Cổng bảo mật hai chiều bsg giải pháp cho phép truyền dữ liệu an toàn giữa các vùng mạng

CỔNG BẢO MẬT HAI CHIỀU BSG GIẢI PHÁP CHO PHÉP TRUYỀN DỮ LIỆU AN TOÀN GIỮA CÁC VÙNG MẠNG , HỆ THỐNG MẠNG CÁCH LY VẬT LÝ , CÁCH LY GIAO THỨC ELECTRONIC AIRGAP SECURITY


Seclab SXN là sản phẩm tốt nhất của giải pháp cổng bảo mật 2 chiều BSG (Bidirectional Security Gateways) đã được đưa vào sử dụng tại tập đoàn điện lực Pháp EDF bảo mật cho 58 nhà máy điện hạt nhân của EDF ở Châu Âu 6 năm trước khi thương mại hóa năm 2016 , bằng công nghệ độc quyền Electronic Airgap cứng hóa 100% bằng công nghệ lập trình bo mạch FPGA chưa có sản phẩm tương tự trên thị trường .

Hiện nay một số sản phẩm mới sản xuất nghiên cứu sử dụng công nghệ 02 hoặc 04 Data Diode kết hợp nhiều máy tính nhúng đóng gói thành 1 thiết bị nhưng bản chất nó vẫn là công nghệ Data Diode truyên UDP kết hợp với máy tính nhúng cài phần mềm nên không chứng minh được tính toàn vẹn dữ liệu do bản chất công nghệ UDP , giới hạn dịch vụ chạy trên thiết bị , giới hạn gaio thức nên lệ thuộc nhà sản xuất , làm phức tạp hệ thống kết nối ban đầu nên không chứng minh đảm bảo ATTT ( hình dưới )



Một số chứng nhận của Seclab



Seclab trong Mô hình bảo mật 9 lớp cho hệ thống năng lượng Hoa Kỳ

https://www.nrel.gov/docs/fy18osti/71223.pdf _


Seclab đạt chứng nhân Anssi CSPN đây là chứng nhận cao cấp hơn EAL4+


Xem video để thấy ý tưởng công nghệ độc đáo của Seclab SXN

1. Giới thiệu về Seclab Denelis và giải pháp Secure Xchange Network (Gọi tắt SXN)

Seclab tiền thân là 1 trung tâm nghiên cứu phát triển giải pháp bảo mật R&D trực thuộc tập đoàn EDF (Électricité de France). EDF có trụ sở tại Pháp sở hữu phần lớn bởi chính phủ, hiện đang vận hành danh mục đầu tư đa dạng với hơn 120 gigawatt công suất phát điện ở châu Âu, Nam Mỹ, Bắc Mỹ, châu Á, Trung Đông và châu Phi. Từ năm 2011, EDF đang sản xuất khoảng 22% tổng sản lượng điện năng của Liên Mịnh Châu Âu, trong đó năng lượng hạt nhân chiếm đến 64%. Hiện EDF vận hành 58 nhà máy điện hạt nhân nằm rải rác trên 19 địa điểm trên toàn nước Pháp. Năm 2017 EDF tiếp quản hoạt động kinh doanh lò phản ứng của tập đoàn Areva cũng như được chính phủ Pháp yêu cầu xây dựng tiếp 3 lò phản ứng mới vào năm 2019. EDF cũng đầu tư vào các giải pháp năng lượng tái tạo.

Tập đoàn điện lực pháp EDF đã triển khai Data Diode từ 2007-2010 của một số hãng Base System , Genua , Fox IT.... Trong quá trình sử dụng phát sinh nhiều vấn đề bất hợp lý do truyền UDP nên các gói tin bị rớt rất nhiều không có cách xử lý tự động mà phải truyền lại khi phát hiện, nhất là xu hướng cách mạng công nghiệp 4.0, chuyển đổi số tất cả các thiết bị kết nối an toàn giữa 2 mạng để đồng bộ cơ sở dữ liệu SQL Server Replication ,Oracle Golden Gate thì bài toán không thể Data Diode . Từ những nhược điểm trên EDF đã nghiên cứu các giải pháp bảo mật cho việc truyền dẫn dữ liệu trong hệ thống của EDF và giữa các hệ thống của EDF với các đối tác Siemen , Schneider.. nhằm đảm bảo các trang thiết bị và hệ thống phải được bảo mật đồng thời cập nhật liên tục bao gồm các bản vá lỗi cũng như nâng cấp liên tục .

