Comments 23
Как это используется? Получается, что TCP не будет работать через такой диод, только UDP?
Да, Data Diode не может напрямую работать с такими протоколами как TCP, FTP, HTTP. Для этого требуется использовать обратный канал для получения сведений о доставке пакетов.
А чем тогда смысл этого Data Diode, если для него все равно нужен обратный канал, который как обычно надо фильтровать, мониторить и т.д.?
В итоге приходим к обычному файерволлу, для которого этот самый Data Diode уже не нужен.
Самое частое применение диодов данных, которое видел - отправка зеркалированного траффика, SNMP и логов в IDS\IPS\лог систему.
Теперь про нафига оно надо когда есть файрволл. Когда вы полностью покрываете свою сеть как одел администрирования, то да, вы можете проконтролировать что, где и как. Теперь представьте космодром или завод уровня автоваз - там систем и подсистем такое количество, что ни в одну голову не влезет - и это пол беды, вторая половина, то что эти системы изготавливают и поставляют разные поставщики. Вот эти ребята СКУД, а вот эти видео, вот те отвечают за конвеер, отдел 33 за машину покраски, отдел 400 за вибростенды. А инциденты разбирать надо случись чего.
Есть два решения (старое) ставить МЭ (межсетевой экран) - только тут проблема возникала, поставщики разного уровня компетенций. И поверьте мне, когда до запуска конвеера остаются сутки, а наладка еще идет, то последнее что всех будет волновать это настройка МЭ. Чего только не придумывали и типовые правила, и "мы не подпишем акт", и еще черти что. Бывали случаи обратные, система уже третий год работает, а настройки МЭ выдать не могут. Есть отдельный класс проектов с херней вида мы вам систему поставили, настройки МЭ по договору нет - делайте сами, уроните технологическую сеть, завод встанет - ваша вина. Про кривость настроек и хаос в оборудовании и говорить не приходится. Итогом практически всегда было одно - запуск системы и потом никогда-нибудь настройка МЭ. Про это можно долго спорить, говорить что это неправильно и все такое прочее, но реальность такова - МЭ не работали.
Теперь новое, второе решение - в договорах прописывают поставку диода данных, это максимально простое устройство которое не требует настройки и при этом закрывает целый класс ИБшных требований, за минимум денег. Сравните сколько стоит МЭ ФСТЭКа, специалист который его настроит (сертифицированный ессно) и один диод-данных. Итак вы говорите всем подрядчикам шлите логи и SNMP-трапы на 10.10.10.101 через диод, зеркалированный траффик в другой. Усе, даже если у вас сейчас нет IDS\IDP системы или она не тянет или линию связи не проложили вы всегда сможете забрать "сырой" траффик с порта и при этом знаете что ГАРАНТИРОВАННО не повлияете на технологическую сеть и не уроните завод
оттакая херня малята =)
Спасибо, это как раз то, что должно было быть в статье
Спасибо за разъяснение!
В свое время делал подобное на управляемых коммутаторах путем включения мониторинга на порту. Тогда трафик одного или нескольких портов копировался на специальный выделенный порт. А с него трафик разбирали Wireshark-ом.
Тогда трафик одного или нескольких портов копировался на специальный выделенный порт.
Есть проблема - сделав так, у вас появляется точка объединения сетей, а ИБшники такого допустить не могут. И в целом это логично. Тут то и появляется диод данных, который ставится после порта собирающего траффик (dest. port) - объединение есть, но оно однонаправленное, даже если сеть верхнего уровня ляжет, ее поломают, собственники ЦОДа, что-то не поделят, на вашем технологическом оборудовании это никак не скажется - кайф же.
Не совсем так. Суть диода - это изолировать транспортный уровень (TCP) и уровень приложений (FTP, HTTP и т.д.). На входе и выходе диод устанавливает все необходимые соединения, но связь между периметрами только по UDP, где передается только уровень приложения (FTP, HTTP и т.д.), плюс можно сделать фильтры с белым спском. Всё это обрабатывается программно. Про уровни читайте в OSI... ;)
Как вообще можно пользоваться интернетом через эту штуку? Ведь интернет - это всегда обмен. Даже простейший GET запрос сайту и ответ на него - это двунаправленный обмен.
Использование Интернета через Data Diode представляет собой вызов из-за его однонаправленной природы. Однако, в определенных сценариях это все же возможно. Например, если необходимо только получать информацию с внешних источников, но не отвечать на запросы (например, мониторинг внешних данных), Data Diode может быть настроен для обеспечения этой функциональности. В таком случае, поток данных направлен только в одном направлении - от внешних источников к внутренней сети, обеспечивая безопасность и защиту от потенциальных угроз.
я правильно понимаю, что если объединить две сети с "диодами" через интернет , то это по сути аппаратный ВПН с шифрованием ?
Да, вы правильно понимаете)
При объединении двух сетей с использованием Data Diode через Интернет это можно рассматривать как аппаратный вариант виртуальной частной сети с шифрованием. Data Diode обеспечивает однонаправленную передачу данных между сетями, что создает подобие "туннеля" через Интернет с обеспечением безопасности и защиты данных. В этом случае, шифрование может быть применено на уровне транспортного или прикладного уровня для обеспечения конфиденциальности информации, передаваемой между сетями.
извините , все равно туплю - в любой сети все равно нужно и принимать и получать данные, для это цели у вас используется гибридная схема с несколькими "диодами" , т.е. один "диод" все равно будет получать данные или это отдается на откуп какому-то другому сервису?
а что определяет надежность доставки пакета , когда нет обратной связи?
В гибридной схеме работы используется два диода данных. Первый отвечает за передачу данных во «внешнюю» сеть, а второй отвечает за передачу данных из «внешней» сети во «внутреннюю». При каждая из сетей имеет одно направление передачи данных, просто разделенное на устройства, а не сервисы
При использовать диода данных речь идет о протоколе UDP, который просто доставляет данных без гарантированной доставки. Поэтому данные передаются не целиком, а с разбивкой на пакеты. Блоки передаются вместе с хэшами, чтобы проверять целостность доставки.
Принцип работы
А где, собственно, принцип работы?
Ключевое отличие в том, что устройства Data diode физически неспособны передавать пакеты данных в две стороны. Это обусловлено конструкцией с использованием отдельных физических сетей — входной и выходной.
У маршрутизаторов тоже бывает две отдельных физических сети. Однако вполне себе передают пакеты данных в две стороны. Так что "физически неспособны" - не обосновано.
Маршрутизаторы могут быть настроены для работы с двумя отдельными сетями, их основное предназначение заключается в маршрутизации трафика и управлении передачей данных в сети, что предполагает двунаправленную связь. С другой стороны, Data diode разработаны специально для обеспечения безопасной и надежной однонаправленной передачи данных между двумя сетями, их функциональность ограничивается именно этим. Основное отличие заключается в том, что Data Diode физически неспособны передавать данные в обратном направлении из-за конструктивных особенностей, которые исключают возможность обратной связи.
Я также отмечу, что маршрутизаторы обычно обладают широким набором функций, таких как NAT (Network Address Translation), фильтрация пакетов, управление качеством обслуживания (QoS) и другие, что делает их универсальными инструментами для управления сетевым трафиком. Data diode, напротив, не предоставляют таких возможностей и предназначены исключительно для однонаправленной передачи данных с целью обеспечения безопасности сети от утечек информации или внешних атак.
А где, собственно, принцип работы?
Самый простой аппаратный диод делается из овна и палок SFP-модуля\медиаконвертера - отключаете Rx-порт, опционально паяете пару перемычек, чтобы железка не отключалась. Приемник тоже придется немного допилить.
Но в целом концепция как-то так работает - из двух линий Tx-Rx вы оставляете только одну. С 10\100\1000Base-Tx ситуация чуть сложнее, по этому проще сделать "опикой" - в один корпус пихнуть два медиаконвертера соединенной одной линией Tx(или Rx в зависимости от того с какой стороны смотреть)
Фраза "физически неспособны" напомнила мне времена, когда в ходу был 10 и 100 Мбит/с Ethernet. В них прием и передача ведется по двум отдельным витым парам по одной в каждом направлении. И когда входящая пара была в обрыве, возникало странное ощущение - линк горит, активность пакетов мигает, однако подключиться куда-либо невозможно. Сначала ловишь небольшой диссонанс, потом смотришь на счетчики входящих/исходящих пакетов и становится понятно.
Вот это я понимаю "физически неспособны" :)
Либо какой-то маркетинговый булшит, ничего общего не имеющий с настоящим построением вычислительных сетей и систем, либо в этом потоке общих фраз писатель статьи не смог донести саму суть и соль этой идеи. Обычные маркетинговые бла-бла-бла, никакого конкретного "мяса" в этом "супе" я не нашел.
Можно ли считать схему подключения к спутниковому интернету с наземным аплинком как сеть с диодами данных? Ведь аплинк до некого общего маршрутизатора идёт по одному (наземному) каналу, а даунлинк с того же маршрутизатора идёт по другому (через спутник) каналу. Привет пользователям SkyStar в прошлом. :)
Что такое Data diode и зачем он нужен?