[Tip] Open Source 솔루션으로 데이터 다이오드 만들기

Introduction

원래 정부 조직이 일급 비밀 정보를 보호하기 위한 것으로, 데이터 다이오드가 현재에도 가장 널리 사용되는 어플리케이션이다. 고수준의 보안은 예를 들어, 보안 보호 상태, 은행 및 전쟁상황에 대한 업 링크 등이 될 수 있다. 최근 몇년 간 우리는 산업 제어 와 크리티걸 인프라스트럭쳐 보호를 자동화하는 세계에서 데이터 다이오드에 대한 필요성이 증가함을 알았다. 

Strength in simplicity

데이터 다이오드는 단순한게 장점이다. 모든 데이터 다이오드의 핵심은 단방향 광케이블 연결이다. 광 케이블 연결은 send/receive 전용 케이블을 갖는다.  송신 또는 수신 케이블 중 하나는 연결이 '단락'된다. 물리적인 연결에서 한 방향으로는 데이터를 절대 보낼 수 없게 되는 것이다. 물리가 안되니, 당연히, 논리 연결로는 불가하다.

아래 그림1은 데이터 다이오드의 핵심인 광 패치 케이블이다 연결이 단락되었음에 유의하기 바란다.

그림 1. 단방향 네트워크 게이트웨이 광 케이블 연결(송수신중 하나는 물리적으로 단락(X)됨

당신 스스로 데이터 다이오드(data diode) 만드는 방법

 먼저 기존에 존재하는 제품을 유심히 살펴 보자. 외관상 2대의 PC(또는, 유사장비)가 광케이블로 연결(fiber-optic link)되었음을 알 수 있을 것이다. 다양한 데이터 다이오드 관련 또는 데이터 다이오드 소프트웨어 관련해서 많은 특허들이 있다. 예를 들어, 데이터 다이오드가 단일 컴퓨터로 양쪽 연결을 핸들링하는 특허가 있다. 개인적인 견해로, 보안성은 좀 약한 것 같이 느껴진다. 두 컴퓨터 사이에 광 링크는 특허의 개념상 너무 단순하다. 그래서, 당신이 이 구성으로 데이터 다이오드를 만드는 것에 대한 특허 법정에서의 논란이 끝나지 않을 것입니다. 이제 우리 고유의 데이터 다이오드를 만들어 보자. 

스텝 1)  2대의  컴퓨터를 선정하기

컴퓨터 선정에서 중요한 것은 PCI Express 방식의 확장 슬롯을 가지야 한다는 것이다. 이는 2개의 fiber optic PCI-Express 카드 프록시 서버를 위한 것이다.   팬리스(fan-less) 산업용 PC에 SSD 하드 드라이브를 가지며 서버실에 적절히 마우트 가능한 것을 선택하였다. 우리의 POC(proof of concept)를 위해 나는 2대의 저가 PC를 취했다. 아래 간략한 사양을 기술하였다.:

• PCI-Express카드 확장 슬롯을 가지는 Slim Bare bones PC
• SSD(Solid State Hard Disk drive)
• 2 Gigs memory
• i5 Processor
• 이더넷 네트워크 카드 내장

2 x – 위 사양 PC(PCI-Express card slot내장) – 대략 $600(대당)

그림 2) 2대의 Bare Bone PC

스텝 2 – 2개의 PCI-Express 광 통신 카드(fiber optic PCI-Express card)

만약 당신이 광통신(fiber optic network)에 대해 경험이 없다면, 많은 표준과 다수 모드가 있다는 것을 명심해야 한다. 호환되는 파이어 옵틱 카드(fiber optic card) 두 장과 패치 케이블(patch cable)을 하나 선택하는 것이 매우 중요하다. 나는 파이버 링크중 하나를 디스커넥트하기(단절하기) 쉬운 ST 커넥터와 멀티 모드 "Fiber-to-the-desk" PCI-Express 카드를 선택했다.

2 x – Gigabit Ethernet Multi-Mode ST Fiber Card 1000Mbps PCI-Express – 단가 $200

Step 3 – fiber optic patch cable 선택하기

나는 수 커넥터를 가지는 적절한 멀티-모드 fiber patch cord를 찾았다.:

3m Multi-Mode 62.5/125 Duplex Fiber Patch Cable ST – ST – $12.00

그림 4. 광 케이블

Step 4 – PC에 안전한 운영체제 설치

OpenBSD를 추천하는데, 이는 무료, 오픈 소스, 매우 안전한 운영체제(Ultra-secure)이기 때문이다. 

그림 5.  OpenBSD: 안전한 오픈 소스 운영체제

Step 5 – 리버스 프록시(Reverse Proxy) 구성하기

리플리케이트 하고자하는 데이터에 의존적으로, ngnix(engine x)와 같은 오픈 소스 리버스 프록시를 구성하고 데이터를 리플리케이트하기 위해서 당신 데이터베이스의 웹 서비스를 사용하라.

그림 6. 오픈 소스 리버스 프록시 nginx

Step 6 –  광 커넥터(fiber optic ST connector) 중 하나를 단절하기

일단, 두 대의 프록시 서버를 구성하고 서로 통신이 되는지 확인한 후 당신은 2개의 fiber ST 커넥터중에서 하나를 간단하게 단절 시킬 수 있다. 아마도, 정보를 올바르게 릴레이 하도록 리버스 프록시 서버를 적절히 구성하느라 시간을 많이 보낼 수 있다. 당신은 연속적인 데이터 리플리케이션을 수행하도록 데이터베이스 내에 약간의 스크립트를 작성해야 할 필요가 있다.

그림 7. 완성된 버전

결 론

총액은 $1612 그리고, 코딩을 좋아하는 사람의 노력,  이로서 당신 고유의 home-brew Data Diode가 가능하다.

데이터 다이오드는(Data Diodes) 아직 추가되어야 하는 방법론은 많지만 간단하게 표현했다. 정부 조직에서 분류된 정보를  안전하게 하기 위해서 수년 동안 사용되었다. 그리고, 데이터 다이오드는 방화벽을 보완하는 훌륭한 제어시스템의 방어 도구이다. 당신의 네트워크에 데이터 다이오드를 추가하는 것에 수만달러 이상의 비용을 가질 필요가 없다. 당신은 수천 달러와 약간의 기술적인 도움으로 단방향 데이터 다이오드의 이점을 얻을 수 있다.

참고자료 :

nginx - an HTTP and reverse proxy server

OpenBSD: Free, Functional and Secure