Statik IP ile uzaktan izleme Riski...

[huzulmez]

Uzaktan izleme ile ilgili konulara az buçuk baktığımda, statik IP ile izleme sistemi konusunun epey bir ele alındığını gördüm. Yine bu forumda birkaç yıl öncesinde yazdığım şekli ile çözümlerden birisi evet panoya statik IP ile uzaktan bağlanarak kompanzasyon takibidir. Fakat bu konuda yazan arkadaşlar ısrarla bir konuyu atlamışlar. Ortada belli riskler vardır.Önce çözümden bahsedelim.

Çözüm şu şekilde geçmektedir:

1.izleyeceğiniz panonun bulunduğu işletmenin statik IP si olacak. Yani IP adresi değişmez belli bir adres olacak.

2.port yönlendirmesi ile dışarıdaki veri paketlerini, içeride rölenin olduğu porta yönlendireceksiniz.

3.dışarıdan röleye bağlanarak, rölenin ayarlarından tutun, kondansatör devreye al-çıkar gibi bütün işlemleri yapabileceksiniz.

Bu sistem çözümünü 3-4 yıl öncesinde kullandık, müterilerimize alternatifi olmadığı için tavsiye ettik, fakat aşağıdaki sebeplerden dolayı müşterilerimize tavsiye etmez hale geldik.

Bu olayı biraz Avam olarak çevireyim: Siz işletmenizin kapısını dışarıdan girilecek şekilde açıyorsunuz. Açılan kapı sizi pano dairenize götürüyor. Ve orada "hertürlü" işleminizi gerçekleştirebiliyosunuz.

Buradaki 1. risk kapıyı açmak. Birşey olur olmaz, ona sözüm yok fakat kapıyı dışarıdan açmak bir risktir haddizatında. Ve Sistem Yöneticileri ile bu konuyu konuştuğunuzda ilk alınacak cevap Red olmuştur. Biz bu cevabı çok aldık. Kimi firmalar bünyelerinde sistem mühendisi bulundurmadığı için bunu risk olarak dahi bilmezler fakat dışarıdan kapı açmak ne olursa olsun firma için bir risktir. Zira o kapının arkasında, yol direk pano dairesine gidiyor olsada, uygun anahtara sahipseniz, muhasebe bölümüne de girebilirsiniz. Önemli olan Sizi dışarıdan koruyan Sağlam kilitli dış kapıyı açmış olmanız, içerideki kapılar emin olun çok kolay açılır.

Velevki içeride diğer kapılar açılmadı, pano dairesine direk geçiş var. Ve buraya işi az buçuk bilen herkes girebilir. Zira kapı açılmış. Siz işletmeyi cezaya sokmamak için bu sistemi kuralım diyorsunuz, fakat çok daha büyük bir risk, röle ayarları dahil tüm konfigürasyonu dışarıya açıyorsunuz. IP adresiniz, kötü niyetli birilerinin eline geçmesin derim...

Malum internette IP ve Port tarama üzerine onlarca program var. Şehirlerin IP aralıkları da Türk Telekom ADSL ile genel hatları ile belirlenmiş. IP aralığını verin, dışarıya açık kapıları adresleri ile size versin bu programlar... This is risk.

Yaklaşık 10 yıldır, uzaktan erişim ve kontrol üzerine yazılım yapan bir şirketin yöneticisiyim. Statik IP ile bu işin yapılmasında büyük risk görüyorum. Şiddetlede tavsiye etmiyorum. Zira yıllar önce bu iş ancak bu şekilde yapılabilir bilgisi ile bu işi biz bu şekilde yapıyorduk. Fakat sistemler gelişti, Statik IP değilde dinamik IP lerle ve çok güvenli bir şekilde uzaktan izleme yapılabiliyor. Bu risklerdir ki bizi dinamik IP ile uzaktan izleme sistemine yönelik yazılımlar ve GPRSle izleme çözümleri gibi sistemlere yöneltti.

İş olarakta, Statik IP ile uzaktan izleme işinin Teknik açıdan zorluğu 5 ise, dinamik IP ile izleme sisteminin (GPRS veye Ethernet Konverter) zorluğu 100 dür. Evet bu zorluk aşıldı ki biz hala bu işi sağlıklı şekilde yapıyoruz. Dolayısıyladır ki Statik IP ile izleme yazılımları kimi Röle üretici firmalar tarafından ücretsiz verilir.

Sorular gelirse işin teknik detayına da girebilirim.

Hüsnü Üzülmez
Bilgisayar Mühendisi.

[Analizör]

Sn Üzülmez
Tesisin reaktif güç kontrol rölesine ait sabit IP'sinin tespit edildiğini varsayalım. Röle üretici firma izleme ile müdahale birimlerini ayırıp müdahale kısmını şifrelendirmiş olsa yine bahsettiğiniz riskler bizim için tehdit unsurumudur?

[huzulmez]

Alıntı:

Analizör Nickli Üyeden Alıntı

Sn Üzülmez
Tesisin reaktif güç kontrol rölesine ait sabit IP'sinin tespit edildiğini varsayalım. Röle üretici firma izleme ile müdahale birimlerini ayırıp müdahale kısmını şifrelendirmiş olsa yine bahsettiğiniz riskler bizim için tehdit unsurumudur?

Öncelikle bir yanlışlığı düzeltelim. Ortada iki IP adresi var. 1. si Rölenin kurulu olduğu işletmenin dışarıya açılan IP adresi ki 88.**** gibidir genelde. Diğeri ise Rölenin bulunduğu işletmenin iç ağındaki röleye ayrılmış olan Konverterın aldığı IP adresi ki genelde 192.*** şeklinde olur. Burada Statik IP, dış IP. Yani 88.*** ile başlayan firmanın IP adresi. Tespit edilen IP adreside bu IP adresi olacaktır. Üretici firmalar (Yerli: Entes, Kael, Elektropan gibi...) ürünleri SCADA larda desteklensin diye izleme ve "kumanda" yı cihazlarına ekliyorlar, veya bu işi Global şekilde yapmak istiyorlarsa zaten eklemek durumdalar. "izleme ile müdahale birimlerini ayırıp" demişsiniz, aslında bunlar ayrı birim değiller, Cihazların MODBUS register haritasında saklı yazılımsal parametreler. Yani siz kondansatörü çek, veya Cosfi İndüktifi 0,985 e yaklaştır dediğinizde, donanımsal bir iş değilde, ilgili register değerleri değiştiriliyor. Yani tamamen yazılımsal bir olay. Standartlara uyulduğu için (SCADA sistemlerinin desteklemesi için) cihaz set değerlerinin değiştirilmesi veya müdehale de gayet normaldir ve işin doğasında vardır.

Uzaktan sisteme bağlanarak cihaza müdehale edilmesi riskinden ziyade, bu kapının dışarıdan içeriye açılması asıl risk. Bu işin doğrusu, kapının (portun) dışarıdan içeriye açılması değil, içeriden dışarıya açılmasıdır ki bu güvenlik açığı değildir.

[emrah_]

Statik veya dinamik IP olmasi güvenlik durumunu değiştirmez, portun ucunda güvensiz bir servis çalışıyorsa, dinamik IP de kullanılsa güvenlik sorunu aynen devam eder.

Sabit IP ile güvenligi sağlamanın birçok yolu var. Bağlantılarda parola isteme, sadece belli IP'lerden gelen bağlantılara izin verme veya knockd sunucu gibi belli bir sekilde kapı çalındığında kapıyı açma, diğer türlü kapalı tutma gibi seçenekler mevcut.

Yani sorun sabit IP kullanılmasından kaynaklanmıyor; bağlantılara cevap verecek servisin güvensiz çalışmasından kaynaklanıyor.

[sedatbahadir112]

biz böyle bir sorunu binadan 2 farklı ağ sistemi kurarak çözdük bira masraflı oldu ama olsun bizde sorun birolardaki pc lerden sisteme virüs blaşması ve dışardan müdahale için açtığımız kanal ile ulaştığımız bir linux server ile desteklediğimiz sistemin ortak networku kullandığımızdan bizim sistemde oluşan arızaya uzaktan müdahale şansımız olsa bile yinede şirkete gitmemiz gerekiyordu biz en basit çözümü bize ait sistemi fiziksel olarak yalıtmakta bulduk üstelik sabit ip de kullanmıyoruz linux server' imiz her saat başı bizim sabit ipmiz ile bize selam veriyor tavsiyem eğer linux biliyorsanız ve sistem kurduğunuz şirketlerde de linux server var ise veya en azından internet çıkışına koymanıza izin verirlerse bu güvenlik seviyenizin yüksekliği linux hakimiyetinize kalmıştır. yada paraya kıyıp cisco ürünü alacaksınız ama programlamasını da bilmeniz gerekir yoksa programlayan şirkete daha fazla ödeyebilirsiniz

[huzulmez]

Alıntı:

emrah_ Nickli Üyeden Alıntı

Statik veya dinamik IP olmasi güvenlik durumunu değiştirmez, portun ucunda güvensiz bir servis çalışıyorsa, dinamik IP de kullanılsa güvenlik sorunu aynen devam eder.

Sabit IP ile güvenligi sağlamanın birçok yolu var. Bağlantılarda parola isteme, sadece belli IP'lerden gelen bağlantılara izin verme veya knockd sunucu gibi belli bir sekilde kapı çalındığında kapıyı açma, diğer türlü kapalı tutma gibi seçenekler mevcut.

Yani sorun sabit IP kullanılmasından kaynaklanmıyor; bağlantılara cevap verecek servisin güvensiz çalışmasından kaynaklanıyor.

Anlaşılabilir olması yönüyle statik IP ile başladı konu. Az daha genişletelim. Statik IP değilde , server modda çalışan uzak noktaya bağlanarak kontrol etme riski de denebilir. Sorun uç noktanın Server modda çalışması ki bu ancak Statik IP ile mümkün. Dışarıdaki kullanıcıların (internet ortamında nerede ve kim olursa olsun) bu noktaya bağlanabilir ve veri gönderebilir olması.
Size çok basit birşey söyleyim. IP adresi belli bir yere açık portundan bağlanın, veri bombardımanına tutun. kimsenin yapabileceği bir şey yok. Bunun önlemi de yok. Firewall larla uğraşmanız gerekiyor ki ciddi maliyet. Üç kuruşluk sisteme 10 liralık koruma... Anlamlı değil yani.

Güvenli servis, güvensiz servis denmiş. Web server (IIS) bir servistir, mail server, telnet , FTP gibi gibi. Yanlız bu servisler bilgisayarlarda çalışır. Burada bahsi geçen Ethernet konverter. Ortada çalışan bir servis yok, transparan bir konverter var. Geleni iletir.

Bilinir ki Server dendiğinde akla bir sürü sistem ve güvenlik gelir. Bir sürü para harcanır sistem sağlıklı işlesin, güvenli olsun diye. Güvensiz olan IP adresi değişmez, server modda çalışan ve transparan çalışan Ethernet konverter lı bir sistem...

[Semih Yalınkılıç]

dinamik ip ve dyndns.com adresini kullanıyorum hiç bir problem olmuyor.yada emrah arkadaşımızın tavsiyelerinide uyabilirsiniz güzel açıklamış.

