Spijkerharde security is binnen industriële omgevingen essentieel. Met diverse netwerkproducten kan het beveiligingsniveau naar een hoger niveau worden getild. Een daarvan is een datadiode, een apparaat dat netwerkverkeer naar buiten toe slechts een kant op stuurt. Kees-Jan Hermans van Fox-IT vertelt tijdens E&A meer over de voordelen van zo’n diode.
Door: Dimitri Reijerman
Netwerkbeveiliging lijkt een complexe zaak, maar Hermans geeft een eenvoudig voorbeeld waarbij het essentieel is dat de geboden informatie betrouwbaar is: “Netwerken zijn bedacht om bi-directioneel te functioneren. Dat is in heel veel gevallen ook wenselijk, maar soms is het niet nodig. Denk bijvoorbeeld aan een beveiligingscamera die op de kluisdeur van een bank is gericht. Deze camera hoeft maar naar een kant toe beeld te versturen. Maar een probleem is dat moderne beveiligingscamera’s tegenwoordig ook gevoelig zijn voor hacken. Een datadiode communiceert op een ‘ouderwetse’ manier door al het verkeer slechts een richting te sturen, en dan gegarandeerd. Dus de beveiligingscamera kan zijn beelden weliswaar uitspugen maar het kan geen data ontvangen. Daarmee is hij ‘onhackbaar’ geworden.”
Het omtoveren van een aan een netwerk verbonden camera tot een onneembaar fort heeft meer voordelen, zegt de Fox-IT-specialist: “Je bent met een datadiode zekerder over de integriteit van de beelden van de camera. Zo weet je zeker dat er niemand met een snijbrander voor de kluis staat en buiten beeld blijft door eerst de camera te hacken.”
De uitvoerende logica van de datadiode past op een vrij klein stukje print, maar het beveiligingsbedrijf heeft de diode verder verbeterd. Ten opzichte van vorige generaties is hij kleiner geworden. Ook heeft het apparaat een triltest doorstaan – noodzakelijk voor industriële omgevingen – en de diode kan omgaan met 10 Gigabit-netwerken. Maar er is meer om de beveiliging verder op te hogen, zegt Hermans: “We hebben het apparaat ook volledig redundant gemaakt. De stroom kan redundant worden aangeboden, maar ook de data kan redundant worden gemaakt. Daarmee heb je een grotere garantie dat mocht er iets stuk gaan er toch datadoorvoer is.”
Beveiligen van staatsgeheimen
De oorsprong van de datadiode van Fox-IT zit in de vraag vanuit overheden: “Wij zijn de go-to-guys voor het beschermen van staatsgeheimen. Daar is het apparaatje oorspronkelijk voor ontworpen. Er zijn binnen de overheid verschillende classificatieniveaus. Geheime netwerken mogen uiteraard niet naar buiten communiceren. Tot voor kort werd dit bewerkstelligd door dataoverdracht via cd-rom’s, maar een datadiode lost dit op. Want je kunt van een lager geclassificeerd netwerk data sturen naar een hoger geclassificeerd netwerk, maar niet andersom.”
Maar inmiddels is ook de vraag vanuit de industrie sterk groeiende, zegt Hermans: “Wat wij zien is dat in industriële settings plc’s belangrijk zijn. Het hanteren van eenrichtingsverkeer zit heel erg in dit soort apparaten gestopt, bijvoorbeeld voor het versturen van statusinformatie. Maar deze draaien op software. Daarom zien wij een grote business case voor industriële omgevingen. En we hebben nu dus ook een versie voor industriële omgevingen. Die kun je dus naast een pomp zetten. En afhankelijk van in hoeverre je je netwerkarchitectuur vertrouwt kun je een of meerdere netwerkdiodes plaatsen.”
Root exploits
Hij vervolgt: “Je kunt dit ook doen met een firewall, maar dat mag van de overheidsregels zelf niet. Ze worden als onvoldoende betrouwbaar gezien. Pak ‘m beet om de twee jaar komt er wel een remote root exploit uit voor Linux, Unix of BSD. Daarmee kan in feite de betrouwbaarheid van dat OS over de afgelopen twee jaar in de prullenbak. Want je had om die firewall heen kunnen werken als je weet had van die exploit. Overheden beveiligen zich niet alleen tegen script kiddies; ze willen zich ook goed kunnen weren tegen statelijke actoren.”
Om ook de integriteit van de gebruikte hardware te garanderen, wordt de datadiode aan een streng keuringsregime onderworpen: “Daar heb je een heel proces voor, supply chain management”, zegt Hermans. “Dat hele proces wordt aangeboden ter evaluatie aan een onafhankelijke derde partij. Wij hebben gekozen voor een Common Criteria-evaluatie. Die kent zeven niveaus van hardheid en op basis van ons aangeboden proces is ons een EAL – evaluation assurance level – van 7 toegekend, de hoogste waarde. Daarmee is het In hoge mate onwaarschijnlijk dat er mee geknoeid is. Dit proces is zeer intensief en daarom is onze datadiode ook niet goedkoop.”