Tường lửa 1 chiều Data Diode "siêu bảo mật" hay "siêu đau"?

(PLVN) - Hiện nay, có rất nhiều giải pháp phòng chống tấn công mạng như tường lửa Firewall, phòng chống tấn công chủ đích. 
Tường lửa 1 chiều Data Diode "siêu bảo mật" hay "siêu đau"?

An ninh mạng cho các cơ sở công nghiệp thực sự là vấn đề hàng đầu bởi nó có thể dẫn đến những hậu quả nghiêm trọng, ảnh hưởng đến quy trình công nghiệp cũng như gây thiệt hại cho doanh nghiệp. Các cuộc tấn công mạng là không ngừng và liên tục chống lại môi trường mạng công nghiệp SCADA/ ICS (viết tắt của Hệ thống thu thập dữ liệu và Điều khiển giám sát/Hệ thống điều khiển mạng công nghiệp) trên hệ thống OT (Operation Technology – công nghệ điều khiển).

Hầu hết các mạng công nghiệp sản xuất ICS/SCADA đã trải qua nhiều cuộc tấn công mạng gây ra vi phạm dữ liệu và/hoặc gây gián đoạn và ngừng hoạt động trong thời gian đáng kể đối với các hoạt động kinh doanh, nhà máy và thiết bị hoạt động, với nhiều cuộc tấn công của nhà nước quốc gia.

Hiện nay, có rất nhiều giải pháp phòng chống tấn công mạng như tường lửa Firewall, phòng chống tấn công chủ đích ATP và tường lửa 1 chiều Data diodes (đi-ốt dữ liệu)… để bảo vệ mạng công nghiệp SCADA/ICS.

Khái niệm về Data diodes - một thiết bị phần cứng chỉ cho phép dữ liệu ra khỏi vành đại được bảo vệ và ngăn chặn mọi dữ liệu đi vào - không phải là mới, nhưng nó đã được áp dụng gần đây trong lĩnh vực cơ sở hạ tầng quan trọng nhằm bảo vệ mạng OT trong khi vẫn cho phép truyền dữ liệu từ mạng OT ra mạng IT (Information Technology – Công nghệ thông tin).

Trong hoạt động bình thường, các máy được nối mạng có khả năng truyền và nhận dữ liệu. Khi kết nối giữa hai mạng, một trong số đó không đáng tin cậy, một Data diodes sẽ loại bỏ một trong các kênh truyền/nhận và thực thi một luồng đơn hướng ở mức phần cứng.

Sau nhiều năm phát triển, việc sử dụng Data diodes dữ liệu đã tăng lên tạo ra hai biến thể:

• Data diodes thuần túy: Thiết bị hoặc thiết bị mạng cho phép dữ liệu thố chỉ truyền theo một hướng, được sử dụng để đảm bảo an toàn thông tin hoặc bảo vệ các hệ thống kỹ thuật số quan trọng, như hệ thống điều khiển công nghiệp, khỏi các cuộc tấn công mạng vào trong.

• Cổng bảo mật một chiều USG (Unidirection Security Gateway): Kết hợp phần cứng và phần mềm chạy trong máy tính proxy trong mạng nguồn và mạng đích. Phần cứng, một Data diodes, thực thi tính đơn hướng vật lý và phần mềm sao chép cơ sở dữ liệu và mô phỏng các máy chủ giao thức để xử lý giao tiếp hai chiều. Cổng đơn hướng có khả năng chuyển đồng thời nhiều giao thức và loại dữ liệu. Một đặc điểm duy nhất là dữ liệu được truyền một cách xác định đến các vị trí được xác định trước với một "ngắt" giao thức cho phép dữ liệu được truyền qua diodes dữ liệu.

Trên lý thuyết, Data diodes hay USG nghe có vẻ tuyệt vời. Tuy nhiên thực tế chúng thực sự đưa ra nhiều vấn đề hơn là giải quyết. Đây là lý do tại sao?

Trước tiên, Data diodes loại trừ bất kỳ ứng dụng nào sử dụng giao tiếp TCP vì TCP là hai chiều. Điều này hạn chế dữ liệu cho truyền thông UDP một chiều. Trước hết, các datagram UDP được giới hạn chỉ dưới 1.500 byte.

Do đó, Data diodes ảnh hưởng đến việc thu thập sự kiện từ hệ thống. Syslog sử dụng UDP theo mặc định, hoạt động được với Data diodes. Tuy nhiên, nhiều giao thức khác đều sử dụng TCP (Windows DCOM/WMI, Check Point OPSEC/LEA, JDBC, FTP, SCP, SDEE,...). Nhiều hệ thống SCADA được xây dựng trên Windows và nhiều sự kiện do máy chủ Windows vượt quá 2.000 byte, vượt qua giới hạn datagram UDP.

Thứ hai, Data diodes chỉ đơn giản là ngăn chặn luồng dữ liệu theo một hướng, chúng không làm gì để chống lại phần mềm độc hại trong nội dung. Vì vậy, nó không cung cấp bất kỳ sự bảo vệ nào khỏi khả năng có nội dung độc hại trong dữ liệu được phép vào hoặc ra khỏi doanh nghiệp.

Nếu bạn cách ly một hệ thống hoặc mạng với một Data diodes, bạn có xu hướng cô lập nó khỏi thông tin, huyết mạch của bất kỳ quy trình kinh doanh nào. Vì vậy, trong nhiều trường hợp, diodes hoạt động như một chất ức chế và trong thời đại kết nối này, điều đó không thể chấp nhận được.

Sự khác nhau giữa mô hình bảo mật Data diodes và BSG 

Để giải quyết bài toán này, một số giải pháp Data diodes chấp nhận các kết nối TCP, như FTP hoặc SMTP đến một máy chủ chuyên dụng ở phía được bảo vệ, chuyển dữ liệu vào các datagram UDP và gửi chúng qua data diodes tới một máy chủ chuyên dụng khác ở phía bên kia mà tập hợp lại các datagram và bắt đầu một kết nối mới đến đích cuối cùng. Rõ ràng Data diodes có thể tạo ra sự phức tạp về kiến trúc mạng, từ đó làm tăng nguy cơ rủi ro an toàn thông tin cao. Lợi ích duy nhất của data diodes so với tường lửa là chúng loại bỏ yếu tố người dùng và nhà phát triển cẩu thả.

Do các data diodes được triển khai ở cấp độ phần cứng, người dùng không thể cấu hình sai và vì tính đơn giản của nó, không có khả năng một data diodes có lỗi thiết kế tiềm ẩn, hoặc ít nhất cho phép dữ liệu chảy ngược vào lớp mạng được bảo vệ.

Tóm lại, Data diodes hay USG là một giải pháp tốt. Nhưng nếu hệ thống của bạn cần tương tác với các mạng không tin cậy thì đã đến lúc bạn nên cân nhắc việc thay thế data diodes bằng các giải pháp tiên tiến hơn bảo vệ cho các nhà máy điện hạt nhân, nhà máy lọc dầu, nhà máy xử lý nước …

Theo một số chuyên gia an ninh mạng thì trong xu hướng cách mạng công nghệ 4.0 hiện nay, một số nước như Pháp, Đức, Anh, Hoa Kỳ.... đã thay thế Data diodes từ năm 2010 bằng giải pháp công nghệ khác tối ưu hơn là BSG (Bidirectional Security Gateways).

Theo: Securityweek, Cybercureme
Ý kiến bạn đọc

Ý kiến của bạn sẽ được biên tập trước khi đăng. Xin vui lòng gõ tiếng Việt có dấu

Cùng chuyên mục

Đọc thêm

Khát vọng thay đổi tương lai nhân loại của “Iron Man ngoài đời thực” (Kỳ cuối)

Khát vọng thay đổi tương lai nhân loại của “Iron Man ngoài đời thực” (Kỳ cuối)
(PLVN) - Như đã nói ở kỳ trước, Elon Musk - ông chủ đế chế công nghệ lớn nhất thế giới là Tesla và SpaceX được coi là nguyên mẫu đời thực của siêu nhân Người Sắt. Ông được đánh giá là có khả năng hiện thực hóa cả những điều không thể, biến giấc mơ về một tương lai khám phá vũ trị của năng lượng mới. Tuy nhiên, khó khăn thử thách đối với Elon Musk cũng chất chồng... 

Công ty TNHH MTV Lâm nghiệp Kon Plông: Tăng cường các biện pháp bảo vệ rừng

Công ty TNHH MTV Lâm nghiệp Kon Plông: Tăng cường các biện pháp bảo vệ rừng
(PLVN) - Huyện Kon Plông (tỉnh Kon Tum), được đánh giá là địa phương còn gìn giữ và bảo tồn được diện tích rừng tự nhiên lớn nhất nhì tỉnh Kon Tum nói riêng và toàn bộ Tây Nguyên nói chung. Vì vậy, đối với Công ty TNHH MTV Lâm nghiệp Kon Plông đơn vị trực tiếp được giao nhiệm vụ bảo vệ rừng đây không chỉ là trách nhiệm mà còn là một nghĩa vụ cao cả…

Mở tài khoản Bản Việt ngay trên điện thoại, không cần đến ngân hàng

Mở tài khoản Bản Việt ngay trên điện thoại, không cần đến ngân hàng
(PLVN) - Kể từ hôm nay khách hàng của Ngân hàng Bản Việt sẽ không phải đến ngân hàng mà vẫn mở được tài khoản thanh toán ngay trên điện thoại của mình. Sau đó có thể thực hiện ngay các giao dịch như gửi tiết kiệm online, chuyển - nhận tiền, thanh toán hóa đơn, liên kết với ví điện tử để mua sắm. 

Phương pháp hỗ trợ điều trị viêm đại tràng theo góc nhìn Đông y

Phương pháp hỗ trợ điều trị viêm đại tràng theo góc nhìn Đông y
(PLVN) - Tư vấn trực tuyến “Viêm đại tràng dưới góc nhìn đông y” với sự tham gia của PGS.TS Nguyễn Xuân Hùng (GĐ Trung tâm Phẫu thuật Đại trực tràng &Tầng sinh môn) và TS. BS Lê Mạnh Cường (PCT Hội hậu môn trực tràng học Việt Nam) do nhãn hàng Đại Tràng Trần Quýđã đồng hành cùng Báo điện tử Sức khỏe&Đời sống – cơ quan ngôn luận của Bộ y tế vừa tổ chức tại Hà Nội. Chương trình đã thu hút hàng trăm nghìn người tham gia và đặt câu hỏi tới các chuyên gia của chương trình.

Vì sao nhà phố tại phân khu River Park 1 đô thị Aqua City đắt khách?

Vì sao nhà phố tại phân khu River Park 1 đô thị Aqua City đắt khách?
(PLVN) - Nhà phố tại phân khu River Park 1 đô thị Aqua City mang đến những trải nghiệm xứng tầm cho cộng đồng cư dân tinh hoa với không gian sống giao thoa giữa sắc màu thiên nhiên, tiện ích cùng vị trí đắc địa hiếm có, phù hợp để ở và khai thác kinh doanh, cho thuê…

Sơn cước miền tây

Sơn cước miền tây
(PLVN) - Cùng nằm trong dãy Thất Sơn nhuốm màu linh thiêng và là 1 trong 2 huyện miền núi bất khuất của quá khứ - anh hùng ở hiện tại, Tri Tôn đang trở mình sang trang mới khi được nhiều nhà đầu tư để mắt đến. 

Báo điện tử Pháp luật Việt Nam

Giấy phép xuất bản số 303/GP-BTTTT ngày 8/5/2015

Cơ quan chủ quản: Bộ Tư pháp

Tổng biên tập: Tiến sỹ Đào Văn Hội

Phó TBT: Trần Đức Vinh

Trưởng ban Báo Điện tử: Xuân Bính

Tòa soạn: Số 42/29 Nguyễn Chí Thanh, phường Ngọc Khánh, quận Ba Đình, Hà Nội

E-mail: baodientuphapluat@gmail.com

Hotline: 0353.63.63.55

Liên hệ quảng cáo: 0971.741.666‬