[sedatbahadir112]

arkadaşda biraz tarihte geri gidin ve iskorpit kod adlı hekır ın pentagonun sitesine türk bayrağını çektiğini hatırlayın!! yani iletişimde gizlilik korumak istediğin sistemin ve korumak için altığın önlemlerin sağlamlığı ile alakalıdır ve eğer bir sanal güvenlik var ise yapan firma kesinlikle açığını bilir eğer yapan biliyorsa kesinlikle başkalarıda öğrenebilir ister statik ister dinamik ip olsun eğer engelleri geçmek isteyen biri veya birileri olduğu sürece bu onun becerisine ve zamana bağlıdır. bu konuda mikrosoft oldukça zayırdır tekbaşına diyebilirim birçok ayarı deiştiremiyorsun üstelik değişiklikyapım sağlam dediğin sistemde bile küçücük bir kod ile cirit atabilirler üstelik ruhumuz bile duymaz.Ama bu sistemlerle uraşanların çoğunun amacı kendini geliştirmene ve merak olup genelde böyle basit işlerle uğrajmazlar. bu nedenle biz aldığımızı sandığımız önlemlerle rahatız. taki dijital savaş çıkana dek

[mhakann]

Alıntı:

sedatbahadir112 Nickli Üyeden Alıntı

arkadaşda biraz tarihte geri gidin ve iskorpit kod adlı hekır ın pentagonun sitesine türk bayrağını çektiğini hatırlayın!! yani iletişimde gizlilik korumak istediğin sistemin ve korumak için altığın önlemlerin sağlamlığı ile alakalıdır ve eğer bir sanal güvenlik var ise yapan firma kesinlikle açığını bilir eğer yapan biliyorsa kesinlikle başkalarıda öğrenebilir ister statik ister dinamik ip olsun eğer engelleri geçmek isteyen biri veya birileri olduğu sürece bu onun becerisine ve zamana bağlıdır. bu konuda mikrosoft oldukça zayırdır tekbaşına diyebilirim birçok ayarı deiştiremiyorsun üstelik değişiklikyapım sağlam dediğin sistemde bile küçücük bir kod ile cirit atabilirler üstelik ruhumuz bile duymaz.Ama bu sistemlerle uraşanların çoğunun amacı kendini geliştirmene ve merak olup genelde böyle basit işlerle uğrajmazlar. bu nedenle biz aldığımızı sandığımız önlemlerle rahatız. taki dijital savaş çıkana dek

aynen katılıyorum niyeti bozuk olan birisine engel olamazsınız. bence bu birasda kendine güvenemeyen bilgi işlemcilerin bahanesi... statik ip olması ve portun yönlendirilmesi her zaman olmuştur olacaktır.ama ne zamanki gprs modemler uygun fiyata piyasaya sürülür o zaman bunlara gerek kalmayacaktır.

saygılarımla

[huzulmez]

Alıntı:

mhakann Nickli Üyeden Alıntı

aynen katılıyorum niyeti bozuk olan birisine engel olamazsınız. bence bu birasda kendine güvenemeyen bilgi işlemcilerin bahanesi... statik ip olması ve portun yönlendirilmesi her zaman olmuştur olacaktır.ama ne zamanki gprs modemler uygun fiyata piyasaya sürülür o zaman bunlara gerek kalmayacaktır.

saygılarımla

Ethernet Konverter lı sistemlerde çalışması gereken güvenli-güvensiz modeli yazıyorum bu konuyu teknik açıdan tartışmak isteyen kişilerle tartışabiliriz:

Statik IP de Server modda çalışan sistemler (yerli röle üreticilerinin tavsiye ettikleri sistem) = gü ven siz dir

Statik veya dinamik farketmez ama Client modda çalışan sistemler kesinlikle :
gü ven li dir.

Teknik açıdan merağı olanlar için Client mod , server mod nedir ? neden güvenlidir ? , gprs in konu ile alakası neden yoktur bunları soru gelirse paylaşabilirim.

Ayrıca niyeti bozuk olan birisine engel olamazsınız yorumu ile ilgili, olayı FBI sitelerinin Hack edilmeleri gibi konulara çekmeye gerek yok, ortada altı üstü 300-400 TL lik ekonomik bir iki çözüm var. ekonomik olması sistem güvenliğini ister istemez ortadan kaldırıyor. Bilinmesi gereken aynı ethernet modül ile farklı sistem tasarımı ve yazılımı ile kesinlikle güvenli bir sistem kurulabiliyor vesselam.