Diodos de datos: soluciones rusas contra las fugas de información

Los diodos de datos, o puertas unidireccionales, son dispositivos únicos de protección de la información. Su rasgo principal es la limitación física de la transmisión de datos en una sola dirección. A diferencia de los cortafuegos, que emplean métodos software para filtrar el tráfico, los diodos de datos impiden el flujo inverso de información a nivel de hardware.

Desde el punto de vista constructivo, estos dispositivos disponen de un único canal físico para la transmisión de tráfico, sin posibilidad técnica de establecer retroalimentación. Esto crea un nivel de protección fundamentalmente nuevo: el sistema queda totalmente inaccesible a influencias externas, manteniendo al mismo tiempo la capacidad de recopilar los datos necesarios.

Existen dos modelos principales de uso de los diodos de datos:

• recolección de datos (por ejemplo, telemetría de sensores industriales) sin riesgo de influencia externa sobre el sistema
• recepción de datos externos protegidos por la red (actualizaciones de software) sin posibilidad de enviar información fuera del perímetro

El carácter unidireccional de la transmisión impone requisitos especiales a los protocolos de transporte. La mayoría de los protocolos estándar requieren retroalimentación para confirmar la recepción de paquetes, por lo que para resolver este problema se emplean puertas unidireccionales.

Estas puertas constan de dos servidores proxy conectados por un diodo de datos. Los servidores realizan la conversión del tráfico desde protocolos estándar a formatos que no requieren retroalimentación (por ejemplo, UDP), así como la transformación inversa en el lado receptor. Para garantizar la fiabilidad de la transmisión, en estos sistemas se utilizan algoritmos propios de control de integridad de datos.

Ventajas del uso de puertas unidireccionales

Las puertas unidireccionales ofrecen una serie de posibilidades únicas para la ciberseguridad:

1. Acceso seguro a sistemas críticos mediante replicación. El usuario externo trabaja con una copia del host importante sin tener acceso directo al servidor original.
2. Medidas de protección adicionales. Muchos gateways incorporan software antivirus, herramientas de análisis de tráfico y otros instrumentos de seguridad.
3. Integración con la infraestructura existente. Los servidores proxy permiten la compatibilidad del diodo de datos con el resto de los sistemas de la organización mediante conectores específicos.

Mercado mundial de diodos de datos

Los diodos de datos comenzaron a aparecer a finales del siglo pasado, pero se volvieron realmente demandados con el aumento de ataques dirigidos contra objetos de infraestructura crítica. El mercado mundial de estos dispositivos muestra un crecimiento estable.

Según los datos de Fortune Business Insights, el tamaño del mercado mundial de diodos de datos en 2020 fue de 352 millones de dólares. De esa cifra, más de 100 millones correspondieron a Norteamérica. El crecimiento respecto a 2019 fue de alrededor del 11%.

Los analistas pronostican la continuidad de la dinámica positiva y estiman que para 2028 el mercado de transmisión unidireccional de datos alcanzará aproximadamente 880 millones de dólares con una tasa de crecimiento anual media de alrededor del 12%.

Principales clientes de diodos de datos:

• sector energético
• compañías de petróleo y gas
• organismos gubernamentales
• empresas que explotan objetos de infraestructura crítica
• compañías manufactureras y de transporte con gran número de sensores y controladores industriales

Los especialistas consideran que el factor principal del crecimiento del mercado de diodos de datos es el aumento de la actividad cibercriminal dirigida al sector petrolero y gasístico. La adopción de tecnologías modernas, como el Internet industrial de las cosas (IIoT), incrementa la productividad de las empresas, pero al mismo tiempo las hace más vulnerables a ciberataques. Las consecuencias de tales ataques pueden ser catastróficas: desde pérdidas financieras y reputacionales hasta víctimas humanas y desastres ecológicos.

Mercado ruso de diodos de datos

Aún no se han realizado estudios detallados del mercado ruso de transmisión unidireccional de datos, pero la presencia de fabricantes activos indica la existencia de demanda por estas soluciones.

El uso de diodos de datos en Rusia está regulado por normativas que rigen la seguridad en sistemas de información estatales y el tratamiento de datos personales. Los principales impulsores de la demanda son las órdenes del FSTEC de Rusia nº 17, 21 y 31. Para trabajar con información que contiene secretos de Estado, el equipo debe contar con la certificación del FSTEC de Rusia que indique el nivel de control. Obtener dicha certificación para sistemas extranjeros conlleva dificultades significativas.

