Test di un diodo Unidirectional Gateway/Data
Il test del prodotto è importante perché è l'unico modo per garantire che il prodotto soddisfi gli standard proposti dall'industria e dall'azienda.
La cosa più importante nel testare un gateway unidirezionale è garantire che non vi siano perdite di dati e che i dati trasferiti siano esattamente gli stessi prima e dopo il trasferimento. Lo stesso principio può essere applicato al test dei diodi di dati.
Il test di un diodo gateway/dati unidirezionale presenta diverse sfide alle quali abbiamo dovuto trovare una soluzione:
1. Il prodotto funziona con due reti diverse senza possibilità di collegamento tra loro.
2. I protocolli di test come TCP, UDP, OPCUA, MODBUS sono difficili da testare manualmente.
3. Test di protocolli come FTP e CIFS (trasferimento di file). Anche se è possibile eseguire test manuali, è impossibile garantire che ogni bit del file trasferito sia esattamente uguale all'originale solo applicando test manuali.
4. Con i test automatici, è necessario trovare un modo per mantenere la sincronizzazione tra gli script di test del dominio attendibile e del dominio non attendibile, poiché non possono comunicare.
5. Il diodo gateway/dati unidirezionale deve essere sottoposto a stress test e ciò richiede il trasferimento di una grande quantità di dati.
La soluzione OPSWAT per il gateway unidirezionale è MetaDefender Unidirectional Security Gateway USG), e qui descriviamo come lo testiamo, fornendo soluzioni ai problemi di cui sopra.
Che cos'è MetaDefender Unidirectional Security Gateway USG)?
NetWall è un prodotto che trasferisce i dati da un dominio fidato (Blu) a un dominio non fidato (Rosso). NetWall consiste in due computer fisici interconnessi con un collegamento dati ad alta velocità. Non esiste una connessione di rete tra i due computer fisici. Il trasferimento dei dati attraverso NetWall utilizza un protocollo interno proprietario non instradabile.
NetWall offre una soluzione al più grave problema di sicurezza dei firewall: può essere compromesso. NetWall supera anche il problema intrinseco dei diodi di dati: la mancata garanzia di consegna dei dati.
Perché NetWall è meglio di un Firewall
Se un malintenzionato accede a un firewall, può configurare il firewall in base alle proprie esigenze e ottenere pieno accesso al dominio fidato. NetWall Tuttavia, fornisce un'interruzione completa del protocollo e della rete tra il dominio fidato (Blu) e il dominio non fidato (Rosso). Se un malintenzionato ottiene il controllo del lato del dominio non attendibile (rosso) di NetWall, non può accedere al dominio attendibile perché non esiste alcuna connessione di rete tra il dominio attendibile (blu) e i computer del dominio non attendibile (rosso) NetWall .
Approfondimento: Diodi di dati e firewall: sicurezza di rete, flusso di dati e conformità a confronto
NetWall Casi d'uso
NetWall è utilizzato in qualsiasi ambiente in cui i dati devono essere trasmessi da un dominio fidato a un dominio non fidato e la sicurezza del dominio fidato deve essere protetta.
Ad esempio, un'azienda può avere uno o più impianti idrici che si trovano in un dominio di fiducia senza accesso a Internet. L'azienda ha bisogno di conoscere lo stato degli impianti idrici in qualsiasi momento o di sapere quanta acqua è stata prodotta. La soluzione per ottenere queste informazioni senza compromettere il dominio di fiducia è utilizzare NetWall.
Come eseguire il test NetWall
Il test include lo stress di NetWall. Ciò significa portare il prodotto ai suoi limiti per un certo periodo di tempo e assicurarsi che il comportamento sia quello previsto.
Il prodotto è in grado di spostare i file dal lato fidato a quello non fidato utilizzando FTP o CIFS. È inoltre in grado di utilizzare i protocolli TCP, UDP, MODBUS, OPCUA e SMTP. I test utilizzeranno tutte queste tecnologie contemporaneamente.
