Doğru endüstriyel firewall, kontrol sistemlerinin güvenlik ve dayanıklılığını artırır
Endüstriyel kontrol sistemlerinin temelinde, elektrik ve su dağıtım, petrol ve doğalgaz, ulaştırma ve üretim gibi kritik sektörlerde verimli ve güvenli işletimi mümkün hale getiren endüstriyel kontrol ağları yer alır. Dirençli bir kontrol ağı, istenmeyen trafiği verimli bir biçimde tespit edebilen ve filtreleyebilen bir ağ oluşturulabilmesine bağlıdır. Ağ güvenliğinin sağlanmasında genellikle fiziksel olarak izole edilmiş endüstriyel kontrol ağları tercih edilir. Ancak, veri aktarımı ve daha akıllı otomasyon amacıyla gittikçe birbirine daha da bağlı hale gelen kontrol sistemleri için bu çözüm artık ideal olmaktan çıkmaktadır.
Gittikçe yakınsayan bu ağlara yönelik kaygıların başında, endüstriyel otomasyon sistemlerini hedef alan yeni bir dizi tehdidin ortaya çıkması gelmektedir. Genellikle eksik güvenlik önlemlerine sahip eski tip ağlar, istenmeyen müdahaleler veya dışarıdan gelebilecek ağ saldırılarına karşı özellikle zayıf durumdadır. Bir kez güvenlik ihlali oluştuğu takdirde bu eski tip ağlar, dış korsanlar veya erişim izni bulunmayan personel için tesis şebekesine herhangi başka bir kurumsal veya endüstriyel ağ üzerinden erişim sağlamada kullanılacak bir arka kapı haline gelebilir.
Endüstriyel kontrol sistemlerinde karşılaşılan ağ güvenliği sorunlarına çözüm oluşturmak için, güvenlikte karşılaşılan zorluklar ve etkili savunmaya yönelik karşı önlemlerin tam olarak anlaşılması gereklidir. Kritik ekipmanın korunması ve farklı noktalar, cihaz hücreleri, işletim bölgeleri ve fabrika alanlarında otomasyon ağlarının güvenlik çemberini genişletmek için endüstriyel kontrol sistemlerinde bir “derinlemesine savunma” yaklaşımı benimsenmelidir. Bunun için ise doğru endüstriyel ağ güvenliği donanımını seçmek, başarının anahtarı olacaktır.
Peki, güvenli ağlar oluştururken ve ağ güvenliğinin risk yönetimi yapılırken neler göz önünde bulundurulmalıdır? Endüstriyel ağların güvenliği ve dayanıklılığını güvenceye almak için doğru endüstriyel firewall (güvenlik duvarı) nasıl seçilmelidir? Bu yazı, bu sorulara cevap aramakta, ayrıca bu alanda çeşitli spesifik problemleri çözmek için ne gibi stratejiler geliştirilebileceğini incelemektedir.
Endüstriyel ağ güvenliği sağlanırken dikkat edilmesi gerekenler:
1. Ağ üzerinde değişiklik gerektiriyor mu?
Endüstriyel kontrol ağlarında yeni bir firewall kurulumu, IP adreslerinin yeniden yapılandırılması, ağ topolojisinde değişiklikler ve mevcut ağlar ile uyumluluk gibi çeşitli nedenlerle karmaşık bir süreç haline gelebilir. Bu durumda ilk düşünülmesi gereken, söz konusu ağ için doğru firewall türünün ne olduğudur. Genellikle bir firewall, farklı ağ topolojilerinin ihtiyaçlarını karşılayabilmek için iki filtreleme seçeneği sunar: Yönlendirme (routed) ve şeffaf (transparent) modu. Her iki firewall bağlantı seçeneğine kısaca bir göz atalım:
- Yönlendirilmiş bir firewall, bir L3 nodu gibi çalışarak iki mantık bazlı ara yüzüne bağlı ağları korur. Bir ağ topolojisi üzerinden örnek verecek olursak, yönlendirilmiş bir firewall, fabrika ağı ile kurumsal ağlar arasında ve farklı ağ bölgelerinin sınırında kurulur. Yönlendirilmiş firewall, IP sürecine katılır ve ağ adresi çevirisi (NAT) ve port yönlendirme gibi görevleri üstlenebilir. Yönlendirilmiş bir firewall en yüksek kapasite ve esnekliği sunsa dahi, kurulumu önemli ölçüde ağ yapılandırması gerektirebilir.
- Şeffaf bir firewall, ağ trafiğinin tek bir alt ağ dâhilinde gerçekleştiği bir kontrol ağı içerisinde bulunan kritik cihaz ve donanımların korunması için uygundur. Şeffaf firewall, yönlendirme sürecinde yer almaz ve IP alt ağlarının yeniden yapılandırılmasını gerektirmeden kurulabilir.
2. Filtreleme performansı ve gecikme süreleri nasıl?
Çoğu endüstriyel kontrol uygulamasında yanıt süresi son derece kritik bir etmendir. Bir kontrol ağına firewall kurulduğunda, gerçekleşen veri filtreleme işlemleri gecikmeye neden olur. Çoğu tedarikçi, firewall çözümleri için tek bir firewall’a dair ölçümleri göstererek ürünlerinden maksimum performans alınacağını iddia etse de, asıl durumda bir kontrol ağında veri trafiğini filtreleyen yüzlerce firewall kuralı etkin bulunabilir. Bu da esas gerçekleşen firewall performansının ne kadar iyi olduğuna dair şüphe doğurur.
Endüstriyel bir firewall, kontrol verisi akışında yaşanabilecek sekteleri en aza indirmeli ve kontrolörler ile I/O cihazları arasında mümkün olan en yüksek miktarda işlem hacmine izin vermelidir. Buna ek olarak, veri filtreleme performansı farklı tip ve büyüklükte kontrol trafiği paketlerinde de tutarlı olmalıdır. Otomasyon uygulamaları genelinde proses kontrolü, DCS ve veri toplama gibi gerçek zamanlı uygulamaların etkinleştirilebilmesi için milisaniye mertebesinde bir yanıt süresi istenir.
Güvenli Endüstriyel Yönlendiricilerin Performans Karşılaştırması
3. Endüstriyel protokol bazlı filtreleme yapılabiliyor mu?
Çoğu endüstriyel protokol, veri aktarımı için haberleşmeye temel olarak TCP/IP veya UDP kullanır. Genelde firewall’lar kritik donanımlara herhangi bir izinsiz erişimi önlemek için IP veya MAC katmanında veri filtreleyebilir. Çoğunlukla firewall’lar tüm dışarıdan gelen trafiği çevirerek güvenli adres listelerine göre tek yönlü veya gidiş-gelişli trafiğe izin verir. Ancak, güvenli adres listeleri izinsiz sunucuları bloklarken IP veya MAC katmanında tüm izinli sunucuların erişimine izin verir. Ağ karmaşıklığı arttıkça, trafik kontrolü için güvenli adres listesi oluşturmak da, endüstriyel uygulamalar için verimli bir ağ güvenliği sağlamada yetersiz kalacaktır.
Güvenli adres listeleri endüstriyel cihazlara izinsiz erişime karşı koruma sağlar, ancak veri komutlarının kontrolünde etkili olmaz. Bu nedenle uygulama katmanında kontrol verisi komutlarının denetimini etkinleştirebilmek için protokol bazlı olarak trafiğe geçiş izni verecek veya trafiği bloklayacak, iyi tasarlanmış firewall’lara ihtiyaç vardır. Bu tarz çözümlerden biri, Modbus TCP derin paket denetimidir (deep packet inspection, Şekil 2).
Endüstriyel Modbus TCP Ağlarında PacketGuard Güvenliği
4. Zorlu endüstriyel ortam koşullarına dayanıklı mı?
Endüstriyel uygulamalarda firewall cihazları çoğunlukla yüksek sıcaklıklar ve titreşim gibi zorlu koşullara maruz kaldıkları kabinler içine konulur. Bu durumda bir firewall’un tasarımının dayanıklılığı, performansı kadar önemli hale gelir. Endüstriyel uygulamalara yönelik bir firewall, C1D2 (petrol ve doğalgaz), NEMA TS2 (ulaştırma), EN 50121-4 (hat boyu) ve UL (fabrika otomasyonu) gibi endüstriyel standartlarla da uyumlu olmalıdır.
5. Etkinlik kaydı ve bildirimi var mı?
Kurulan endüstriyel firewall türüne bakmaksızın, etkinlik kayıtları firewall kurallarının doğru biçimde ayarlandığını ve işlediğini güvenceye almak için son derece önemli bir özelliktir. Buna ek olarak kayıtlar yöneticilerin kontrol ağında ne olup bittiğini denetlemesine izin verir. Bir o kadar önemlisi, iyi bir kayıt dosyası düzenleme ve bakım planı, herhangi bir güvenlik etkinliği veya sorununun gerçekleştikten günler, haftalar ve hatta aylar sonra da incelenebilmesine izin verir. Yöneticiler bu kayıtları mevcut firewall politikalarının ne kadar güçlü olduğunu değerlendirmek ve dolayısıyla güvenlik iyileştirmelerine devam etmek için de kullanabilir.
