Test d'une diode Unidirectional Gateway/Data
Les tests de produits sont importants car c'est le seul moyen de s'assurer que le produit répond aux normes proposées par l'industrie et par l'entreprise.
Le plus important dans le test d'une passerelle unidirectionnelle est de s'assurer qu'il n'y a pas de perte de données et que les données transférées sont exactement les mêmes avant et après le transfert. Le même principe peut être appliqué au test des diodes de données.
Le test d'une passerelle unidirectionnelle/diode de données présente plusieurs défis auxquels nous avons dû trouver une solution :
1. Le produit fonctionne avec deux réseaux différents sans connexion possible entre eux.
2. Les protocoles d'essai tels que TCP, UDP, OPCUA, MODBUS, sont difficiles à tester manuellement.
3. Tester des protocoles tels que FTP et CIFS (transfert de fichiers). Bien qu'il soit possible d'effectuer des tests manuels, il est impossible de garantir que chaque bit du fichier transféré est exactement le même que l'original en appliquant uniquement des tests manuels.
4. Avec les tests automatiques, vous devez trouver un moyen de maintenir la synchronisation entre les scripts de test du domaine de confiance et du domaine non fiable, car ils ne peuvent pas communiquer.
5. La passerelle unidirectionnelle/diode de données doit être soumise à des tests de résistance, ce qui implique le transfert d'une grande quantité de données.
La solution de passerelle unidirectionnelle d'OPSWAT est MetaDefender Unidirectional Security Gateway USG, et nous décrivons ici comment nous la testons, en apportant des solutions aux problèmes mentionnés ci-dessus.
Qu'est-ce que MetaDefender Unidirectional Security Gateway USG?
NetWall est un produit qui transfère des données d'un domaine de confiance (bleu) à un domaine non fiable (rouge). NetWall se compose de deux ordinateurs physiques interconnectés par une liaison de données à grande vitesse. Il n'y a pas de connexion réseau entre les deux ordinateurs physiques. Le transfert de données à travers NetWall utilise un protocole interne propriétaire non routable.
NetWall offre une solution au problème de sécurité le plus grave des pare-feux : il peut être compromis. NetWall résout également le problème inhérent aux diodes de données : l'incapacité à garantir la livraison des données.
Pourquoi NetWall est-il mieux qu'un Firewall?
Si un acteur malveillant accède à un pare-feu, il peut configurer le pare-feu en fonction de ses besoins et obtenir un accès complet au domaine de confiance. NetWall En revanche, le protocole et le réseau du domaine de confiance (bleu) et du domaine non fiable (rouge) sont entièrement interrompus. Si un acteur malveillant prend le contrôle du côté du domaine non sécurisé (rouge) de NetWall, il ne peut pas accéder au domaine sécurisé parce qu'aucune connexion réseau n'existe entre les ordinateurs du domaine sécurisé (bleu) et du domaine non sécurisé (rouge) NetWall .
Plongez dans les détails : Diodes de données contre pare-feu - Comparaison de la sécurité du réseau, du flux de données et de la conformité
NetWall Cas d'utilisation
NetWall est utilisé dans tout environnement où des données doivent être transmises d'un domaine de confiance à un domaine non fiable et où la sécurité du domaine de confiance doit être protégée.
Par exemple, une entreprise peut avoir une ou plusieurs usines de production d'eau qui se trouvent dans un domaine de confiance sans accès à l'internet. L'entreprise a besoin de connaître l'état des stations d'épuration à tout moment ou la quantité d'eau produite. La solution pour obtenir ces informations sans compromettre le domaine de confiance est d'utiliser NetWall.
Comment tester NetWall
Les tests comprennent la mise à l'épreuve de NetWall. Il s'agit d'amener le produit à ses limites pendant un certain temps et de s'assurer que le comportement est conforme aux attentes.
Le produit est capable de déplacer des fichiers du côté fiable vers le côté non fiable en utilisant FTP ou CIFS. Il peut également utiliser les protocoles TCP, UDP, MODBUS, OPCUA et SMTP. Les tests utiliseront toutes ces technologies simultanément.
Les scripts généreront des données qui seront déplacées du domaine de confiance vers le domaine non sécurisé par NetWall.
Les tests enregistrent les données que NetWall envoie depuis le domaine de confiance. Les tests enregistrent également les données reçues par NetWall dans le domaine non fiable.
À la fin des tests, les résultats enregistrés sont comparés. Toute perte de données est notée dans les résultats du test.
Test FTP, CIFS
Les deux protocoles sont utilisés pour déplacer des fichiers.
NetWall déplace les fichiers qui se trouvent dans un dossier FTP ou CIFS dans le domaine de confiance vers un dossier FTP ou CIFS dans le domaine non fiable.
Les tests simulent des utilisateurs qui placent des fichiers dans les dossiers FTP et CIFS du domaine de confiance. Ils simulent les conditions réelles en créant de nombreux utilisateurs qui écrivent de petits fichiers, d'autres qui écrivent des fichiers de taille moyenne et quelques utilisateurs qui écrivent des fichiers de grande taille.
Les scripts de test sur le domaine de confiance enregistrent les informations suivantes pour chaque fichier transféré :
- Le nom du fichier
- Heure à laquelle le fichier a été récupéré par NetWall à partir du domaine de confiance.
- Le code de hachage du fichier
Les scripts de test sur le domaine non approuvé enregistrent les informations suivantes pour chaque fichier qu'ils reçoivent de NetWall Blue :
- Le nom du fichier
- Le code de hachage du fichier
- L'heure de réception du fichier
À la fin du test, les enregistrements du domaine de confiance sont comparés aux enregistrements du domaine non fiable. Le code de hachage généré sur Blue et le code de hachage généré sur Red sont comparés pour vérifier l'intégrité du fichier reçu sur NetWall Red. La comparaison génère un fichier Excel similaire au suivant :
Test TCP
NetWall prend en charge les flux TCP unidirectionnels qui proviennent du domaine sécurisé et se terminent dans le domaine non sécurisé.
Un code de test a été écrit pour être exécuté sur des machines externes à NetWall dans le domaine de confiance et le domaine non fiable. Ce code de test crée un fichier dans le domaine sécurisé, puis utilise un canal TCP sur NetWall pour transférer les données du fichier au code de test dans le domaine non sécurisé.
À la fin du cycle de test, un fichier Excel est généré pour publier les résultats du test. Ce fichier Excel ressemblera à l'exemple suivant.
Test UDP
NetWall prend également en charge les flux de données UDP.
Un code de test a été écrit pour être exécuté sur des machines externes à NetWall dans le domaine de confiance et le domaine non fiable. Ce code de test crée des messages de données dans le domaine sécurisé, puis utilise un canal UDP sur NetWall pour transférer les données du fichier au code de test dans le domaine non sécurisé.
À la fin du cycle de test, un fichier Excel est généré pour publier les résultats du test. Ce fichier Excel ressemblera à l'exemple suivant.
Test Modbus
Pour les tests Modbus, les valeurs des bobines et des registres du côté bleu sont modifiées. Les valeurs modifiées sont enregistrées et lorsqu'elles sont transférées vers le côté rouge, elles sont également enregistrées. Une fois le test terminé, les valeurs sont comparées et un fichier Excel est généré :
Tests de l'OPCUA
Pour lancer un test OPCUA, les valeurs des nœuds du côté bleu sont modifiées. Ces modifications sont enregistrées et, lorsqu'elles arrivent du côté rouge, elles sont également enregistrées. Du côté rouge, certains nœuds sont lus et d'autres transmettent les nouvelles valeurs aux clients abonnés. Enfin, à la fin du test, les deux enregistrements sont comparés et un document Excel est généré :
Test SMTP
Pour effectuer des tests SMTP, un script envoie des centaines de courriels du côté du domaine de confiance à un serveur qui se trouve dans le domaine non fiable. On vérifie alors que tous les courriels arrivent à destination.
Conclusion
Chaque version de NetWall est certifiée pour utiliser ces procédures de test, ainsi que d'autres. Nous sommes convaincus que NetWall sera toujours stable et efficace.
