Unidirectional Gateway/データダイオードのテスト
製品テストは、その製品が業界や企業が提案する基準を満たしていることを確認する唯一の方法であるため、重要である。
一方向ゲートウェイのテストにおいて最も重要なことは、データ損失がないこと、転送前と転送後のデータが全く同じであることを確認することである。同じ原理がデータ・ダイオードのテストにも適用できます。
一方向性ゲートウェイ/データ・ダイオードのテストにはいくつかの課題があり、その解決策を見つけなければならなかった:
1.本製品は2つの異なるネットワークで動作し、両者間の接続は不可能です。
2.TCP、UDP、OPCUA、MODBUSのようなテスト・プロトコルは、手動でテストするのが難しい。
3.FTPやCIFS(ファイル転送)などのプロトコルをテストする。手作業によるテストも可能だが、手作業によるテストだけでは、転送されたファイルの各ビットがオリジナルとまったく同じであることを保証することは不可能である。
4.自動テストでは、Trusted Domain と Untrusted Domain のテスト スクリプトは通信できないため、同期を維持する方法を見つけ る必要があります。
5.一方向ゲートウェイ/データ・ダイオードはストレス・テストを行う必要があり、そのためには大量のデータを転送する必要がある。
OPSWAT 一方向ゲートウェイ・ソリューションはMetaDefender Unidirectional Security Gateway USG)です。
MetaDefender Unidirectional Security Gateway USG)とは何ですか?
NetWall は、信頼されたドメイン(青)から信頼されていないドメイン(赤)へデータを転送する製品である。NetWall は、高速データリンクで相互接続された2台の物理コンピュータで構成される。2台の物理コンピュータ間にはネットワーク接続はない。NetWall を介したデータ転送には、独自の内部非ルーティング・プロトコルが使用される。
NetWall NetWall 、データ・ダイオード特有の問題であるデータ配信の保証ができないという問題も克服している。
NetWall Firewallいる理由
悪意ある行為者がファイアウォールにアクセスした場合、その行為者は自分のニーズに合うようにファイアウォールを設定し、信頼されたドメインへの完全なアクセスを得ることができる。NetWallしかし、ファイアウォールは、信頼されたドメイン(青)と信頼されていないドメイン(赤)の間のプロトコルとネットワークを完全に遮断する。 悪意ある行為者がNetWall の信頼されないドメイン(赤)側をコントロールした場合、信頼されるドメイン(青)と信頼されないドメイン(赤)NetWall のコンピュータ間にはネットワーク接続が存在しないため、信頼されるドメインにアクセスすることはできない。
さらに深くデータダイオード vs ファイアウォール - ネットワークセキュリティ、データフロー、コンプライアンスを比較する
NetWall 使用例
NetWall は、信頼されたドメインから信頼されていないドメインにデータを伝送しなければならず、信頼されたドメインのセキュリティを保護しなければならないあらゆる環境で使用される。
例えば、ある企業は、インターネットにアクセスできない信頼できるドメインに1つ以上の水プラントを持つかもしれない。その企業は、いつでも水プラントの状態や、どれだけの水が生産されたかを知る必要がある。信頼されたドメインを損なうことなくその情報を得るための解決策は、NetWall を使用することである。
テスト方法NetWall
テストにはNetWall 。つまり、製品を一定期間限界まで使用し、その動作が期待通りであることを確認することです。
本製品は、FTPまたはCIFSを使用して、信頼された側から信頼されていない側へファイルを移動することができる。また、TCP、UDP、MODBUS、OPCUA、SMTPプロトコルを使用する機能もある。テストでは、これらすべての技術を同時に使用する。
スクリプトは、NetWall によって、信頼されたドメインから信頼されていないドメインに移動されるデータを生成する。
このテストでは、NetWall が信頼されたドメインから送信するデータを記録する。このテストでは、NetWall が信頼されていないドメインで受信したデータも記録する。
テストの最後に、記録された結果が比較される。データの損失があれば、テスト結果に記載される。
FTP、CIFSテスト
どちらのプロトコルもファイルの移動に使われる。
NetWall 信頼済みドメインのFTPまたはCIFSフォルダにあるファイルを、信頼されていないドメインのFTPまたはCIFSフォルダに移動する。
テストは、信頼されたドメイン内の FTP および CIFS フォルダにファイルを置くユーザーをシミュレートする。小さなファイルを書き込む多くのユーザ、中程度のファイルを書き込むユーザ、大きなファイルを書き込む少数のユーザを作成することで、実際の状況をシミュレートする。
信頼済みドメインのテストスクリプトは、転送される各ファイルについて以下の情報を記録する:
- ファイル名
- NetWall 、Trusted Domainからファイルがフェッチされた時刻。
- ファイルのハッシュコード
信頼できないドメイン上のテストスクリプトは、NetWall Blue から受信した各ファイルについて、以下の情報を記録する:
- ファイル名
- ファイルのハッシュコード
- ファイルを受信した時刻
テストの最後に、信頼されたドメインからのレコードと信頼されていないドメ インからのレコードが比較される。Blue で生成されたハッシュコードと Red で生成されたハッシュコードが比較され、NetWall Red で受信されたファイルの完全性が検証される。比較により、以下のようなExcelファイルが生成される:
TCPテスト
NetWall は、信頼されたドメインを起点とし、信頼され ないドメインを終点とする一方向のTCPストリームをサポートする。
信頼されたドメインと信頼されていないドメインの両方において、NetWall の外部マシンで実行されるテストコードが書かれた。このテストコードは、信頼されたドメイン上でファイルを作成し、NetWall 上の TCP チャネルを使用して、ファイルデータを信頼されていないドメインのテストコードに転送する。
テスト・サイクルが終了すると、テスト結果を公表するためのエクセル・ファイルが生成される。そのエクセルファイルは以下のサンプルのようになります。
UDPテスト
NetWall はUDPデータストリームもサポートしている。
信頼されたドメインと信頼されていないドメインの両方において、NetWall の外部マシンで実行されるテストコードが書かれた。このテスト・コードは、信頼されたドメインでデータ・メッセージを作成し、NetWall 上の UDP チャネルを使用して、ファイル・データを信頼されていないドメインのテスト・コードに転送する。
テスト・サイクルが終了すると、テスト結果を公表するためのエクセル・ファイルが生成される。そのエクセルファイルは以下のサンプルのようになります。
Modbusテスト
Modbus テストでは、Blue 側のコイルとレジスタの値が変更されます。変更された値はログに記録され、レッド・サイドに転送される際にもログに記録されます。テストが終了すると、値が比較され、Excelファイルが生成されます:
OPCUAテスト
OPCUAテストを開始するために、ブルー側のノードの値が変更される。これらはログに記録され、レッド・サイドに到着すると、それらもログに記録される。Red側では、いくつかのノードが読み込まれ、他のノードが新しい値をサブスクライブしているクライアントにプッシュする。最後に、テストが終了すると、2つのレコードが比較され、エクセル文書が生成される:
SMTPテスト
SMTPテストを実施するために、スクリプトは信頼されたドメイン側から信頼されていないドメインにあるサーバーに数百の電子メールを送信する。ここで、すべての電子メールが到着することが検証される。
結論
NetWall のすべてのリリースは、これらのテスト手順、およびその他のテスト手順を使用することが証明されています。私たちは、NetWall が常に安定し、効率的であると確信しています。
