Eğer sizing için PLCleri programlamak siber güvenlik önlemlerini uygulamaktan daha rahat ise , bu bloglar dizi size göre. Blogun amacı network cihazlarında kurulu olan güvenlik işlevleri hakkında size bir bakış açısı sunmaktır, böylelikle siz uygulamanız için uygun olanlardan birini uygulayabilirsiniz. İlk blogda, Derinliğine Savunma ( Defense in Depth)dan ve kontrol ağındaki farklı noktalarda çeşitli savunma sistemlerini uygulamanın ne kadar önemli olduğundan kısaca bahsetmiştik . Bu en iyi uygulama hata ile yada kasıtlı olmuş olsunlar siber güvenlik olaylarından korunmayı maksimum seviyeye çıkartır.
Bölüm 1de endüstriyel Ethernet switchler gibi belirli cihazlara erişimi kontrol etmenin yollarına da göz atmıştık. Bugünün blogunda, ağ üzerinde herhangi bir cihaz yada bilgisayarın gönderebileceği yada alabileceği mesajların türlerini kontrol etmenin yollarını inceleyeceğiz.
Kimlik denetimi ve Port Güvenliği
“basit,fakat kolaylıkla gözden kaçan kontroller” kategorisinde , yönetilen network cihazlarındaki kullanılmayan portları kapatmak yada devre dışı bırakma konusu çok basittir. Bu yetkisi olmayan kullanıcıların yada cihazların networke bağlanmalarını engeller.
Şimdi, network erişiminin diğer yollarını düşünelim. Bu genelde 802.1x denilen bir kimlik denetim standardı kullanılarak kontrol edilir. ”x” standardın farklı bölümleri ile ilgilidir.Bu standardın sayısız uygulaması vardır ,en yaygın olanı RADIUS protokolüdür.
802.1x şu görevleri tanımlar:
İzin isteyen: Ağa erişmek isteyen cihaz
Kimlik Denetimi: İzin isteyenlere izin veren yada mesajları engelleyen switch gibi ağdaki bir cihaz İzin isteyenden aktarımların Kabul edilip edilmeyeceğini belirlemek için kimlik doğrulama sunucusundaki ( RADIUS sunucusu gibi) bilgileri kullanır. RADIUS cihazın giriş kimlik bilgisine yada cihazın MAC adresine bağlı olarak erişime izin verir.
Eğer IO’lu bir durumda olduğu gibi giriş mümkün değilse, sürücü yada kullanıcı arayüz cihazı olmayan başka bir cihazgiriş kimlik bilgilerini girer –sonra cihazın MAC adresi kullanılır.
Değiştirme kolaylığı için, üreticiyi tanımlamak için kullanılan ilk üç byte kullanılabilir. Örneğin; Schneider Electric tarafından satılan tüm network cihazlarının MAC adreslerinde aynı ilk üç byte mevcuttur. Eğer Schnedier’ın ilk üç byte’ını içeren MAC adresleri trafiğe izin verecek şekilde yapılandırılmış ise, tüm Schneider Electric cihazlarına izin veren network erişim kuralına sahipsinizdir. Eğer bir PLC arızalanırsa, onu aynı üreticiden başka bir tane ile değiştirebilirsiniz ve paketlerin hemen iletilmesine olanak verilecektir.Uygun olmayan cihazların tüm trafiği engellenecektir. Mevcut ağdaki güvenliği dağıtmanın ilave bir olanağı da verilen porta bağlanmak için izin verilen cihazın MAC yada IP adresini tanımlamak için kullanıcıya izin veren port güvenliğinden yararlanmaktır. Ortak ilk üç bayt veya IP adres aralığı erişime izin verme yeteneği cihazın kolay değiştirilmesine ve yerleştirilmesine olanak verir.Herhangi bir ihlal portu kilitleyebilir ve alarmı harekete geçirebilir( role çıkışı ve/veya SNMP trap)
DHCP-tabanlı Network Saldırılarından Korunma
DHCP sunucular arayüzler ve hizmetler için IP adresleri gibi ağ konfigürasyon parametrelerini dağıtırlar. DHCP haberleşmelerini hedef alan bazı saldırı türleri:
- Sahte IP adresleri dağıtan ağa başka bir DHCP sunucu eklemek, “ DHCP sunucu aldatmacası”
- Tüm mevcut IP adreslerini talep etmek ,” DHCP Tüketme Saldırısı”
- Mevcut cihazın IP adresini devralma “ IP adresini Ele geçirme”
Saldırılardan korunmak için:
- Sadece güvenilir portlardan gelen DHCP paketlerini Kabul etme
- Paketin kaynak MAC adresi ile DHCP tablosundaki müşteri donanım adresini karşılaştırma
- “Bağlantılar tablosu”ndaki ayarla ile güvenilir olmayan portlardan gelen DHCP serbest haberleşmelerini karşılaştırma
Bağlantılar tablosu cihazların IP ve MAC adreslerini ilişkilendiren tablodur. Eğer biri IP adresini çalarsa, bağlantılar tablosu hırsızın MAC adresinin ne olması gerektiğini gösterecektir.
Hirschmann İşletim Sistemli(HiOS) Hirschmann Endüstriyel Ethernet switchler gibi bazı ağ cihazları “IP Kaynak Koruma” denilen bir yetenek sayesinde ilave IP adres adlatmacası sağlar. Bir IP paketi güvenilir olmayan bir porttan alındığında, o bağlantılar tablosundaki girişler ile karşılaştırılır. Eğer kaynak IP adresi portta yer almıyorsa, veya opsiyonel olarak kaynak MAC adresi portta yer almıyorsa, paket atılır.
Erişim Kontrol Listeleri
Ağ erişimini ve trafiği düzenlemenin bir başka yolu switchlerde ve yönlendiricilerdeki ortak özellik olan Erişim Kontrol Listesi (ACL) kullanmaktır.Bu özellik kaynak ve hedef IP adresi gibi bir dizi parametreye dayalı IPv4 paketlerini filtreler. ACLler kaynak ve hedef MAC adresini kapsayan kriterlere göre Ethernet yapılarını da filtreler.
ACLler ve güvenlik duvarları aşağıdakilerin her ikisini de filtreler:
- Kaynak ve hedef adresi
- Kaynak ve hedef portu
- Protokol
Ancak onlar arasında büyük bir fark vardır- sadece güvenlik duvarları durum denetimi yapabilir.Kısacası, durum denetimi önceki bilgi alışverişinden veriyi kullanarak haberleşmeyi yorumlamayı içerir. Bu hangi cihaz oturum açtı,hangi cihaz en son mesaj gönderdi ve hata nedeniyle reddedilen son mesaj gibi durumları da içerir.
ACLler onun gerçek zamanlı değerlendirmesine dayalı bir paketi değerlendiriken, güvenlik duvarı daha büyük resim olan bilgi değişimlerine bakar ve sonra hangi haberleşmenin geçerli hangisinin olmadığını tanımlar. ACLler siber güvenlik bulmacasının bir parçasını sağlasalar da , güvenlik duvarlarının yerini almıyorlar.
0 Comments