AirGap02
White Paper
galvanicky oddělená obousměrná výměna informací
Základy AirGap 02 S.ICZ a. s., dceřiná společnost ICZ a.s., je prověřena Národním bezpečnostním úřadem ČR (NBÚ) pro styk s utajovanými informacemi do stupně utajení „PŘÍSNĚ TAJNÉ“ včetně. S.ICZ a.s. vyvíjí a vyrábí, ve spolupráci s NBÚ, národní kryptografické hardwarové a softwarové prostředky, které následně implementuje. Navrhuje architektury zabezpečených informačních systémů pro zpracování utajovaných informací, zajišťuje jejich technická řešení, nasazení, konfiguraci, bezpečnostní dokumentaci, systémovou podporu i servisní práce.
Vzduchová mezera - realita Praktické řešení specifických úkolů u některých zákazníků (bezpečnostní složky, veřejná správa, banky, pojišťovny, telekomunikace, zdravotnictví, energetika…) bývá závislé na bezpečném předávání dat mezi informačními systémy s rozdílnou bezpečnostní úrovní, nebo v horším případě závislým na předávání dat mezi informačním systémem s definovanou úrovní bezpečnosti a prostředím s nedefinovaným vnitřním stavem. Obvyklým řešením je manuální přepojování datového média, které je prováděno z pohledu bezpečnosti sice zodpovědným, avšak z pohledu technického méně spolehlivým, lidským faktorem.
Hardwarový vývoj S.ICZ a.s. přinesl produkt pro řízené zabezpečené obousměrné předávání informací mezi dvěma informačními systémy se zachováním fyzického, elektrického a elektromagnetického oddělení obou těchto systémů, které je však na rozdíl od stávajících řešení plně automatizované a spolehlivé. Produkt AirGap 02 poskytuje možnost automatizace procesu zabezpečené výměny informací i mezi certifikovaným informačním systémem určeným pro zpracování utajovaných informací a necertifikovaným okolním prostředím.
Bezpečnostní návrh AirGap 02 Aplikace patentovaného řešení AirGap 02 je založena na využití podmínek normy EN 50205:2002, která definuje zajištění ovládání kontaktů mechanickými prostředky tak, aby spínací a rozpínací kontakty nemohly být fyzicky současně v sepnutém stavu. Implementace požadavků normy EN 50205:2002 do zařízení AirGap 02 poskytuje možnost technické realizace řešení potřeby předávání informací mezi dvěma počítačovými systémy, u kterých je nutné dodržet jejich trvalé vzájemné oddělení. Technické řešení AirGap 02 je analogií automatického přepojování paměťové jednotky (USB Flash Disku), které po celou dobu své životnosti prokazatelně poskytuje vysokou míru záruk splnění základního požadavku na zachování trvalého fyzického oddělení obou systémů vzduchovou mezerou. AirGap 02 má implementováno rozhraní umožňující ovládání jeho funkce tak, aby jej bylo možné integrovat do stávajících provozovaných systémů a to za současného dodržení základního principu jejich fyzického oddělení.
www.i.cz
| Czech Republic
1
AirGap02
White Paper
galvanicky oddělená obousměrná výměna informací Popis AirGap 02 Prostředek AirGap 02 je tvořen dvěma nezávislými systémy pro přenos dat sloučenými do jedné 19” 1U rackové skříně umožňující sdružení prostředku AirGap 02 a přilehlých informačních systémů do 19” racku. Jednotlivé systémy AirGap 02 jsou označeny čísly „1“ a „2“. Dvě řešení v jedné skříni jsou umístěna z důvodu další využitelnosti druhého systému provozovatelem IS, pro aplikaci bezpečnostního bloku mezi IS nebo jen jako záložní řešení v rámci IS. Pro zjednodušení a z důvodu identity obou částí je popisována jen jedna část. Všechny konektory jsou soustředěny na zadním panelu. K napájení slouží síťová zásuvka, konektory USB typu B jsou určeny k připojení počítačových systémů a slouží k přenosu dat a ovládání prostředku.
Uživatelské rozhraní AirGap 02 byl navržen jako pasivní prostředek. Ovládání prostředku je možné jak tlačítky na předním panelu tak vzdáleně přes USB rozhraní. Přední panel AirGap 02 Uživatelské rozhraní je tvořeno LCD displejem a dvojicí prosvětlených tlačítek na čelním panelu a dvojicí LED na zadním panelu zobrazujících stav překlopení relé. LCD slouží pro zobrazení činnosti prostředku: stavu překlopení relé, stavu počitadla, stavu logovaných proměnných, zobrazení chybových zpráv. V normálním režimu je na LCD zobrazen aktivní USB vstup – zde USB A a počet přepnutí od uvedení do provozu. Přepnutím se rozumí přepnutí do stavu USB_B a zpět do stavu USB_A. Shodně se zobrazením aktivního vstupu na LCD svítí LED na zadním panelu u příslušného konektoru.
Ovládání z PC Po prvním připojení prostředku k počítači dojde k nainstalování ovladačů pro: • USB rozbočovač. Poté se zobrazí jako Obecný rozbočovač USB. • USB Flash Disk. Zobrazí se jako Velkokapacitní paměťové zařízení USB. • Převodník USB/RS232. Operační systém si vyžádá ovladače, použijí se přítomné v operačním systému. Poté je k např. v OS Windows k dispozici virtuální USB Serial Port (COMx). Komunikace s prostředkem je realizována pomocí USB rozhraní, respektive emulací RS232 rozhraní přes USB. AirGap 02 čeká na příjem znaku a po přijmutí provede požadovanou funkci: přepnutí relé, reset časovače - prodloužení časového limitu, zaslání logu, smazání logu nebo výpis nápovědy.
Další ovládání prostředku detailněji popisuje manuál AirGap 02.
Podporované OS • • •
Windows XP Windows 7 32/64 MAC OS
www.i.cz
| Czech Republic
2
AirGap02
White Paper
galvanicky oddělená obousměrná výměna informací
AIRGAP 02 AirGap 02 je určen k bezpečnému předání obecných datových souborů mezi chráněným IS s důvěrnými daty a okolním prostředím, např. Internetem.
Hlavní přínosy: hraniční prvek umožňující řízenou výměnu dat při prokazatelném zachování trvalého oddělení komunikujících stran
vyloučení jakéhokoliv síťového provozu
snížení rizik ztráty personálu, ztráty datového média a rizika vyplývající z přímého síťového propojení informačních systémů s různou bezpečnostní úrovní.
nepřítomnost evidovaného USB FD na straně uživatele pro přenos otevřených nebo šifrovaných souborů – eliminace bezpečnostního incidentu ztrátou evidovaného USB FD
data, která mají být přenesena do zabezpečeného IS, mohou být přenesena připojením nezabezpečeného počítače do AirGap 02
automatizace přenosu dat s možností nezávislé kontroly a plnohodnotným auditem – množina přenášených dat a časy realizace jednotlivých přenosů nejsou závislé na konkrétním definovaném a bezpečnostně prověřeném uživateli (operátorovi přenosu)
pravidelnost, četnost přepnutí
v zabezpečeném počítači není použit autentizovaný ani jiný neznámý USB FD s případnou cíleně nevyžádanou funkcionalitou, např. taktickým malwarem (např. typu Flame)
i v případě, že po kontrole dat při importu do IS pronikne přes AG 02 sofistikovaný taktický malware, nejsou další vzdálené aktivity útočníka možné bez ohledu na to, jaká oprávnění získal. Vzdálené řízení útoku nebo únik sebraných dat mimo zabezpečenou oblast není možný z důvodu neexistující konektivity na AG 02
zajištění zabezpečené informovanosti pro výkon bezpečnostní správy IS
logování vlastních záznamů aktivit AirGap 02, které lze exportovat pro účely centrálního vyhodnocování v relacích s logy dalších zařízení provozovaných v rámci IS. (Vedle výpisu verze firmwaru a sériového čísla umožňuje prostředek zaznamenávat a vypisovat důležité události. Log je uložen v paměti EEPROM, takže data nejsou ztracena při výpadku napájení, navíc ukládání počitadel přepnutí a chyb je prováděno transakčně, aby se zajistila odolnost proti výpadku napájení.)
Další vlastnosti: latence přenosu dat cca od 1 minuty (nevyužitelné pro VOIP)
rychlostní a kapacitní omezení dle volby USB Flash Drive, rychlost přenosu dat je závislá na použitém typu paměťového média. (Například u standardního USB Flash Disku se pohybuje rychlost zápisu kolem 5MB/s a rychlost čtení 25MB/s v závislosti na velikosti přenášených souborů.)
neloguje informace o předávaných souborech, tuto aktivitu případně mohou vykonávat jiná zařízení na hranicích AirGap 02.
Typické scénáře využití AIRGAP 02 konkrétněji Například: 1. 2. 3. 4. 5.
www.i.cz
Generická komunikační brána - datová výměna Aktualizace antiviru, upgrade SW v režimu datové diody Vzdálený tisk - potvrzení uživateli o jeho úspěšném tisku na tiskárně v jiném bezpečnostně odděleném IS Odesílání technologických SMS ze zabezpečeného IS Vestavba mainboard AG 02 do tempest PC
| Czech Republic
3
AirGap02
White Paper
galvanicky oddělená obousměrná výměna informací 1.
Generická komunikační brána - datová výměna Vhodnou individuální implementací lze zajistit řízený zabezpečený přenos informací mezi zabezpečenými oblastmi IS stejné úrovně prostřednictvím nedůvěryhodného prostředí při aplikaci off-line kryptografie. Použití například pro plnohodnotný poštovní systém mezi oběma zabezpečenými oblastmi, možnost provozování distribuovaných databázových aplikací, atp. napříč distribuovaným prostředím, sdílení dokumentů. Pomocí zařízení AirGap 02 lze zajistit:
specifický způsob replikace databázových instancí aplikace, který kombinuje bezpečnostní parametry off-line replikace s provozními parametry replikace on line (dostupnost 24x7, latence cca od 1 minuty) a je dostatečný pro většinu databázových aplikací
transparentní přenos pošty, který se uživateli jeví v podobě komplexního poštovního systému pokrývající všechny oddělené lokality se kterými je oprávněn komunikovat
transparentní replikaci úložiště dokumentů mezi lokalitami, případně je integrovat do systému správy dokumentů (DMS).
Předávání dat téměř on-line v režimu komunikační brány. Typická bezpečná varianta datového přenosu mezi zabezpečenými oblastmi přes nezabezpečenou oblast.
Varianta datového přenosu se striktním oddělení rolí správa IS – auditor – a komponent realizujících kryptografické operace. Výkon kryptografické ochrany fyzicky separovaný od ostatních aktiv IS.
www.i.cz
| Czech Republic
4
AirGap02
White Paper
galvanicky oddělená obousměrná výměna informací
2.
Aktualizace antiviru, upgrade SW - v režimu datové diody Bezpečnostní politiky v izolovaném zabezpečeném IS obvykle definují povinnost aktualizace antiviru, operačního systému, aplikací, ... Logované aktivity uživatelů, aplikací, HW, včetně dalších aktivních prvků sítě jsou ve více zabezpečené oblasti k dispozici pro vyhodnocení správcům IS a bezpečnostním správcům IS, kteří nemají mít přístup k důvěrným datům.
www.i.cz
| Czech Republic
5
AirGap02
White Paper
galvanicky oddělená obousměrná výměna informací
3.
Vzdálený tisk - potvrzení uživateli o jeho úspěšném tisku na tiskárně v jiném IS Uživatel nezabezpečeného počítače využije datovou diodu pro vzdálený tisk ve více zabezpečeném prostředí. Tisk ale z různých příčin nemusí proběhnout. (Bezpečnost může být nebezpečná.) Aby tomu tak nebylo, lze potvrzení o provedení tisku uživateli zaslat např. emailem přes AirGap 02. Odeslaný printjob po datové diodě je forma zabezpečeného tisku. Pokud jsou procesy signalizace stavu tisku v zabezpečeném IS vysokou mírou záruky oddělené od úložišť důvěrných informací, není ohrožena dosažená úroveň bezpečnostního hodnocení řešení datové diody. AG 02 může být vhodným doplňkem již provozované datové diody. Míra záruk celého řešení je závislá na míře záruk bezpečného oddělení agenta analýzy logu tiskového serveru od důvěrných dat. Je věcí implementace a individuálního bezpečnostního posouzení, např. pomocí aplikované kryptografie, jak lze záruky zvýšit.
www.i.cz
| Czech Republic
6
AirGap02
White Paper
galvanicky oddělená obousměrná výměna informací
4.
Odesílání SMS ze zabezpečeného IS Zabezpečené certifikované IS nemohou obvykle odesílat informace o svém nestandardním stavu na mobilní telefon správce IS a bezpečnostního správce IS. Pokud v zabezpečeném IS běží proces dostatečně oddělený od oblasti důvěrných informací (míra záruky alespoň na úrovni operačního systému hodnocení bezpečnosti EAL4), který detekuje důležité stavy IS, pak je na základě detekce takového stavu vygenerován formátovaný povel. Na základě povelu je vybrána příslušná typová SMS zpráva z předem definovaného seznamu SMS zpráv. Zpráva je pak předána AirGap 02 a transportována na SMS bránu k odeslání na předem definovaný seznam mobilních telefonů. Seznam zpráv i jejich příjemců je na straně IS kontrolován, aby nemohl být odeslán jiný textový obsah na jiné telefonní číslo.
www.i.cz
| Czech Republic
7
AirGap02
White Paper
galvanicky oddělená obousměrná výměna informací
5.
Vestavba mainboard AG 02 do PC – režim bezpečného meziskladu Eliminace potřeby připojování cizího (potenciálně nebezpečného) HW k rozhraním zabezpečeného počítače. V počítači integrovaný AirGap 02 umožní oprávněnému uživateli zabezpečený přenos dat, aniž by tento uživatel disponoval evidovaným USB Flash Drive (USB FD). Zabezpečeným, řízeným způsobem může importovat nebo exportovat data, tedy zabezpečeně komunikovat s dalším počítačem nebo sítí, aniž by byly jakkoliv propojeny. Co je importováno lze zkontrolovat. Nelze „podprahově“ podsunout např. taktický malware na speciálních USB FD. Například zabezpečený tempest počítač SDIP-27 level A, byť ve více zabezpečené oblasti certifikovaného IS obvykle nesmí být propojen s jiným méně zabezpečeným nebo nedůvěryhodným IS. Ve speciálních případech je po definovaném a bezpečnostně prověřeném uživateli požadován přenos dat do nebo z tohoto zabezpečeného počítače. Pokud kontrolou pronikne do zabezpečeného IS přes AG 02 sofistikovaný taktický malware, aktivity útočníka pro další vzdálené řízení útoku k úniku dat mimo zabezpečenou oblast nejsou možné. AG 02 neposkytne útočníkovi očekávanou konektivitu.
Hodnocení bezpečnosti AirGap 02 je vyvinut a dokumentován dle požadavků dokumentů Common Criteria for Information Technology Security Evaluation, September 2006, Version 3.1, Revision 1, CCMB-2006-09-001, Part 1-3. Požadavky na záruku jsou stanoveny jako míra záruky hodnocení EAL4 rozšířená o ALC_FLR.2. Hodnocení bezpečnosti AirGap 02 provedl NBÚ České Republiky s výrokem, že produkt neporušuje princip galvanického oddělení sítí a je vhodný pro začlenění do informačních systémů zpracovávající utajované informace podle zákona č. 412/2005 Sb., s požadavkem individuálního posouzení takové implementace v rámci certifikace IS nebo v rámci postupu schvalování změn, které ovlivňují bezpečnost v již certifikovaných IS.
Implementace - bezpečnostní politika V informačních systémech lze vhodnou technickou a organizační implementací AG 02 omezit několik nezanedbatelných bezpečnostních rizik: • nedostatek nebo ztrátu personálu • ztrátu datového média • a rizika vyplývající z přímého propojení informačních systémů s různou bezpečnostní úrovní.
Kontaktní informace www.airgap.cz E:
[email protected]
www.i.cz
| Czech Republic
8
