CỔNG TRUYỀN DỮ LIỆU MỘT CHIỀU

Khi việc Hội tụ IT/OT diễn ra đồng nghĩa với việc nguy cơ lộ lọt thông tin dữ liệu ngày một nhiều hơn, đặc biệt các trang thiết bị điều khiển trong mạng OT phải đối mặt với nguy cơ lớn về tấn công chiếm quyền điều khiển. Cổng bảo mật một chiều (Unidirectional Security Gateway - USG) là công nghệ bảo mật cho phép truyền dữ liệu chỉ theo một hướng duy nhất theo chiều từ mạng ngoài vào mạng nội bộ (hoặc ngược lại) mà không có thông tin nào bị rò rỉ theo chiều ngược lại, đảm bảo việc truyền dữ liệu an toàn giữa hai mạng cách ly và tránh được các tấn công, truy cập trái phép từ bên ngoài.

Cổng truyền dữ liệu một chiều USG (Unidirectional Security Gateway) là công nghệ cho phép kết nối trong suốt, truyền dữ liệu một chiều giữa 02 vùng mạng độc lập hỗ trợ các giao thức trên nền tảng TCP/IP giả lập, giao thức yêu cầu thời gian thực nhằm tăng cường giải pháp bảo đảm an toàn thông tin (ATTT), an ninh mạng (ANM) cho các hệ thống mạng điều khiển IT/OT.

ỨNG DỤNG CÔNG NGHỆ THIẾT KẾ LÕI TRÊN NỀN TẢNG FPGA PHÁT TRIỂN CỔNG TRUYỀN DỮ LIỆU MỘT CHIỀU USG

Thiết kế phần cứng của thiết bị

Thiết bị bao gồm 02 thành phần chính bo mạch xử lý FPGA và máy tính nhúng điều khiển (EPC). Bo mạch FPGA sẽ nhận lệnh từ EPC xử lý dữ liệu theo tập lệnh nhận được đồng thời phản hồi lại EPC các sự kiện đã xử lý.

Trên EPC chạy phần mềm, giao diện điều khiển cho phép quản trị, cấu hình, thiết lập luật, hiển thị trạng thái, hiển thị Log sự kiện, nhận lệnh từ hệ thống giám sát thông qua Giao diện lập trình ứng dụng (Application Programming Interface - API).

Trên bo mạch FPGA bao gồm bộ nhớ RAM ngoài, bộ nhớ Flash, bộ cấp nguồn, cổng quang SFP/ SFP+ (Small Form-factor Pluggable) kết nối với hệ thống mạng điều khiển, mạng IT/OT và EPC.

Phần sụn (Firmware) của thiết bị bao gồm các khối xử lý trung tâm, khối trao đổi dữ liệu trên cổng quang, khối cấu hình cho các cổng quang. Lõi xử lý trung tâm có nhiệm vụ chính là nhận tập luật điều khiển từ EPC thông qua Module SFP/SFP+. Tập luật nhận từ EPC được ghi vào BLOCK RAM của FPGA. FPGA sẽ dựa theo tập luật điều khiển để thực thi xử lý dữ liệu số vào ra từ luồng dữ liệu trên Khối cổng quang SFP/SFP+. Khối trao đổi dữ liệu trên cổng quang có nhiệm vụ kết nối hệ thống mạng OT với hệ thống mạng IT thông qua chuẩn quang SFP/SFP+, luồng dữ liệu sẽ qua khối này trước khi vào FPGA. Khối cấu hình có nhiệm vụ thiết lập trạng thái làm việc trên cổng quang SFP/SFP+.

Hình 1. Sơ đồ khối tổng quan của thiết bị

Thiết kế phần mềm triển khai trên thiết bị USG

Phần mềm điều khiển có khả năng tương tác nhận lệnh điều khiển hay liên kết với các hệ thống giám sát mạng điều khiển.

- Khối xử lý Trung tâm bao gồm một số chức năng chính như:

+ Tương tác CSDL với FPGA cho phép đẩy dữ liệu xuống FPGA qua cổng SFP/SFP+.

+ Chức năng cập nhật phần mềm cho phép cập nhật các bản nâng cấp, bản vá nếu có.

+ Thiết lập tập luật chặn tất cả gói tin chứa dữ liệu đi từ vùng mạng IT hay những gói tin không nằm trong nằm trong Danh sách kiểm soát truy cập (Access Control List - ACL).

- Khối API kết nối với hệ thống giám sát ATTT cho mạng điều khiển bao gồm một số chức năng chính như:

+ Nhận dữ liệu từ hệ thống giám sát mạng điều khiển.

+ Đọc, ghi vào CSDL.

+ Gửi tập luật xuống bo mạch FPGA.

- Khối giao diện quản trị, cấu hình bao gồm một số chức năng chính như:

+ Quản lý người dùng, phân quyền, quản lý chức năng hệ thống cho phép tạo mới, sửa và cấp quyền cho người sử dụng.

+ Quản lý và cấu hình hệ thống cho phép thiết lập cấu hình

mặc định cho thiết bị trên giao diện điều khiển.

+ Quản lý các lệnh điều khiển cho phép thêm sửa xóa bằng tay các tập luật trên giao diện điều khiển.

- Khối cấu hình, điều khiển phần cứng bao gồm một số chức năng chính như sau:

+ Tiếp nhận luật từ phân hệ xử lý trung tâm. + Ra lệnh chặn/bỏ chặn gói tin theo luật đã nhận.

+ Thiết lập tự động chặn gói tin, cách ly với vùng mạng bị nhiễm mã độc theo dữ liệu nhận được từ hệ thống giám sát.

- Khối lưu trữ CSDL: Đọc/Ghi CSDL về thông tin User, Password; tập luật thiết lập; trạng thái liên kết với hệ thống giám sát mạng, đường truyền; Log sự kiện.

Nguyên lý hoạt động được thể hiện trong Hình 2.

Hình 2. Sơ đồ khối nguyên lý hoạt động của thiết bị USG

Quản lý thiết bị được phép truyền dữ liệu ra mạng IT

Khi một gói tin truyền từ vùng mạng OT đến IT, phần Header của gói tin sẽ được phân tách thành các địa chỉ MAC, IP và PORT. Các thông tin này sau đó được xử lý và so sánh với ACL nhận từ máy tính điều khiển EPC. Nếu các thành phần của gói tin khớp với ACL, gói tin sẽ được phép đi qua. Ngược lại, nếu không khớp, gói tin sẽ bị chặn lại.

Thông tin về địa chỉ MAC, IP, PORT, loại giao thức của các gói tin truyền qua và bị chặn sẽ được thu thập. Những dữ liệu này sau đó được đi qua bộ lọc để loại bỏ các sự kiện trùng lặp, không cần thiết và chỉ giữ lại những bản ghi phù hợp với tiêu chí đã xác định nhằm giảm bớt khối lượng dữ liệu, tối ưu hiệu suất cho EPC. Dữ liệu về Log sự kiện quan trọng sau đó sẽ được gửi lên EPC để lưu trữ nhằm phục vụ cho việc kiểm tra ATTT trên hệ thống, phát hiện lỗ hổng bảo mật.

Về đường truyền ngược từ vùng mạng IT đến OT, tất cả các gói tin chứa dữ liệu đều bị chặn. Chỉ những gói tin không chứa dữ liệu nhưng cần thiết cho kết nối giao thức TCP mới được phép đi qua như các gói tin phục vụ quá trình bắt tay 3 bước: SYN, SYN-ACK, FIN-ACK hay các gói ACK xác nhận toàn vẹn dữ liệu.

So với các thiết bị DataDiode truyền thống, thiết bị USG trong giải pháp này được bổ sung thêm cơ chế quản lý truy cập dựa trên địa chỉ MAC, IP, và PORT, giúp kiểm soát chặt chẽ việc truyền dữ liệu từ các thiết bị nằm trong vùng mạng bảo vệ ra ngoài mạng.

Hỗ trợ các giao thức OT yêu cầu thời gian thực được phát triển trên nền tảng TCP/IP như: ModbusTCP, IEC 104, IEC 61850,...

GIẢI PHÁP TCP/IP GIẢ LẬP

Mô hình giải pháp TCP/IP giả lập

Thiết bị USG được thiết kế để chặn mọi luồng dữ liệu đi qua chiều ngược, nhằm bảo vệ an ninh cho hệ thống mạng điều khiển. Tuy nhiên, với các giao thức như TCP/IP, việc duy trì kết nối tin cậy đòi hỏi sự trao đổi qua lại của các gói tin như ACK, SYNACK và FIN-ACK, cũng như các gói tin ở Layer 2 trong mô hình OSI như ARP, IGMP để duy trì và kết thúc kết nối.

