Seclab - Cổng bảo mật hai chiều BSG (Bidirectional Security Gateways)

Cổng bảo mật hai chiều BSG Giải pháp cho phép liên lạc an toàn với các lớp mạng , hệ thống mạng cô lập

" Seclab là sản phẩm tốt nhất của giải pháp cổng bảo mật 2 chiều BSG (Bidirectional Security Gateways) đã được đưa vào sử dụng tại tập đoàn điện lực Pháp EDF 6 năm trước khi thương mại hóa năm 2016 , bằng công nghệ độc quyền Airgap Electronic cứng hóa 100% bằng công nghệ FPGA chưa có sản phẩm tương tự trên thị trường . Hiện nay một số sản phẩm mới sản xuất nghiên cứu sử dụng công nghệ 02 hoặc 04 Data Diode kết hợp máy tính nhúng đóng gói thành 1 thiết bị nhưng bản chất nó vẫn là công nghệ Data Diode " 

1. Giới thiệu về Seclab Denelis và giải pháp Secure Xchange Network (Gọi tắt SXN)

      Seclab tiền thân là 1 trung tâm nghiên cứu phát triển giải pháp bảo mật R&D trực thuộc tập đoàn EDF (Électricité de France). EDF có trụ sở tại Pháp sở hữu phần lớn bởi chính phủ, hiện đang vận hành danh mục đầu tư đa dạng với hơn 120 gigawatt công suất phát điện ở châu Âu, Nam Mỹ, Bắc Mỹ, châu Á, Trung Đông và châu Phi. Từ năm 2011, EDF đang sản xuất khoảng 22% tổng sản lượng điện năng của Liên Mịnh Châu Âu, trong đó năng lượng hạt nhân chiếm đến 64%. Hiện EDF vận hành 58 nhà máy điện hạt nhân nằm rải rác trên 19 địa điểm trên toàn nước Pháp. Năm 2017 EDF tiếp quản hoạt động kinh doanh lò phản ứng của tập đoàn Areva cũng như được chính phủ Pháp yêu cầu xây dựng tiếp 3 lò phản ứng mới vào năm 2019. EDF cũng đầu tư vào các giải pháp năng lượng tái tạo.

Tập đoàn điện lực pháp EDF đã triển khai Data Diode từ 2007-2010 của một số hãng Base System , Genua.... Trong quá trình sử dụng phát sinh nhiều vấn đề bất hợp lý , nhất là xu hướng cách mạng công nghiệp 4.0, chuyển đổi số  tất cả các thiết bị kết nối an toàn thì bài toán không thể Data Diode  . Từ những nhược điểm trên EDF đã nghiên cứu các giải pháp bảo mật cho việc truyền dẫn dữ liệu trong hệ thống của EDF và giữa các hệ thống của EDF với các đối tác Siemen , Schneider.. nhằm đảm bảo các trang thiết bị và hệ thống phải được bảo mật đồng thời cập nhật liên tục bao gồm các bản vá lỗi cũng như nâng cấp liên tục .

Trong một thế giới nơi các ranh giới giữa các vùng mạng bên trong (cần được bảo vệ cẩn mật hơn) và mạng ngoài ngày cảng trở nên mờ nhạt, chúng ta không còn có thể dựa vào sự phân tách truyền thống của hai miền này bằng kỹ thuật giao tiếp một chiều (Data Diode) hoặc cách ly mạng. Hệ thống SCADA tiên tiến hiện đang sử dụng cácgiao thức truyền thông đáng tin cậy để đảm bảo hoạt động trơn tru.

Seclab đã nghiên cứu và đưa vào ứng dụng giải pháp Secure Xchange Network với thiết bị Denelis (Còn được đăng ký với tên gọi DZ-Network), cho phép giao tiếp hai chiều thông qua giao thức TCP/UDP trong khi vẫn đảm bảo an ninh bằng cách xử lý dọn dẹp triệt để 4 lớp đầu tiên (Lớp vật lý truyền dẫn) trong mô hình OSI.

Như chúng ta đã biết, hầu hết các tấn công đều đến từ trên tầng kết nối (Network connection)

Các giái pháp bảo mật thông dụng thường không thể bao quát cũng như xử lý triệt để các nguy cơ tấn công tiềm ẩn trong lớp 1->4 trong mô hình OSI.

Với cách xử lý của SXN, Seclab tự tin bảo vệ hệ thống mạng khỏi các tấn công tiềm ẩn trong lớp 1 -> 4 của mô hình OSI.

