Iot Ne İfade Ediyor?

Bugün ilk izlerini görebildiğimiz gelişmeler sayesinde, yetkili personeller olay yerinde bulunmasalar bile kontrol sistemlerine uzak bağlantı sağlayarak gerekli müdahalelerde bulunabilmekteler. IoT, internet erişimi olan her şey için kullanılabilir.

Yakın geçmişteki scada, M2M, kestirimci bakım, proses optimizasyonu gibi konular artık IoT çalışma alanı haline dönüşmüştür. İmalat sanayi IoT deyince ne anlamaktadır :

  • İnternet üzerinde istenen şey (things) lere erişim imkanı
  • Bu “şey” ler tarafından üretilen bilgilerin/verilerin erişime açılması ve bu verilerin saklanabilmesi
  • Kısa ve uzun süreli iletişim sorunlarının anında öğrenilebilmesi ve problem yönetimi
  • Mevcut klasik yapıların IoT beklentilerine uyum sağlaması için gerekli entegrasyon işleri

Özellikle sanayide internet erişimine kapalı çok sayıda kontrol sistemi olduğu düşünülürse son madde uzun süre problem olarak karşımıza çıkacaktır. Haberleşme altyapılarının ayrık, standart dışı protokoller içermesi bu sistemlere erişimi sınırlamaktadır. Hızlı değişen bir çok kıymetli veri, saklama kapasitesi de sınırlı olan bu sistemler tarafından, yok edilmektedir.

IoT temelli yeni yapılar, kontrol sistemlerinden hem ölçek hem de hız açısından yüksek performas talep etmektedir. İnternet haberleşmesine dayalı çözümler her geçen gün arttığına göre her bir “şey” in internete bağlanması için çözümler geliştirmeye kendimizi alıştırmalıyız.

Günümüzde birçok başarılı firma; stratejik kararlarını, gelecek ile ilgili planlarını (kendi organisyon sınırlarını da aşarak; taşeron firmaların da kapsandığı) bütün istenen verilere anında erişerek almakta.

Öte yandan her bir “şey” in internet ortamında tanınabilmesi, sadece ona ait bir internet adresinin olmasını gerektirir. Bu nedenle IP adreslemesi için klasik IPv4 yerine IPv6 standardı geliştirildi. Bu sayede 128 bit adresleme yapılabilmektedir. Bu 340 x 1036 kadar “şey demektir.

İmkansız demesek de bu kadar devasa bir “şey” topluluğunun bulunduğu haberleşme ağını yönetmek zor olacaktır. IoT nin başarısı işte bütün bu erişimlerde performansı ve güvenliği nasıl sağlayacağına bağlıdır. Milyonlarca şey okunacak, analiz edilecek, istenen kısımları saklanacak.

Bütün “şey” ler veri üretmeye başladığında bant genişliği yeni performas limitleri ile karşılaşacaktır. Verileri taşıyan ve kullanan birimlerin maliyeti artacaktır. Gerçek zaman verilerinin ne kadar kritik olduğu ve sürekliliğinin önemine bağlı olarak bu maliyet daha da artabilecektir. Cloud sunucular yüksek ve sürdürülebilir performas sergilemeye devam ettikçe, sistemler fiziksel sunuculardan cloud yapılara kayacaktır. Güvenlik burada da karşımıza çıkan ilk soru olacaktır.

Eski haberleşme protokolleri geliştirilirken, bu protollerin IoT yapısına uymaları kimse tarafından beklenmiyordu. Bu “şey” lerin IoT dünyasına gönderilmesi ihtiyacı ise başka bir gerçek. Soru sorma ve cevap alma aynı platformda konuşan şeyler için normal bir işlemdir. İşletmenizde bulunan farklı marka ve model “şey”leriniz ile dış dünyadaki bir “şey” arasında istenen veri iletişimi ihtiyacını çözmede Kepware yüksek teknoloji çözümleri iyi bir kaynaktır. Cihaz üreticileri genelde bir ya da bir kaç haberleşme protokolünü destekler. Kepware iki farklı “şey” in birbiri ile doğrudan haberleşmesini temin eder. Bütün cihazları birbirine bağlayan glue yapıştırıcısı görevini üstlenir.

Bilgiye dayalı yeni bir ekonomik modele doğru ilerlemekteyiz. Bu bilginin bize ulaşana kadar diğer meraklı gözlerden uzak olmasını da istiyoruz. İstenen verinin hedefine ulaşamaması durumunda tekrar gönderilmesi de dahil bir çok güvenlik mekanizması bu yeni haberleşme protokollerinde (AMQP, MQTT, COAP, DDS) tanımlanmaktadır.

Öte yandan internet paylaşılan bir haberleşme platformudur. Erişim güvenliği artan trafik ile daha da önem kazanmıştır. Bizim için önemli ve değerli olan bilgi, rakiplerimiz için de değerlidir. Bilgiyi ortak platformlarda dağıtarak iletim masrafını düşürmek aynı zamanda da sadece yetkilendirilmiş kişilerin erişimini sağlamak istemekteyiz. Sistemin 7/24 bazda istenen tüm taleplere cevap verebilmesi ile birlikte saldırılardan da korunması gereklidir.

Denetlenebilirlik (sistem seviyesinde tüm haberleşmenin ne zaman ve kim tarafından yapıldığının takip edilmesi) ilk ve en temel güvenlik seviyesidir. Bunu aktif ve reaktif sebeplerle isteriz. Aktif olarak bağlantı sırasında bir saldırı algılarsak saldırı anında bu haberleşmeyi kesebiliriz. Reaktif anlamda ise saldırı sonrasında hangi bilginin alındığı ve kim tarafından talep edildiğini sorgulamak için kullanabiliriz bu bilgileri.

Erişimin sınırlanması (kullanıcı adı ve şifre), ve yetkili her bir kullanıcının neler yapabileceğinin sınırlanması diğer güvenlik önlemleri arasında sıralanabilir. Sistem erişim izni olan bir çok kişi, bilgi düzeylerine ve ilgilerine göre (taşeronlar dahil) farklı seviyelerde erişim haklarına sahip olmalıdır.

Bilginin sadece belirlenen kişiler arasında paylaşılması (bilginin mahremiyeti) ve veri bütünlüğünün sağlanması (veri değişiminin önlenmesi) haberleşmede güvenliğin ana konusundur.

Güvenliğimiz Nasıl Tehdit Edilir?

Kullanıcı adı ve şifresi ele geçirilebilir. Bu bilgileri sisteme giren kişinin yetkilendirdiğimiz insan olduğunu varsayarız. Bazı sistemler satın alındığında sistemde kayıtlı kullanıcı adlarını silmeyiz. İşte basit bir deneme ile sisteme giriş mümkün olabilmektedir. Devreye alır, çalıştıktan sonra unuturuz. Kaçımız işyerimize aldığımız ADSL’nin admin şifresini değiştirmeyi düşünür bilmem.
İnternet iletişim trafiğimiz izlenebilir. Bu yolla biriyle paylaştığımız mahrem bilgilerimiz meraklı kişilere açılabilir.

Gönderilen mesajı değiştirip karşı tarafa değiştirilmiş olarak gönderilmesi. Yaygın kullanılan haberleşme protokollerinin yapısı, anlaşılması daha kolay olsun diye internet ortamında detaylı anlatılmıştır. Saldıranlar bu mesajları kolayca inceleyip, zarar vermek için nereyi değiştirmeleri gerektiğini anlayabilirler. Otomasyon dünyasından örnek verirsek bir vanaya %100 açma emri yerine %0 kapama emri verilebilir.

Bir adrese sürekli mesaj gönderilerek iletişim portu meşgul tutulabilir ve önemli diğer mesajları alması engellenebilir.

Birçok ürün piyasa çıktıktan sonra patch ya da servis pack yayınlar. Sistemlerinde gördükleri açıkları ve bunları nasıl düzelttiklerini detaylı anlatırlar. Saldırganlar için bu tür yayınlar hazine gibidir. Bu açıkları kapatmayanlar açık hedef gibidir onlar için.
İki “şey” arasında güvenli bağlantı kurulmasının hemen ardından ikisi arasındaki iletişim koparılıp hiç bir şey olmamış gibi karşı taraf ile haberleşmeye devam edilebilir. Saldırgan iletişime devam eder. Veriler artık başka bir yere gitmektedir.

