Tường lửa 1 chiều Data Diode "siêu bảo mật" hay "siêu đau"?

(PLVN) - Hiện nay, có rất nhiều giải pháp phòng chống tấn công mạng như tường lửa Firewall, phòng chống tấn công chủ đích. 
Tường lửa 1 chiều Data Diode "siêu bảo mật" hay "siêu đau"?

An ninh mạng cho các cơ sở công nghiệp thực sự là vấn đề hàng đầu bởi nó có thể dẫn đến những hậu quả nghiêm trọng, ảnh hưởng đến quy trình công nghiệp cũng như gây thiệt hại cho doanh nghiệp. Các cuộc tấn công mạng là không ngừng và liên tục chống lại môi trường mạng công nghiệp SCADA/ ICS (viết tắt của Hệ thống thu thập dữ liệu và Điều khiển giám sát/Hệ thống điều khiển mạng công nghiệp) trên hệ thống OT (Operation Technology – công nghệ điều khiển).

Hầu hết các mạng công nghiệp sản xuất ICS/SCADA đã trải qua nhiều cuộc tấn công mạng gây ra vi phạm dữ liệu và/hoặc gây gián đoạn và ngừng hoạt động trong thời gian đáng kể đối với các hoạt động kinh doanh, nhà máy và thiết bị hoạt động, với nhiều cuộc tấn công của nhà nước quốc gia.

Hiện nay, có rất nhiều giải pháp phòng chống tấn công mạng như tường lửa Firewall, phòng chống tấn công chủ đích ATP và tường lửa 1 chiều Data diodes (đi-ốt dữ liệu)… để bảo vệ mạng công nghiệp SCADA/ICS.

Khái niệm về Data diodes - một thiết bị phần cứng chỉ cho phép dữ liệu ra khỏi vành đại được bảo vệ và ngăn chặn mọi dữ liệu đi vào - không phải là mới, nhưng nó đã được áp dụng gần đây trong lĩnh vực cơ sở hạ tầng quan trọng nhằm bảo vệ mạng OT trong khi vẫn cho phép truyền dữ liệu từ mạng OT ra mạng IT (Information Technology – Công nghệ thông tin).

Trong hoạt động bình thường, các máy được nối mạng có khả năng truyền và nhận dữ liệu. Khi kết nối giữa hai mạng, một trong số đó không đáng tin cậy, một Data diodes sẽ loại bỏ một trong các kênh truyền/nhận và thực thi một luồng đơn hướng ở mức phần cứng.

Sau nhiều năm phát triển, việc sử dụng Data diodes dữ liệu đã tăng lên tạo ra hai biến thể:

• Data diodes thuần túy: Thiết bị hoặc thiết bị mạng cho phép dữ liệu thố chỉ truyền theo một hướng, được sử dụng để đảm bảo an toàn thông tin hoặc bảo vệ các hệ thống kỹ thuật số quan trọng, như hệ thống điều khiển công nghiệp, khỏi các cuộc tấn công mạng vào trong.

• Cổng bảo mật một chiều USG (Unidirection Security Gateway): Kết hợp phần cứng và phần mềm chạy trong máy tính proxy trong mạng nguồn và mạng đích. Phần cứng, một Data diodes, thực thi tính đơn hướng vật lý và phần mềm sao chép cơ sở dữ liệu và mô phỏng các máy chủ giao thức để xử lý giao tiếp hai chiều. Cổng đơn hướng có khả năng chuyển đồng thời nhiều giao thức và loại dữ liệu. Một đặc điểm duy nhất là dữ liệu được truyền một cách xác định đến các vị trí được xác định trước với một "ngắt" giao thức cho phép dữ liệu được truyền qua diodes dữ liệu.

Trên lý thuyết, Data diodes hay USG nghe có vẻ tuyệt vời. Tuy nhiên thực tế chúng thực sự đưa ra nhiều vấn đề hơn là giải quyết. Đây là lý do tại sao?

Trước tiên, Data diodes loại trừ bất kỳ ứng dụng nào sử dụng giao tiếp TCP vì TCP là hai chiều. Điều này hạn chế dữ liệu cho truyền thông UDP một chiều. Trước hết, các datagram UDP được giới hạn chỉ dưới 1.500 byte.

Do đó, Data diodes ảnh hưởng đến việc thu thập sự kiện từ hệ thống. Syslog sử dụng UDP theo mặc định, hoạt động được với Data diodes. Tuy nhiên, nhiều giao thức khác đều sử dụng TCP (Windows DCOM/WMI, Check Point OPSEC/LEA, JDBC, FTP, SCP, SDEE,...). Nhiều hệ thống SCADA được xây dựng trên Windows và nhiều sự kiện do máy chủ Windows vượt quá 2.000 byte, vượt qua giới hạn datagram UDP.

Thứ hai, Data diodes chỉ đơn giản là ngăn chặn luồng dữ liệu theo một hướng, chúng không làm gì để chống lại phần mềm độc hại trong nội dung. Vì vậy, nó không cung cấp bất kỳ sự bảo vệ nào khỏi khả năng có nội dung độc hại trong dữ liệu được phép vào hoặc ra khỏi doanh nghiệp.

Nếu bạn cách ly một hệ thống hoặc mạng với một Data diodes, bạn có xu hướng cô lập nó khỏi thông tin, huyết mạch của bất kỳ quy trình kinh doanh nào. Vì vậy, trong nhiều trường hợp, diodes hoạt động như một chất ức chế và trong thời đại kết nối này, điều đó không thể chấp nhận được.

Sự khác nhau giữa mô hình bảo mật Data diodes và BSG 

Để giải quyết bài toán này, một số giải pháp Data diodes chấp nhận các kết nối TCP, như FTP hoặc SMTP đến một máy chủ chuyên dụng ở phía được bảo vệ, chuyển dữ liệu vào các datagram UDP và gửi chúng qua data diodes tới một máy chủ chuyên dụng khác ở phía bên kia mà tập hợp lại các datagram và bắt đầu một kết nối mới đến đích cuối cùng. Rõ ràng Data diodes có thể tạo ra sự phức tạp về kiến trúc mạng, từ đó làm tăng nguy cơ rủi ro an toàn thông tin cao. Lợi ích duy nhất của data diodes so với tường lửa là chúng loại bỏ yếu tố người dùng và nhà phát triển cẩu thả.

Do các data diodes được triển khai ở cấp độ phần cứng, người dùng không thể cấu hình sai và vì tính đơn giản của nó, không có khả năng một data diodes có lỗi thiết kế tiềm ẩn, hoặc ít nhất cho phép dữ liệu chảy ngược vào lớp mạng được bảo vệ.

Tóm lại, Data diodes hay USG là một giải pháp tốt. Nhưng nếu hệ thống của bạn cần tương tác với các mạng không tin cậy thì đã đến lúc bạn nên cân nhắc việc thay thế data diodes bằng các giải pháp tiên tiến hơn bảo vệ cho các nhà máy điện hạt nhân, nhà máy lọc dầu, nhà máy xử lý nước …

Theo một số chuyên gia an ninh mạng thì trong xu hướng cách mạng công nghệ 4.0 hiện nay, một số nước như Pháp, Đức, Anh, Hoa Kỳ.... đã thay thế Data diodes từ năm 2010 bằng giải pháp công nghệ khác tối ưu hơn là BSG (Bidirectional Security Gateways).

Theo: Securityweek, Cybercureme
Ý kiến bạn đọc

Ý kiến của bạn sẽ được biên tập trước khi đăng. Xin vui lòng gõ tiếng Việt có dấu

Cùng chuyên mục
Mang trạm xe buýt về gần bạn

Mang trạm xe buýt về gần bạn

(PLVN) - Ngày 10/7/ 2020, Sở Giao thông vận tải Thành phố Hồ Chí Minh phối hợp với các đơn vị liên quan triển khai - chính thức công bố “Ứng dụng cung cấp thông tin vận tải hành khách công cộng trên thiết bị di động và kết nối với ứng dụng Grab - Go!Bus trên hai hệ điều hành di động phổ biến hiện nay là Android và iOS.

Đọc thêm

Dân vận khéo là công cụ nâng cao chất lượng hoà giải ở cơ sở

Dân vận khéo là công cụ nâng cao chất lượng hoà giải ở cơ sở
(PLVN) -Hôm nay 13/7 Ban Dân vận Trung ương phối hợp với Bộ Tư pháp, Mặt trận Tổ quốc Việt Nam và Toà án nhân dân tối cao tổ chức Hội nghị “Công tác dân vận trong hoạt động hoà giải”. Nhân dịp này, Bộ trưởng Bộ Tư pháp lê Thành Long đã có cuộc trao đổi với báo chí.

Nga nói về khả năng Ukraine rút khỏi thỏa thuận Minsk

Nga nói về khả năng Ukraine rút khỏi thỏa thuận Minsk
(PLVN) - Nếu Kiev quyết định từ bỏ các thỏa thuận hòa bình Minsk, điều này sẽ làm mất cơ sở đàm phán của quá trình giải quyết cuộc khủng hoảng ở miền đông nam Ukraine, Người phát ngôn Điện Kremlin Dmitry Peskov nói trên kênh truyền hình Rossiya-1 của Nga.

Ba giờ cứu hộ 40 người dưới vực

Ba giờ cứu hộ 40 người dưới vực
(PLVN) - Khi đến hiện trường, ông Chu Văn Bàn, nhân viên bảo vệ rừng Đăk Rơ Mao, phát hiện ôtô giường nằm lật ngửa dưới vực qua trạm trước đó 20 phút.
Chia thừa kế xong xuôi thì vợ lẽ, con riêng xuất hiện đòi tranh chấp?

Chia thừa kế xong xuôi thì vợ lẽ, con riêng xuất hiện đòi tranh chấp?

(PLVN) - Sau khi cha mất, anh chị em tôi đã tiến hành chia thừa kế xong xuôi theo đúng di chúc của cha thì bỗng dưng có một phụ nữ dắt con trai nhỏ về tự giới thiệu là vợ lẽ, con riêng của cha tôi để nhận họ hàng và xin hưởng thừa kế... Liệu anh em chúng tôi có phải tiến hành chia lại? 

Bạn có biết: Mỗi phụ nữ Ai Cập cổ đại đều sống như một Nữ hoàng?

Bạn có biết: Mỗi phụ nữ Ai Cập cổ đại đều sống như một Nữ hoàng?
(PLVN) - Nếu như tư tưởng trọng nam khinh nữ đã ăn sâu vào tiềm thức của nhiều đất nước trong thời kỳ phong kiến thì ở Ai Cập cổ đại, người phụ nữ lại có được sự bình đẳng đến đáng ngưỡng mộ. Họ được xã hội coi trọng, bình đẳng trong quan hệ vợ chồng, họ tự tin nắm giữ những công việc cao quý...
Thường trực Ban Bí thư Trần Quốc Vượng: Cần xây dựng đội ngũ cán bộ đủ tâm, đủ tầm, có năng lực lãnh đạo

Thường trực Ban Bí thư Trần Quốc Vượng: Cần xây dựng đội ngũ cán bộ đủ tâm, đủ tầm, có năng lực lãnh đạo

(PLVN) - Đây là một trong những yêu cầu của Ủy viên Bộ Chính trị, Thường trực Ban Bí thư Trần Quốc Vượng đối với Tỉnh ủy Ninh Thuận tại buổi làm việc ngày 12/7 về tình hình thực hiện Nghị quyết Đại hội XII của Đảng, Nghị quyết Đại hội Đảng bộ tỉnh lần thứ XIII, nhiệm kỳ 2015-2020. 

Tập đoàn Hanaka đón nhận 3 bằng Kỷ lục Quốc gia về Khu lưu niệm và Đền thờ Chủ tịch Hồ Chí Minh

Tập đoàn Hanaka đón nhận 3 bằng Kỷ lục Quốc gia về Khu lưu niệm và Đền thờ Chủ tịch Hồ Chí Minh
(PLVN) - Chiều 11/7, Tập đoàn Hanaka đã tổ chức lễ đón nhận 3 bằng Kỷ lục Quốc gia Khu lưu niệm và Đền thờ Chủ tịch Hồ Chí Minh. Đây là một trong những sự kiện quan trọng nằm trong tuần lễ diễn ra chương trình “Doanh nhân trẻ Bắc Ninh tiến công trên mặt trận kinh tế, chống suy thoái” do Hội doanh nhân trẻ Bắc Ninh tổ chức từ ngày 9/7 đến 13/7/2020.
Tấm lòng nhỏ, ý nghĩa lớn!

Tấm lòng nhỏ, ý nghĩa lớn!

(PLVN) -Chủ tịch Hồ Chí Minh lúc sinh thời là một tấm gương lớn về thực hành tiết kiệm. Bác đã căn dặn mọi người “thực hành tiết kiệm; tiết kiệm sức lao động, tiết kiệm thời gian, tiền bạc; phải tiết kiệm từ cái to đến cái nhỏ, không xa xỉ, hoang phí, không bừa bãi, phô trương hình thức”. Lời căn dặn của Bác luôn được Chi bộ Tổ chức và Nhân sự - Thanh tra Bảo vệ Pháp chế (TC&NS-TTBVPC - PC Quảng Ngãi) ghi nhớ và thực hiện thông qua mô hình “Thùng tiết kiệm chi phí sinh hoạt cá nhân”.
 

Báo điện tử Pháp luật Việt Nam

Giấy phép xuất bản số 303/GP-BTTTT ngày 8/5/2015

Cơ quan chủ quản: Bộ Tư pháp

Tổng biên tập: Tiến sỹ Đào Văn Hội

Phó TBT: Trần Đức Vinh

Trưởng ban Báo Điện tử: Xuân Bính

Tòa soạn: Số 42/29 Nguyễn Chí Thanh, phường Ngọc Khánh, quận Ba Đình, Hà Nội

E-mail: baodientuphapluat@gmail.com

Hotline: 0353.63.63.55

Liên hệ quảng cáo: 0971.741.666‬