2. Giải pháp Secure XChange Network với thiết bị Denelis (DZ-Network)

Giải pháp Secure Xchange Network cụ thể thiết bị Denelis (Tên kỹ thuật là DZ-Network, sau đây gọi tắt là thiết bị SXN) là thiết bị phần cứng với đặc điểm được đóng gói dưới dạng rackmount 1U 19” như sau:

Nhiệm vụ của thiết bị SXN là phân đoạn 2 lớp mạng A và B. Để xử lý, việc này, thiết bị chia làm 3 thành phần:

  • Thành phần Gate A
  • Thành phần lõi Core
  • Thành phần Gate B

Toàn bộ 3 thành phần này lắp đặt riêng biệt. Mỗi thành phần được cấu tạo gồm CPU và FPGA - Field Programmable Gate Array, trong đó phần FPGA được xử lý sao cho không thể lập trình lại, CPU được dùng để xử lý phần giao tiếp. Riêng thành phần lõi Core chỉ hiện tại chỉ xử lý toàn bộ tác vụ bằng FPGA. Do thiết bị xử lý tín hiệu thuần túy bằng bo mạch điện tử (Pure Electronic) kết hợp cơ chế cấu hình quản trị độc lập 2 cổng tương ứng trên 2 thành phần Gate A và Gate B, thiết bị đã được chứng thực qua thử nghiệm Pen test là không thể từ giao diện quản trị của cổng này tương tác với cổng còn lại cho dù cho tài khoản quyền cao nhất của thiết bị.

Mỗi một cổng sẽ bao gồm 2 cổng quản trị qua giao diện Ethernet và cổng USB console. Để cấu hình, mỗi cổng, quản trị viên phải kết nối và cấu hình riêng biệt và cả 2 phía phải cấu hình tương thích với nhau. Khi đó, thiết bị mới cho dữ liệu truyền dẫn qua.

Thành phần lõi Core sẽ chỉ sao chép lớp 5 đến lớp 7 trong mô hình OSI của các gói tin khi truyền dữ liệu từ cổng này sang cổng kia. Dữ liệu khi qua đến cổng kia sẽ được đóng gói đầy đủ lại theo đúng mô hình OSI.

Ngoài ra, SXN còn chia thành 64 kênh truyền dẫn (gọi lại Slot):

Để truyền dẫn, cả 2 phía (Gate A và B) phải cấu hình tương thích theo từng kênh truyền, trong đó, mỗi kênh có thể lắng nghe trên nhiều IP khác nhau và hỗ trợ lên đến 50 kết nối (client) đồng thời; và truyền thông với 1 server theo địa chỉ IP và cổng định trước. Trên mỗi kệnh truyền, thiết bị cho phép lựa chọn giữa

Ngoài ra, trên từng cổng, thiết bị cho phép thiết lập tính năng tường lửa. Khi kích hoạt tính năng tường lửa, thiết bị chỉ cho phép các địa chỉ IP nào giao tiếp truyền thông với thiết bị.

Với thuật toán xử lý như trên, thiết bị SXN đảm bảo loại trừ toàn bộ các hình thức tấn công tiềm ẩn trong lớp 1->4 trong mô hình OSI, ví dụ

  • Scanning
  • Sniffing
  • DNS hijacking
  • ICMP crafting, attack
  • IP Address spoofing
  • TCP syn flooding
  • UDP flooding (service denial)
  • DHCP attack
  • MAC attack, modification, flooding
  • ….

Đồng thời, với cách thức xử lý như trên, SXN đảm bảo che dấu thông tin về lớp mạng giữa 2 lớp mạng với nhau, đảm bảo 2 lớp mạng được phân tách đúng nghĩa.

Nhờ tương thích chuẩn theo TCP/IP, SXN cho phép kết nối với các giải pháp bảo mật khác như tường lửa, v.v. tạo thành 1 chuỗi kiểm soát bảo mật tăng tính an toàn cho mạng DCS/Scada.

Thiết bị SXN không chỉ tương thích với truyền dẫn TCP/IP mà còn tích hợp sẵn tính năng truyền tệp tin (File Transfer). Để thực hiện tính năng này, SXN tích hợp sẵn 2 ổ cứng SSD độc lập cho 2 phân đoạn mạng Gate A và Gate B. Hỗ trợ 2 chế độ truyền tệp Push và Server cho phép SXN hoạt động tương tự như 1 máy chủ FTP server hoặc tự động đẩy tệp được truyền qua 1 máy chủ khác để tạo thành 1 chuỗi xử lý tùy theo yêu cầu của hệ thống.

