Diodos de datos

Cuando se interconectan dos redes con distinto nivel de seguridad es buena práctica establecer los mecanismos que eviten que las posibles brechas de seguridad en la menos segura puedan aprovecharse para comprometer la más segura. Supongo que ya habréis pensado en los firewalls, o eso espero.

Desde el punto de vista de la confidencialidad de datos, es necesario evitar que la información almacenada en un sistema/red donde es considerada como "confidencial" pase a otro sistema/red donde las medidas de protección son propias de información de "libre distribución". Para tratar este tipo de situaciones tenemos, los clásicos cortafuegos de nivel de aplicación que pueden realizar control de contenidos, o tecnologías más avanzadas como el DLP (Data Leakage/Loss Prevention) del que ya se habló en este post.

Existen también otras dos dimensiones de la seguridad que se deben tener en cuenta, la integridad y la disponibilidad. En el primer caso, es necesario evitar que desde la red de menor protección se pueda acceder a los datos de la red de mayor nivel de seguridad y modificarlos. En el segundo, es necesario evitar que una denegación de servicio pueda ser causada a los sistemas asociados a la red de mayor nivel de seguridad. En estos dos casos, los clásicos firewalls bien de red, o también los más complejos cortafuegos de aplicación son la solución más inmediata.

Los firewalls y los sistemas DLP son sistemas software y por tanto están sujetos a defectos de implementación o de configuración, dejando la puerta abierta a que pueden ser saltados por un atacante experto (o no tan experto), que sabe lo que hace. Cuando los requisitos en la tríada CIA son muy elevados, como es el caso de vigilar la fuga de información de entornos gubernamentales, o salvaguardar la integridad y disponibilidad de los entornos SCADA de las consecuencias de interconectar la red de mando y control con la red corporativa (revísese la idea errónea 2 de este post), se hacen necesarios otros mecanismos. Una solución drástica sería la de "la red más segura se deja aislada del mundo y si se necesita acceder a ella desde el exterior, se hace a través de mensajeros humanos". Pero existe otra solución… los diodos de datos.

Los diodos de datos, de los que podéis encontrar más información aquí, son una cosa tan sencilla como un medio físico que sólo permita tráfico unidireccional. Existen múltiples implementaciones comerciales. Unas se basan en una fibra óptica con un transmisor en un extremo y un fotodetector en el otro, mientras que otras pueden ser mucho más peregrinas, como el uso de enlaces serie RS232 donde se corta el cable de transmisión que interese (desde la red de más alto nivel de seguridad hacia la red de menor nivel, para el caso de la confidencialidad; a la inversa, para la integridad y la disponibilidad).

Algunas de las empresas que comercializan esta solución son la estadounidense OWL USA, la australiana Tenix, la francesa Thalesy o la israelí Waterfall.

A estas alturas espero que todos os hayáis dado cuenta de una cosa. ¿Qué pasa con aquellos protocolos que son intrínsecamente bidireccionales, como por ejemplo TCP? Efectivamente, si los datos, por pura limitación física, solo pueden viajar en un sentido, los mensajes de control como los ACK, los mecanismos de control de flujo para evitar la congestión de los buffers del sistema receptor, etc. quedan anulados. Esto restringe enormemente las posibilidades de esta tecnología. De todas formas UDP, que no requiere de confirmaciones ni establece requisitos propios de protocolos orientados a conexión, puede ser bastante fiable bajo condiciones muy controladas, como es el caso de enlaces punto-punto (sin colisiones), de longitud corta para evitar la atenuación en la propagación de la señal, y protegidos contra interferencias electromagnéticas externas.

Para terminar, imaginemos que queremos permitir el envío de información vía FTP de una red segura hacia otra no segura/no confiable. Supongamos que queremos utilizar la tecnología de diodo de datos para estar seguros al 100% de que no se podrá aprovechar una vulnerabilidad del servidor de FTP para tener acceso al resto de sistemas de la red de alta seguridad. A priori esto parece imposible puesto que FTP funciona sobre TCP. No obstante, existe una solución. Podríamos integrar un agente cliente FTP en el extremo transmisor y un servidor FTP "fake" en el extremo receptor del diodo de datos. El agente cliente, estará situado en la red de mayor nivel de seguridad, y se conectará periódicamente para descargar a local los ficheros del servidor FTP legítimo. Cada vez que se descarga un fichero se transmite a través del diodo mediante un protocolo unidireccional, que suele ser propietario, hasta el servidor FTP integrado en el extremo receptor del diodo. Este servidor FTP "fake", estará en el extremo inseguro del diodo, es decir, en la red de menor nivel de confianza. Así, los clientes FTP legítimos se conectarán contra este servidor "fake" y tendrán acceso a aquélla información que desean descargar.

Elyoenai Egozcue,

S21sec labs