Trong một thế giới nơi các ranh giới giữa các vùng mạng bên trong (cần được bảo vệ cẩn mật hơn) và mạng ngoài ngày cảng trở nên mờ nhạt, chúng ta không còn có thể dựa vào sự phân tách truyền thống của hai miền này bằng kỹ thuật giao tiếp một chiều (Data Diode) hoặc cách ly mạng. Hệ thống SCADA tiên tiến hiện đang sử dụng cácgiao thức truyền thông đáng tin cậy để đảm bảo hoạt động trơn tru.

Seclab đã nghiên cứu và đưa vào ứng dụng giải pháp Secure Xchange Network với thiết bị Denelis (Còn được đăng ký với tên gọi DZ-Network), cho phép giao tiếp hai chiều thông qua giao thức TCP/UDP trong khi vẫn đảm bảo an ninh bằng cách xử lý dọn dẹp triệt để 4 lớp đầu tiên (Lớp vật lý truyền dẫn) trong mô hình OSI.

Như chúng ta đã biết, hầu hết các tấn công đều đến từ trên tầng kết nối (Network connection)



Các giái pháp bảo mật thông dụng thường không thể bao quát cũng như xử lý triệt để các nguy cơ tấn công tiềm ẩn trong lớp 1->4 trong mô hình OSI.



Với cách xử lý của SXN, Seclab tự tin bảo vệ hệ thống mạng khỏi các tấn công tiềm ẩn trong lớp 1 -> 4 của mô hình OSI.

2. Giải pháp Secure XChange Network với thiết bị Denelis (DZ-Network)

Giải pháp Secure Xchange Network cụ thể thiết bị Denelis (Tên kỹ thuật là DZ-Network, sau đây gọi tắt là thiết bị SXN) là thiết bị phần cứng với đặc điểm được đóng gói dưới dạng rackmount 1U 19” như sau:



Nhiệm vụ của thiết bị SXN là phân đoạn 2 lớp mạng A và B. Để xử lý, việc này, thiết bị chia làm 3 thành phần:

• Thành phần Gate A
• Thành phần lõi Core
• Thành phần Gate B

Toàn bộ 3 thành phần này lắp đặt riêng biệt. Mỗi thành phần được cấu tạo gồm CPU và FPGA - Field Programmable Gate Array, trong đó phần FPGA được xử lý sao cho không thể lập trình lại, CPU được dùng để xử lý phần giao tiếp. Riêng thành phần lõi Core chỉ hiện tại chỉ xử lý toàn bộ tác vụ bằng FPGA. Do thiết bị xử lý tín hiệu thuần túy bằng bo mạch điện tử (Pure Electronic) kết hợp cơ chế cấu hình quản trị độc lập 2 cổng tương ứng trên 2 thành phần Gate A và Gate B, thiết bị đã được chứng thực qua thử nghiệm Pen test là không thể từ giao diện quản trị của cổng này tương tác với cổng còn lại cho dù cho tài khoản quyền cao nhất của thiết bị.



Mỗi một cổng sẽ bao gồm 2 cổng quản trị qua giao diện Ethernet và cổng USB console. Để cấu hình, mỗi cổng, quản trị viên phải kết nối và cấu hình riêng biệt và cả 2 phía phải cấu hình tương thích với nhau. Khi đó, thiết bị mới cho dữ liệu truyền dẫn qua.


Thành phần lõi Core sẽ chỉ sao chép lớp 5 đến lớp 7 trong mô hình OSI của các gói tin khi truyền dữ liệu từ cổng này sang cổng kia. Dữ liệu khi qua đến cổng kia sẽ được đóng gói đầy đủ lại theo đúng mô hình OSI.



Ngoài ra, SXN còn chia thành 64 kênh truyền dẫn (gọi lại Slot):


Để truyền dẫn, cả 2 phía (Gate A và B) phải cấu hình tương thích theo từng kênh truyền, trong đó, mỗi kênh có thể lắng nghe trên nhiều IP khác nhau và hỗ trợ lên đến 50 kết nối (client) đồng thời; và truyền thông với 1 server theo địa chỉ IP và cổng định trước. Trên mỗi kệnh truyền, thiết bị cho phép lựa chọn giữa

Ngoài ra, trên từng cổng, thiết bị cho phép thiết lập tính năng tường lửa. Khi kích hoạt tính năng tường lửa, thiết bị chỉ cho phép các địa chỉ IP nào giao tiếp truyền thông với thiết bị.

Với thuật toán xử lý như trên, thiết bị SXN đảm bảo loại trừ toàn bộ các hình thức tấn công tiềm ẩn trong lớp 1->4 trong mô hình OSI, ví dụ

• quét
• đánh hơi
• Chiếm quyền điều khiển DNS
• ICMP crafting, tấn công
• Giả mạo địa chỉ IP
• Tràn ngập đồng bộ TCP
• Tràn ngập UDP (từ chối dịch vụ)
• tấn công DHCP
• Tấn công MAC, sửa đổi, tràn ngập
• ….

Đồng thời, với cách thức xử lý như trên, SXN đảm bảo che dấu thông tin về lớp mạng giữa 2 lớp mạng với nhau, đảm bảo 2 lớp mạng được phân tách đúng nghĩa.

Nhờ tương thích chuẩn theo TCP/IP, SXN cho phép kết nối với các giải pháp bảo mật khác như tường lửa, v.v. tạo thành 1 chuỗi kiểm soát bảo mật tăng tính an toàn cho mạng DCS/Scada.

Thiết bị SXN không chỉ tương thích với truyền dẫn TCP/IP mà còn tích hợp sẵn tính năng truyền tệp tin (File Transfer). Để thực hiện tính năng này, SXN tích hợp sẵn 2 ổ cứng SSD độc lập cho 2 phân đoạn mạng Gate A và Gate B. Hỗ trợ 2 chế độ truyền tệp Push và Server cho phép SXN hoạt động tương tự như 1 máy chủ FTP server hoặc tự động đẩy tệp được truyền qua 1 máy chủ khác để tạo thành 1 chuỗi xử lý tùy theo yêu cầu của hệ thống.

Không chỉ thế SXN cho phép tích hợp tính năng kiểm tra chữ ký số khi nhận tệp hoặc ký số khi truyền tệp ra ngoài trong đó SXN hỗ trợ ký số theo OpenSSL.

Với cách xứ lý truyền tệp như trên. SXN hoàn toàn triệt tiêu toàn bộ hình thức truyền dẫn khi chỉ cần truyền tệp. Nói cách khác tệp tin được truyền giữa 2 lớp mạng mà không có bất kỳ gói tin nào được truyền dẫn giữa 2 lớp mạng.

Toàn bộ các phương thức xử lý trong giải pháp, Seclab đã đăng ký và ứng dụng các bằng sáng chế sau

• Bằng sáng chế FR 0858790

Phương pháp và thiết bị để truyền dữ liệu số an toàn.
Phương pháp và thiết bị chuyển dữ liệu số

• Bằng sáng chế FR 1061285

Phương pháp và thiết bị để kiểm soát quyền truy cập vào hệ thống máy tính.
Phương pháp và thiết bị để kiểm soát truy cập vào hệ thống máy tính.

• Bằng sáng chế FR 11779814.0

Thiết bị kết nối mạng bị cắt, để truyền thông tin đã lọc.
Thiết bị kết nối mạng bị chia cắt, để truyền thông tin chọn lọc.

