genugate-datendiode, Technische Broschüre (PDF) - GeNUA

Weitere Magazine

Empfehlungen

Info

4.1 A-P-A Architektur mit drei separaten Filtersystemen Das Kürzel A-P-A steht für die Abfolge der Subsysteme Application Level Gateway (ALG) – Paketfilter (PFL) – Application Level Gateway, die die Daten auf ihrem Weg durch die Datendiode durchlaufen müssen. Abb. 2: genugate-datendiode, bestehend aus einem PFL und zwei ALGs Die drei separaten Komponenten der Datendiode funktionieren dabei zusammen wie eine Schleuse mit einem breiten und einem verengten Kanal: Daten aus dem schwarzen Netz werden angenommen und über eine neue Verbindung zum roten Netz transferiert, in umgekehrter Richtung dürfen dagegen lediglich auf das unbedingt Notwendige reduzierte Protokollinformationen passieren. 4.2 Die Komponenten der genugate-datendiode und ihre Funktion Basierend auf dem oben skizzierten Aufbau erhalten Sie nachfolgend einen tieferen Einblick in die einzelnen Komponenten und Prozesse während der Datenübertragung. 4.2.1 Mail-Übertragung mittels SMTP Das schwarze ALG: Die Annahme einer Mail erfolgt durch das ALG im schwarzen Netz. An dieser Stelle besteht die Möglichkeit, die Mail u. a. auf Viren zu prüfen (vgl. Abschnitte 4.3.2 und 4.3.3). Nach erfolgreicher Prüfung wird die Mail an ein SMTP2TCP-Relay übergeben. Das SMTP2TCP-Relay liefert die Mail über den PFL an den entsprechenden Partnerprozess, das TCP2SMTP-Relay auf dem roten ALG aus. Dabei werden die Mails per TCP- Stream übertragen, der nur auf das Nötigste reduzierte Steuerdaten in die Gegenrichtung zulässt. Dazu bedarf es einer Serialisierung (Zustandskonvertierung): Das SMTP2TCP-Relay akzeptiert alle SMTP-Kommandos und leitet die gelesenen Kommandos und SMTP-Daten über einen TCP-Stream an das rote ALG. Seite 5
Abb. 3: Der Kommunikationsprozess im Überblick Das SMTP2TCP-Relay auf der schwarzen Seite erhält lediglich eine einzige Rückmeldung am Ende der Mail-Übertragung. Entweder wird die Verbindung mit einem FIN-Paket geschlossen oder ein RST-Paket versendet: Im ersten Fall wurde die Mail erfolgreich angenommen, im zweiten Fall abgelehnt. Diese Information wird an den sendenden Mailserver weitergegeben. Dieser Aufbau gewährleistet, dass keine TCP-Pakete aus dem roten ins schwarze Netz gelangen. Alle TCP-Pakete ins rote Netz werden von der Datendiode selbst erzeugt. Zusätzlich werden Mails immer erst weitergegeben, nachdem diese vollständig empfangen wurden. Außerdem werden die Mails gespoolt. Der PFL: Ein Stateful Paketfilter verbindet die beiden ALGs miteinander. Er arbeitet als Router und lässt vom roten Netz nur TCP-Pakete durch, die bestimmten Regeln genügen. Der PFL wird benötigt, um TCP-Optionen verlässlich zu entfernen, da beim Aufbau von TCP-Verbindungen standardmäßig die ersten Pakete mit Optionen ausgeliefert werden. Gleichzeitig kontrolliert der PFL die ordnungsgemäße Funktion des SMTP2TCP- und des TCP2SMTP-Relays. Sollten vom roten Netz TCP-Pakete gesendet werden, die nicht ausschließlich der TCP-Steuerung dienen, werden diese vom PFL verworfen. Zusätzlich wird die Verbindung terminiert. Das rote ALG: Beim roten ALG nimmt das TCP2SMTP-Relay den TCP-Stream aus dem schwarzen Netz entgegen und setzt die entsprechenden Mails aus dem TCP-Stream wieder so zusammen, dass sie erneut per SMTP verschickt werden können. An dieser Stelle besteht nochmals die Möglichkeit einer inhaltlichen Prüfung. Eine Überprüfung auf Viren erfolgt jedoch normalerweise nur auf der schwarzen Seite, da im roten Netz die Aktualisierung von Antivirus-Pattern nicht möglich ist bzw. einen hohen Aufwand erfordert. Anschließend wird die Mail an den Ziel-Mailserver auf der roten Seite weiter Seite 6
Seite 1 und 2: genugate-datendiode Hochperformante
Seite 3 und 4: 5 Einsatzszenarien 10 6 Zertifizier
Seite 5 und 6: demnach unvollständig empfangen we
Seite 7: 3 Die Anforderungen im Einzelnen Im
Seite 11 und 12: 4.3.1 Trennung des TCP-Datenstroms
Seite 13 und 14: 5 Einsatzszenarien Naheliegend ist
Seite 15 und 16: 6.2 Zulassung Während ein Antrag a
Seite 17 und 18: 8 Glossar ALG CC Covert Channel EAL

genugate-datendiode, Technische Broschüre (PDF) - GeNUA

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?