1. Home
  2. Anasayfa
  3. Telekomünikasyon Çözümleri
  4. Gelişmiş Siber Güvenlik - Advanced Cyber Security

Gelişmiş Siber Güvenlik – Advanced Cyber Security

Telekomünikasyon Çözümleri

Endüstriyel Otomasyon ve Kontrol Sistemi

Advanced Cyber Security Gelişmiş Siber Güvenlik

Advanced Cyber Security | Endüstriyel IoT (IIoT) talebi artmaya devam ettikçe, kapalı endüstriyel ağlar Public internet üzerinden erişilebilir olmakta zorluklarla karşılaşılmaktadır. IIoT, operasyonel verimliliğini artırırken, beraberinde, daha çok siber güvenlik tehdidini de beraberinde getirir. Dolayısıyla, hükümetler başta olmak üzere diğer kullanıcılar da, potansiyel cyber security hasarları hakkında daha çok endişeleniyorlar.

IEC 62443 standardı, bir networkün farklı parçaları için en iyi örneklerin listesini ve güncel yönergeleri içermektedir. Standart ayrıca bilinen güvenlik sızıntılarına ve bilinmeyen ataklara karşı korumak için bir networkte farklı sorumlulukları uygulayalar için bilgilerde içermektedir. Bu standardın nihai hedefi, networklerin güvenliği daha iyi bir noktaya getirme ve endüstriyel otomasyon ve kontrol mekanizmalarının güvenliğini artırmaya yardımcı olmaktır.

Şu anda Siemens ve ABB gibi birçok entegratör, component sağlayıcıların standardın, IEC 62443-4-2 alt maddesine uymalarını istemektedir. Bu alt madde dört güvenlik tehdidi seviyesini tanımlar.

Advanced Cyber Security Gelişmiş Siber Güvenlik

Advanced Cyber Security - IEC 62443 Standart

Advanced Cyber Security Gelişmiş Siber Güvenlik

Level 1, yetkisiz girişleri ve kazalara karşı koruma sağlayacaktır.

Level 2, otomasyon endüstrisi için temel gereksinimleridir. Hacker’lar tarafında yapılan siber tehditler ve Sistem sağlayıcılarının uğradığı en önemli saldırı tecrübeleri ile ilişkilidir.

Level 3 ve 4, belirli beceri ve araçları kullanan bilgisayar korsanlarının kasıtlı erişimine karşıdır.

Advanced Cyber Security Gelişmiş Siber Güvenlik

Advanced Cyber Security - Network Management

Siber güvenlik uzmanlarının bakış açısından, networkleri etkileyen en önemli siber güvenlik saldırıları yetkisiz giriş, güvenli olmayan data iletimi, kripto (şifrelenmiş) data,  tamamlanmamış event logları internal ve operasyonel hataları kapsar.

Advanced Cyber Security Gelişmiş Siber Güvenlik

Advanced Cyber Security - Management Cyber Security

Advanced Cyber Security Gelişmiş Siber Güvenlik

Advanced Cyber Security | WoMaster, en yeni Uygulamaya Özel Entegre Devre (ASIC) güvenlik teknolojisini (L2-L7 paket sınıflandırması), çok seviyeli kimlik doğrulamayı, güvenli veri iletimini, şifreli anahtar verilerini, eksiksiz olay günlüklerini uygulayan SW & HW (ASIC) entegre koruma mekanizması sağlar. Logs / traps, işletim hataları önleme ve hatta günlükleri ve işletim hataları, endüstriyel uygulamalar için en güvenli sistemleri oluşturmak için IEC62443-4-2 Seviye 2 gereksinimlerini de sağlar.

Advanced Cyber Security Gelişmiş Siber Güvenlik

IEEE802.1 x MAB (MAC Authentication Bypass)​

Advanced Cyber Security | WoMaster Routing switchler, Gelişmiş IEEE802.1 x port security protokolüne sahiptir. Bu gelişmiş özellik MAC Authentication Bypass (MAB) olarak adlandırılmaktadır. MAB, TACACS+ / Radius Server için MAC authentication süreçlerini bypas etmek için kullanılır. MAB kullanılmadan önce, uç noktalarda bulunan (örneğin PLC) cihazların kimlikleri bilinmiyor ve tüm trafik engelleniyordu ve switchler kimlik bilgisini öğrenmek için tek bir paketi inceler ve MAC adres authentication sağlardı. MAB’dan sonra ise,uç noktalarda bulunan cihazların kimliklerinin bilinmesine ve tüm trafiğe izin verilmesine olanaklı hale geldi. switch, yalnızca MAB authentication kullanan uç noktanın trafik göndermesine izin verilmesini sağlamak için kaynak MAC adresi filtrelemesi gerçekleştirir.

Advanced Cyber Security Gelişmiş Siber Güvenlik

Advanced Cyber Security - IEEE802.1 x MAB

Advanced Cyber Security Gelişmiş Siber Güvenlik

MAB’a ek olarak authentication, switch içerisinde önceden konfigüre edilmiş statik MAC table veya dinamik olarak öğrenilmiş MAC adres tablosu ile ayrıca yapılandırılabilir.

