- Network Taps mit Data Diodes als Datenlieferant für IT-Sicherheitssysteme
Mit Inkrafttreten des neuen IT-Sicherheitsgesetzes 2.0 am 28. Mai 2021 wurde auch die KRITIS-Regelung signifikant erweitert. Diese beinhaltet nun deutlich mehr Pflichten für die Betreiber und mehr Befugnisse für den Staat. So müssen KRITIS-Betreiber bis spätestens 01. Mai 2023 jetzt auch Systeme und Prozesse zur kontinuierlichen Angriffserkennung etablieren.
Dazu gehören die Einrichtung eines SOC (Security Operation Center) und eines SIEM (Security Information and Event Management).In diesem Zuge muss nun eine Security-Monitoring-Lösung dauerhaft Datenpakete analysieren, um eventuelle Bedrohungen zu erkennen. Diese Pakete werden der Security-Monitoring-Lösung meist als Datenkopie über SPAN-Ports zur Verfügung gestellt.
Doch leider wird dabei häufig nicht berücksichtigt, dass bei der Verwendung von SPAN-Ports ein Rückfluss von Daten nicht gänzlich ausgeschlossen werden kann. Da die Security-Monitoring-Lösung, wie meist üblich, im zentralen IT-Netz positioniert ist, das eine Verbindung zum Internet hat, kann der Switch anfällig für Angriffe von Hackern werden. Somit ist die einst isolierte OT-Umgebung aber auch eine kritische IT-Infrastruktur nun indirekt einer Bedrohung von außen ausgesetzt. Jede SPAN-Verbindung ist letztlich eine Hintertür in das Live-Netzwerk und damit ein potenzielles Sicherheitsrisiko.Diese Gefahr kann aber durch den Einsatz von TAPs (Test Access Points) mit Data Diode Technologie ausgeräumt werden.
Bei Data-Dioden-TAPs handelt es sich um speziell entwickelte Hardware, mit der Datenpakete ausschließlich in eine Richtung übertragen werden können. Diese TAPs erstellen eine exakte, kontinuierliche Kopie des Verkehrsflusses, wobei die Pakete nicht verändert oder verzögert werden.
Verfügbar sind aktive und passive TAPs. Ein passives Netzwerk-TAP ist ein Gerät, das keine physische Trennung zwischen seinen Netzwerkanschlüssen aufweist. Das bedeutet, dass bei einem Stromausfall des Geräts der Datenverkehr zwischen den Netzwerkanschlüssen weiter fließen kann und die Verbindung aufrechterhalten bleibt. Dies gilt sowohl für Glasfaser-TAPs als auch für Netzwerk-TAPs mit 10/100-Mbit-Kupferschnittstellen.
Glasfaser-TAPs teilen das ankommende Licht in zwei oder mehr Pfade auf und benötigen zunächst einmal keinen Strom. 10- oder 100-Mbit-Kupfer-TAPs benötigen bei ihrer Verwendung Strom, aber da es keine physische Trennung zwischen den Netzwerkanschlüssen gibt, sind sie auch vollständig passiv. In ihrem Fall bleibt die Verbindung bei einem Stromausfall ohne Failover-Zeit oder Verzögerung bei der Wiederherstellung der Verbindung bestehen. Aus Sicherheitsgründen ist bei passiven TAPs zu beachten, dass eingehendes Licht im Monitorausgang ausreichend gedämpft wird. Indem das von den Monitoranschlüssen kommende Licht blockiert wird, werden mögliche Angriffe oder Störungen verhindert. Auf dem Markt verfügbar sind zum Beispiel Datendioden mit einer >35 dB Einfügungsdämpfung, die dafür sorgt, dass über den Monitorausgang kein Licht eingeleitet werden kann.
Im Gegensatz zu passiven TAPs verfügen aktive TAPs typischerweise über 1G-Kupferports. Die Netzwerk-Ports sind physisch getrennt, was auf die im TAP verwendeten elektrischen Komponenten zurückzuführen ist. Daher benötigen sie einen ausfallsicheren Mechanismus, der sicherstellt, dass das Netz bei einem Stromausfall des TAPs betriebsbereit bleibt. Die Technologie basiert auf einer Reihe von Relais, die offen gehalten werden, wenn das Gerät mit Strom versorgt wird. Bei Stromausfall überbrücken diese Relais die elektronischen Komponenten, so dass das Netz betriebsbereit bleibt.
Data-Dioden-TAPs müssen nur einmal zwischen zwei Netzwerkkomponenten eingeschleift werden und bedürfen keinerlei Konfiguration, die Auswirkungen auf die Sicherheit haben könnten.
Zwischen dem Netz von OT oder kritischer IT-Infrastruktur und IT-Netz wird ein Data Diode Tap geschaltet. Dieses lässt den Verkehr zwischen dem besonders sensiblen Bereich und IT vollständig transparent passieren. Würde man ausschließlich auf eine Firewall setzen, könnten durch Fehlkonfigurationen oder Bugs ungewollt Daten in das Netz von OT & kritischer Infrastruktur gelangen.
Verfügbar sind aktive und passive TAPs. Ein passives Netzwerk-TAP ist ein Gerät, das keine physische Trennung zwischen seinen Netzwerkanschlüssen aufweist. Das bedeutet, dass bei einem Stromausfall des Geräts der Datenverkehr zwischen den Netzwerkanschlüssen weiter fließen kann und die Verbindung aufrechterhalten bleibt. Dies gilt sowohl für Glasfaser-TAPs als auch für Netzwerk-TAPs mit 10/100-Mbit-Kupferschnittstellen.
Glasfaser-TAPs teilen das ankommende Licht in zwei oder mehr Pfade auf und benötigen zunächst einmal keinen Strom. 10- oder 100-Mbit-Kupfer-TAPs benötigen bei ihrer Verwendung Strom, aber da es keine physische Trennung zwischen den Netzwerkanschlüssen gibt, sind sie auch vollständig passiv. In ihrem Fall bleibt die Verbindung bei einem Stromausfall ohne Failover-Zeit oder Verzögerung bei der Wiederherstellung der Verbindung bestehen. Aus Sicherheitsgründen ist bei passiven TAPs zu beachten, dass eingehendes Licht im Monitorausgang ausreichend gedämpft wird. Indem das von den Monitoranschlüssen kommende Licht blockiert wird, werden mögliche Angriffe oder Störungen verhindert. Auf dem Markt verfügbar sind zum Beispiel Datendioden mit einer >35 dB Einfügungsdämpfung, die dafür sorgt, dass über den Monitorausgang kein Licht eingeleitet werden kann.
Dieses 4-fach Network TAP mit integrierter Datendiode leitet die Paketkopien aggregiert auf einen oder zwei Ports zum IDS weiter. Auch hier kann keine Packet Injection zurück ins Netzwerk erfolgen.
Data-Dioden-TAPs müssen nur einmal zwischen zwei Netzwerkkomponenten eingeschleift werden und bedürfen keinerlei Konfiguration, die Auswirkungen auf die Sicherheit haben könnten.
Details klären oder eine
Demo vereinbaren
Demo vereinbaren