Endüstriyel Otomasyon Sistemlerinde Network Güvenliği



Benzer belgeler
Endüstriyel Otomasyon Sistemlerinde Network Güvenliği. Network Security in Industrial Automation Systems

ERİŞİM ENGELLEME DOS VE DDOS:

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

AĞ TEMELLERİ 4.HAFTA CELAL BAYAR ÜNİVERSİTESİ AKHİSAR MESLEK YÜKSEKOKULU

Endüstriyel Kontrol Sistemleri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Ağ Temelleri. Murat Ozdemir Ondokuz Mayıs Üniversitesi Bilgi İşlem Daire Başkanı 15 Ocak Ref: HNet.23

PLC (Programlanabilir Kontrol Cihazı) TABANLI SİSTEMLERİN İNTERNET ÜZERİNDEN İZLENMESİ

ARP (Address Resolution Protocol) Poisoning -Ağın Korunma Yöntemleri

Gökhan AKIN. ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi.

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

TCP/IP. TCP (Transmission Control Protocol) Paketlerin iletimi. IP (Internet Protocol) Paketlerin yönlendirmesi TCP / IP

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

BİLGİSAYAR SİSTEMLERİNE YAPILAN SALDIRILAR

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

Siber Teröristlere Karşı Kurumlar Nasıl Korunmalıdır? Yusuf TULGAR NetDataSoft Genel Müdürü

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

Elbistan Meslek Yüksek Okulu Güz Yarıyılı

DHCP kurulumu için Client/Server mimarisine sahip bir ağ ortamı olmalıdır ki bu da ortamda bir Domain Controller olmasını zorunlu kılar.

KONELSIS Energy & Electric & Automation SCADA / DCS SİSTEMLERİ

TCP / IP NEDİR? TCP / IP SORUN ÇÖZME

Kurumsal Güvenlik ve Web Filtreleme

Yeni Nesil IP Protokolü (IPv6) ve Güvenlik

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

FOUR-FAITH F-DPU100 M2M 3G/4G ENDÜSTRİYEL PROTOKOLLERİ DESTEKLEYEN ÖZEL MODEM

Elbistan Meslek Yüksek Okulu Güz Yarıyılı EKi Salı, Perşembe Öğr. Gör. Murat KEÇECĠOĞLU

Kurumsal Güvenlik ve Web Filtreleme

BSM 532 KABLOSUZ AĞLARIN MODELLEMESİ VE ANALİZİ OPNET MODELER

İnternet te Bireysel Güvenliği Nasıl Sağlarız? Rauf Dilsiz Bilgi Güvenliği Uzmanı

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı Ara Salı, Çarşamba Öğr. Gör. Murat KEÇECĠOĞLU

BTK nın IPv6 ya İlişkin Çalışmaları

Doç. Dr. Cüneyt BAYILMIŞ

Bilgi Güvenliği Farkındalık Eğitimi

RoamAbout Wireless Access Points

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA

Elektrik Altyapılarında Bilgi Güvenliği Riskleri ve Çözümler

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

Network Access Kontrol Ağ Erişim Kontrolü (NAC)

Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü Bilgisayar Ağları - 1 (BİL 403)

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Akıllı Kontrolde Teknoloji Devi SCADA YAZILIMI. Supervisory Control and Data Acquisition. ViewPLUS. Açık, Esnek, Ölçeklenebilir.

Coslat Monitor (Raporcu)

Endüstriyel otomasyon protokollerinin her zaman yapılan işlem için gerekli olan bant genişliğini sağlar

Dağıtık Servis Dışı Bırakma (DDoS) Saldırıları ve Korunma Yöntemleri

İnternet Nedir? 1. İnternet Teknolojileri. İçerik. İnternet Nedir? 2. Ders 1

İnternet Teknolojileri. Ders 1

Altyapı Güvenliği. Prof. Dr. Eşref ADALI www. Adalı.net

/pikalite / bilgipi /pikalite EĞİTİM HİZMETLERİMİZ

HABERLEŞME. izlenebilmekte ve komut alabilmektedir.

