Using Bi-directional Data Diodes to Limit Propagation of Network Attacks

Abstract

De fleste nettverk er sårbare for angrep på flere forskjellige enheter. Etter at en angriper har klart å få tilgang til en enhet på nettverket kan han bruke den til å angripe andre enheter koblet til det samme nettverket. WannaCry og NotPetya er kjente angrep som har ført til mye skade. Segmentering av nettverk er en ofte brukt teknikk for å minimere antallet enheter som er tilgjengelige og sårbare for slike angrep.

I denne masteroppgaven introduserer vi en original bruk av datadioder kalt bidireksjonell datadiode. En bidireksjonell datadiode erstatter en tradisjonell bidireksjonell Ethernetkobling med to datadioder. Datadiodene er satt opp i hver sin retning, dette fører til bidireksjonell trafikk over den bidireksjonelle datadioden mens den samtidig garanterer at trafikken kun kan gå i en retning over hver datadiode.

En datadiode er en nettverkskobling som har blitt modifisert til å kun sende data i en retning og dermed lage en unidireksjonell kobling.

Påvirkningen en bidireksjonell data diode kan ha på hvor bra en IDS detekterer angrep har også blitt analysert.

I tillegg til å undersøke hvordan nettverkssegmentering kan bli gjort med bidireksjonelle data dioder har vi sammenlignet det med tradisjonelle beskyttelsesmekanismer som brannmurer og Access-Control Lister. Resultatene viser at både bidireksjonelle datadioder og tradisjonelle beskyttelsesmekanismer gir oss tilsvarende resultater i henhold til nettverkssegmentering.

Most networks are vulnerable to many kinds of attacks on different devices. When an attacker gains access to one of the devices in a network he can then use it to attack other devices in the network. WannaCry and NotPetya are well known attacks that caused much damage. Compartmentalisation of the network is often used to minimise the number of reachable devices that are vulnerable against such attacks.

In this thesis a novel use of data diodes called a bi-directional data diode is introduced. A bi-directional data diode replaces one traditional bi-directional Ethernet link with two data diodes. The data diodes are connected in opposite directions. This configuration provides bi-directional traffic across the bi-directional data diode while guaranteeing uni-directional traffic across each data diode.

A data diode is a network link that has been modified to send traffic only in one direction, thereby creating a uni-directional link.

The impact bi-directional data diodes might have on an IDS detection performance has been analysed.

In addition to looking into how network segmentation and compartmentalisation can be done with bi-directional data diodes we have compared it with traditional security mechanisms such as firewalls and ACL. It is shown that we can achieve similar results with regard to segmenting the network with both bi-directional data-diodes and traditional security mechanisms.