17.04.2014

"Всех впускать - никого не выпускать". Об однонаправленных МСЭ

С пару недель назад имел беседу с коллегой, который пытался доказать, что в технологических сетях имеют право на жизнь только однонаправленные межсетевые экраны, т.к. они обеспечивают идеальную защиту индустриальных сегментов от направленных или случайных воздействий. А вчера услышал про идею стартапа о создании "чисто российского" однонаправленного МСЭ (на волне разговоров об импортозамещении очень модная тема).

Собственно, критиковать идею однонаправленных МСЭ я не планирую. Она вполне себе ничего. Ничем не лучше и не хуже других средств управления информационными потоками. Хотелось бы только заметить, что в индустриальных системах важно учитывать технологию, в т.ч. и технологию обработки информации, и под нее подстраивать средства защиты, а не наоборот. Ключевой принцип, в т.ч. зафиксированный и в последних документах ФСТЭК, "система защиты не должна мешать штатному и безопасному функционированию системы".

Возьмем к примеру передачу диагностической информации из индустриального сегмента. Тут, безусловно, однонаправленному МСЭ самое место. Он будет разрешать передавать данные только в одном направлении и блокировать любые иные коммуникации. А теперь возьмем нефтепровод. С ним через однонаправленный МСЭ уже не пообщаешься, а технология требует взаимных коммуникаций. Мало собирать статистику об объемах нефтеперекачки, необходимо иметь возможность регулирования режима работы нефтепровода, который определяется его загрузкой, реологическими свойствами нефти, содержанием в ней парафина, воды, газа и т.п. Как в такой схеме найти месте однонаправленному МСЭ? Никак.

В западной практике однонаправленные МСЭ нашли свое активное применение преимущественно в электро- и ядерной энергетике и, в основном, для репликации данных из индустриальных сегментов в бизнес-сеть. И хотя существуют немалое количество доводов "за" (преимущественно с точки зрения безопасности) применение данной технологии, безоглядно начинать ее использовать в АСУ ТП не стоит. В любом случае, при принятии решения о переходе на однонаправленные МСЭ стоит подумать вот о каких вопросах:

  • Защищаемый сегмент подразумевает двунаправленную или однонаправленную передачу данных?
  • Используемые в сегменте протоколы работают в однонаправленной среде? Те же OPC, DNP3, Modbus надо зачастую переписывать в виде своих агентов, чтобы они работали в однонаправленной среде.
  • Как обеспечивается высокая доступность? Квитирование, номера подтверждения, биты ошибок... Все это используется для обеспечения отказоустойчивости в обычной среде. Но в однонаправленном сегменте чем это будет заменено?
  • Как осуществляется управление полосой пропускания? Мы не можем через однонаправленное устройство послать команду "замедли передачу" или "ускорь ее".
  • Как осуществляется удаленное и централизованное управление однонаправленными устройствами? Особенно через глобальные сети.

11 коммент.:

Oleg Boyko комментирует...

Репликации данных из индустриальных сегментов в бизнес-сеть - самый адекватный метод применения этих устройств.
Единственное, Алексей, не улавливаю связь между доступностью и квотированием ошибки, номером подтверждения, битами ошибок. Или вы между работоспособностью и доступностью поставили знак равенства? Поясните, пожалуйста.

Алексей Лукацкий комментирует...

Смешал как две стороны одной медали :-)

Carcharadon Megalodon комментирует...

Разве tcp/ip способен работать в одном направлении? Я чего-то не понимаю... а как же ответ в виде SYN-ACK

Алексей Лукацкий комментирует...

А причем тут TCP? Есть еще и UDP, который может. И SMTP и FTP

doom комментирует...

2 Carcharadon Megalodon
обычно односторонний МСЭ - это пара прокси серверов, которые действительно из защищаемых сегментов пускают поток информации только в одну сторону, а необходимая обратная связь реализуется, собственно, прокси.


По поводу места применения - ими самое то отгораживать сегмент с сервером архивных данных - это основная точка интеграции с бизнес-системами и там сама логика работы говорит об однонаправленном информационном потоке.

OBF комментирует...

К вопросу однонапраленных экранов...
Не всегда нужно обеспечивать только сугубо одностороннюю передачу трафика можно ограничится и реализацией защиты предусматривающей возможность установления соединений только из доверенного сегмента.

Разрабатывали эту идею для "защиты от админов" но она может также пригодится и в АСУ ТП системах. Доп. инфа - на сайте onebuttonfirewall.com

Ronin комментирует...

Если посмотреть на рекомендации и примеры внедрения однонаправленных средств передачи данных (дата-диоды) от самих их производителей, то можно увидеть, что проблем нет никаких - просто ставится ПАРА таких устройств - в промышленный сегмент и из него. Пи этом исходящий поток идет, как правильно заметили, на архивный сервер, а входящий может идти от регулирующих систем. При этом, какая-то из этих систем может быть изолирована физически от отального LAN, то есть защищена от проникновения извне. А открытый извне сегмент для общения с бизнес-приложениями, отчетностью и т.д. не имеет возможность передавать информацию в SCADA-сеть.
Так что все прекрасно реализуется

Алексей Лукацкий комментирует...

Только это не везде нужно реализовать

P. Petek комментирует...

Про ТЭК понятно, и то не совсем. А всегда ли надо защищать, пищёвку, например? Да, там тоже есть АСУ ТП. Передача вниз нужна для рецептур или планов на смену, например.

Т.е., получается, применение однонаправленности регламентировать надо.

Алексей Лукацкий комментирует...

Если пищевка относится к объектам защиты по приказу ФСТЭК, то да

P. Petek комментирует...

На тему объектов защиты я у Вас на курсе послушаю 22, 23.05 :)

Под опасные объекты пищёвка тоже может попадать, в рамках техногенной и экологической опасности. Например, хладоген в холодильниках, или биология какая. Т.ч. скорее, да, чем нет.

Опять же, взрывоопасные объекты - всё, где хранится и перерабатывается мука и прочее растительное сырьё.