Siber Güvenlik Basın Buluşması. C.Müjdat Altay 15 Haziran 2015

EKLER EK 12UY0106-5/A4-1:

IPV6'DA MULTICAST KRİTİĞİ

Ağ Topolojisi ve Ağ Yazılımları

OSI REFERANS MODELI-II

2008 Yılı Kritik Güvenlik Açıkları

Yeni Nesil Ağ Güvenliği

hızlı - esnek - sarı

Tarih Saat Modül Adı Öğretim Üyesi. 01/05/2018 Salı 3 Bilgisayar Bilimlerine Giriş Doç. Dr. Hacer Karacan

BİLGİ GÜVENLİĞİ GÜZ DÖNEMİ ELEKTRONİK ORTAMLARDAKİ TEHDİTLER VE TÜRLERİ (DEVAM)

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY

IPv6 Saldırı Araçları ve IPv6-GO Uygulamaları. Emre YÜCE - TÜBİTAK ULAKBİM 6 Mayıs 2010

Öğr.Gör. Gökhan TURAN Gölhisar Meslek Yüksekokulu

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

Computer Networks 5. Öğr. Gör. Yeşim AKTAŞ Bilgisayar Mühendisliği A.B.D.

WiFi Relay Sayfa 1 / 11. WiFi Relay. Teknik Döküman

Kurumsal Ağlarda Web Sistem Güvenliği

Data Link Katmanı olarak adlandırılır. Fiziksel adresleme bu katmanda yapılır.

MCR02-AE Ethernet Temassız Kart Okuyucu

Secure Networks Capabilities Dragon Network Defense

MUSKİ KUYU- DEPO-TERFİ İSTASYONLARI RTU PANO KURULUM VE SCADA SİSTEMİ TÜRKİYE NİN İLK YERLİ ÇİFT İŞLEMCİLİ RTU KURULUMU

EC-100. Ethernet RS232/422/485 Çevirici. İstanbul Yazılım ve Elektronik Teknolojileri

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

Antalya Tıp Bilişim Kongresi Kasım Can AKSOY IT Network (CTO / STL)

Siber Savaş Konseptleri. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

Gökhan AKIN İTÜ/BİDB Ağ Grubu Başkanı - ULAK/CSIRT

Firewall/IPS Güvenlik Testleri Eğitimi

DOS vs Kurumsal Güvenlik. 15 Şubat 2011 Murat H. CANDAN

Bilgisayar Sistemleri ilk ortaya çıktığında...

Kerberos Kimlik Denetimi Altyapısı

Ders Kodu Yarıyıl T+U Saat Kredi AKTS. Programlama Dilleri

Ayni sistem(host) üzerinde IPC. Ağ(network) aracılığı ile IPC

DHCP Servisine Yeni Bir Bakış

İPv4 İLE İPv6 PROTOKOLLERİNİN KARŞILAŞTIRILMASI VE KURUMSAL VERİ GÜVENLİĞİNİN İPV6 İLE SAĞLANMASI

Bir bölgede başka bir bölgeye karşılıklı olarak, veri veya haberin gönderilmesini sağlayan.sistemlerdir.

TL-WPS510U PRINT SERVER KURULUM DÖKÜMANI

Ağ Bağlantısı Hızlı Kurulum Kılavuzu

Protocol Mimari, TCP/IP ve Internet Tabanlı Uygulamalar

SCADA SISTEMLERI ILE PERFORMANS YÖNETIM SISTEMI UYGULAMALARı. Elma Yönetim ve Otomasyon Sistemleri

Örnek bir kullanım ve bilgisayar ağlarını oluşturan bileşenlerin özeti

EC-485. Ethernet RS485 Çevirici. İstanbul Yazılım ve Elektronik Teknolojileri

Web Servis-Web Sitesi Bağlantısı

Linux Üzerinde İleri Düzey Güvenlik Duvarı Uygulamaları

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

Sunum İçeriği. 1. Siber Savaş (Siber Terör) 2. Siber Savunma 3. USOM

Web Uygulamarına Yönelik DoS DDoS Saldırıları ve Performans Testleri. Barkın

FortiGate & FortiAP WiFi Controller

Transkript:

