domingo, 24 de abril de 2011

El diodo de red

Cuando se habla de dispositivos de red en el ámbito de la seguridad informática los productos estrella suelen ser los Firewall, los IDS/IPS o las VPN, mientras tanto existen otros dispositivos poco conocidos como el Diodo de red (también conocido como Diodo de Datos), especialmente adaptados a necesidades de entornos de alta seguridad. Los diodos de red se utilizan en entornos críticos como la defensa, donde sirven como puente de conexión entre dos o más redes de las diferentes clasificaciones de seguridad.

El diodo de red (también conocida como pasarela unidireccional) es un dispositivo de red que permite que los datos viajen exclusivamente en una sola dirección, se utiliza para garantizar la seguridad de que la información puede entrar en un determinado entorno pero es imposible que pueda salir del mismo. Su nombre es una analogía con el diodo, el componente electrónico semiconductor que permite el paso de la corriente en una sola dirección.

El manejo de información clasificada se suele realizar en lo que se llaman compartimentos estancos, de tal manera que la información no puede entrar o salir de los mismos, ya sean espacios físicos o lógicos, como redes y sistemas informáticos, si no es mediante los procedimientos debidamente autorizados. Cuando una red maneja información de un determinado nivel de clasificación (Confidencial, Reservado, Secreto,…) está terminantemente prohibido establecer conexiones con redes que manejen datos de nivel inferior, ni siquiera a través de un firewall, pues siempre existe la posibilidad de que se pueda establecer una comunicación en la que pueda fluir información, ya sea accidentalmente o como consecuencia de un ataque.

¿Por qué este nivel de paranoia? ¿No se inventaron los firewall precisamente para controlar los flujos de información? Cuando nos encontramos en entornos de este nivel de criticidad existe la posibilidad de que un atacante avanzado puede ir comprometiendo los diversos sistemas intermedios, incluidos los firewall que pudieran existir para llegar a su objetivo. Eso sin olvidar la amenaza interna, un usuario malicioso interno podría hacer uso incluso del protocolo más aparentemente inocuo como DNS para establecer un túnel con el exterior, existiendo incluso herramientas publicas como IOdine que permiten este tipo de ataques.


La forma más común de diodo de red consiste en un transceptor de fibra óptica modificado, de tal forma que físicamente solo es posible enviar y recibir datos en una sola dirección. Prácticamente todos los productos comerciales se basan en este diseño básico. No obstante el propio concepto de diodo de red supone que ningún protocolo estándar, con sus peticiones y respuestas puede atravesarlo. Por ello se hace necesario agregar software en servidores a ambos lados del diodo. Este software normalmente propietario, que es capaz obtener información en la red insegura desde un protocolo estándar (http, ftp, etc.) , encapsularlo añadiendo una capa de detección de errores y enviarlo de forma ciega hasta el otro lado del diodo, donde un segundo servidor deberá re-ensamblar la información y proporcionar un sistema para que se puede acceder a ella desde la red clasificada.

El caso más habitual de uso de diodo de red es para permitir la entrada de información obtenida desde internet hasta la segura. Sus aplicaciones puedes ser muchas: Desde permitir el acceso a noticas, por ejemplo obtenidas mediante RSS. a la descarga de información meteorológica publica, esencial en operaciones militares o gestión de catástrofes. Otra opción es el acceso de solo lectura al correo de Internet, lo que nos garantiza que incluso el mas virulento troyano basado en un sofisticado zero-day quizá pueda infectar a su objetivo pero no podrá ponerse jamas en contacto con su creador.

Como ejemplo de Diodo de red tenemos ELIPS-SD, un dispositivo fabricado por Thales, que se encontraba entre los productos presentados durante la pasada edición de HOMSEC. Se trata tal como informa el fabricante de un dispositivo totalmente pasivo, que no requiere alimentación, con una tasa media entre fallos superior a las 250.000 horas. Su tasa de transferencia, unidireccional claro está, es de 12 Mbps. Otra alternativa procedente de un fabricante bastante menos conocido seria el RI-GE-DIODE/RI-10GE-DIODE de rumeL o los productos de diodos de datos FOX IT, Waterfall, Canary Communications.


Por último, mencionar que existen ocasiones en las que un diodo de datos se puede usar en el sentido inverso al usual, es decir que permite el flujo de información desde la red de alta seguridad a la de baja seguridad. ¿Quién querría hacer esto? Alguien que necesite exportar datos manejados por una red critica y que no pueda hacerlo por el peligro de que alguien pudiera introducirse en dicha red. Por ejemplo una compañía eléctrica puede necesitar exportar datos estadísticos desde su red SCADA para publicarlos en su web de internet, pero evidentemente no puede permitirse conectar una infraestructura crítica directa o indirectamente con internet. De esta forma se garantiza que por muy sofisticado que sea el hacker atacante le seria materialmente imposible acceder desde el exterior.

5 comentarios:

  1. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar
  2. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar
  3. Por qué no probais con un diodo de red que pueda tener cuatro posiciones: permite a la derecha, permite a la izquierda, abierto y cerrado. Empezando con dos líneas en pararelo analógica y digital. Las posiciones del diodo de red aleatoreas, secuenciadas, manuales...

    ResponderEliminar
  4. Cuatro diodos, 2 por ordenador y dos por cada línea

    ResponderEliminar
  5. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar