एयर गैप (नेटवर्किंग)

From Vigyanwiki
Revision as of 09:38, 26 May 2023 by Manidh (talk | contribs)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

एयर गैप, एयर वॉल, एयर गैपिंग[1] या डिस्कनेक्टेड नेटवर्क एक नेटवर्क सुरक्षा उपाय है जो एक या अधिक कंप्यूटरों पर नियोजित होता है जिससे यह सुनिश्चित किया जा सके कि एक सुरक्षित कंप्यूटर नेटवर्क, असुरक्षित नेटवर्क जैसे कि सार्वजनिक इंटरनेट या एक असुरक्षित स्थानीय क्षेत्र नेटवर्क से भौतिक रूप से अलग है। इसका अर्थ है कि एक कंप्यूटर या नेटवर्क में भौतिक या वैचारिक वायु अंतर के साथ अन्य नेटवर्क से जुड़ा कोई नेटवर्क इंटरफ़ेस नियंत्रक नहीं है [2][3] जो पानी की गुणवत्ता बनाए रखने के लिए प्लंबिंग में उपयोग किए जाने वाले वायु अंतराल के समान है।

वर्गीकृत सेटिंग्स में प्रयोग करें

एयर-गैप्ड कंप्यूटर या नेटवर्क वह है जिसमें कोई नेटवर्क एडेप्टर नहीं है, या तो वायर्ड या वायरलेस, बाहरी नेटवर्क से जुड़ा हुआ है।[2][3] कई कंप्यूटर तथापि वे एक वायर्ड नेटवर्क में प्लग न हों एक वायरलेस नेटवर्क इंटरफ़ेस नियंत्रक ( वाईफ़ाई) होते हैं और इंटरनेट तक पहुंचने और सॉफ़्टवेयर अपडेट करने के लिए आस-पास के वायरलेस नेटवर्क से जुड़े होते हैं। यह एक सुरक्षा भेद्यता का प्रतिनिधित्व करता है इसलिए एयर-गैप्ड कंप्यूटरों में या तो उनका वायरलेस इंटरफ़ेस नियंत्रक स्थायी रूप से अक्षम होता है या भौतिक रूप से हटा दिया जाता है। बाहरी दुनिया और एयर-गैप्ड प्रणाली के बीच डेटा को स्थानांतरित करने के लिए डेटा को एक भौतिक माध्यम जैसे थंबड्राइव और कंप्यूटर के बीच भौतिक रूप से स्नीकरनेट में लिखना आवश्यक है। भौतिक पहुंच को नियंत्रित करना होगा (आदमी की पहचान और संचयन मीडिया ही) प्रत्यक्ष पूर्ण नेटवर्क इंटरफ़ेस की तुलना में इसे नियंत्रित करना आसान है जिस पर बाहरी असुरक्षित प्रणाली से हमला किया जा सकता है और यदि मैलवेयर सुरक्षित प्रणाली को संक्रमित करता है, तो इसका उपयोग सुरक्षित डेटा निर्यात करने के लिए किया जा सकता है। इसलिए कुछ नई हार्डवेयर प्रौद्योगिकियां भी उपलब्ध हैं जैसे यूनिडायरेक्शनल नेटवर्क या द्विदिश डायोड (जिन्हें इलेक्ट्रॉनिक एयरगैप्स भी कहा जाता है) जो भौतिक रूप से नेटवर्क और परिवहन परतों को अलग करते हैं और एप्लिकेशन डेटा को कॉपी और फ़िल्टर करते हैं।

उन वातावरणों में जहां नेटवर्क या उपकरणों को वर्गीकृत जानकारी के विभिन्न स्तरों को संभालने के लिए रेट किया गया है, दो डिस्कनेक्ट किए गए उपकरण या नेटवर्क को निम्न पक्ष और उच्च पक्ष के रूप में संदर्भित किया जाता है निम्न को अवर्गीकृत और उच्च को वर्गीकृत या उच्च स्तर पर वर्गीकृत किया जाता है। इसे कभी-कभी लाल (वर्गीकृत) और काला (अवर्गीकृत) भी कहा जाता है। एक्सेस नीतियां अधिकांशतः बेल-लापादुला मॉडल पर आधारित होती हैं| वर्गीकरण के उच्च स्तर पर कुछ स्थिति में (उदाहरण के लिए औद्योगिक महत्वपूर्ण प्रणालियाँ) नीति अलग है: न्यूनतम सुरक्षा उपायों के साथ डेटा को उच्च से निम्न में स्थानांतरित किया जा सकता है, किन्तु औद्योगिक सुरक्षा प्रणाली की अखंडता सुनिश्चित करने के लिए निम्न-से-उच्च प्रक्रियाओं की उच्च स्तर की आवश्यकता होती है।

अवधारणा लगभग अधिकतम सुरक्षा का प्रतिनिधित्व करती है जो एक नेटवर्क दूसरे से हो सकता है (उपकरण को बंद करना छोड़ दें)। बाहरी दुनिया और एयर-गैप्ड प्रणाली के बीच डेटा ट्रांसफर करने का एक विधि एक हटाने योग्य मीडिया जैसे रिमूवेबल डिस्क या यूएसबी फ्लैश ड्राइव पर डेटा कॉपी करना और संचयन को दूसरे प्रणाली में भौतिक रूप से ले जाना है। इस एक्सेस को अभी भी सावधानीपूर्वक नियंत्रित किया जाना है क्योंकि यूएसबी ड्राइव में कमिया हो सकती हैं (नीचे देखें)। इसका विपरीत यह है कि इस तरह के नेटवर्क को सामान्यतः एक बंद प्रणाली के रूप में माना जा सकता है (सूचना, संकेत और उत्सर्जन सुरक्षा के संदर्भ में), बाहरी दुनिया से एक्सेस करने में असमर्थ नकारात्मक पक्ष यह है कि सुरक्षित नेटवर्क पर कंप्यूटरों द्वारा विश्लेषण की जाने वाली जानकारी (बाहरी दुनिया से) को स्थानांतरित करना असाधारण रूप से श्रम-गहन है, जिसमें अधिकांशतः संभावित कार्यक्रमों के मानव सुरक्षा विश्लेषण या एयर-गैप्ड नेटवर्क पर दर्ज किए जाने वाले डेटा और संभवतः मानव मैनुअल भी सम्मिलित होते हैं। सुरक्षा विश्लेषण के बाद डेटा की पुनः प्रविष्टि[4] यही कारण है कि महत्वपूर्ण उद्योगों जैसी उपयुक्त स्थितियों में डेटा स्थानांतरित करने का एक और विधि डेटा डायोड और इलेक्ट्रॉनिक एयरगैप का उपयोग करना है, जो एक विशिष्ट हार्डवेयर द्वारा नेटवर्क के भौतिक कटौती को सुनिश्चित करता है।

सायबर युद्ध में उपयोग के लिए परिष्कृत कंप्यूटर वायरस, जैसे कि स्टक्सनेट[5] और 2008 में युनाइटेड स्टेट्स पर साइबर हमले एजेंट बीटीजेड को रिमूवेबल मीडिया के प्रबंधन से संबंधित सुरक्षा कमियां का लाभ उठाकर एयर-गैप्ड प्रणाली को संक्रमित करने के लिए डिजाइन किया गया है। ध्वनिकी संचार का उपयोग करने की संभावना भी शोधकर्ताओं द्वारा प्रदर्शित की गई है।[6] शोधकर्ताओं ने एफएम आवृत्ति संकेत का उपयोग करके डेटा एक्सफिल्ट्रेशन की व्यवहार्यता का भी प्रदर्शन किया है।[7][8]

उदाहरण

नेटवर्क या प्रणाली के प्रकारों के उदाहरण जो एयर गैप्ड हो सकते हैं उनमें सम्मिलित हैं:

  • सैन्य/सरकारी कंप्यूटर नेटवर्क/प्रणाली ;[9]
  • वित्तीय कंप्यूटर प्रणाली जैसे स्टॉक परिवर्तन;[10]
  • औद्योगिक नियंत्रण प्रणाली जैसे तेल और गैस क्षेत्रों में एससीएडीए;[11]
  • लॉटरी धोखाधड़ी को रोकने के लिए राष्ट्रीय और राज्य लॉटरी मशीन गेम मशीन या यादृच्छिक संख्या जनरेटर, जिन्हें नेटवर्क से पूरी तरह से अलग करने की आवश्यकता होती है
  • जीवन-महत्वपूर्ण प्रणालियाँ, जैसे:
  • बहुत ही सरल प्रणालियाँ जहाँ पहली बार में सुरक्षा से समझौता करने की आवश्यकता नहीं है, जैसे:

इन प्रणालियों में से कई में अतिरिक्त विशेषताएं हैं जो उन्हें सीमित अवधि के समय संगठन के इंटरनेट (अवलोकन या अपडेट की आवश्यकता के लिए) या सार्वजनिक इंटरनेट से जोड़ती हैं और अब प्रभावी रूप से और स्थायी रूप से एयर गैप्ड नहीं हैं जिनमें इंटरनेट कनेक्शन के साथ थर्मोस्टैट्स और ब्लूटूथ, वाई-फाई और सेलुलर फोन कनेक्टिविटी के साथ ऑटोमोबाइल है ।

सीमाएं

इन वातावरणों में उपयोग किए जाने वाले उपकरणों पर लगाई गई सीमाओं में सुरक्षित नेटवर्क से वायरलेस कनेक्शन पर प्रतिबंध, या टेम्पेस्ट या फैराडे पिंजरे के उपयोग के माध्यम से सुरक्षित नेटवर्क से विद्युत चुम्बकीय विकिरण रिसाव पर समान प्रतिबंध सम्मिलित हो सकते हैं।

अन्य प्रणालियों से सीधे संबंध की कमी के अतिरिक्त विभिन्न परिस्थितियों में एयर-गैप्ड नेटवर्क को हमले के लिए असुरक्षित दिखाया गया है।

2013 में वैज्ञानिकों ने ध्वनिक सिग्नलिंग का उपयोग करके एयर गैप आइसोलेशन को हराने के लिए डिज़ाइन किए गए एयर गैप मैलवेयर की व्यवहार्यता का प्रदर्शन किया। उसके कुछ ही समय बाद, नेटवर्क सुरक्षा शोधकर्ता ड्रैगोस ढह गया के बैडबीआईओएस ने प्रेस का ध्यान आकर्षित किया।[13]

2014 में, शोधकर्ताओं ने एयरहोपर की प्रारंभ की, एक द्विभाजित हमले का प्रतिरूप जो एक अलग कंप्यूटर से पास के मोबाइल फोन में डेटा की व्यवहार्यता को दर्शाता है, एफएम आवृत्ति संकेत का उपयोग करता है।[7][8]

2015 में, बिट व्हिस्पर, थर्मल मैनीपुलेशन का उपयोग करके एयर-गैप्ड कंप्यूटरों के बीच एक गुप्त सिग्नलिंग चैनल प्रस्तुत किया गया था। बिट व्हिस्पर द्विदिश संचार का समर्थन करता है और इसके लिए किसी अतिरिक्त समर्पित परिधीय हार्डवेयर की आवश्यकता नहीं होती है।[14][15]

बाद में 2015 में, शोधकर्ताओं ने जीएसएमईएम की प्रारंभ की सेलुलर आवृत्ति पर एयर-गैप्ड कंप्यूटर से डेटा एक्सफ़िल्ट्रेट करने की एक विधि संचरण - एक मानक आंतरिक बस द्वारा उत्पन्न - कंप्यूटर को एक छोटे सेलुलर ट्रांसमीटर एंटीना में प्रस्तुत करता है।[16][17]

2016 में खोजा गया प्रोजेक्ट सौरोन मालवेयर दर्शाता है कि कैसे एक संक्रमित यूएसबी उपकरण का उपयोग एयर-गैप्ड कंप्यूटर से डेटा को दूरस्थ रूप से लीक करने के लिए किया जा सकता है। मैलवेयर 5 वर्षों के लिए अनिर्धारित रहा और यूएसबी ड्राइव पर छिपे हुए विभाजनों पर निर्भर रहा जो विंडोज़ को एयर-गैप्ड कंप्यूटर और इंटरनेट से जुड़े कंप्यूटर के बीच ट्रांसपोर्ट चैनल के रूप में दिखाई नहीं देता था, संभवतः दो प्रणाली के बीच फ़ाइलों को साझा करने के विधि के रूप में है ।[18]

एनएफसीड्रिप 2018 में नजदीक क्षेत्र संचार एनएफसी (नियर-क्षेत्र कम्युनिकेशन) रेडियो एब्यूज़ और संकेत डिटेक्शन के माध्यम से गुप्त डेटा एक्सफिल्ट्रेशन की खोज को दिया गया नाम था। चूँकि एनएफसी उपकरणों को प्रत्येक के कुछ सेंटीमीटर के अंदर लाकर प्रभावी संचार स्थापित करने में सक्षम बनाता है। अन्य[19] शोधकर्ताओं ने दिखाया कि 100 मीटर तक - अपेक्षा से अधिक लंबी दूरी पर सूचना प्रसारित करने के लिए इसका दुरुपयोग किया जा सकता है।[20]

सामान्यतः एयर-गैप्ड प्रणाली से एयर-गैप्ड गुप्त चैनलों का उपयोग करके संवेदनशील जानकारी को लीक करने के लिए मैलवेयर विभिन्न हार्डवेयर संयोजनों का लाभ उठा सकता है।[21] ये हार्डवेयर संयोजन ध्वनिक, प्रकाश, भूकंपीय, चुंबकीय, थर्मल और रेडियो-आवृत्ति सहित एयर-गैप को पाटने के लिए कई अलग-अलग मीडिया का उपयोग करते हैं।[22][23][24]

सॉफ्टवेयर अपडेट

सुरक्षा के दृष्टिकोण से एयर गैप्ड नेटवर्क का मुख्य दोष सॉफ्टवेयर की स्वचालित रूप से स्वयं अद्यतन करने में असमर्थता है। इसके अतिरिक्त उपयोक्ताओं और प्रणाली प्रशासकों को मैन्युअल रूप से अद्यतनों को डाउनलोड और स्थापित करना चाहिए। यदि एक सख्त अद्यतन दिनचर्या का पालन नहीं किया जाता है, तो इसका परिणाम नेटवर्क पर चलने वाले पुराने सॉफ़्टवेयर में होता है, जिसमें ज्ञात सुरक्षा भेद्यताएँ हो सकती हैं। यदि कोई विरोधी एयर गैप्ड नेटवर्क तक पहुंच प्राप्त करने का प्रबंधन करता है (उदाहरण के लिए एक असंतुष्ट कर्मचारी से संपर्क करके या सोशल इंजीनियरिंग का उपयोग करके) तो वे जनता की तुलना में संभवतः उच्च सफलता दर के साथ इंटरनेट ऐसी कमिया का उपयोग करके एयर गैप्ड नेटवर्क के अंदर तेजी से फैलने में सक्षम हो सकते हैं।

प्रणाली प्रशासक विंडोज सर्वर अपडेट सर्विसेज या नेटवर्क लॉगऑन स्क्रिप्ट जैसे समर्पित समाधानों का उपयोग करके एयर गैप्ड नेटवर्क में सॉफ्टवेयर अपडेट का प्रबंधन कर सकते हैं। प्रणाली एडमिनिस्ट्रेटर द्वारा एक बार इंटरनेट से अपडेट डाउनलोड करने के बाद इस तरह के मैकेनिज्म एयर गैप्ड नेटवर्क पर सभी कंप्यूटरों को स्वचालित रूप से अपडेट इंस्टॉल करने की अनुमति देगा। चूँकि समस्या पूरी तरह से समाप्त नहीं हुई है विशेष रूप से यदि उपयोगकर्ताओं के पास अपने स्थानीय कार्यस्थानों पर प्रशासनिक विशेषाधिकार हैं और इसलिए वे सॉफ़्टवेयर स्थापित करने में सक्षम हैं जो केंद्रीय रूप से प्रबंधित नहीं है। फ़र्मवेयर अपडेट की आवश्यकता वाले चीजों की इंटरनेट उपकरणों की उपस्थिति भी स्थिति को जटिल बना सकती है क्योंकि अधिकांशतः ऐसे अपडेट केंद्रीय रूप से प्रबंधित नहीं किए जा सकते हैं।

यह भी देखें

संदर्भ

  1. "What is air gapping (air gap attack)?". WhatIs.com. Retrieved 2020-12-16.
  2. 2.0 2.1 Zetter, Kim (8 December 2014). "Hacker Lexicon: What is an air gap?". Wired. Conde Nast. Retrieved 21 January 2019.
  3. 3.0 3.1 Bryant, William D. (2015). International Conflict and Cyberspace Superiority: Theory and Practice. Routledge. p. 107. ISBN 978-1317420385.
  4. Lemos, Robert (2001-02-01). "एनएसए क्रैक प्रूफ कंप्यूटर डिजाइन करने का प्रयास कर रहा है". ZDNet News. CBS Interactive, Inc. Retrieved 2012-10-12. For example, top-secret data might be kept on a different computer than data classified merely as sensitive material. Sometimes, for a worker to access information, up to six different computers can be on a single desk. That type of security is called, in typical intelligence community jargon, an air gap.
  5. "स्टक्सनेट को थंब ड्राइव पर ईरानी परमाणु संयंत्र में पहुंचाया गया". CNET. 12 April 2012.
  6. Putz, Florentin; Álvarez, Flor; Classen, Jiska (2020-07-08). "Acoustic integrity codes: secure device pairing using short-range acoustic communication". Proceedings of the 13th ACM Conference on Security and Privacy in Wireless and Mobile Networks (in English). Linz Austria: ACM: 31–41. arXiv:2005.08572. doi:10.1145/3395351.3399420. ISBN 978-1-4503-8006-5. S2CID 218673467.
  7. 7.0 7.1 Guri, Mordechai; Kedma, Gabi; Kachlon, Assaf; Elovici, Yuval (November 2014). "AirHopper: Bridging the Air-Gap between Isolated Networks and Mobile Phones using Radio Frequencies". arXiv:1411.0237 [cs.CR].
  8. 8.0 8.1 Guri, Mordechai; Kedma, Gabi; Kachlon, Assaf; Elovici, Yuval (November 2014). "How to leak sensitive data from an isolated computer (air-gap) to a near by mobile phone - AirHopper". BGU Cyber Security Labs.
  9. Rist, Oliver (2006-05-29). "Hack Tales: Air-gap networking for the price of a pair of sneakers". Infoworld. IDG Network. Retrieved 2009-01-16. In high-security situations, various forms of data often must be kept off production networks, due to possible contamination from nonsecure resources — such as, say, the Internet. So IT admins must build enclosed systems to house that data — stand-alone servers, for example, or small networks of servers that aren't connected to anything but one another. There's nothing but air between these and other networks, hence the term air gap, and transferring data between them is done the old-fashioned way: moving disks back and forth by hand, via 'sneakernet'.
  10. "वेबर बनाम एसईसी" (PDF). insurancenewsnet.com. 2012-11-15. p. 35. Archived from the original (PDF) on 2013-12-03. Retrieved 2012-12-06. Stock exchange internal network computer systems are so sensitive that they are "air gapped" and not attached to the internet, in order to protect them from attack, intrusion, or other malicious acts by third party adversaries.
  11. "वेबर बनाम एसईसी". Industrial internal network computer systems are so sensitive that they are "air gapped" and neither attached to the internet nor insecurely connects to the corporate network, in order to protect them from attack, intrusion, or other malicious acts by third party adversaries.
  12. Zetter, Kim (2008-01-04). "FAA: Boeing's New 787 May Be Vulnerable to Hacker Attack". Wired Magazine. CondéNet, Inc. Archived from the original on 23 December 2008. Retrieved 2009-01-16. (...Boeing...) wouldn't go into detail about how (...it...) is tackling the issue but says it is employing a combination of solutions that involves some physical separation of the networks, known as air gaps, and software firewalls.
  13. Leyden, John (5 Dec 2013). "Hear that? It's the sound of BadBIOS wannabe chatting over air gaps". Retrieved 30 December 2014.
  14. Guri, Mordechai; Monitz, Matan; Mirski, Yisroel; Elovici, Yuval (April 2015). "BitWhisper: Covert Signaling Channel between Air-Gapped Computers using Thermal Manipulations". arXiv:1503.07919 [cs.CR].
  15. Guri, Mordechai; Monitz, Matan; Mirski, Yisroel; Elovici, Yuval (March 2015). "BitWhisper: The Heat is on the Air-Gap". BGU Cyber Security Labs.
  16. Guri, Mordechai; Kachlon, Assaf; Hasson, Ofer; Kedma, Gabi; Mirsky, Yisroel; Elovici, Yuval (August 2015). "GSMem: Data Exfiltration from Air-Gapped Computers over GSM Frequencies". 24th USENIX Security Symposium (USENIX Security 15): 849–864. ISBN 9781931971232.
  17. Guri, Mordechai; Kachlon, Assaf; Hasson, Ofer; Kedma, Gabi; Mirsky, Yisroel; Monitz, Matan; Elovici, Yuval (July 2015). "GSMem Breaking The Air-Gap". Cyber Security Labs @ Ben Gurion University. Archived from the original on 2021-12-19.
  18. Chris Baraniuk (2016-08-09). "'प्रोजेक्ट साउरॉन' मालवेयर पांच साल तक छिपा रहा". BBC.
  19. Cameron Faulkner. "What is NFC? Everything you need to know". Techradar.com. Retrieved 30 November 2015.
  20. "NFCdrip: NFC Data Exfiltration Research" (in English). Checkmarx. Retrieved 19 December 2018.
  21. Carrara, Brent (September 2016). “Air-Gap Covert Channels.” Ph. D. Thesis. University of Ottawa.
  22. Carrara, Brent; Adams, Carlisle (2016). "A Survey and Taxonomy Aimed at the Detection and Measurement of Covert Channels". Proceedings of the 4th ACM Workshop on Information Hiding and Multimedia Security - IH&MMSec '16. pp. 115–126. doi:10.1145/2909827.2930800. ISBN 9781450342902. S2CID 34896818.
  23. Carrara, Brent; Adams, Carlisle (2016-06-01). "Out-of-Band Covert Channels—A Survey". ACM Computing Surveys. 49 (2): 1–36. doi:10.1145/2938370. ISSN 0360-0300. S2CID 13902799.
  24. Cimpanu, Catalin. "एयर-गैप्ड सिस्टम से डेटा चोरी करने के लिए शिक्षाविद रैम को वाई-फाई कार्ड में बदल देते हैं". ZDNet.