  • MAC adres otomatik öğrenme, bir güvenli portda önceden konfigüre edilmiş sayıda ilk kaynak MAC adreslerini öğrenmesi içi programlanmasını sağlar. Bu özellik, bir portda ilk MAC adres yetkilendirmesi yapıldığında, o portta uygun güvenli adreslerin tutulması sağlanır. Bu MAC adresler otomatik olarak Statik MAC Adres Tablosuna eklenir ve kullanıcı tarafından özellikle kaldırılıncaya kadar orada kalır.
  • Port güvenliği, Sticky MAC ile daha ileri düzeyde sağlanır. Eğer Sticky MAC özelliği aktif edilirse, MAC adresler veya cihazlar o porta etiketlenir ve başka portlara gitmelerine izin verilmez.
  • Bağlantı Noktası Kapatma Süresi (Port Shutdown Time), bir güvenlik ihlali olayı meydana geldiğinde kullanıcıların bağlantı noktasını otomatik olarak kapatmasını ve bunun zamanını belirtmelerine olanak sağlar.

Advanced Cyber Security Gelişmiş Siber Güvenlik

Advanced Cyber Security - MAC Authentication Bypass

Advanced Cyber Security Gelişmiş Siber Güvenlik

Dynamic ARP Inspection (DAI) | Endüstriyel Router Firewall Layer 3 Switch

Gelişmiş Siber Güvenlik | Dynamic ARP InspectionDAI, bir networkde ARP paketlerini doğrular. DAI, geçersiz IP – to – MAC adres bağlantıları ile ARP paketlerini engeller, loglar veya çıkartır. Bu yetenek, networkü (man-in-the-middle attacs) izinsiz izleme ataklarından korur.

DAI, yalnızca geçerli ARP isteklerinin ve yanıtlarının iletilmesini sağlar.  Switch şu etkilikleri gerçekleştirebilir:

  • Güvenli olmayan tüm portlardaki tüm ARP paketlerini engeller.
  • Bu engellenen paketlerin her birinin, arp ARP önbelleğini güncellemeden önce veya paketi uygun hedefe yönlendirmeden önce geçerli bir IP-MAC adresi bağlantısı olduğunu doğrular.
  • Geçersiz ARP paketlerini düşürür.

DAI, güvenli bir database içinde depolanan geçerli IP-to-MAC adres bağlantılarını baz alarak ARP paketlerinin geçerliliğini tanımlar. Bu database, eğer switch üzerinde bir VLAN’da DHCP snooping aktif edilmişse, DHCP snooping tarafından oluşturulur. Eğer güvenli bir interface’den bir ARP paketi alınırsa, switch her hangi bir kontrol olmadan paketleri iletir. Güvenli olmayan interface’de eğer geçerli IP – to – MAC bağlantısı varsa, peketlerin iletilmesine izin verilir.

Advanced Cyber Security Gelişmiş Siber Güvenlik

Advanced Cyber Security - Dynamic ARP Inspection

Advanced Cyber Security Gelişmiş Siber Güvenlik

IP Source Guard (IPSG)

Gelişmiş Siber Güvenlik | IP Source Guard, kötü niyetli kullanıcıların geçerli bir kullanıcı IP adresini kullanmasını önlemek için Layer 2 kaynak IP filtrelemesi sağlar. Bu özellik dynamic DHCP snooping özelliğini ve güvenli olmayan Layer 2 access portlarda buluna kullanıcılar için statik kaynak IP’yi, kullanıcı IP adreslerine eşleştirmek için bağlar.

İlk olarak, güvenli porttaki DHCP paketleri dışındaki tüm IP trafiği engellenir. Sonra, bir kullanıcı DHCP Serverdan bir IP alır veya sistem yöneticisi tarafından IP source bağlantısı konfigüre edilerek, tüm trafiğe bu IP adresi ile bu kullanıcı tarafından izin verilir.

Aşağıdaki örnek topoloji incelendiğinde daha net anlaşılabilir. Burada bir ring topolojinde yetkilendirilmiş kullanıcı sahasında bulunan switch üzerinde IP adres A tanımlanarak güvenli port oluşturulur. Bu tanımlanan veya DHCP tarafından verilen IP, ringde bulunan diğer switchler üzerinde tanımlı olmadığından, IP kopyalansa bile trafiğe izin verilmeyecektir.

Kısaca, diğer bilgisayarlardan gelen trafik reddedilir. Bu filtreleme, bir ana bilgisayarın komşu bir ana bilgisayarın IP adresini talep ederek ağa saldırma yeteneğini sınırlar.

Advanced Cyber Security Gelişmiş Siber Güvenlik

Advanced Cyber Security - IP Source Guard IPSG

Advanced Cyber Security Gelişmiş Siber Güvenlik

Gelişmiş Siber Güvenlik

, , , , , , , ,
error: