Teste de um Unidirectional Gateway/Díodo de dados
O teste do produto é importante, pois é a única forma de garantir que o produto cumpre as normas propostas pela indústria e pela empresa.
O mais importante no teste da porta de ligação unidirecional é garantir que não há perda de dados e que os dados transferidos são exatamente os mesmos antes e depois da transferência. O mesmo princípio pode ser aplicado ao teste do díodo de dados.
Testar um díodo de gateway/dados unidirecional apresenta vários desafios para os quais tivemos de encontrar uma solução:
1. O produto funciona com duas redes diferentes sem qualquer ligação possível entre elas.
2. Os protocolos de teste, como TCP, UDP, OPCUA, MODBUS, são difíceis de testar manualmente.
3. Testar protocolos como o FTP e o CIFS (transferência de ficheiros). Embora seja possível efetuar testes manuais, é impossível garantir que cada bit do ficheiro transferido é exatamente igual ao original apenas aplicando testes manuais.
4. Com os testes automáticos, é necessário encontrar uma forma de manter a sincronização entre os guiões de teste do Domínio fidedigno e do Domínio não fidedigno, uma vez que estes não podem comunicar.
5. O díodo unidirecional gateway/dados deve ser testado sob tensão, o que implica a transferência de uma grande quantidade de dados.
A solução de gateway unidirecional OPSWAT é o MetaDefender Unidirectional Security Gateway USG), e aqui descrevemos como o testamos, fornecendo soluções para os problemas acima referidos.
O que é o MetaDefender Unidirectional Security Gateway USG)?
NetWall é um produto que transfere dados de um domínio fiável (Azul) para um domínio não fiável (Vermelho). NetWall consiste em dois computadores físicos interligados por uma ligação de dados de alta velocidade. Não existe uma ligação de rede entre os dois computadores físicos. A transferência de dados através do NetWall utiliza um protocolo interno proprietário não encaminhável.
NetWall oferece uma solução para o problema de segurança mais grave da firewall: pode ser comprometida. NetWall também ultrapassa o problema inerente aos díodos de dados: a incapacidade de garantir a entrega dos dados.
Porque é que NetWall é melhor do que uma Firewall
Se um mau ator tiver acesso a uma firewall, essa pessoa pode configurar a firewall de acordo com as suas necessidades e obter acesso total ao domínio de confiança. NetWall No entanto, a firewall, por exemplo, fornece um protocolo completo e uma quebra de rede entre o domínio fiável (Azul) e o domínio não fiável (Vermelho). Se um mau ator ganhar o controlo do lado do domínio não fidedigno (Vermelho) de NetWall, não pode obter acesso ao domínio fidedigno porque não existe qualquer ligação de rede entre o domínio fidedigno (Azul) e o domínio não fidedigno (Vermelho) NetWall computadores.
Mergulhar mais fundo: Diodos de dados vs Firewalls - Comparação da segurança da rede, fluxo de dados e conformidade
NetWall Casos de utilização
NetWall é utilizado em qualquer ambiente em que os dados devam ser transmitidos de um domínio fiável para um domínio não fiável e a segurança do domínio fiável deva ser protegida.
Por exemplo, uma empresa pode ter uma ou mais estações de tratamento de água que se encontram num domínio de confiança sem acesso à Internet. A empresa precisa de saber o estado das estações de tratamento de água em qualquer altura ou a quantidade de água que foi produzida. A solução para obter essas informações sem comprometer o domínio de confiança é utilizar NetWall.
Como testar NetWall
Os testes incluem o stress NetWall. Isto significa levar o produto aos seus limites durante um período de tempo e garantir que o comportamento é o esperado.
O produto é capaz de mover ficheiros do lado fidedigno para o lado não fidedigno utilizando FTP ou CIFS. Também tem a capacidade de utilizar os protocolos TCP, UDP, MODBUS, OPCUA e SMTP. Os testes utilizarão todas estas tecnologias em simultâneo.
Os scripts gerarão dados que serão transferidos do domínio fiável para o domínio não fiável através de NetWall.
Os testes registam os dados que NetWall envia do domínio fidedigno. Os testes também registam os dados que são recebidos por NetWall no domínio não fidedigno.
No final dos testes, os resultados registados são comparados. Qualquer perda de dados é registada nos resultados dos testes.
Teste de FTP, CIFS
Ambos os protocolos são utilizados para mover ficheiros.
NetWall move os ficheiros que estão numa pasta FTP ou CIFS no domínio fidedigno para uma pasta FTP ou CIFS no domínio não fidedigno.
Os testes simulam utilizadores que colocam ficheiros nas pastas FTP e CIFS no domínio de confiança. Simula condições reais, criando muitos utilizadores que escrevem ficheiros pequenos, alguns que escrevem ficheiros de tamanho médio e alguns que escrevem ficheiros grandes.
Os scripts de teste no domínio de confiança registam as seguintes informações para cada ficheiro que é transferido:
- O nome do ficheiro
- A hora do dia em que o ficheiro foi obtido por NetWall a partir do domínio fidedigno
- O código hash do ficheiro
Os scripts de teste no domínio não fidedigno registam as seguintes informações para cada ficheiro que recebem de NetWall Blue:
- O nome do ficheiro
- O código hash do ficheiro
- A hora do dia em que o ficheiro é recebido
No final do teste, os registos do domínio fidedigno são comparados com os registos do domínio não fidedigno. O código hash gerado no Blue e o código hash gerado no Red são comparados para verificar a integridade do ficheiro recebido em NetWall Red. A comparação irá gerar um ficheiro Excel semelhante ao seguinte:
Teste de TCP
NetWall suporta fluxos TCP unidireccionais que têm origem no domínio fidedigno e terminam no domínio não fidedigno.
Um código de teste foi escrito para ser executado em máquinas externas a NetWall tanto no domínio confiável quanto no domínio não confiável. Este código de teste cria um ficheiro no domínio fidedigno e, em seguida, utiliza um canal TCP em NetWall para transferir os dados do ficheiro para o código de teste no domínio não fidedigno.
No final do ciclo de testes, é gerado um ficheiro Excel para publicar os resultados dos testes. Esse ficheiro Excel será parecido com o seguinte exemplo.
Teste UDP
NetWall também suporta fluxos de dados UDP.
Um código de teste foi escrito para ser executado em máquinas externas a NetWall tanto no domínio confiável quanto no domínio não confiável. Este código de teste cria mensagens de dados no domínio fidedigno e, em seguida, utiliza um canal UDP em NetWall para transferir os dados do ficheiro para o código de teste no domínio não fidedigno.
No final do ciclo de testes, é gerado um ficheiro Excel para publicar os resultados dos testes. Esse ficheiro Excel será parecido com o seguinte exemplo.
Teste Modbus
Para os testes Modbus, os valores nas bobinas e nos registos do lado Azul são modificados. Os valores alterados são registados e quando são transferidos para o lado Vermelho, também são registados. Uma vez terminado o teste, os valores são comparados e é gerado um ficheiro Excel:
Testes OPCUA
Para iniciar um teste OPCUA, os valores dos nós do lado Azul são alterados. Estes são registados e, quando chegam ao lado vermelho, também são registados. No lado vermelho, alguns nós são lidos e outros enviam os novos valores aos clientes subscritos. Finalmente, quando o teste termina, os dois registos são comparados e é gerado um documento Excel:
Teste de SMTP
Para efetuar testes SMTP, um script envia centenas de mensagens de correio eletrónico do lado do domínio fidedigno para um servidor que se encontra no domínio não fidedigno. Aqui é verificado se todas as mensagens de correio eletrónico chegam.
Conclusão
Cada versão de NetWall é certificada para utilizar estes procedimentos de teste, bem como outros. Estamos confiantes de que NetWall será sempre estável e eficiente.
