Derinliğine savunma endüstriyel ağların korunması için en iyi anahtar uygulamalardan biri olarak tanımlanır. Bu saldırılara karşı bir alan güvenlik duvarı gibi tek bir savunma ile mümkün olandan daha yüksek dayanıklılık sağlamak amacıyla ağdaki farklı katmanlarda savunmanın çeşitli türlerini kullanmayı içerir.
Tamam,güzel,Bunu biliyoruz … fakat ,bu konsepti uygulamaya koymanın Pratik yolları nedir? İlk adımınız risk değerlendirmesi yapmak ve risklerinizi ve karşı önemlerini önem sıralamasını yapmak olmalıdır
Paralel olarak, güvenlik duvarının kapsadığı mevcut savunmanı da düşün. Onlar diğer cihazlarda kurulu güvenlik işlevlerinin getirdiği avantajları da kapsıyor mu?
Network donanımı daha güçlü olmaya başladığı için, güvenlik kapasitelerini kapsamı genişletildi. Çoğu yönetilebilir Ethernet switch kendilerini korumak için siber güvenlik özelliklerine sahiptirler ve bu da hiçbir masraf yapmadan ağın güvenliğini arttirmanın bir yoludur.
Güvenlik arttırımını sağlamak için hiçbir kolaylığı kaçırmadığınızdan emin olmak için ,Hirschmann ve GarretCom markalarımızdaki gibi switchlere konulan bazı güvenlik özelliklerine bir göz atalım
Limit Haberleşme Protokolleri
Doğru koruma türklerinden biri ağ altyapı cihazını yönetmek için ihtiyaç duyulan limit haberleşme protokolleridir. Aşağıdaki tablo endüstriyel kontrol sistemleri ( ICS) tarafından kullanılan yaygın yönetim protokolleri için önerilen sınırlamaları gösteriyor.
Cihazlara erişebilen IP adreslerini sınırlama
Diğer savunma katmanı cihazlara erişebilen IP adreslerini sınırlamaktır. Bunu yapmak için, cihazın yönetim arayüzlerine erişmek için hangi IP adreslerine izin verileceğini belirle. Her bir IP adresi için hangi protokollerin kullanılabileceğini belirle. Bu durumda bir saldırganın daha fazla bilgi ve IT yeteneğine ihtiyaç duyulan cihazlara erişmek için yönetim istasyonunun IP adresini kullanarak TCP/IP oluşturması gerekecektir.
Temel gibi görülebilen bu iki tekniğin birlikte kullanıldıklarında ,ağ altyapısının cihazlarına istenmeyen erişimi önlemek için çok etkili bir teknik olmaktadırlar.
Kullanıcı Erişimini Denetleme
Kullanıcı erişimi koşıullarında, bireysel kullanıcıların bireysel girişlerini sağlamak zaman alır. Her bir kullanıcıya uygun bir rol tahsis et ve misafirlere salt-okunur erişim ver. Operatörler okuma/yazma erişimine ihtiyaç duyar fakat güvenlik parametrelerine erişmemelidirler. Tabiki, yöneticinin tam okuma/yazma erişimine ihtiyacı vardır..
Kullanıcıların sağlam kendilerine özgü paraloları olmalıdır. Aşağıdakilere ihtiyaç duyan bir parola politikaı uygula:
- Minimum uzunluk
- En az bir büyük ,bir küçük karakter,bir sayı ve bir özel karakter
Maksimum giriş denemesi sayısı da kurulmalı
Kimlik Denetimi
Bunun önemini abartmak zor değil. Son birkaç yıl içinde, birkaç ICS ( endüstriyel kontrol sistemleri)nin zayıf noktaları değiştirilemeyen ön tanımlı parolalı cihazlar ile ilişkilendirildi. Bunun nedenleri bakımı kolaylaştırma, hızlı iyileştirme sorunu yada diğer sistemlerle entegrasyonu kolaylaştırma olabilir. İşlevsel olarak bu işleri kolaylaştırır, fakat bu güvenli olmayan bir uygulamadır.
Bir giriş kimlik denetimi listesi oluşturmalı ve sonra listeyi hem lokal hem de Radius sunucusu üzerinde uzaktan bağlantı şeklinde depolamalısın.
Lokal olarak yada Radius sunucusu üzerinde oluşan cihaz kimlik denetiminin kurulumunun örneği
Cihazı korumanın diğer bir yolu da harici hafızaya depolama yaparken, dosya konfigürasyonunu şifrelemektir. Bu bir cihazı değiştirmeyi daha karmaşık hale getirirken, yetkisi olmayan kişilerin konfigürasyon dosyasına erişimini de zorlaştırır.
IP Adresi Çakışmalarını Belirleme
IP adreslerini kopyalayıp bir saldırganın IP adresi kısıtlamasından kurtulmaya teşebbüs ettiği anlamına gelebilir. Alternatif olarak, onlar bir network yönetim istasyonunu cihazın görmesini engelleyecek servis saldırısının kasıtlı reddini gerçekleştirebilirler.Yada, IP adres çakışmaları kendisi bir güvenlik riski olan insan hatasının göstergesi olabilir.
Eğer network altyapı cihazının IP adresi son cihaz tarafından da kullanılıyorsa, bunu belirlemenin iki yolu vardır. Biri IP adresi zaten kullanımda mı değil mi diye cihazı aktif olarak kontrol etmektir. Diğer yol pasif olarak cihazın ağ trafiğini analiz etmek ve kendi adresini izlemektir.
Eğer diğer IP adresi belirlenirse, switch diğer cihazın kullandığı IP adresini değiştirmeye zorlayarak kendi IP adresini korumaya çalışır. Bu işe yaramaz ise, network cihazı şüpheli IP adresini kullanmayı durdurur.
Güvenlik Durumu
Mükemmel bir dünyada , networkü konfigüre eden bir mühendis asla hata yapmaz. Gerçekte, network altyapı cihazları üzerinde güvenlik işlevlerini konfigüre ederken, yanlışlıkla bir şeyi gözden kaçırmak çok kolaydır. Bu küçük dikkatsizlik saldırgana ihtiyacı olan kapıyı açabilir. En son switchler ve network yönetim yazılımı ( Endüstriyel HiVision gibi) bir bakışta network altyapı cihazlarının güvenlik durumuna genel bir bakış sağlar. Siz bir güvenlik uzmanı olmasanız bile, altyapınızdaki güvenlik açıklarının farkına hatayı avantaja çevirme eğilimde olan kötü niyetli bir kişiden önce varacaksınız.
Cihaz Korumaları Endüstriyel Siber Güvenliği arttırır
Güvenlik karmaşık bir konu olabilirken, aslında biri de Derinliğine Savunma ( Defense in Depth) olan bazı anahtar yol gösterici prensibleri kullanmaya başlıyor. Kendi metninizdeki derinliğine savunmayı düşünürken, yönetilebilir switchler gibi network cihazları ile birlikte mümkün olan güvenlik önlemlerini gözden geçirmeyi ve uygulamayı kapsamasını unutmayın. Bu blog sadece Hirschmann ve GarretCom ürün serilerinin içerdiği switchlerde bulunan bazı güvenlik önlemlerini gözden geçirmiştir. Gelecek makalelerde, güvenlik işlevlerinin son cihazlar için network erişim politikasını uygulamak ve ağı süpheli trafiğin yayılmasından korumak için kullanılabilen ağ altyapı cihazlarına nasıl kurulduğunu inceleyeceğiz.
Not: Bu makale Hirschmann Automation and Control de ürün müdürü ve endüstriyel siber güvenlik konusunda uzman Mark Cooksley’in uzmanlığı ile oluşturduğu makaleden çevirilmiştir.
0 Comments