Amerikalı büyük bir petrol şirketinde çalışan bir IT uzmanına göre, bir firewall SNMP etkinliklerini acil dikkat gerektiren alarm düzeyinde gönderebilmelidir. Bu, endüstriyel bir firewall’un yöneticilerin her bir firewall kuralı için aciliyet düzeyi tanımlayabilecek ve tetiklenen her bir etkinlik için bir kayıt oluşturabilecek kadar yapılandırma esnekliği sağlaması gerektiği anlamına gelir. Öte yandan bir e-posta gelen kutusunun tüm etkinliklere dair bildirimlerle dolmasını önlemek için ise bir firewall, ağ yöneticisine önemsiz etkinliklere ait otomatik bildirimleri devre dışı bırakabilme seçeneği de sunmalıdır.
6. Firewall kuralları kolaylıkla toplu olarak uygulanabiliyor mu?
Endüstriyel uygulamalarda veri trafiğini kontrol etmek ve saha donanımını saldırılardan korumak için kurulu yüzlerce, hatta binlerce firewall bulunabilir. En yaygın kullanılan yönteme göre bir firewall, oluşturulan bir güvenli adres listesine bağlı olarak ağ üzerinde yalnızca belirli trafiğe izin verir. Bu durum, mevcut kontrol ağına yeni bir hizmet eklendiğinde, geçerli firewall kurallarının sahadaki çok sayıda firewall için değiştirilmesinin ne kadar zaman alacağı sorusunu gündeme getirir.
Firewall kurallarının toplu olarak uygulanması iki yolla mümkündür: Toplu işlem komutu (komut satır ara yüzü yoluyla) ve merkezi firewall yönetim yazılımı. Her iki yol da etkili ve kullanımı kolay toplu yapılandırma yöntemleridir. Hangi yöntemin kullanılacağı, ağ yöneticisinin tercihine bağlıdır. Dolayısıyla endüstriyel bir firewall çözümünün her iki seçeneği de sunması beklenir.
7. Kolay bir yapılandırma ara yüzü var mı?
Endüstriyel bir kontrol ağında firewall kurulumu ve yapılandırması, etkili firewall kuralları oluşturabilecek, bu alanda yetkin ağ yöneticileri gerektirir. Yapılandırma sürecinin otomatik hale getirilebilmesi için firewall tedarikçilerinin sezgisel ve kullanımı kolay konfigürasyon ara yüzleri sunması da son derece önemlidir. Endüstriyel bir firewall, sahada yöneticilerin yalnızca birkaç dakikada firewall kurulumunu tamamlayarak devreye sokabilmesi için bir komut satırı ara yüzü (command line interface), grafik bir kullanıcı ara yüzü ve tercihen bir firewall kurulum sihirbazı içermelidir.
Günümüzde endüstriyel kontrol sistemlerinde ağ güvenliğini tanımlayan birçok standart ve düzenleme bulunmaktadır. Örneğin, endüstriyel otomasyon uygulamaları için ISA/IEC 62443 ve elektrik dağıtım tesisleri için NERC-CIP, ağ güvenliği için uygulamalara belirli standartlar getirmektedir. Buna ek olarak NIST tarafından yayınlanan SP800-82 standardı, kritik endüstriyel donanımları koruyacak bir firewall kurmada görevli endüstriyel kontrol sistemi yetkililerine rehberlik etmek üzere hazırlanmıştır. Etkili ve güvenilir endüstriyel firewall çözümleri sayesinde sistem çalışma süresini en üst düzeye çıkarma ve sahada güvenli kontrol ağları oluşturulmasını sağlayacak endüstriyel firewall kurulumu her zamankinden kolay hale gelmiştir.
Endüstriyel uygulamalara yönelik maksimum performansa sahip firewall avantajları Moxa’nın EDR serisi çok portlu güvenli endüstriyel yönlendiricileri (multiport secure router) ile sağlanmaktadır. Örneğin EDR-G903 Serisi ile yapılan testlerde sektörün önde gelen markalarının router performanslarına kıyasla EDR-G903’ün 7 kat daha hızlı olduğu kanıtlanmıştır (Şekil 3). Firewall, NAT, VPN, Router ve Switch özelliği barındıran bu cihazlar ve çok çeşitli maliyet etkin güvenli GPRS yönlendirici çözümü, bu alanda çok sayıda projeye katkıda bulunmuş ve çalışmalarını sürdürmekte olan GSL Mühendislik tarafından sunulmaktadır.