Gli script genereranno dati che verranno spostati dal dominio attendibile al dominio non attendibile da NetWall.
I test registrano i dati che NetWall invia dal dominio trusted. I test registrano anche i dati ricevuti da NetWall nel dominio non attendibile.
Al termine dei test, i risultati registrati vengono confrontati. Qualsiasi perdita di dati viene annotata nei risultati del test.
FTP, CIFS Test
Entrambi i protocolli sono utilizzati per spostare i file.
NetWall sposta i file presenti in una cartella FTP o CIFS del dominio attendibile in una cartella FTP o CIFS del dominio non attendibile.
I test simulano gli utenti che inseriscono i file nelle cartelle FTP e CIFS nel dominio attendibile. Simula le condizioni reali creando molti utenti che scrivono file di piccole dimensioni, alcuni che scrivono file di medie dimensioni e pochi utenti che scrivono file di grandi dimensioni.
Gli script di test sul dominio attendibile registrano le seguenti informazioni per ogni file trasferito:
- Il nome del file
- L'ora del giorno in cui il file è stato prelevato da NetWall dal dominio attendibile.
- Il codice hash del file
Gli script di test sul dominio non attendibile registrano le seguenti informazioni per ogni file ricevuto da NetWall Blue:
- Il nome del file
- Il codice hash del file
- L'ora del giorno in cui viene ricevuto il file
Al termine del test, i record del dominio fidato vengono confrontati con quelli del dominio non fidato. Il codice hash generato su Blue e il codice hash generato su Red vengono confrontati per verificare l'integrità del file ricevuto su NetWall Red. Il confronto genera un file Excel simile al seguente:
Test TCP
NetWall supporta flussi TCP unidirezionali che hanno origine nel dominio attendibile e terminano nel dominio non attendibile.
È stato scritto un codice di prova da eseguire su macchine esterne a NetWall sia nel dominio trusted che nel dominio untrusted. Questo codice di prova crea un file nel dominio attendibile e quindi utilizza un canale TCP su NetWall per trasferire i dati del file al codice di prova nel dominio non attendibile.
Al termine del ciclo di test, viene generato un file Excel per pubblicare i risultati del test. Il file Excel avrà l'aspetto del seguente esempio.
Test UDP
NetWall supporta anche i flussi di dati UDP.
È stato scritto un codice di prova da eseguire su macchine esterne a NetWall sia nel dominio fidato che in quello non fidato. Questo codice di prova crea messaggi di dati nel dominio fidato e poi utilizza un canale UDP su NetWall per trasferire i dati del file al codice di prova nel dominio non fidato.
Al termine del ciclo di test, viene generato un file Excel per pubblicare i risultati del test. Il file Excel avrà l'aspetto del seguente esempio.
Test Modbus
Per i test Modbus, vengono modificati i valori nelle bobine e nei registri del lato blu. I valori modificati vengono registrati e quando vengono trasferiti al lato Rosso, vengono anch'essi registrati. Al termine del test, i valori vengono confrontati e viene generato un file Excel:
Test OPCUA
Per avviare un test OPCUA, i valori dei nodi sul lato Blu vengono modificati. Questi vengono registrati e, quando arrivano al lato Rosso, vengono anch'essi registrati. Sul lato Rosso, alcuni nodi vengono letti e altri inviano i nuovi valori ai client iscritti. Infine, al termine del test, i due record vengono confrontati e viene generato un documento Excel:
Test SMTP
Per condurre i test SMTP, uno script invia centinaia di e-mail dal lato del dominio attendibile a un server che si trova nel dominio non attendibile. Qui si verifica che tutte le e-mail arrivino.
Conclusione
Ogni release di NetWall è certificata per l'utilizzo di queste procedure di test e di altre. Siamo certi che NetWall sarà sempre stabile ed efficiente.