3. Các mô đun cơ bản của SXN



Như đã trình bày ở trên, SXN gồm 2 module chính:

• File Transfer (FT): truyền tệp
• Transport Protocol (TP) : tương thích với truyền dẫn TCP/IP

Hai module trên được tích hợp và hoàn toàn có thể sử dụng đồng thời cùng lúc trên cùng 1 thiết bị SXN.

Thiết bị SXN không yêu cầu thêm bất kỳ phần mềm hay hệ thống phụ trợ nào bên ngoài, Tất cả các hệ thống, ứng dụng sử dụng TCP/IP chuyển thông tin qua lớp 5->7 trong mô hình OSI đều tương thích với SXN.

4. Mô hình và vị trí triển khai thiết bị

Thiết bị có cổng quản trị riêng cho từng phân đoạn mạng (Gate A và Gate B). Để đảm bảo tính bảo mật, hệ thống nên tách riêng máy tính quản trị cho thiết bị ra khỏi mạng cũng như dùng riêng máy tính quản trị riêng cho từng phân đoạn.



Mô hình không nên triển khai



Mô hình triển khai khuyến cáo.



Về thu thập log, SXN cho phép gửi log không chỉ qua cổng quản trị mà có thể cho bất ký máy chủ nào hỗ trợ Syslog.

Đối với mạng DCS/Scada, việc đồng bộ thời gian rất quan trọng thIết bị SXN cho phép cấu hình thời gian riêng hoặc đồng bộ với 1 máy chủ NTP. Đặc biệt với tính năng Interlink, SXN cho phép đồng bộ thời gian giữa gate A và gate B với nhau.

5. Ứng dụng của thiết bị Seclab Denelis

Giải pháp cho phép liên lạc an toàn với các hệ thống bị mạng, lớp mạng cô lập

Seclad Denelis là giải pháp Data Diode 2.0 thay thế cho Data Diode ( tường lửa 1 chiều ) truyền thống đảm bảo an ninh dự liệu 03 yêu tố sau :

- Tính bảo mật: Các gói tin được thất lạc, mất gói, có xác thực khi truyền nhận các thông tin.
- Tính toàn vẹn: Các gói tin được đảm bảo không bị thay đổi trên đường truyền.
- Tính xác thực: Các gói tin được gửi từ 1 nguồn tin cậy.

#airgapbackup #airgapvault #airgapsecurity #RansomwareAirGap

Các ứng dụng Seclab Denelis :



- Hệ thống mạng OT/IT , OT ( SCADA,EMS,ICS,DCS,HMI,IoT...) cho các nhà máy điện , xăng dầu , khoáng sản , các nhà máy sản xuất ,nhà máy năng lượng quan trọng, mạng điều độ đường sắt , điều khiển không lưu sân bay ....
- Hệ thống mạng internet / mạng dự liệu bộ quốc phòng, bộ công an
- Hệ thống mạng internet/ mạng nội bộ chính phủ , quốc hội , đảng ...
- Hệ thống mạng internet / mạng nội bộ lease line ngân hàng , tài chính , chứng khoán....
- Mạng truyền dẫn Smart city / Mạng điều khiển Smart city
- Hệ thống cách ly vùng dữ liệu backup khôi phục thảm họa , phòng chống bị mã hóa dữ liệu : Airgap Security , Airgap Backup , Air Gap Data Protection , Airgap vault

6. Model của Seclab Denelis

Một số model của Seclab Denelis có thể sản xuất theo yêu cầu của từng khách hàng yêu cầu .



