300x250
일방향 네트워크
일방향 네트워크(단방향 보안 게이트웨이 또는 데이터 다이오드)는 오로지 한 방향으로 데이터가 흐르며 정보의 보안을 보증하기 위해 사용되는 네트워크 장비 또는 데이터를 허용하는 기기이다. 이 장비들은 대부분 높은 보안 환경에서의 방어에 근거를 두고 있으며, 둘 또는 보안 등급이 다른 둘 또는 그 이상의 네트워크 사이의 연결을 위해 일을 한다. 이 기술은 원자력 발전소나 전기 생산 시설의 산업 제어 레벨 현재 발견 할 수 있다.
========================================================================================
이점
단방향 네트워크의 물리적 환경은 오직 한방향 즉, 네트워크 연결의 한방향(low side)에서 다른(high side)쪽으로 데이터를 전송한다는 점이다. high side의유저의 이점은 low side로부터 들어오는 데이터가 기밀하게 유지된다는 것이다.
만약 민감한 데이터가 인터넷에 저장된다면 이러한 기능은 매력적이다. 그것은 인터넷의 연결이 필요하다. 전통적으로 데이터는 인터넷으로부터의 침입에 취약하다. 그러나 민감한 정보를 지니고 있는 high side의 단방향적인 네트워크 분리는 기밀성을 달성 할 수 있다. 만약 lowhigh 네트워크가 연결되어 있다면, 사실상 보안의 보증은 물리적인 것이다.


단방향 네트워크의 요소인 전송과 수신을 포함하는 제어 인터페이스는 두방향 네트워크 도메인의 연결 사이에서 단방향 “communications protocol break” 로 작동한다. 이는 송신자와 수신자 사이에서 TCP/IP 전송 프로토콜을 사용하는 부분에서, 단방향 네트워크의 사용을 방해하지 못한다. TCP/IP client-server 프록시 이전에 배치함으로써, 데이터 전송 TCP 패킷 플로우는 단방향 전송의 보안성을 얻을 수 있다.
=======================================================================================
역사
이 아이디어는 1960년대에 나왔다. 이는 1990년대 호주의 Defence Science and Technology Organisation(DSTO)에 의해 개발 되었다.
=======================================================================================
변화
단방향 네트워크의 가장 흔한 형태는 광섬유 케이블을 이용한 것이다. 상용화된 제품은 기본 디자인에 근거하고 있으며 소프트웨어 기능이 추가 되었다.
몇몇 제조자들은 전매 프로토콜을 사용하고 있으며 이 프로토콜을 사용한 데이터를 허용한다. 이 경우 두 방향성의 연결이 필요하다.
US Naval Research Laboratory(NRL)Network Pump라는 자체적인 단방향 네트워크를 개발 했다. 이것은 high side로부터 low side의 제한적인 backchannel을 허용하는 것을 빼면 DSTO의 것과 많이 비슷하다. 이 기술은 더 많은 프로토콜을 허용하고, 만약 high sidelow side 둘 다 인공적인 Acknowledgment의 타이밍 지연을 통해 연결 된다면, 잠재적인 비밀 채널을 소개한다.
=======================================================================================
적용
단방향 네트워크 연결을 사용하기 위해 두 개의 모델이 있다. 고전적인 모델은 데이터 다이오드의 목적이 안전하지 않은 장비가 안전한 장비에서 데이터 가져오기를 허용하는 동안 구분된 데이터의 추출을 막는 것이라는데에 있다. 인공적인 모델은 데이터 장비에서 공격을 막는 동안 다이오드가 보호된 장비에서 데이터의 추출을 허용하는 것이다.


secure machine을 위한 단방향 흐름
Bell-LaPadula 보안 모델에서, 시스템의 사용자는 데이터를 만들거나 자신의 보안 레벨보다 상위의 보안 레벨을 만들 수 있다. 문맥상 이 적용은 정보 분류법의 구조가 있다. 예제는 confidentailsecret, top secret 등으로 분류되지 않은 실행 hierarchy를 포함한다. 만약 각각의 보안 레벨에서의 유저가 위 레벨을 위한 전용 machine을 공유하고 있고, 만약 그 machine이 데이터 다이오드에의해 연결 되어있다면, Bell-Lapadula 제한은 엄격하게 강요된다.
카테고리 내에서 단방향 네트워크 적용의 주된 사항은 방어와, 방어 계약자이다. 이 조직들은 전통적으로 인터넷 연결로부터 물리적으로 독립된 구분된 데이터를 지키기 위해 air gaps를 채택했다. 이러한 환경에서 단방향 네트워크의 소개와 함께 연결의 구조도는 데이터와 인터넷에 연결된 네트워크와 구분된 데이터들 사이에 안전하게 존재할 수 있다.



less secure machines를 위한 단방향 흐름
두 번째 광벙위한 적용은 네트워크에 정보를 출판하는동안 공공네트워크로부터 들어오는 공격으로부터 지켜야 한다는 것이다. 예를들어 선거관리 시스템은 전자 투표를 하는데 사용된다. 이것은 투표결과를 만들어 내고 공공연하게 이용가능하다. 이때 같은 시간에 공격으로부터 지켜져야 한다. 이를 위한 형식적인 솔루션은 공공 네트워크와 선거관리 시스템 사이에 air gap을 사용하는 것이다. 그리고 데이터의 추출은 “sneakernet”을 사용한다. 다른 대안은 추가채널을 이용한 데이터 다이오드이다.
이 모델은 치명적인 산업 보호 문제의 다양성에 적용할 수 있다. 예를들어 dam으로부터 공용의 살아있는 downstream이 있다. downstream은 최신의 정보를 outflow로 보내야 할 필요가 있다. 그리고 이 정보는 제어 시스템에 치명적인 input이 될 수도 있다. 이러한 상황에서 정보의 흐름은 제어 시스템에서 치명적일 수 있다.
=======================================================================================
데이터 다이오드 제품
Advenica SecuriCDS Data Diode
Arbit Lightspeed Datadiode
AROW Data Diode
BAE SYSTEMS - Detica
Fox DataDiode
NEXOR Data Diode
Owl Computing Technologies
Tenix
VADO Security
Waterfall Security Data Diode Solutions[11]
XD Bridge, Tresys Technology
XD Guardian, Tresys Technology
KSEC Information Security Innovators
=======================================================================================
데이터 다이오드 블로그
http://cybermatters.info/2015/04/01/q-when-is-a-diode-not-a-diode/#more-2458
=======================================================================================
출처 :wikipedia - Unidirectional network
 
http://en.wikipedia.org/wiki/Unidirectional_network#cite_note-Data_Pump-6

 

반응형

+ Recent posts