Không chỉ thế SXN cho phép tích hợp tính năng kiểm tra chữ ký số khi nhận tệp hoặc ký số khi truyền tệp ra ngoài trong đó SXN hỗ trợ ký số theo OpenSSL.

Với cách xứ lý truyền tệp như trên. SXN hoàn toàn triệt tiêu toàn bộ hình thức truyền dẫn khi chỉ cần truyền tệp. Nói cách khác tệp tin được truyền giữa 2 lớp mạng mà không có bất kỳ gói tin nào được truyền dẫn giữa 2 lớp mạng.

Toàn bộ các phương thức xử lý trong giải pháp, Seclab đã đăng ký và ứng dụng các bằng sáng chế sau

  • Patent FR 0858790

Method and device for secure transfer of digital data.

Phương pháp và thiết bị chuyển dữ liệu số

  • Patent FR 1061285

Method and device for controlling access to a computer system.

Phương pháp và thiết bị để kiểm soát truy cập vào hệ thống máy tính.

  • Patent FR 11779814.0

Network interconnection device in cutoff, for the transfer of filtered information.

Thiết bị kết nối mạng bị chia cắt, để truyền thông tin chọn lọc.

 

3. Các mô đun cơ bản của SXN

 

Như đã trình bày ở trên, SXN gồm 2 module chính:

  • File Transfer (FT): truyền tệp
  • Transport Protocol (TP) : tương thích với truyền dẫn TCP/IP

Hai module trên được tích hợp và hoàn toàn có thể sử dụng đồng thời cùng lúc trên cùng 1 thiết bị SXN.

Thiết bị SXN không yêu cầu thêm bất kỳ phần mềm hay hệ thống phụ trợ nào bên ngoài, Tất cả các hệ thống, ứng dụng sử dụng TCP/IP chuyển thông tin qua lớp 5->7 trong mô hình OSI đều tương thích với SXN.

4. Mô hình và vị trí triển khai thiết bị

Thiết bị có cổng quản trị riêng cho từng phân đoạn mạng (Gate A và Gate B). Để đảm bảo tính bảo mật, hệ thống nên tách riêng máy tính quản trị cho thiết bị ra khỏi mạng cũng như dùng riêng máy tính quản trị riêng cho từng phân đoạn.

                    Mô hình không nên triển khai

                  Mô hình triển khai khuyến cáo.

 

Về thu thập log, SXN cho phép gửi log không chỉ qua cổng quản trị mà có thể cho bất ký máy chủ nào hỗ trợ Syslog.

Đối với mạng DCS/Scada, việc đồng bộ thời gian rất quan trọng THIết bị SXN cho phép cấu hình thời gian riêng hoặc đồng bộ với 1 máy chủ NTP. Đặc biệt với tính năng Interlink, SXN cho phép đồng bộ thời gian giữa gate A và gate B với nhau.

5.  Ứng dụng của thiết bị Seclab Denelis

Giải pháp cho phép liên lạc an toàn với các hệ thống bị mạng, lớp mạng  cô lập

Enabling secure communication with isolated networks systems

 Seclad Denelis là  giải pháp Data Diode 2.0 thay thế cho Data Diode ( tường lửa 1 chiều ) truyền thống đảm bảo an ninh dự liệu 03 yêu tố sau : 

- Tính bảo mật: Các gói tin được thất lạc, mất gói, có xác thực khi truyền nhận các thông tin.
- Tính toàn vẹn: Các gói tin được đảm bảo không bị thay đổi trên đường truyền.
- Tính xác thực: Các gói tin được gửi từ 1 nguồn tin cậy.

Các ứng dụng Seclab Denelis : 

- Hệ thống mạng OT/IT , OT ( SCADA,EMS,ICS,DCS,HMI,IoT...) cho các nhà máy điện , xăng dầu , khoáng sản , các nhà máy sản xuất ,nhà máy năng lượng quan trọng, mạng điều độ đường sắt ,  điều khiển không lưu sân bay ....

- Hệ thống mạng internet / mạng dự liệu bộ quốc phòng, bộ công an

- Hệ thống mạng internet/ mạng nội bộ chính phủ , quốc hội , đảng ...

- Hệ thống mạng internet / mạng nội bộ lease line ngân hàng , tài chính , chứng khoán....

 - Mạng truyền dẫn Smart city / Mạng điều khiển Smart city

 

6.  Model của Seclab Denelis

Một số model của Seclab Denelis có thể sản xuất theo yêu cầu của từng khách hàng yêu cầu .

