Logo do repositório
 
Miniatura
Publicação

Interface díodo

2013Dissertação de mestrado Desconhecido
http://hdl.handle.net/10451/10079
Utilize este identificador para referenciar este registo.

Autores

Sousa, Hugo David Martins

Orientador(es)

Veríssimo, Paulo, 1956-

Resumo(s)

Com o constante crescimento dos serviços online, as interações realizadas por utilizadores ou servidores que se encontram numa rede com baixo nível de segurança (e.g. Internet) com utilizadores ou serviços que se encontram num domínio de alto nível de segurança (e.g. servidor de e-mail) têm vindo a aumentar. Além desta interação entre redes com diferentes níveis de segurança, dentro do datacenter da mesma organização existem interações entre entidades que operam com níveis de segurança distintos, sem que se considerem verdadeiramente inseguros. Por outro lado, devido aos protocolos existentes, muitas das interações são caraterizadas por trocas de dados em ambos os sentidos da ligação (e.g. Transmission Control Protocol). Não obstante, existem serviços cuja lógica aplicacional (e-mail, sistemas de votação online, etc.), embora assentem sobre estes protocolos bidirecionais, não justifica a necessidade de tráfego nos dois sentidos em simultâneo, tratando-se, muitas vezes, de informações confidenciais restritas a certos utilizadores. Nesta dissertação apresentamos a Interface Díodo, um dispositivo de rede tolerante a faltas Bizantinas, que restringe a passagem de tráfego a um sentido da ligação, bloqueando a informação no sentido oposto. O serviço fornecido pode ser utilizado por vários clientes em simultâneo para diferentes serviços finais. Definimos uma arquitetura, um protótipo e os respetivos resultados obtidos, independentemente do protocolo de transporte (unidirecional ou bidirecional). Com a Interface Díodo é possível a troca de dados entre uma rede com um nível de segurança inferior para um nível de segurança superior, ou vice-versa, mas nunca nos dois sentidos. Se o fluxo de tráfego acontecer de uma rede insegura para uma rede segura, garante-se a confidencialidade dos dados no domínio superior segurança. No sentido oposto, garante-se a integridade dos dados no domínio superior de segurança.
Online services provided in the business world are increasing the probability of interactions between servers and users on insecure network (e.g. Internet) and services and users in high security domains (e.g. e-mail server). Besides these interactions between insecure and secure networks, there are interactions that happen inside datacenters made by entities operating in different kind of security domains, without any of them being completely insecure. On the other hand, due to the way current protocols operate, there are interactions characterized by data exchanged in both directions (e.g. Transmission Control Protocol). Some services, such as e-mail or online voting systems, while using these protocols, do not justify the need for traffic in both directions, specially in sensitive information that should remain in one place and only accessed by specific users. In this report we introduce the Diode Interface, a network device that allows the traffic in a connection to flow just in one direction, blocking any sort of information coming from the opposite side. The service provided can be used by several clients sending data to different final services simultaneously. We define an architecture, prototype and obtained results, regardless of transport protocol (unidirectional or bidirecional) which transfer data between a network and the diode. With the Diode Interface it is possible the data exchange between a low security network and high security network or vice versa, but never in both directions at the same time. Allowing traffic only to flows from a low security domain to a high security domain, one guarantees the confidentiality of critical data. Allowing the traffic to flow from the high security level to low security level one guarantees data integrity that is in the high security domain.

Descrição

Tese de mestrado em Segurança Informática, apresentada à Universidade de Lisboa, através da Faculdade de Ciências, 2013

Palavras-chave

Comunicação unidirecional Comunicação hierárquica Díodo de dados Rede unidirecional Tolerância a faltas Teses de mestrado - 2013

URI

http://hdl.handle.net/10451/10079

Contexto Educativo

Citação

Projetos de investigação

Unidades organizacionais

Fascículo

Editora

Coleções

FC - Dissertações de Mestrado

Licença CC