Khi các gói tin được truyền từ mạng IT qua USG vào hệ thống OT, chúng được tách thành các bit riêng biệt và được khối xử lý trung tâm phân tích để xác định loại gói tin. Thông qua quá trình này, hệ thống có thể nhận diện các gói tin điều khiển quan trọng như ACK, SYN-ACK và FIN-ACK cần thiết cho việc duy trì kết nối TCP/IP. Những gói tin này sẽ được thiết lập trên một luồng dữ liệu riêng biệt trong hệ thống và được phép đi qua chiều ngược của thiết bị USG. Điều này đảm bảo rằng chỉ những gói tin điều khiển quan trọng mới được truyền qua và tất cả các gói tin chứa dữ liệu hoặc bất kỳ thông tin không mong muốn nào đều bị chặn lại. Nhờ cơ chế này, thiết bị USG vẫn duy trì được tính một chiều của nó, đồng thời cho phép giao thức TCP/IP hoạt động bình thường.

Đối với các gói tin ICMP, nguy cơ bị tấn công DoS (Denial of Service) và DDoS (Distributed Denial of Service) luôn hiện hữu. Với giải pháp này, kỹ thuật viên có thể dễ dàng vô hiệu hóa quyền truy cập giao thức ICMP thông qua giao diện phần mềm. Sau khi xác nhận kết nối giữa hệ thống mạng IT/OT đã được thiết lập thành công và kiểm tra hoàn tất, kỹ thuật viên có thể tiến hành chặn kết nối qua giao thức ICMP để tăng cường bảo mật.

Hình 3. Sơ đồ khối giải pháp TCP/IP giả lập

Thử nghiệm giải pháp TCP/IP giả lập

Hình 4. Mô hình thử nghiệm giải pháp

Hiện tại, nhóm tác giả đã thử nghiệm thành công mô hình giải pháp (Hình 4), với kết quả được kiểm chứng bằng các công cụ phần mềm như Iperf và Wireshark.

Từ kết quả thu được (Hình 5, 6), nhận thấy rằng máy tính User1 có địa chỉ IP-172.168.1.10 nằm trong vùng mạng điều khiển OT có thể truyền dữ liệu qua giao thức TCP (vùng số 1, 2) với máy tính User2 nằm trong vùng mạng IT có địa chỉ IP-172.168.1.52. Ngược lại, những gói tin chứa dữ liệu-TCP Data (vùng số 4) hay thực hiện chức năng rà quét-ICMP (vùng số 3) đều bị chặn lại khi truyền từ máy tính User2 vào vùng mạng điều khiển.

Hình 5. Dữ liệu được truyền từ vùng mạng điều khiển ra vùng mạng ngoài bằng giao thức TCP

Hình 6. Mọi truy cập hay gửi dữ liệu đến vùng mạng điều khiển đều bị chặn lại

Kết quả thử nghiệm

Giải pháp cổng truyền dữ liệu một chiều USG đã đáp ứng tốt các yêu cầu kỹ thuật đề ra. Dữ liệu chỉ được truyền theo một chiều từ vùng mạng điều khiển, trong khi mọi luồng dữ liệu theo chiều ngược lại đều bị chặn, đảm bảo an ninh và tính toàn vẹn của hệ thống.

KẾT LUẬN

Trong bài viết, nhóm tác giả đã trình bày chi tiết mô hình phần cứng và phần mềm cùng với nguyên lý hoạt động của Giải pháp Cổng truyền dữ liệu một chiều USG. Đồng thời, bài viết giới thiệu sử dụng TCP/IP giả lập hỗ trợ các giao thức truyền thông tin cậy như TCP làm tiền đề kết nối các giao thức mạng điều như IEC 104, IEC 61850… trên nền tảng TCP/IP. Giải pháp này có thể được triển khai tại khu vực giao thoa giữa mạng điều khiển SCADA của các trạm và vùng mạng điều khiển chung (IT/OT Network) đáp ứng nhu cầu truyền dữ liệu một chiều từ vùng mạng điều khiển (ICS/SCADA) sang vùng mạng chung (IT/OT Network) hoặc giữa các vùng mạng IT/OT với mức độ bảo mật và ATTT khác nhau. Giải pháp đảm bảo nhiệm vụ truyền dữ liệu an toàn trong các hệ thống mạng điện lưới của EVN cũng như trong mạng điều khiển các dây chuyền sản xuất của nhà máy và xí nghiệp bắt kịp xu hướng hội tụ IT/OT hiện nay.