7.  Một số Case Study sử dụng giải pháp Seclab Denelis

Case Study 1 :

Bảo mật an toàn thông tin cho mạng IT/ OT cho hệ thống điều độ giờ tàu chạy cho hệ thống tàu điện châu âu SNCF

Tổng thể giải pháp kết hợp giữa Seclab và Stormshield ( Sản phẩm Firewall IPS của tập đoàn hàng không châu âu Airbus)

 

Case Study 2 :

 

Phòng thí năng lượng Hoa Kỳ NREL thuộc Bộ năng lượng hòa kỳ DOE ( United States Department of Energy) công khai sơ đồ tổng thể hệ thống bảo mật an ninh mạng OT/ IT cho nhà máy năng lượng ( hạt nhân , nhiệt điện, điện gió , điện mặt trời, dầu khí gas , nước ... ) đã dùng BSG Bidirectional Security Gateways thay thế cho Data diode (USG ) . Seclab được Nrel công nhận là sản phẩm bảo mật tốt nhất để xây dựng giải pháp 9 lớp bảo mật . 

Báo năng lượng Mỹ đăng Case đã triển khai Seclab : http://electricenergyonline.com/energy/magazine/1086/article/Security-Sessions-A-Layered-Solution-to-Cybersecurity.htm

 

Case Study 3 :

Hệ thống nhà máy điện hạt nhân tại Pháp thuộc tập đoàn điện lực Pháp EDF cung cấp điện cho gần 60% Châu Âu đã dùng BSG Bidirectional Security Gateways bảo mật cho hệ thống điều khiển IT/ OT của các nhà máy hạt nhân 

Download tài liệu triển khai ở các nhà máy điện hạt nhân tại Châu Âu 

 
 

 

 


Liên hệ với VNTEK mua sản phẩm Seclab - Cổng bảo mật hai chiều BSG (Bidirectional Security Gateways) chính hãng:

VNTEK
[ Hà Nội ] Alley 86 Le Trong Tan, Thanh Xuan, Hanoi
[ Hồ Chí Minh ] 11 Cach Mang Thang 8, Tan Binh, HCMC
[ Hà Nội ] +84 0906272869 [ Hồ Chí Minh ] +84 24 37372121
Email đặt mua Seclab - Cổng bảo mật hai chiều BSG (Bidirectional Security Gateways): info@vntek.vn

VNTEK Cung cấp giải pháp Seclab - Cổng bảo mật hai chiều BSG (Bidirectional Security Gateways) hàng đầu tại Việt Nam. Đội ngũ nhân viên kỹ thuật chuyên nghiệp, đáp ứng nhanh chóng nhu cầu về Seclab - Cổng bảo mật hai chiều BSG (Bidirectional Security Gateways) của Quý khách, Chúng tôi có thể đáp ứng được phần lớn nhu cầu của các dự án : hạ tầng CNTT , tổng thể an ninh mạng OT/IT , xây dựng phần mềm tiện ích ,hệ thống điện nhẹ. Mang lại giá trị cho Đối tác, Khách hàng tiết kiệm được chi phí , với thời gian giao hàng nhanh chóng, chuyên nghiệp và uy tín.

Cung cấp giải pháp hạ tầng CNTT , an ninh mạng OT/ IT , phần mềm cho doanh nghiệp, cơ quan chính phủ, hệ thống điện nhẹ ELV… các sản phẩm Seclab - Cổng bảo mật hai chiều BSG (Bidirectional Security Gateways) chính hãng với đầy đủ mẫu mã và chủng loại, giá thành cạnh tranh.

VNtek được chỉ định, lựa chọn cung cấp Seclab - Cổng bảo mật hai chiều BSG (Bidirectional Security Gateways) cho các dự án tại các thành phố lớn Hà Nội, Đà Nẵng, Hồ Chí Minh và các tỉnh trên lãnh thổ Việt Nam

Tư vấn và cung cấp thông tin cùng các dịch vụ kỹ thuật hậu mãi sau bán hàng bên cạnh việc cung cấp các sản phẩm Seclab - Cổng bảo mật hai chiều BSG (Bidirectional Security Gateways) nói trên.

Đáp ứng nhu cầu về Seclab - Cổng bảo mật hai chiều BSG (Bidirectional Security Gateways) của Khách hàng một cách chính xác, cụ thể và kịp thời. Thời gian giao hàng nhanh chóng, chuyên nghiệp.