7. Một số Case Study sử dụng giải pháp Seclab Denelis



Nghiên cứu tình huống 1 :



Bảo mật an toàn thông tin cho mạng IT/ OT cho hệ thống điều độ giờ tàu chạy cho hệ thống tàu điện châu âu SNCF

Tổng thể giải pháp kết hợp giữa Seclab và Stormshield ( Sản phẩm Firewall IPS của tập đoàn hàng không châu âu Airbus)

Download tài liệu triển khai ở hệ thống đường sắt SNCF : www.stormshield.com/wp-content/uploads/Retour-Client-SNCF-Reseau-SECLAB-Stormshield-FINAL_EN.pdf

Nghiên cứu tình huống 2 :



Phòng thí năng lượng Hoa Kỳ NREL thuộc Bộ năng lượng hòa kỳ DOE ( United States Department of Energy) công khai sơ đồ tổng thể hệ thống bảo mật an ninh mạng OT/ IT cho nhà máy năng lượng ( hạt nhân , nhiệt điện, điện gió , điện mặt trời, dầu khí gas , nước ... ) đã dùng BSG Bidirectional Security Gateways thay thế cho Data diode (USG ) . Seclab được Nrel công nhận là sản phẩm bảo mật tốt nhất để xây dựng giải pháp 9 lớp bảo mật .

Báo năng lượng Mỹ đăng Case đã triển khai Seclab : http://electricenergyonline.com/ene...sions-A-Layered-Solution-to-Cybersecurity.htm

Download Tài liệu triển khai ở bộ năng lượng Hoa Kỳ ( 01) : www.nrel.gov/docs/fy18osti/70364.pdf

Download tài liệu trển khai ở bộ năng lượng Hoa Kỳ (02) : www.nrel.gov/docs/fy18osti/71223.pdf



Nghiên cứu điển hình 3:



Hệ thống nhà máy điện hạt nhân tại Pháp thuộc tập đoàn điện lực Pháp EDF cung cấp điện cho gần 60% Châu Âu đã dùng BSG Bidirectional Security Gateways bảo mật cho hệ thống điều khiển IT/ OT của các nhà máy hạt nhân

Download tài liệu triển khai ở các nhà máy điện hạt nhân tại Châu Âu

Nghiên cứu điển hình 3:



Hệ thống nhà máy điện hạt nhân tại Pháp thuộc tập đoàn điện lực Pháp EDF cung cấp điện cho gần 60% Châu Âu đã dùng BSG Bidirectional Security Gateways bảo mật cho hệ thống điều khiển IT/ OT của các nhà máy hạt nhân

Download tài liệu triển khai ở các nhà máy điện hạt nhân tại Châu Âu

Nghiên cứu điển hình 4:





Tại nga Seclab hợp tác công ty IT-Base sản phẩm với tên gọi là Синоним Synonym . Giải pháp truyền dẫn một chiều / 2 chiều an toàn duy nhất được chứng nhận theo NDV-4 cao nhất của FSTEC của Nga

IT-Base đã triển khai Synonym kết hợp với Wallix ( Pháp ) để bảo mật các hạ tầng an ninh quốc gia và hệ thống dẫn dầu toàn nước nga với số lượng lên gần 2000 thiết bị

https://www.anti-malware.ru/ review/Synonym



Nghiên cứu điển hình 5:



Tập đoàn Kontron Đức đã chọn Seclab SXN thiết bị trao đổi điện tử an toàn với công nghệ độc đáo cách ly vật lý các vùng mạng để tư vấn giải pháp bảo mật hạ tầng giải pháp ngành viễn thông 4G,5G và bảo mật End to End mà Kontron triển khai

https://www.kontron.com/about-kontron/ktrdn- landingpages/ Critical- Communications/ps-lte/ps- lte- kickstarter_final_web.pdf

https://www.kontron.com/ktrdn/ lte-băng thông rộng

https://www.kontron.com/ktrdn/ Solutions/cloud-digital- Solutions/end-to-end-security

Tập đoàn Kontron là một công ty công nghệ Đức chuyên cung cấp các giải pháp tích hợp hệ thống và dịch vụ cho các thị trường ngành công nghiệp, tự động hóa và viễn thông. Công ty được thành lập vào năm 1980 và có trụ sở chính tại Augsburg, Đức. Kontron có hơn 2.400 nhân viên và có văn phòng tại hơn 40 quốc gia trên thế giới.

​