Akademik Bilişim 11 - XIII. Akademik Bilişim Konferansı Bildirileri 2-4 Şubat 2011 İnönü Üniversitesi, Malatya Endüstriyel Otomasyon Sistemlerinde Network Güvenliği İlhami Muharrem Orak 1, Uğur Özdemir 2 1 Karabük Üniversitesi, Bilgisayar Mühendisliği Bölümü, Karabük 2 Kastamonu Üniversitesi, Bilgi İşlem Daire Başkanlığı, Kastamonu imorak@karabuk.edu.tr, ugurozdemir@kastamonu.edu.tr Özet: Endüstriyel otomasyon sistemleri için network ve haberleşme büyük bir öneme sahiptir. Sistemin işleyişi bu yapının sürekli ve güvenilir bir şekilde çalışmasına bağlıdır. Haberleşme sisteminde oluşacak aksaklıklar işlerin yavaşlamasına hatta durmasına kadar gidebilir. Ayrıca internetin hayatımızda zorunlu bir ihtiyaç haline geldiği bu günlerde sisteme içeriden ve dışarıdan gelebilecek tehlike riski de artmıştır. Bu çalışmada örnek bir otomasyon sisteminde network yapısının nasıl tasarlanacağı, güvenliğinin ne şekilde sağlanacağı ve nasıl bir yol izleneceği üzerinde durulmaktadır. Anahtar Sözcükler: Endüstriyel Otomasyon Sistemleri, Network Güvenliği Network Security in Industrial Automation Systems Abstract: Network and communication have great importance for industrial automation systems. Functioning of the system depends on continuous and reliable operation of this structure. Deficiencies of the network system cause slowing down or even stopping works. In addition, the Internet has become a necessity in our lives these days also increased the risk of danger to the system from within and from outside. In this study; these are emphasized that how to design the network structure and what security will be provided to in a model automation system. Keywords: Industrial Automation Systems, Network Security 1. Giriş Endüstriyel otomasyon sistemleri; kaliteli ve hızlı bir üretim için proseslerin sistematik ve kontrollü olarak gerçekleştirildiği, insan gücü kullanımının en aza indirgendiği sistemlerdir. Bu sistemlerin işleyişinde haberleşme temel bileşendir. Çünkü sistemin başlangıç noktası olan mekanik sistemlerinin kontrolünden en üst seviyedeki karar destek sistemlerinin çalışmasına kadar bütün sistem; networkün sürekli ve güvenli haberleşmesi esasına bağlı olarak çalışır. Haberleşme sistemlerindeki gözle görülür gelişmeler ( özellikle internetteki gelişmeler-3g gibi ) bilgiye istenilen yer ve zamanda ulaşma imkânı sunmaktadır. Endüstriyel otomasyon sistemlerinde de bu gelişmeler ışığında web tabanlı yazılım uygulamaları ve uzaktan yönetim uygulamaları kullanımı hızla artmaktadır. İnternetin sağladığı faydaların yanında eğer gerekli güvenlik tedbirleri alınmazsa sisteme dışarıdan gelebilecek saldırılarda kaçınılmaz olur. Çalışmamızın ilk bölümünde yaygın olarak görülen network saldırı yöntemleri ele alınacaktır. İkinci bölümünde ise endüstriyel otomasyon sistemlerinin bölümleri, çalışması ve network protokolleri üzerinde durulacak, network saldırılarının endüstriyel otomasyon sistemlerini nasıl etkileyeceği ve ne gibi sonuçlar doğuracağı anlatılacaktır. 2. Network Saldırı Yöntemleri Güvenlik önlemleri alınmadığı zaman networke ve üzerinden geçen verilere yönelik değişik saldırılar yapılabilir. 343

Endüstriyel Otomasyon Sistemlerinde Network Güvenliği İlhami Muharrem Orak, Uğur Özdemir Man-in-the-Middle Saldırıları: Bu tür saldırılarda saldırgan kurban ile kurbanın gitmek istediği hedef noktası arasına girerek bütün iletişimi istediği gibi kontrol eder. Bu saldırılar birçok değişik şekilde karşımıza çıkabilir.(arp Zehirlenmesi, DNS Ön Bellek Zehirlenmesi vb.) istedikleri web sitelerinin yerine kendi istediği yere ulaşmalarını sağlıyor. Sonuçta internet bankacılığı gibi uygulamalarda kullanıcı farkına varmadan sahte bir siteye yönlendirilip şifresi çalınabiliyor[3]. Çözüm güvenilen dhcp sunucusu tanımlarının switchlere girilmesidir. ARP Zehirlenmesi: ARP saldırısı yerel ağlarda gerçekleştirilebilen bir saldırıdır. Bu saldırı, üç şekilde gerçekleştirilmektedir. Birincisi; hedef bilgisayarın ARP tablosunun yanlış bilgilerle dolmasını sağlayarak hedef bilgisayarın göndereceği paketlerin saldırganın istediği adreslere gitmesini sağlamak. İkincisi; hedef bilgisayarın göndereceği tüm paketlerin, saldırganın bilgisayarı üzerinden geçmesini sağlamak (Man in the Middle). Üçüncüsü de; hedef bilgisayarın, paketlerini bir başka bilgisayara göndermesini sağlayarak bu bilgisayara servis dışı bırakma (Denial of Service) saldırısı yapmak şeklindedir. IP-MAC eşleştirmelerini switchler üzerinde port bazlı tutarak sorunu çözebiliriz[1]. DNS Ön Bellek Zehirlenmesi: Bu saldırılarda, bir DNS sunucusuna yetkisiz bir kaynaktan veri yüklenmesi ile kullanıcıların istediği alan adlarına gittiğini zannedip önemli bilgilerini elde etmeye çalışmak veya mağdur etmek için kullanılır. Açıklık kapatılması için yaygın yazılım üreticileri tarafından çıkartılan yamaların uygulanması tavsiye edilmektedir. Yamalar uygulanamıyorsa veya yama mevcut değilse bu sunuculara erişimin kısıtlanması, yerel (internetten doğrudan ulaşılamayan ) DNS önbelleğinin kullanılması, DNS sunucuları önüne saldırıyı kesebilecek Linux Iptables veya OpenBSD PF yerleştirilmesi veya tüm trafiğin yamanmış, açıklığı olmayan bir sunucuya yönlendirilmesi tavsiye edilmektedir[2]. DHCP Snooping: Bu saldırı yönteminde saldırı yapan bilgisayar ağ üzerindeki DHCP sunucusunun yerine geçiyor ve IP bilgilerini isteyen istemcilere kendi istediği bilgileri veriyor. Bu bilgilerden en önemlisi DNS sunucusu ve varsayılan ağ geçidinin IP adresi. Saldırgan bu bilgileri değiştirerek istemcilerin bağlanmak 344 DOS (Denial of Service) Saldırıları: Bu tür saldırılarda amaç değişik hizmetler veren ağ cihazlarının (e-posta sunucusu, web sunucusu vb.) servis dışı bırakarak kullanıcılarını mağdur etmektir. Ping of Death Saldırısı: ICMP protokolünün içerisinde bulunan ping işlemi kullanılarak varsayılan aralıktan çok daha büyük veri gönderip alınmaya çalışıldığında kurbanın bilgisayarı bu duruma cevap veremeyip hizmet dışı kalacaktır. Güvenlik duvarı üzerinden ping portunu kapatarak saldırı engellenebilir. Ping Flooding: Bu saldırı kurbanın bilgisayarına çok fazla ping paketi gönderilerek gerçekleştirilir. Bilgisayar bir süre sonra bu isteklere cevap veremeyip hizmet dışı kalır. Bu saldırıda güvenlik duvarından ping portunu kapatarak engellenebilir. SYN Flooding: Bu saldırıda saldırgan kullanılmayan IP adreslerini aldatma amaçlı kaynak adresi olarak kullanarak birçok SYN paketini kurbanın bilgisayarına yollar. Alınan her SYN paketi için kurbanın bilgisayarı kaynak ayırır ve onay paketini SYN paketinin yollandığı kaynak ip adresine yollar. Kurban saldırgandan yanıt alamayacağından, SYN-ACK paketini 5 kez daha göndermeyi deneyecektir. Bu işlemler her SYN paketi için gerçekleşeceğinden belirli bir süre sonra kaynaklar tükenip sistem cevap veremez hale gelecektir. Bu saldırı güvenlik duvarından SYN paketleri daha çabuk zaman aşımına uğratılarak engellenebilir. 3. Endüstriyel Otomasyon Sistemleri 3.1 Bölümleri ve Genel Çalışması Endüstriyel otomasyon sistemleri genel olarak

Akademik Bilişim 11 - XIII. Akademik Bilişim Konferansı Bildirileri 2-4 Şubat 2011 İnönü Üniversitesi, Malatya altı bölümden oluşur. 1. Mekanik Sistemler 2. Otomasyon Sistemleri 3. Proses Kontrol Sistemleri 4. Üretim Kontrol Sistemleri 5. Kaynak Planlama Sistemleri 6. Karar Destek Sistemleri Mekanik Sistemler: Üretimin yapılabilmesi gerekli makinelerin ve mekanik elemanların ( Motor, valf, pompa, yürüyen bant vb.) bulunduğu bölümdür. Sistemin çekirdeğini oluşturur. Bütün sistem bu yapıya göre şekillendirilir. Şekil-2: Örnek Bir Scada Sistemi Şekil-1: Örnek Bir Mekanik Sistem Otomasyon Sistemleri: Otomasyon sistemlerinde kullanılan PLC ( Programmable Logic Controller ), DCS ( Distributed Control System ) vb. sistemler genel olarak scada ( Supervisory Control and Data Acquisition ) sistemleri olarak bilinirler. Sistemin uzaktan izlenmesini ve sistem parametrelerinin kontrolünü mümkün kılan scada sisteminin temelleri 1932 yılında Automatic Electric Company nin uzaktan kontrol ürünlerinden yola çıkarak atıldı. 1960 ların sonlarında bilgisayar tabanlı sistemlerin kullanılmaya başlanması ve 1971 yılında Intel 4004 serisi mikroişlemcilerin çıkmasıyla birlikte bilgisayar tabanlı scada sistemlerinin gelişimi devam etmiş günümüzde de hala devam etmektedir[4]. Scada sistemi; mekanik sistemlerden sensörler, transducerlar vb. elektronik devre elemanları yardımıyla bilgi toplar ve bu bilgiler ışığında kontrol programları yardımıyla mekanik sistemlerin hedeflendiği gibi çalışmasını sağlar. HMI ( Human-Machine Interface) kullanıcı ara yüzleri yardımıyla sistem sürekli olarak uzaktan izlenir. Proses Kontrol Sistemleri: Otomasyon sisteminde verilen görevlerin denetimini yapar. Bunu yaparken ileri programlama teknikleri ve veri tabanı uygulamaları kullanılır. Otomasyon sisteminin yöneticisi sürekli olarak HMI ekranından sistemi takip eder. Üretim Kontrol Sistemleri (MES): Veri tabanı uygulamaları kullanılarak üretime yönelik raporlar alınır, bu raporlar neticesinde üretim planlaması yapılır ve sistemin optimizasyonu sağlanır. Burada da yine HMI ekranından sistem sürekli kontrol edilir. Kaynak Planlama Sistemleri (ERP): Kümelenmiş sistemlerin ve veri tabanı uygulamalarının kullanıldığı ve üretim sonrası satış, stok kontrol, sipariş vb. işlemlerin gerçekleştirildiği bölümdür. Karar Destek Sistemleri (DSS): Bilgilerin hızlı bir şekilde tüm sistem içerisinden aktarıldığı ve verilerin analiz edilip karar vericinin sistem üzerindeki kararlarına destek olması için kullanılan sistemlerdir. Şekil-3 de Endüstriyel otomasyon sistemlerinin bölümleri gösterilmiştir. 345

Endüstriyel Otomasyon Sistemlerinde Network Güvenliği İlhami Muharrem Orak, Uğur Özdemir Seviye-5 Karar Destek Sistemleri Seviye-4 Kaynak Planlama Seviye-3 Üretim Kontrol Sistemi Seviye-2 Proses Kontrol Sistemi Seviye-1 Otomasyon Sistemi Mekanik Sistemler (Pompa, valf vb.) Şekil-3 3.2 Endüstriyel Networkler 3.2.1 Protokoller Endüstriyel otomasyon sistemleri ModBus/ TCP, Ethernet/IP, DNP3 gibi endüstriyel network protokollerini kullanılıyor. Modbus protokolü OSI modelinin 7. Seviyesinde bulunan uygulama katmanı mesajlaşma protokolüdür. Farklı networklerde bulunan cihazlar arasında İstemci/Sunucu iletişimini sağlar. DNP3 ve ProfiBus protokolleride herhangi bir yetkilendirme veya güvenlik sorgusuna bakılmaksızın uzaktaki aygıtların kontrolüne imkan sunuyor. İnternet tabanlı endüstriyel otomasyon sistemlerinde bunlara TCP/IP protokolüde eklendi. Bu protokollerin TCP/IP protokolü ile birlikte kullanılması sisteme bir saldırgan tarafından kolay bir şekilde zarar verme fırsatı sundu[5]. Honeywell (USA), Emerson (USA), ve Siemens (German) gibi scada sistem üreticileri bu eksiklikleri kendi ürünlerinde ortadan kaldırmak için güvenlik çözümleri geliştirmeye ve aynı zamanda geleneksel IT şirketleride (CISIO, IBM, Symantec vb.) bu kritik güvenlik altyapısını sağlayabilecek ürünler sunmak için kendi güvenlik duvarı, 346 sunucu ve güvenlik yazılımlarında yoğun çalışmalar yapmaya başladı[6]. 3.2.2 Sistemin Tasarlanması ve Genel Network Mimarisi Networkte Inside, Outside ve DMZ olmak üzere üç ana bölge oluşturuldu(şekil-4). Inside; üretim ve diğer işlerin yapıldığı güvenli bölgedir. Inside (LAN) içerisine güvenlik, broadcast kontrol ve esneklik gibi avantajlar sağladığından üç ana bölüm için ayrı birer vlan tanımlandı. Outside; İnternet üzerinden sisteme dahil olacak kullanıcıların ve uzak ofislerin bulunduğu bölgedir. DMZ; web sunucusunun bulunduğu bölgedir. Genellikle internet üzerinden yapılan saldırılar öncelikle web sunucularına oluyor. Bu yüzden farklı bir bölgede tutulması gereklidir. LAN ın Yapılandırılması: Network veri hattı ve cihazlarının fiziksel güvenliği sağlanmalı. Veri kaybını engellemek için veri kablo boyları standartlara uygun yapılandırılmalı. Networkte kullanılacak bütün cihazlar kayıt altına alınmalı. Cihazlar switchlerin hangi portuna bağlanacaklarsa port bazlı MAC güvenliği sağlanmalı. Switchlerin kullanılmayan portları yönetimsel olarak kapatılmalı. Switchlerde arp zehirlenmesine karşı IP- MAC listeleri oluşturulmalı. Switchlerde DHCP snooping saldırılarına karşı güvenilir DHCP portu tanımlanmalıdır. Veri tabanı ve ip tabanlı uygulamalar olacağından vlan-2 gibi alanlarda sabit ip kullanımı gereklidir. Güvenlik Duvarı Yapılandırılması: Sistemde her yerden erişimin olacağı sunucuların ilgili portları (80, 110, 25 vb.) açılmalıdır. Dışarıdan içeriye doğru tüm portlar öncelikle kapalı olmalıdır. İhtiyaçlar doğrultusunda içeriyle (uzak ofislere ve uzak kullanıcılara) ilgili portlar sabit IP tanım-

Akademik Bilişim 11 - XIII. Akademik Bilişim Konferansı Bildirileri 2-4 Şubat 2011 İnönü Üniversitesi, Malatya laması yapılarak açılmalı. Böylelikle dışarıdan gelen yetkisiz isteklerin filtrelenmesi sağlanır. Dmz üzerinden içeri gelebilecek olan scada sistemini uzaktan yönetim için gerekli portlar açılmalıdır. Şekil-4: Endüstriyel Otomasyon Sistemlerinin Genel Network Mimarisi 3.3.4 Meydana Gelen Kazalar, Saldırılar ve Sonuçları - Amerikada 2003 yılında nükleer düzenleme kurulu; Ohio DavisBesse nükleer santralinde operatörleri kazalar hakkında uyaran iki önemli monitör sisteminin saatler boyunca hizmet dışı kalmasına Slammer bilgisayar wormunun networke sızmasının sebep olduğunu resmi olarak duyurdu. 347-2000 yılında Maroochy Shire da iş başvurusu reddedilen Avustralyalı bir adam atık su kontrol sistemine dizüstü bilgisayar ve kablosuz bir radio kullanarak girip intikam aldı. Milyonlarca litre atık su yerel parklara, nehirlere ve Majör otelin arazisine boşaldı. Scada sistemlerinde meydana gelebilecek kazaların sonuçları tahmin edilemeyecek kadar kötü olabilir. Yapılan araştırmalara göre:

Endüstriyel Otomasyon Sistemlerinde Network Güvenliği İlhami Muharrem Orak, Uğur Özdemir -1997 yılında Beyaz Rusya da virüs araştırma şirketi olarak kurulan, VirusBlokAda tarafından Temmuz 2010 da keşfedilen Stuxnet kurtçuğu (worm), İran-Buşehr nükleer santralindeki SCADA sistemlerini etkilemek için, özel amaçlar gözetilerek santralin PLC sistemlerini farklı frekanslarda ve motor hızlarında çalıştıracak şekilde işlevsiz hale getirmek amacıyla, ABD Savunma Bakanlığı (DARPA) desteğiyle, bir grup gönüllü siber savaş yazılımcısı tarafından Alman-Siemens PLC sistemlerine ait bilgi birikimi ve İsrail in lojistiğiyle USB bellekler-diskler ile yayılacak şekilde siber silah olarak hazırlandığı tahmin ediliyor.iran istihbarat kurumu başkanı Haydar Moslehi; kamuya ait 30 bin kadar bilgisayarın etkilendiği bu saldırıyı, Batılı güçlerin planladığını İngiliz The Guardian gazetesine ifade etti.[7] - 10 Haziran 1999 da Bellingham daki bir scada system hatasında 230.000 galon benzin iki derenin içerisine boşaldı. Bu benzinde ateş alarak 3 kişinin ölümüne yol açtı ve 8 kişininde yaralanmasına sebep oldu. Ayrıca önemli çevresel zararlara yol açtı. Endüstriyel otomasyon sistemlerinde internet tabanlı uygulamaların kullanılmaya başlanması ile klasik network sistemlerinden daha farklı bir network yapısına sahip olan bu sistemlere eksiklikleri nedeniyle içeriden ve dışarıdan yapılabilecek network saldırı riski de artmıştır. Bu sistemlere yapılacak network saldırıları üretimi yavaşlatabilir, durdurabilir ve hatta can ve mal kaybına yol açabilir. Bu sebeplerden ötürü network güvenliğini sağlamak çok önemlidir. Bunu yaparken öncelikle network iyi analiz edilmeli, güvenlik açıklarını kapatacak şekilde yapılandırılmalı ve internet tabanlı uygulamalara kontrollü bir geçiş yapılmalıdır. Kaynaklar [1] http://www.bilgiguvenligi.gov.tr/aktif-cihazguvenligi/ikinci-katman-saldirilari-5.html [2] http://www.hakanuzuner.com/index.php/ tag/dns-onbellek-zehirlenmesi [3] http://www.chip.com.tr/konu/guvenli-aglaragiden-yol-dhcp-snooping_12045_4.html [4] Daniel E. Nordell, P.E., Senior Member, IEEE Communication Systems for Distribution Automation Transmission and Distribution Conference and Exposition, 2008. - 7 Nisan 1992 de Texas Branham daki gaz boru hattında scada kontrolörü yanlış bir şekilde işlemeye başladı. Scada izleme sistemide hayli uçucu olan sıvının anormal sızıntısını algılayamadı. Bunun sonucunda ateş alan madde 3 kişinin ölümüne, 21 kişinin yaralanmasına ve 9 milyon dolar zarara sebep oldu. - 22 Haziran 2009 da iki DC Metro treni çarpıştı. NTSB araştırması scada tabanlı otomatik tren koruma sisteminin rölantide olan bir treni algılayamamasından kaynaklandığını saptadı. Bunun sonucunda 9 kişi öldü ve 52 kişi yaralandı[8]. 4. Sonuç 348 [5] I. Nai Fovino, A. Carcano, M. Masera, A Secure and Survivable Architecture for SCA- DA Systems, Second International Conference on Dependability, 2009. [6] Ning Cai, Jidong Wang, Xinghuo Yu, SCA- DA System Security: Complexity, History and New Developments, Industrial Informatics, 2008, 6th IEEE International Conference. [7] http://www.bilgiguvenligi.gov.tr/ siber-savunma/siber-savasta-yeni-cepheiran-busehr-nukleer-santrali-ve-scada-plcsistemler.html [8] Robert E. Johnson, Survey of SCADA Security Challenges and Potential Attack Vectors, Internet Technology and Secured Transactions (ICITST), 2010.

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim