Using Bi-directional Data Diodes to Limit Propagation of Network Attacks

Aasen, Øyvind

Aasen, Øyvind

Master thesis

View/Open

no.ntnu:inspera:2455408.pdf (6.358Mb)

no.ntnu:inspera:2455408.zip (17.11Kb)

URI

http://hdl.handle.net/11250/2617747

Date

2019

Metadata

Show full item record

Collections

Institutt for informasjonssikkerhet og kommunikasjonsteknologi [1493]

Abstract

De fleste nettverk er sårbare for angrep på flere

forskjellige enheter. Etter at en angriper har klart å få tilgang til en enhet

på nettverket kan han bruke den til å angripe andre enheter koblet til det samme

nettverket. WannaCry og NotPetya er kjente angrep som har ført til mye skade.

Segmentering av nettverk er en ofte brukt teknikk for å minimere antallet

enheter som er tilgjengelige og sårbare for slike angrep.

I denne masteroppgaven introduserer vi en original bruk av datadioder kalt

bidireksjonell datadiode. En bidireksjonell datadiode erstatter en tradisjonell

bidireksjonell Ethernetkobling med to datadioder. Datadiodene er satt opp

i hver sin retning, dette fører til bidireksjonell trafikk over den

bidireksjonelle datadioden mens den samtidig garanterer at trafikken kun

kan gå i en retning over hver datadiode.

En datadiode er en nettverkskobling som har blitt modifisert til å kun sende

data i en retning og dermed lage en unidireksjonell kobling.

Påvirkningen en bidireksjonell data diode kan ha på hvor bra en IDS detekterer

angrep har også blitt analysert.

I tillegg til å undersøke hvordan nettverkssegmentering kan bli gjort med

bidireksjonelle data dioder har vi sammenlignet det med tradisjonelle

beskyttelsesmekanismer som brannmurer og Access-Control Lister. Resultatene

viser at både bidireksjonelle datadioder og tradisjonelle

beskyttelsesmekanismer gir oss tilsvarende resultater i henhold til

nettverkssegmentering.

Most networks are vulnerable to many kinds of attacks on different devices. When an attacker gains

access to one of the devices in a network he can then use it to attack other devices in the network.

WannaCry and NotPetya are well known attacks that caused much damage.

Compartmentalisation of the network is often used to minimise the number of reachable devices that are

vulnerable against such attacks.

In this thesis a novel use of data diodes called a bi-directional

data diode is introduced. A bi-directional data diode replaces one traditional bi-directional Ethernet link

with two data diodes. The data diodes are connected in opposite directions.

This configuration provides bi-directional traffic across the bi-directional data diode while

guaranteeing uni-directional traffic across each data diode.

A data diode is a network link that has been modified to send traffic only in one direction, thereby

creating a uni-directional link.

The impact bi-directional data diodes might have on an IDS detection performance has been analysed.

In addition to looking into how network segmentation and compartmentalisation can be done with bi-directional data diodes

we have compared it with traditional security mechanisms such as firewalls and ACL. It is shown that we can achieve

similar results with regard to segmenting the network with both bi-directional data-diodes and traditional security mechanisms.

Publisher

NTNU