Professional Documents
Culture Documents
Silo - Tips - Endstriyel Otomasyon Sistemlerinde Network Gvenlii
Silo - Tips - Endstriyel Otomasyon Sistemlerinde Network Gvenlii
Özet: Endüstriyel otomasyon sistemleri için network ve haberleşme büyük bir öneme sahiptir. Sis-
temin işleyişi bu yapının sürekli ve güvenilir bir şekilde çalışmasına bağlıdır. Haberleşme siste-
minde oluşacak aksaklıklar işlerin yavaşlamasına hatta durmasına kadar gidebilir. Ayrıca internetin
hayatımızda zorunlu bir ihtiyaç haline geldiği bu günlerde sisteme içeriden ve dışarıdan gelebilecek
tehlike riski de artmıştır. Bu çalışmada örnek bir otomasyon sisteminde network yapısının nasıl ta-
sarlanacağı, güvenliğinin ne şekilde sağlanacağı ve nasıl bir yol izleneceği üzerinde durulmaktadır.
Abstract: Network and communication have great importance for industrial automation sys-
tems. Functioning of the system depends on continuous and reliable operation of this structure.
Deficiencies of the network system cause slowing down or even stopping works. In addition, the
Internet has become a necessity in our lives these days also increased the risk of danger to the
system from within and from outside. In this study; these are emphasized that how to design the
network structure and what security will be provided to in a model automation system.
Endüstriyel otomasyon sistemleri; kaliteli ve İnternetin sağladığı faydaların yanında eğer ge-
hızlı bir üretim için proseslerin sistematik ve rekli güvenlik tedbirleri alınmazsa sisteme dışa-
kontrollü olarak gerçekleştirildiği, insan gücü rıdan gelebilecek saldırılarda kaçınılmaz olur.
kullanımının en aza indirgendiği sistemlerdir.
Bu sistemlerin işleyişinde haberleşme temel bi- Çalışmamızın ilk bölümünde yaygın olarak gö-
leşendir. Çünkü sistemin başlangıç noktası olan rülen network saldırı yöntemleri ele alınacaktır.
mekanik sistemlerinin kontrolünden en üst se- İkinci bölümünde ise endüstriyel otomasyon sis-
viyedeki karar destek sistemlerinin çalışmasına temlerinin bölümleri, çalışması ve network proto-
kadar bütün sistem; networkün sürekli ve gü- kolleri üzerinde durulacak, network saldırılarının
venli haberleşmesi esasına bağlı olarak çalışır. endüstriyel otomasyon sistemlerini nasıl etkileye-
ceği ve ne gibi sonuçlar doğuracağı anlatılacaktır.
Haberleşme sistemlerindeki gözle görülür ge-
lişmeler ( özellikle internetteki gelişmeler-3G 2. Network Saldırı Yöntemleri
gibi ) bilgiye istenilen yer ve zamanda ulaşma
imkânı sunmaktadır. Endüstriyel otomasyon Güvenlik önlemleri alınmadığı zaman networ-
sistemlerinde de bu gelişmeler ışığında web ta- ke ve üzerinden geçen verilere yönelik değişik
banlı yazılım uygulamaları ve uzaktan yönetim saldırılar yapılabilir.
343
Endüstriyel Otomasyon Sistemlerinde Network Güvenliği
İlhami Muharrem Orak, Uğur Özdemir
Man-in-the-Middle Saldırıları: Bu tür saldırı- istedikleri web sitelerinin yerine kendi istedi-
larda saldırgan kurban ile kurbanın gitmek iste- ği yere ulaşmalarını sağlıyor. Sonuçta internet
diği hedef noktası arasına girerek bütün iletişi- bankacılığı gibi uygulamalarda kullanıcı far-
mi istediği gibi kontrol eder. Bu saldırılar birçok kına varmadan sahte bir siteye yönlendirilip
değişik şekilde karşımıza çıkabilir.(ARP Zehir- şifresi çalınabiliyor[3]. Çözüm güvenilen dhcp
lenmesi, DNS Ön Bellek Zehirlenmesi vb.) sunucusu tanımlarının switchlere girilmesidir.
ARP Zehirlenmesi: ARP saldırısı yerel ağlarda DOS (Denial of Service) Saldırıları: Bu tür
gerçekleştirilebilen bir saldırıdır. Bu saldırı, üç saldırılarda amaç değişik hizmetler veren ağ
şekilde gerçekleştirilmektedir. Birincisi; hedef cihazlarının (e-posta sunucusu, web sunucusu
bilgisayarın ARP tablosunun yanlış bilgilerle vb.) servis dışı bırakarak kullanıcılarını mağ-
dolmasını sağlayarak hedef bilgisayarın gönde- dur etmektir.
receği paketlerin saldırganın istediği adreslere
gitmesini sağlamak. İkincisi; hedef bilgisayarın Ping of Death Saldırısı: ICMP protokolünün
göndereceği tüm paketlerin, saldırganın bilgi- içerisinde bulunan ping işlemi kullanılarak var-
sayarı üzerinden geçmesini sağlamak (Man in sayılan aralıktan çok daha büyük veri gönderip
the Middle). Üçüncüsü de; hedef bilgisayarın, alınmaya çalışıldığında kurbanın bilgisayarı bu
paketlerini bir başka bilgisayara göndermesini duruma cevap veremeyip hizmet dışı kalacak-
sağlayarak bu bilgisayara servis dışı bırakma tır. Güvenlik duvarı üzerinden ping portunu
(Denial of Service) saldırısı yapmak şeklinde- kapatarak saldırı engellenebilir.
dir. IP-MAC eşleştirmelerini switchler üzerinde
port bazlı tutarak sorunu çözebiliriz[1]. Ping Flooding: Bu saldırı kurbanın bilgisaya-
rına çok fazla ping paketi gönderilerek gerçek-
DNS Ön Bellek Zehirlenmesi: Bu saldırılar- leştirilir. Bilgisayar bir süre sonra bu isteklere
da, bir DNS sunucusuna yetkisiz bir kaynaktan cevap veremeyip hizmet dışı kalır. Bu saldırıda
veri yüklenmesi ile kullanıcıların istediği alan güvenlik duvarından ping portunu kapatarak
adlarına gittiğini zannedip önemli bilgilerini engellenebilir.
elde etmeye çalışmak veya mağdur etmek için
kullanılır. Açıklık kapatılması için yaygın ya- SYN Flooding: Bu saldırıda saldırgan kulla-
zılım üreticileri tarafından çıkartılan yamaların nılmayan IP adreslerini aldatma amaçlı kaynak
uygulanması tavsiye edilmektedir. Yamalar adresi olarak kullanarak birçok SYN paketini
uygulanamıyorsa veya yama mevcut değilse kurbanın bilgisayarına yollar. Alınan her SYN
bu sunuculara erişimin kısıtlanması, yerel (in- paketi için kurbanın bilgisayarı kaynak ayırır
ternetten doğrudan ulaşılamayan ) DNS ön- ve onay paketini SYN paketinin yollandığı
belleğinin kullanılması, DNS sunucuları önü- kaynak ip adresine yollar. Kurban saldırgandan
ne saldırıyı kesebilecek Linux Iptables veya yanıt alamayacağından, SYN-ACK paketini 5
OpenBSD PF yerleştirilmesi veya tüm trafiğin kez daha göndermeyi deneyecektir. Bu işlemler
yamanmış, açıklığı olmayan bir sunucuya yön- her SYN paketi için gerçekleşeceğinden belirli
lendirilmesi tavsiye edilmektedir[2]. bir süre sonra kaynaklar tükenip sistem cevap
veremez hale gelecektir. Bu saldırı güvenlik
DHCP Snooping: Bu saldırı yönteminde sal- duvarından SYN paketleri daha çabuk zaman
dırı yapan bilgisayar ağ üzerindeki DHCP su- aşımına uğratılarak engellenebilir.
nucusunun yerine geçiyor ve IP bilgilerini iste-
yen istemcilere kendi istediği bilgileri veriyor. 3. Endüstriyel Otomasyon Sistemleri
Bu bilgilerden en önemlisi DNS sunucusu ve
varsayılan ağ geçidinin IP adresi. Saldırgan bu 3.1 Bölümleri ve Genel Çalışması
bilgileri değiştirerek istemcilerin bağlanmak Endüstriyel otomasyon sistemleri genel olarak
344
Akademik Bilişim’11 - XIII. Akademik Bilişim Konferansı Bildirileri
2 - 4 Şubat 2011 İnönü Üniversitesi, Malatya
Scada sistemi; mekanik sistemlerden sensörler, Karar Destek Sistemleri (DSS): Bilgilerin
transducerlar vb. elektronik devre elemanları hızlı bir şekilde tüm sistem içerisinden akta-
yardımıyla bilgi toplar ve bu bilgiler ışığında rıldığı ve verilerin analiz edilip karar vericinin
kontrol programları yardımıyla mekanik sis- sistem üzerindeki kararlarına destek olması
temlerin hedeflendiği gibi çalışmasını sağlar. için kullanılan sistemlerdir.
HMI ( Human-Machine Interface) kullanıcı ara
yüzleri yardımıyla sistem sürekli olarak uzak- Şekil-3’de Endüstriyel otomasyon sistemleri-
tan izlenir. nin bölümleri gösterilmiştir.
345
Endüstriyel Otomasyon Sistemlerinde Network Güvenliği
İlhami Muharrem Orak, Uğur Özdemir
laması yapılarak açılmalı. Böylelikle dışa- • Dmz üzerinden içeri gelebilecek olan sca-
rıdan gelen yetkisiz isteklerin filtrelenme- da sistemini uzaktan yönetim için gerekli
si sağlanır. portlar açılmalıdır.
-1997 yılında Beyaz Rusya da virüs araştırma pılabilecek network saldırı riski de artmıştır.
şirketi olarak kurulan, VirusBlokAda tarafın- Bu sistemlere yapılacak network saldırıları üre-
dan Temmuz 2010 da keşfedilen Stuxnet kurt- timi yavaşlatabilir, durdurabilir ve hatta can ve
çuğu (worm), İran-Buşehr nükleer santralinde- mal kaybına yol açabilir. Bu sebeplerden ötürü
ki SCADA sistemlerini etkilemek için, özel network güvenliğini sağlamak çok önemlidir.
amaçlar gözetilerek santralin PLC sistemlerini Bunu yaparken öncelikle network iyi analiz
farklı frekanslarda ve motor hızlarında çalıştı- edilmeli, güvenlik açıklarını kapatacak şekilde
racak şekilde işlevsiz hale getirmek amacıyla, yapılandırılmalı ve internet tabanlı uygulama-
ABD Savunma Bakanlığı (DARPA) deste- lara kontrollü bir geçiş yapılmalıdır.
ğiyle, bir grup gönüllü siber savaş yazılımcısı
tarafından Alman-Siemens PLC sistemlerine Kaynaklar
ait bilgi birikimi ve İsrail’in lojistiğiyle USB
bellekler-diskler ile yayılacak şekilde siber si- [1] http://www.bilgiguvenligi.gov.tr/aktif-cihaz-
lah olarak hazırlandığı tahmin ediliyor.İran is- guvenligi/ikinci-katman-saldirilari-5.html
tihbarat kurumu başkanı Haydar Moslehi;
kamuya ait 30 bin kadar bilgisayarın etkilen- [2] http://www.hakanuzuner.com/index.php/
diği bu saldırıyı, “Batılı güçlerin planladığını” tag/dns-onbellek-zehirlenmesi
İngiliz The Guardian gazetesine ifade etti.[7]
[3]http://www.chip.com.tr/konu/Guvenli-aglara-
- 10 Haziran 1999’da Bellingham’daki bir sca- giden-yol-DHCP-Snooping_12045_4.html
da system hatasında 230.000 galon benzin iki
derenin içerisine boşaldı. Bu benzinde ateş ala- [4] Daniel E. Nordell, P.E., Senior Member,
rak 3 kişinin ölümüne yol açtı ve 8 kişininde IEEE “Communication Systems for Distribu-
yaralanmasına sebep oldu. Ayrıca önemli çev- tion Automation” Transmission and Distributi-
resel zararlara yol açtı. on Conference and Exposition, 2008.
- 7 Nisan 1992’de Texas Branham’daki gaz [5] I. Nai Fovino, A. Carcano, M. Masera, “A
boru hattında scada kontrolörü yanlış bir şe- Secure and Survivable Architecture for SCA-
kilde işlemeye başladı. Scada izleme sistemide DA Systems”, Second International Conferen-
hayli uçucu olan sıvının anormal sızıntısını al- ce on Dependability, 2009.
gılayamadı. Bunun sonucunda ateş alan madde
3 kişinin ölümüne, 21 kişinin yaralanmasına ve [6] Ning Cai, Jidong Wang, Xinghuo Yu, “SCA-
9 milyon dolar zarara sebep oldu. DA System Security: Complexity, History and
New Developments” , Industrial Informatics,
- 22 Haziran 2009’da iki DC Metro treni çarpış- 2008, 6th IEEE International Conference.
tı. NTSB araştırması scada tabanlı otomatik tren
koruma sisteminin rölantide olan bir treni algıla- [7] http://www.bilgiguvenligi.gov.tr/
yamamasından kaynaklandığını saptadı. Bunun siber-savunma/siber-savasta-yeni-cephe-
sonucunda 9 kişi öldü ve 52 kişi yaralandı[8]. iran-busehr-nukleer-santrali-ve-scada-plc-
sistemler.html
4. Sonuç
[8] Robert E. Johnson, “Survey of SCADA
Endüstriyel otomasyon sistemlerinde internet Security Challenges and Potential Attack Vec-
tabanlı uygulamaların kullanılmaya başlanma- tors”, Internet Technology and Secured Tran-
sı ile klasik network sistemlerinden daha farklı sactions (ICITST), 2010.
bir network yapısına sahip olan bu sistemlere
eksiklikleri nedeniyle içeriden ve dışarıdan ya-
348