Page 32 - st-endustri-4.0-2021-haziran
P. 32
ÜRÜN VE SİSTEMLER l SİBER GÜVENLİK
Kusurlu nokta
Çoklu ağ arayüzüne sahip kontrolörler, zaman zaman SCADA ve I/O ağlarını
“ayırmak” için kullanılır ancak böyle bir ayrımdan bahsetmek mümkün değil. İşte,
endüstriyel ağların güvenlik mimarisinde sıklıkla gözden kaçan bir faktör; “kusurlu
nokta”. Siber saldırganlar bu kusuru nasıl manipüle eder? OTD Bilişim Hizmetleri
şirketinden Eray ATLAS anlatıyor.
şağıda çeşitli yerlerde karşımıza
çıkan endüstriyel ağ mimarisinin
şeması yer almaktadır. Şemada,
birden fazla ağ arayüzüne sahip
A bir PLC vardır ve bu durumda
PROFINET özellikli bir Siemens S7-300 ya da
S7-1500 ile bir tarafta SCADA ağı bağlanırken,
diğer tarafta I/O ağı bağlanmaktadır.
Gelin, aşağıdaki senaryoyu gözümüzde
canlandıralım:
1. Diyelim ki bir saldırgan, SCADA ağı
(10.0.0.x) bünyesindeki bir ana bilgisayara
erişim sağladı.
2. Saldırgan, endüstriyel süreci sabote etmek
amacıyla doğrudan 192.168.0.x’te bulunan
I/O cihazlarına saldırmak istiyor.
SORUMUZ ŞU: I/O CİHAZLARINA
ULAŞMAK İÇİN SALDIRGANIN YAPMASI
GEREKENLER NELER?
Bunun üzerine biraz düşünelim ve ardından ya-
nıtı ele alalım.
Burada da endüstriyel ağ mimarisinin
şemasını görüyoruz.
Eğer yanıtınız “Hiçbir şey” ise, doğru
yanıt verdiniz.
S7-300, S7-1500 ve diğer çoklu ağ arayüzüne
sahip kontrolörler, zaman zaman SCADA ve I/O
ağlarını “ayırmak” için kullanılır. Ancak böyle
bir ayrımdan bahsetmek mümkün değil. Eğer bu
özelliği kullanıyorsanız, SCADA ağ perspekti-
finden I / O ağına tam L2 + erişimi ya da tam ter-
si vardır. S7-1500 üzerindeki PROFINET arayü-
zü (Örn: S7-1511 PN modeli), kişinin SCADA
ağından I/O ağına ya da I/O ağından SCADA
ağına tam erişim sağlamasını olanaklı kılan bir
ağ anahtarıdır. Saldırgan ise bu ağı tamamen düz
olarak görmektedir.
S7-1500 manüel girişinde de belgelendirildiği
şekilde PROFINET özellikli CPU:
S7-300 manüel girişinde de belgelendirildiği
şekilde PROFINET özellikli CPU:
30 | ST ENDÜSTRİ 4.0 Haziran 2021
