Endüstriyel Ethernet Switch

Endüstriyel Wireless Güvenliği Bölüm 1: Koruma Stratejileri

Anasayfa, Makaleler

Endüstriyel Wireless Güvenliği Bölüm 1: Koruma Stratejileri

316views
1

Endüstriyel kablosuz uygulamalar kullanılabilirliğinin artırması ve maliyetlerin azalması sayesinde üreticiler ve operatörler tarafından her geçen gün daha fazla kullanılmaktadır. Bu kulağa harika geliyor, fakat fabrikanız için onu düşünmeden önce, endüstriyel wireless ağların güvenliğinden emin olmanın ne kadar zor olduğu hakkında endişe duyabilirsiniz.

İyi haber artık mevcut en iyi uygulamar, teknolojiler ve ürünlerin onu wireless uygulamalarını güvenle yürüten mühendislik ekipleri için anlaşılması kolay hale getirmedisir.

Bu iki bölüm makale WLAN koruma ve algılama stratejileri ile kombine Derinliğine Savunma yaklaşımının güvenli kablosuz ağ tasarımı için nasıl birlikte çalıştığını açıklıyor.

Secure-Industrial-Wireless-Network-Design
Koruma stratejileri endüstriyel kablosuz güvenlik için Derinliğine Savunma yaklaşımının önemli bir parçasıdır

 

Derinliğine Savunma ICS Güvenliği için çok önemlidir

Önemli bir ICS güvenlik en iyi uygulaması -Derinliğine Savunma (Defence in Depth :DiD) söz konusu olduğunda wireless uygulamalarının kablolu uygulamalardan farkı yoktur. DiD üç temel kavramları üzerine inşa edilmiştir bütünsel bir yaklaşımdır:

  1. Birden çok savunma katmanı: Çeşitli güvenlik çözümleri kullanılır ,çünkü bir katman pas gecilirse, ,diğeri gerekli savunmayı sağlanacaktır.
  2. Savunmanın farklılaştırılmış katmanları: Her bir güvenlik katmanı kısmen farklıdır, çünkü bir saldırgan otomatik olarak savunmanın tüm katmanlarını geçemez.
  3. Savunmanın tehdite özel tabakaları: Her savunma bu protokolleri kullanan sistemlerin davranış ve bağlamına dayalı korumayı sağlayan, belirli bir bağlam ve tehdit için tasarlanmıştır.

Bir tehdit, bir kaza sonucu oluşan iç olay veya kasıtlı dış saldırı olsun, DiD yaklaşımı onu tespit edecek, ayıracak ve kontrol edecektir. Bu yazı serisinin geri kalanında özetlenen wireless savunma stratejileri , WLANınızın güvenli olduğundan emin olmak için gerekli koruma katmanları sağlamak için birlikte çalışır.

Koruma Tekonojisi #1 –IEEE 802.11i, WPA2 ve VLANlar Kullanma

Bir şirketin mülkiyet sınırları dışında yayın yapabilmeleri WLAN iletim yolları ile bir meydan okumadır. Böylece saldırganlar onun çalışmasına engel olmak , kritik ve gizli bilgileri yakalamak için endüstriyel bir ağa doğrudan yada fiziksel bir erişime ihtiyaç duymazlar.

Bu kulağa korkutucu geliyor, fakat sanayi işbirliği kablosuz verilerin gizliliğini ve bütünlüğünü korumak için standartlar , IEEE 802.11i / WPA2, oluşturdu. Piyasadaki tüm güncel ürünler kontrol sistem haberleşmesinin güvenli olmasını ve saldırganların hassas verileri alamamalarını sağlamak için bu standartlara uymak zorundadır. WPA2’ye ilişkin olarak , güçlü cihaz kimlik doğrulaması için kendi Kurumsal modunu uyguladığından emin olun. Kişisel bilgisayar ağlarından farklı olarak, WPA2 (Kurumsal mod) RADIUS gibi merkezi bir veritabanında yönetilen anahtarlar ile farklı cihazlar için farklı anahtarlar sağlar. Kayıp yada çalınan cihazların , bilgileri veri tabanından kaldırılarak kolayca ağdan bağlantısı kesilebilir.

Ayrıca, WPA2 (Kurumsal modu)ile , bireysel cihazlara farklı sanal LAN (VLAN) atanabilir , böylece farklı rollere sahip cihazlar açıkça ayırt edilebilir . Bu segmentasyon bir saldırganın tehlikeye atılmış tek bir cihazın olması gerektiği bir ağa daha fazla erişebilmesni zorlaştırır – DiD’in bir örneği.

Koruma Tekonojisi #2 – Korumalı Yönetim Çerçeveleri Uygulama

Kablosuz iletişimin başka bir yönü korumak istediğiniz şeyin yönetim çerçeveleri olmasıdır. Bunlar ağın iç işleyişini düzenleye ve sahtecilik ve telekulağa son derece açıktır olan ağ paketleridir. Cihazlar ağa giriş ve çıkış yapmak, yeni anahtar değişikleri başlatmak ve bir erişim noktasından diğerine gezinirken raporlama yapmak için yönetim çerçevelerini kullanırlar. Bilgi, dinlendiğini yönetim çerçevelerinden alınabilir ve sahte yönetim çerçeveleri yanlış bir gönderici kimliği ile gönderilebilir . Saldırgan ağdan bir kurban cihazın bağlantısını keserek ağın işleyişini bozabilir.

Bu tür saldırılar ile mücadele etmek için, Korumalı Yönetim Çerçeveleri(PMF) sahteciliğe karşı yönetim çerçeveleri şifreler ve korur. Onlar yönetim çerçevelerini WPA2 de bulunan kimlik doğrulama ve şifreleme mekanizmaları ile genişletirler. PMF yetenekli ürünleri kullanarak yanlış yönetim işlevleri için bir ağ saldırısını imkansız hale getirirsiniz.

Koruma Tekonojisi #3 – Güvenlik duvarları kullanarak Sınırı İletişim

En etkili WLAN şifrelemesi bile güvenlik olayı ağ içinden kaynaklandığı zaman koruma sağlamaz. Fakat sadece endüstriyel uygulamayı çalıştırmak için gerekli olan sınırlı haberleşmeyi seçerek, iç saldırıların etkisini sınırlayan ek engeller kurarsınız.

Bu tür sınırlama bir ağın tüm çevresinde güvenliği önemli ölçüde arttıran diğer bir Derinliğine Savunma mekanizmasıdır.

Ağ içinde iletişimi sınırlandırılması için denenmiş ve doğru stratejiler şunlardır:

  • Ethernet seviyesinde yapılandırılabilir bir Katman 2 güvenlik duvarı uygulayarak WLAN verisini koruma. Bunu yapmak için yerleşik  Katman 2 güvenlik duvarlı Access Point  kullandığınızdan emin olmanız gerekir. En iyi olanlar WLAN müşteri arasındaki paket filtre trafiğinin yanı sıra yönlendirilmiş ve köprülenmiş trafiği filtreleyebilenlerdir.
  • Protokollerin güvenliğini sağlamak için durumsal  Derin Paket Kontrolünü (DPI) uygulamak. Katman 2 güvenlik duvarı kuralları uygulandıktan sonra, DPI güvenlik duvarı barındırdığı mesajların içeriğini inceler ve daha detaylı kurallar uygular. Örneğin, Modbus mesajı okuma veya yazma mesajı ve sonra tüm yazılı mesajları indiriyorsa, bir Modbus DPI güvenlik duvarı bunu belirleyebilir. İyi DPI güvenlik duvarları ayrıca garip biçimlendirilmiş mesajlar ve olağandışı davranışlar için “tutarlılık kontrolü” trafiği olabilir.

 

Derin Paket Korumasının bazen içerik denetimi veya protokol beyaz liste gibi diğer terimler tarafından bilindiğini unutmayınız. Bu yaygın olarak kullanılan özellik değildir; bizim Tofino Güvenlik ürün dizimiz  bu yeteneğe sahip olan birkaç taneden biridir.

DPI güvenlik duvarları genelde ISA IEC 62443 e göre ve  süreç için kritik ekipmanları korumak amacıyla  benzer güvenlik gereksinimli ekipman bölgeleri korumada kullanılırlar.

Koruma Endüstriyel Wireless Uygulamalarının Güvenliğini için anahtar bir stratejidir

Geliştirilmiş çalışma süresi, düşük maliyetler, daha hızlı ve daha doğru veri toplama gibi endüstriyel wireless faydalarına bugün kolaylıkla ulaşılabilir. Veriyi, cihazları ve kontrol ağını korumak, bu makalede açıklanan teknikler kullanılarak mümkündür.

Özetlemek gerekirse:

  • Tüm yeni kablosuz ürünler veri gizliliği ve bütünlüğü için IEEE 802.11i ve WPA2 ile uyumludur.Kullanmakta olduğunuz mevcut wirelessin bu iki standartla uyumlu olup olmadığından emin olmak için kontrol ediniz. Eğer WPA2 dan önceki koruma olan WEPi destekleyen bir ürene sahipseniz ağınız risk altındadır.
  • Bireysel kablosuz cihazların kimlik doğrulaması için WPA-kurumsal modunu kullanın.
  • Kontrol ağının alt bölümüne uygun cihazın etkilerini sınırlandıran ağ segmentine VLANlar uygulayın.
  • Korumalı Yönetim Çerçeveleri (PMF) olan ürünler kullanın ve etkin olduğundan emin olun.
  • Erişim Noktalarına yerleşik Katman 2 güvenlik duvarı kullanan özel eşler ve protokoller için WLAN hizmetinden yararlananlar arasındaki haberleşmeyi sınırlandırın.
  • DPI güvenlik duvarı kullanan anahtar üretim hücrelerini veya kritik ekipmanı daha fazla koruyun.

Sonraki makalemiz güvenli wireless ağ tasarımının ikinci ayağı:  anomali algılama stratejileri.

Beğendin mi? Arkadaşlarınla paylaş!

1
Erkan CİRİT

Posted by

0 Comments

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

log in

Captcha!
Forgot password?

reset password

Back to
log in