Güvenliğimizi Nasıl Sağlarız?

Güvenliğimizi farklı seviyelerde tanımlamalıyız. Bir kişi her işi yapabilir yaklaşımı yerine belirli işler için belirli erişim izinleri düzenlenmeli. Firewall, Saldırı Algılama ve Önleme (IDS/IPS) çözümlerinden işletmemize uygun olan çözümü seçip uygulamalıyız. Bütün güvenlik adımlarının içeri girişte kullanıldığı çözümler yerine değişik seviyelerde farklı güvenlik adımları öngörülmeli. Saldırı önlenemese bile zararı ve hızı bu yöntemle azaltılabilir.
OPC UA, imalat sanayinde veri iletişimi için güvenli bir kapı görevini sağlar. OPC UA bir yandan okuma ve yazma işlemlerinin kolayca yapılmasını sağlarken, öte yandan client-server arasında sertifika alışverişi yaparak başka birinin araya girmesini engeller. Gönderilen her mesaj alıcıda çözülecek şekilde şifrelendiğinden bu mesajın okunması da değiştirilmesi de oldukça zor bir iştir. OPC UA sayesinde tek platformda sertifal alışverişi ile yetkilendirme (authentication), iletilen ya da okunan verinin şifrelenmesi ile mahremiyet-gizlilik (confidentiality) sağlanır. Ayrıca iletilen mesajın dijital olarak imzalanmış olması verinin bütünlüğü (integrity) sağlayacaktır. OPC UA mesajın(veri) iletimi sırasında da TCP, UTP gibi güvenli olmayan protokoller yerine SSL gibi güvenli protokoller de kullanmaktadır.

Şimdi sertifika alışverişi ne demek bunu kısaca açıklamaya çalışalım. İnternet browser uygulamanızda www.google.com yazdığınızda https güvenli portuna yönlendirirsiniz. Bu Google için güvenli bir portdur ve X.509 sertifikası kullanılır. Bu sertifikanın kullandığı anahtar şifre uzunluğu arttıkça bağlantı güvenliği de artar. Ancak bu bağlantı türünde biz Google‘a güvenmek durumundayız. Ayrıca Google kendine bağlanan herkesin güvenli olduğunu varsaymak durumundadır.

OPC UA örneğinde ise hem client, hem de server birbirlerine 128 bit SSL sertifika üzerinden güvenir. Bir tarafın diğerine tabi olması yerine iki tarafta diğerini okuma ya da yazma işlevi sırasında bu sertifika alışverişi ile tanır. Client -Server arasındaki bu sertifika alış-verişi haberleşme başlamadan önce sistem yönetim yetkisine sahip kişilerce yapılabilir.

Server tarafından gönderilen mesaj şifrelendikten sonra imzalanır ve sadece client tarafındaki özel anahtar ve imza ile çözülebilir. Yani mesaj şifresi çözülebilse bile server imza-client imza karşılaştırması sayesinde verinin bütünlüğü güvence altına alınmış olur. Aradaki bağlantı bir saldırı ile koparıldığında haberleşme devam edemez. Belirli bir sıklıkta hatalı erişim için talep gelirse aynı porttan gelen isteklere bir süre için ara verilir ve bakılmaz. Bu da server tarafının sürekli art niyetli olarak meşgul edilmesini önler.

Özet
Kepware OPC UA yazılım ve donanım modülleri arasında gerekli yetkilendirme, şifreleme ve dijital imzalama teknolojilerini kullanarak güvenli bir haberleşme platformu sunar.
Sahada Modbus, Siemens gibi protokolleri kullanabilirsiniz. Ama internete geçtiğinizde bunlar yerine daha güvenli olan OPC UA teknolojisine geçmelisiniz. Yoksa saldırı kolaylaşacaktır.

*Kaynak : Kepware, Tony Paine, Aron Semle

KAYNAK : BÜLENT VURGUN, ASP OTOMASYON http://www.otomasyondergisi.com.tr/arsiv/yazi/88-iot-ne-ifade-ediyor

İlginize Çekebilir

NIST Cybersecurity White Paper : Internet of Things (IoT) Trust Concerns

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir