Cổng bảo mật hai chiều BSG Giải pháp cho phép liên lạc an toàn với các lớp mạng , hệ thống mạng cô lập

" Seclab là sản phẩm tốt nhất của giải pháp cổng bảo mật 2 chiều BSG (Bidirectional Security Gateways) đã được đưa vào sử dụng tại tập đoàn điện lực Pháp EDF 6 năm trước khi thương mại hóa năm 2016 , bằng công nghệ độc quyền Airgap Electronic cứng hóa 100% bằng công nghệ FPGA chưa có sản phẩm tương tự trên thị trường . Hiện nay một số sản phẩm mới sản xuất nghiên cứu sử dụng công nghệ 02 hoặc 04 Data Diode kết hợp máy tính nhúng đóng gói thành 1 thiết bị nhưng bản chất nó vẫn là công nghệ Data Diode " 

1. Giới thiệu về Seclab Denelis và giải pháp Secure Xchange Network (Gọi tắt SXN)

      Seclab tiền thân là 1 trung tâm nghiên cứu phát triển giải pháp bảo mật R&D trực thuộc tập đoàn EDF (Électricité de France). EDF có trụ sở tại Pháp sở hữu phần lớn bởi chính phủ, hiện đang vận hành danh mục đầu tư đa dạng với hơn 120 gigawatt công suất phát điện ở châu Âu, Nam Mỹ, Bắc Mỹ, châu Á, Trung Đông và châu Phi. Từ năm 2011, EDF đang sản xuất khoảng 22% tổng sản lượng điện năng của Liên Mịnh Châu Âu, trong đó năng lượng hạt nhân chiếm đến 64%. Hiện EDF vận hành 58 nhà máy điện hạt nhân nằm rải rác trên 19 địa điểm trên toàn nước Pháp. Năm 2017 EDF tiếp quản hoạt động kinh doanh lò phản ứng của tập đoàn Areva cũng như được chính phủ Pháp yêu cầu xây dựng tiếp 3 lò phản ứng mới vào năm 2019. EDF cũng đầu tư vào các giải pháp năng lượng tái tạo.

Tập đoàn điện lực pháp EDF đã triển khai Data Diode từ 2007-2010 của một số hãng Base System , Genua.... Trong quá trình sử dụng phát sinh nhiều vấn đề bất hợp lý , nhất là xu hướng cách mạng công nghiệp 4.0, chuyển đổi số  tất cả các thiết bị kết nối an toàn thì bài toán không thể Data Diode  . Từ những nhược điểm trên EDF đã nghiên cứu các giải pháp bảo mật cho việc truyền dẫn dữ liệu trong hệ thống của EDF và giữa các hệ thống của EDF với các đối tác Siemen , Schneider.. nhằm đảm bảo các trang thiết bị và hệ thống phải được bảo mật đồng thời cập nhật liên tục bao gồm các bản vá lỗi cũng như nâng cấp liên tục .

Trong một thế giới nơi các ranh giới giữa các vùng mạng bên trong (cần được bảo vệ cẩn mật hơn) và mạng ngoài ngày cảng trở nên mờ nhạt, chúng ta không còn có thể dựa vào sự phân tách truyền thống của hai miền này bằng kỹ thuật giao tiếp một chiều (Data Diode) hoặc cách ly mạng. Hệ thống SCADA tiên tiến hiện đang sử dụng cácgiao thức truyền thông đáng tin cậy để đảm bảo hoạt động trơn tru.

Seclab đã nghiên cứu và đưa vào ứng dụng giải pháp Secure Xchange Network với thiết bị Denelis (Còn được đăng ký với tên gọi DZ-Network), cho phép giao tiếp hai chiều thông qua giao thức TCP/UDP trong khi vẫn đảm bảo an ninh bằng cách xử lý dọn dẹp triệt để 4 lớp đầu tiên (Lớp vật lý truyền dẫn) trong mô hình OSI.

Như chúng ta đã biết, hầu hết các tấn công đều đến từ trên tầng kết nối (Network connection)

Các giái pháp bảo mật thông dụng thường không thể bao quát cũng như xử lý triệt để các nguy cơ tấn công tiềm ẩn trong lớp 1->4 trong mô hình OSI.

Với cách xử lý của SXN, Seclab tự tin bảo vệ hệ thống mạng khỏi các tấn công tiềm ẩn trong lớp 1 -> 4 của mô hình OSI.

2. Giải pháp Secure XChange Network với thiết bị Denelis (DZ-Network)

Giải pháp Secure Xchange Network cụ thể thiết bị Denelis (Tên kỹ thuật là DZ-Network, sau đây gọi tắt là thiết bị SXN) là thiết bị phần cứng với đặc điểm được đóng gói dưới dạng rackmount 1U 19” như sau:

Nhiệm vụ của thiết bị SXN là phân đoạn 2 lớp mạng A và B. Để xử lý, việc này, thiết bị chia làm 3 thành phần:

• Thành phần Gate A
• Thành phần lõi Core
• Thành phần Gate B

Toàn bộ 3 thành phần này lắp đặt riêng biệt. Mỗi thành phần được cấu tạo gồm CPU và FPGA - Field Programmable Gate Array, trong đó phần FPGA được xử lý sao cho không thể lập trình lại, CPU được dùng để xử lý phần giao tiếp. Riêng thành phần lõi Core chỉ hiện tại chỉ xử lý toàn bộ tác vụ bằng FPGA. Do thiết bị xử lý tín hiệu thuần túy bằng bo mạch điện tử (Pure Electronic) kết hợp cơ chế cấu hình quản trị độc lập 2 cổng tương ứng trên 2 thành phần Gate A và Gate B, thiết bị đã được chứng thực qua thử nghiệm Pen test là không thể từ giao diện quản trị của cổng này tương tác với cổng còn lại cho dù cho tài khoản quyền cao nhất của thiết bị.

Mỗi một cổng sẽ bao gồm 2 cổng quản trị qua giao diện Ethernet và cổng USB console. Để cấu hình, mỗi cổng, quản trị viên phải kết nối và cấu hình riêng biệt và cả 2 phía phải cấu hình tương thích với nhau. Khi đó, thiết bị mới cho dữ liệu truyền dẫn qua.

Thành phần lõi Core sẽ chỉ sao chép lớp 5 đến lớp 7 trong mô hình OSI của các gói tin khi truyền dữ liệu từ cổng này sang cổng kia. Dữ liệu khi qua đến cổng kia sẽ được đóng gói đầy đủ lại theo đúng mô hình OSI.

Ngoài ra, SXN còn chia thành 64 kênh truyền dẫn (gọi lại Slot):

Để truyền dẫn, cả 2 phía (Gate A và B) phải cấu hình tương thích theo từng kênh truyền, trong đó, mỗi kênh có thể lắng nghe trên nhiều IP khác nhau và hỗ trợ lên đến 50 kết nối (client) đồng thời; và truyền thông với 1 server theo địa chỉ IP và cổng định trước. Trên mỗi kệnh truyền, thiết bị cho phép lựa chọn giữa

Ngoài ra, trên từng cổng, thiết bị cho phép thiết lập tính năng tường lửa. Khi kích hoạt tính năng tường lửa, thiết bị chỉ cho phép các địa chỉ IP nào giao tiếp truyền thông với thiết bị.

Với thuật toán xử lý như trên, thiết bị SXN đảm bảo loại trừ toàn bộ các hình thức tấn công tiềm ẩn trong lớp 1->4 trong mô hình OSI, ví dụ

• Scanning
• Sniffing
• DNS hijacking
• ICMP crafting, attack
• IP Address spoofing
• TCP syn flooding
• UDP flooding (service denial)
• DHCP attack
• MAC attack, modification, flooding
• ….

Đồng thời, với cách thức xử lý như trên, SXN đảm bảo che dấu thông tin về lớp mạng giữa 2 lớp mạng với nhau, đảm bảo 2 lớp mạng được phân tách đúng nghĩa.

Nhờ tương thích chuẩn theo TCP/IP, SXN cho phép kết nối với các giải pháp bảo mật khác như tường lửa, v.v. tạo thành 1 chuỗi kiểm soát bảo mật tăng tính an toàn cho mạng DCS/Scada.

Thiết bị SXN không chỉ tương thích với truyền dẫn TCP/IP mà còn tích hợp sẵn tính năng truyền tệp tin (File Transfer). Để thực hiện tính năng này, SXN tích hợp sẵn 2 ổ cứng SSD độc lập cho 2 phân đoạn mạng Gate A và Gate B. Hỗ trợ 2 chế độ truyền tệp Push và Server cho phép SXN hoạt động tương tự như 1 máy chủ FTP server hoặc tự động đẩy tệp được truyền qua 1 máy chủ khác để tạo thành 1 chuỗi xử lý tùy theo yêu cầu của hệ thống.

Không chỉ thế SXN cho phép tích hợp tính năng kiểm tra chữ ký số khi nhận tệp hoặc ký số khi truyền tệp ra ngoài trong đó SXN hỗ trợ ký số theo OpenSSL.

Với cách xứ lý truyền tệp như trên. SXN hoàn toàn triệt tiêu toàn bộ hình thức truyền dẫn khi chỉ cần truyền tệp. Nói cách khác tệp tin được truyền giữa 2 lớp mạng mà không có bất kỳ gói tin nào được truyền dẫn giữa 2 lớp mạng.

Toàn bộ các phương thức xử lý trong giải pháp, Seclab đã đăng ký và ứng dụng các bằng sáng chế sau

• Patent FR 0858790

Method and device for secure transfer of digital data.

Phương pháp và thiết bị chuyển dữ liệu số

• Patent FR 1061285

Method and device for controlling access to a computer system.

Phương pháp và thiết bị để kiểm soát truy cập vào hệ thống máy tính.

• Patent FR 11779814.0

Network interconnection device in cutoff, for the transfer of filtered information.

Thiết bị kết nối mạng bị chia cắt, để truyền thông tin chọn lọc.

 

3. Các mô đun cơ bản của SXN

 

Như đã trình bày ở trên, SXN gồm 2 module chính:

• File Transfer (FT): truyền tệp
• Transport Protocol (TP) : tương thích với truyền dẫn TCP/IP

Hai module trên được tích hợp và hoàn toàn có thể sử dụng đồng thời cùng lúc trên cùng 1 thiết bị SXN.

Thiết bị SXN không yêu cầu thêm bất kỳ phần mềm hay hệ thống phụ trợ nào bên ngoài, Tất cả các hệ thống, ứng dụng sử dụng TCP/IP chuyển thông tin qua lớp 5->7 trong mô hình OSI đều tương thích với SXN.

4. Mô hình và vị trí triển khai thiết bị

Thiết bị có cổng quản trị riêng cho từng phân đoạn mạng (Gate A và Gate B). Để đảm bảo tính bảo mật, hệ thống nên tách riêng máy tính quản trị cho thiết bị ra khỏi mạng cũng như dùng riêng máy tính quản trị riêng cho từng phân đoạn.

                    Mô hình không nên triển khai

                  Mô hình triển khai khuyến cáo.

 

Về thu thập log, SXN cho phép gửi log không chỉ qua cổng quản trị mà có thể cho bất ký máy chủ nào hỗ trợ Syslog.

Đối với mạng DCS/Scada, việc đồng bộ thời gian rất quan trọng THIết bị SXN cho phép cấu hình thời gian riêng hoặc đồng bộ với 1 máy chủ NTP. Đặc biệt với tính năng Interlink, SXN cho phép đồng bộ thời gian giữa gate A và gate B với nhau.

5.  Ứng dụng của thiết bị Seclab Denelis

Giải pháp cho phép liên lạc an toàn với các hệ thống bị mạng, lớp mạng  cô lập

Enabling secure communication with isolated networks systems

 Seclad Denelis là  giải pháp Data Diode 2.0 thay thế cho Data Diode ( tường lửa 1 chiều ) truyền thống đảm bảo an ninh dự liệu 03 yêu tố sau : 

- Tính bảo mật: Các gói tin được thất lạc, mất gói, có xác thực khi truyền nhận các thông tin.
- Tính toàn vẹn: Các gói tin được đảm bảo không bị thay đổi trên đường truyền.
- Tính xác thực: Các gói tin được gửi từ 1 nguồn tin cậy.

Các ứng dụng Seclab Denelis : 

- Hệ thống mạng OT/IT , OT ( SCADA,EMS,ICS,DCS,HMI,IoT...) cho các nhà máy điện , xăng dầu , khoáng sản , các nhà máy sản xuất ,nhà máy năng lượng quan trọng, mạng điều độ đường sắt ,  điều khiển không lưu sân bay ....

- Hệ thống mạng internet / mạng dự liệu bộ quốc phòng, bộ công an

- Hệ thống mạng internet/ mạng nội bộ chính phủ , quốc hội , đảng ...

- Hệ thống mạng internet / mạng nội bộ lease line ngân hàng , tài chính , chứng khoán....

 - Mạng truyền dẫn Smart city / Mạng điều khiển Smart city

 

6.  Model của Seclab Denelis

Một số model của Seclab Denelis có thể sản xuất theo yêu cầu của từng khách hàng yêu cầu .

7.  Một số Case Study sử dụng giải pháp Seclab Denelis

 

---

Liên hệ với VNTEK mua sản phẩm Seclab - Cổng bảo mật hai chiều BSG (Bidirectional Security Gateways) chính hãng:

VNTEK
[ Hà Nội ] Alley 86 Le Trong Tan, Thanh Xuan, Hanoi
[ Hồ Chí Minh ] 11 Cach Mang Thang 8, Tan Binh, HCMC
[ Hà Nội ] +84 0904645269 [ Hồ Chí Minh ] +84 24 37372121
Email đặt mua Seclab - Cổng bảo mật hai chiều BSG (Bidirectional Security Gateways): info@vntek.vn