Using Bi-directional Data Diodes to Limit Propagation of Network Attacks
Abstract
De fleste nettverk er sårbare for angrep på flereforskjellige enheter. Etter at en angriper har klart å få tilgang til en enhetpå nettverket kan han bruke den til å angripe andre enheter koblet til det sammenettverket. WannaCry og NotPetya er kjente angrep som har ført til mye skade.Segmentering av nettverk er en ofte brukt teknikk for å minimere antalletenheter som er tilgjengelige og sårbare for slike angrep.
I denne masteroppgaven introduserer vi en original bruk av datadioder kaltbidireksjonell datadiode. En bidireksjonell datadiode erstatter en tradisjonellbidireksjonell Ethernetkobling med to datadioder. Datadiodene er satt oppi hver sin retning, dette fører til bidireksjonell trafikk over denbidireksjonelle datadioden mens den samtidig garanterer at trafikken kunkan gå i en retning over hver datadiode.
En datadiode er en nettverkskobling som har blitt modifisert til å kun sendedata i en retning og dermed lage en unidireksjonell kobling.
Påvirkningen en bidireksjonell data diode kan ha på hvor bra en IDS detektererangrep har også blitt analysert.
I tillegg til å undersøke hvordan nettverkssegmentering kan bli gjort medbidireksjonelle data dioder har vi sammenlignet det med tradisjonellebeskyttelsesmekanismer som brannmurer og Access-Control Lister. Resultateneviser at både bidireksjonelle datadioder og tradisjonellebeskyttelsesmekanismer gir oss tilsvarende resultater i henhold tilnettverkssegmentering. Most networks are vulnerable to many kinds of attacks on different devices. When an attacker gains access to one of the devices in a network he can then use it to attack other devices in the network.WannaCry and NotPetya are well known attacks that caused much damage. Compartmentalisation of the network is often used to minimise the number of reachable devices that arevulnerable against such attacks.
In this thesis a novel use of data diodes called a bi-directional data diode is introduced. A bi-directional data diode replaces one traditional bi-directional Ethernet linkwith two data diodes. The data diodes are connected in opposite directions.This configuration provides bi-directional traffic across the bi-directional data diode whileguaranteeing uni-directional traffic across each data diode.
A data diode is a network link that has been modified to send traffic only in one direction, therebycreating a uni-directional link.
The impact bi-directional data diodes might have on an IDS detection performance has been analysed.
In addition to looking into how network segmentation and compartmentalisation can be done with bi-directional data diodes we have compared it with traditional security mechanisms such as firewalls and ACL. It is shown that we can achieve similar results with regard to segmenting the network with both bi-directional data-diodes and traditional security mechanisms.