En Rusia, varios fabricantes producen diodos de datos:

• «IT BASTION»
• «AMT-Group»
• «Oreol Security»
• «Roselectronica»
• «Echelon»
• «Centro de Seguridad de la Información»
• «Centro de Tecnologías de la Información y Sistemas de los Órganos del Poder Ejecutivo» (basado en adaptadores de red de la compañía ANKAD)

Resumen de soluciones nacionales para transmisión unidireccional de datos

AMT InfoDiode

La compañía «AMT-Group» ofrece una gama de soluciones hardware y mixtas bajo la marca InfoDiode. Estos dispositivos están diseñados para organizar el intercambio de datos con segmentos de red de importancia crítica.

La línea incluye seis soluciones, desde el compacto InfoDiode MINI para montaje en riel DIN hasta la variante en clúster AПК InfoDiode PRO y AПК InfoDiode SMART, que permite la transferencia de datos por varios protocolos industriales simultáneamente. Todos los sistemas están certificados por el FSTEC de Rusia según especificaciones técnicas y cuentan con nivel de confianza 4.

Las soluciones de AMT-Group soportan la transmisión de protocolos de transporte estándar (FTP/FTPS, CIFS, SMTP, SFTP, StartTls, IPsec, UDP) y protocolos industriales especializados para sistemas SCADA y servidores OPC (OPC UA, Modbus, MQTT). Los diodos de datos de este fabricante pueden integrarse con varios servicios de aplicación, incluidos SNMP, Syslog, NTP, Active Directory, y el InfoDiode SMART con soluciones SCADA (WinCC, KepServerEX, MasterScada). El ancho de banda de las soluciones es de 1 Gbit/s.

Ventajas clave de AMT InfoDiode:

• rendimiento de hasta 1 Gbit/s con posibilidad de agrupación en clúster
• integración con Active Directory, Syslog, sistemas SIEM, generación de archivo de metadatos para análisis por herramientas DLP
• priorización de la transmisión de datos y flujos
• soporte de escenarios de replicación de bases de datos Microsoft SQL y PostgreSQL
• soporte de escenarios de transferencia de actualizaciones WSUS, antivirus KPSN de Kaspersky
• transmisión del escritorio del operador hacia el exterior del segmento protegido
• codificación robusta contra interferencias y copia de seguridad de configuraciones

Más información sobre el producto en el sitio de la compañía.

«Diod-2S»

El equipo técnico «Diod-2S» de la compañía «Centro de Seguridad de la Información» (CBI) está destinado a la transmisión unidireccional de datos desde sistemas con bajo grado de confidencialidad hacia sistemas con alto grado de confidencialidad.

El dispositivo soporta protocolos de transmisión de flujo a través de UDP. Al garantizar la transmisión unidireccional a nivel físico, «Diod-2S» no limita a los integradores de red en la elección del software y los protocolos de intercambio de información. El dispositivo cumple los requisitos de seguridad de la información del FSTEC de Rusia con nivel de confianza 2. Esto permite utilizarlo para proteger información en equipos de cómputo de categoría 2 e instalarlo en locales designados hasta la categoría 1 inclusive.

«Diod-2S» se fabrica en versión de sobremesa, y también bajo pedido en carcasa 1U para montaje en rack de 19" o con fijación para riel DIN.

Principales ventajas de «Diod-2S»:

• listo para operar inmediatamente tras el encendido
• independencia del sistema operativo y del software utilizado
• conformidad con el nivel de confianza 2 del FSTEC de Rusia
• conexión mediante par trenzado o enlaces de fibra óptica

Más información sobre el producto en el sitio de la compañía.

«Rubicon-OSH»

El conjunto «Rubicon-OSH» de la compañía «Echelon» consta de dos semicomponentes (transmisor y receptor) conectados por placas ópticas especializadas. Esta construcción asegura un aislamiento galvánico completo de los componentes ubicados en segmentos con distinto nivel de clasificación y hace imposible el paso de paquetes de red en sentido inverso a nivel físico.

«Rubicon-OSH» puede operar en dos modos:

• transmisión de paquetes de red a través de comunicación unidireccional mediante enrutamiento IP
• transferencia unilateral de archivos entre servidores FTP

El dispositivo desempeña funciones de enrutador (conmutador de nivel L3), agrupa interfaces físicas en un puente de red (conmutador de nivel L2), funciona como cortafuegos y como sistema de detección y prevención de intrusiones. El rendimiento declarado del gateway alcanza los 900 Mbit/s.

