeschermde netwerk schade kunnen aanrichten. In de praktijk wordt het inkomend verkeer eerst via een netwerk geleid dat voorzien is van alle gangbare security, van antivirus tot IPS en SIEM. Ook kunnen technieken worden gebruikt, zoals het omzetten van het ene naar het andere bestandsformaat (bijvoorbeeld van Word naar pdf) om een eventueel schadelijke inhoud te neutraliseren. De kans is minimaal dat het gebeurt, maar het blijft in principe mogelijk dat er ondanks alles toch malware in het afgeschermde netwerk terecht komt. In de praktijk weegt echter zwaarder dat informatie het netwerk niet kan verlaten.
Deze configuratie komt veel voor bij bedrijven en instellingen in sectoren zoals energie, olie & gas, nucleaire industrie, die een absolute garantie willen dat extern verkeer niets kan verstoren Het uitgaande verkeer dient dan bijvoorbeeld om vanaf een booreiland productiegegevens en dergelijke door te geven aan het hoofdkantoor. Ook voor defensie kan zo’n configuratie zijn nut bewijzen. Denk aan situaties waar externe invloeden via een netwerk moeten worden uitgesloten (zoals lanceerinrichtingen), maar waarop zich geen geheime informatie bevindt en uitgaand verkeer toch nodig is.
Proxy servers voor flow control
Voor de flow control worden twee proxy servers gebruikt: één tussen het binnenkomende verkeer en de datadiode en een tussen de datadiode en het afgeschermde netwerk. Dit maakt het mogelijk om voor het dataverkeer tot aan de diode de flow control te regelen, en dat geldt ook voor het verkeer vanaf de diode verder naar het afgeschermde netwerk. De overbrugging via de diode gaat via een speciaal ontworpen protocol dat geschikt is voor het betrouwbaar versturen van informatie zonder dat er feedback kan worden ontvangen. Uitgebreide tests en praktijkervaring laten zien dat in dit zeer korte traject geen fouten optreden.
Geen beheer, lage kosten
Doordat de datadiode zelf volledig in hardware is gerealiseerd en zonder software en programmeerbare chips werkt, zijn er ook geen geregelde updates nodig en hoeft het apparaat niet beheerd te worden. Dit heeft bovendien een positieve impact op de bedrijfszekerheid van het apparaat. Alleen al de besparing op de beheerkosten maakt de datadiode een aantrekkelijke oplossing voor het gegarandeerd fysiek afschermen van een netwerk.
Of te wel men neme 2 proxy servers, gooit de data van de inkomende via UDP naar de interne. En van de utp kabel zijn maar vier draadjes aangesloten, en geen acht.
Tja, dat kan je doen als je wel inkomend verkeer nodig hebt.