Ventajas del gateway unidireccional «Rubicon»:

• rendimiento del cortafuegos de hasta 8,5 Gbit/s
• rendimiento del sistema de detección de intrusiones de hasta 2,5 Gbit/s
• almacenamiento interno de información de 1 TB
• amplia variedad de interfaces de red: 6 puertos RJ-45 de cobre, 2 puertos ópticos 10G SFP+
• certificación del Ministerio de Defensa de Rusia para uso en redes con secretos de Estado

Más información sobre el producto en el sitio de la compañía.

«Sinoniks»

El complejo hardware-software «Sinoniks» de la compañía «IT BASTION» es un gateway para organizar el intercambio seguro de información entre diferentes redes o nodos de una misma red. Puede operar en modo de transmisión unidireccional o bidireccional, evitando la propagación de ciberamenazas entre redes.

«Sinoniks» aísla segmentos de la red corporativa, bloquea ataques de red, limita el número de conexiones a recursos externos y verifica la presencia de certificados digitales necesarios al transferir archivos entre segmentos aislados.

El dispositivo consta de tres placas electrónicas: «RED A», «RED B» y «NUCLEO». A través del núcleo solo se transmiten archivos y flujos de datos previamente autorizados. El complejo está disponible en dos variantes: para transmisión de datos por red y para transmisión por interfaz USB.

Ventajas del gateway «Sinoniks»:

• garantiza el cumplimiento de los requisitos regulatorios para operadores de infraestructura crítica
• posibilidad de instalar actualizaciones genuinas de software en redes críticas
• neutraliza ataques de red en los niveles 1-4 del modelo OSI
• protección frente a ataques de día cero
• funciones de mantenimiento remoto, monitorización y control de ciberseguridad
• filtrado del contenido de la información
• integración con otros sistemas de seguridad (cortafuegos, antivirus)
• verificación de la presencia de un certificado válido para la transferencia de archivos entre redes

Más información sobre el producto en el sitio de la compañía.

SHOP CITiS y adaptadores de red DIOD

La institución científica autónoma federal «Centro de Tecnologías de la Información y Sistemas de los Órganos del Poder Ejecutivo» (CITiS) desarrolló su propio gateway de transmisión unidireccional (SHOP). El complejo incluye equipos transmisor y receptor con adaptadores de interfaz de red especiales DIOD de la compañía ANKAD, conectados por un cable óptico con velocidad de transmisión de 100 Mbit/s.

Los adaptadores de red DIOD garantizan la transmisión unidireccional a nivel de hardware y el control automático de integridad de la información en el equipo receptor. En caso de violación de la integridad, la información se destruye automáticamente. El software del equipo receptor funciona bajo Windows XP / 2003 Server o FreeBSD 6.2.

Ventajas del gateway de transmisión unidireccional de CITiS:

• control automático de la integridad y completitud de la información transmitida
• registro automático de archivos y directorios transmitidos en un registro con hora, nombre y tamaño
• archivo automático en el equipo transmisor de archivos y directorios durante un período de tiempo determinado
• velocidad de recepción y transmisión de hasta 900 Mbit/s

Más información sobre el producto en el sitio de la compañía.

ProfiDIODE

ProfiDIODE de la compañía «Oreol Security» es un diodo de datos con aislamiento galvánico, disponible en dos variantes: con un par o dos pares de puertos. El dispositivo se suministra con transceptores SFP para conexiones ópticas o par trenzado y se ofrece tanto en versión de sobremesa como para montaje en bastidor de 19 pulgadas.

La solución pasó con éxito las pruebas de compatibilidad con el sistema de análisis de tráfico PT ISIM de Positive Technologies. El uso conjunto de estos productos proporciona protección a sistemas tecnológicos, garantizando el aislamiento del segmento de control de procesos y evitando efectos negativos sobre él.

ProfiDIODE asegura la transmisión unidireccional de datos a velocidades de hasta 1000 Mbit/s y se utiliza en infraestructuras de información críticas en empresas de transporte, industria, sector energético y en órganos ejecutivos.

Ventajas:

• soporte de protocolos orientados a UDP, Multicast UDP, RTP y RTSP
• transmisión de datos desde puerto SPAN y compatibilidad con SNMP, NetFlow, Syslog
• tamaño compacto y posibilidad de emplazamiento denso en racks
• compatibilidad confirmada con PT ISIM

SecureDiode

En diciembre de 2019 la compañía «Roselectronica», perteneciente a la corporación Rostec, presentó su propio diodo de datos SecureDiode. El sistema está inicialmente adaptado para trabajar con protocolos industriales de transmisión de datos y orientado a su uso en redes de control de procesos (ASU TP) y en infraestructuras críticas. Además, SecureDiode soporta tráfico TCP/IP.

El dispositivo se monta en un bastidor de servidor estándar y ofrece una velocidad de transmisión de hasta 1 Gbit/s. Las capacidades del diodo permiten organizar el control operativo de los procesos tecnológicos en tiempo real, lo que lo hace aplicable en energía, industria del combustible y transporte.

Ventajas de SecureDiode:

• soporte tanto de protocolos SCADA como de TCP/IP
• velocidad de transmisión de hasta 1 Gbit/s
• montaje en bastidor de servidor estándar

Más información sobre el producto disponible en el enlace.

Características técnicas de las puertas unidireccionales

Los diodos de datos y las puertas unidireccionales son dispositivos técnicos complejos con características únicas. Sus rasgos clave:

1. Limitación física de la dirección de transmisión de datos. A diferencia de los medios de protección software, los diodos de datos bloquean físicamente la posibilidad de intercambio bidireccional de información, lo que hace que el segmento protegido sea completamente inaccesible a influencias externas.
2. Trabajo con protocolos no estándar. Dado que la mayoría de los protocolos de red requieren comunicación bidireccional para confirmar la entrega de paquetes, las puertas unidireccionales emplean mecanismos especiales para emular confirmaciones en el lado del emisor.
3. Control de integridad de datos. Debido a la imposibilidad de recibir confirmaciones de entrega por parte del receptor, en los diodos de datos se implementan mecanismos propios de verificación de la integridad de la información transmitida.
4. Diversas formas de implementación física. Dependiendo del fabricante y del nivel de protección requerido, los diodos de datos pueden implementarse como dispositivos ópticos, basados en aislamiento galvánico o mediante otras tecnologías que garanticen la unidireccionalidad de la transmisión.
5. Certificación según requisitos regulatorios. Para su uso en redes con requisitos elevados de seguridad, los dispositivos deben pasar certificación en los órganos correspondientes (FSTEC de Rusia, Ministerio de Defensa de Rusia).

Ámbitos de aplicación de los diodos de datos

Las puertas unidireccionales se aplican en diversos sectores donde se requiere una estricta separación de flujos informativos:

1. Sistemas de control industrial (ASU TP). Los diodos de datos permiten recopilar telemetría del equipo de producción sin riesgo de influencia externa sobre él.
2. Objetos de infraestructura informativa crítica (KII). Sistemas energéticos, de transporte, financieros y otros sistemas críticos utilizan puertas unidireccionales para interactuar de forma segura con redes externas.
3. Sistemas de información estatales. El procesamiento de información que contiene secretos de Estado exige un control estricto sobre los flujos informativos, que los diodos de datos proporcionan de forma eficaz.
4. Sistemas del Internet industrial de las cosas (IIoT). La recolección de datos de numerosos sensores y controladores sin riesgo de compromiso es posible gracias a la tecnología de transmisión unidireccional de datos.
5. Sistemas de videovigilancia y monitorización. Transmisión de flujos de vídeo desde zonas protegidas sin crear canales potenciales de intrusión en esas zonas.

Conclusión

Los diodos de datos constituyen una clase singular de dispositivos de seguridad de la información que proporcionan aislamiento físico de los segmentos de red protegidos. Su uso es especialmente pertinente para la protección de sistemas críticos, donde las soluciones tradicionales no ofrecen un nivel de seguridad suficiente.

El mercado ruso de puertas unidireccionales se desarrolla activamente, ofreciendo a los clientes distintas soluciones de fabricantes nacionales. Estos dispositivos permiten a las organizaciones cumplir con los requisitos regulatorios y proteger eficazmente sus recursos informativos frente a las amenazas cibernéticas actuales.

Teniendo en cuenta el aumento previsto de ciberataques contra objetos críticos y la expansión del Internet industrial de las cosas, los diodos de datos y las puertas unidireccionales jugarán un papel cada vez más importante en la garantía de la seguridad de la información tanto en Rusia como en el resto del mundo.