SCALANCE  S615 İçin Endüstriyel Güvenlik Konfigürasyonu Nasıl Yapılır?

Bu bölümde, Endüstriyel Ethernet Güvenliği SCALANCE S615’i yapılandırılması ve bir S7-1500 kontrol cihazını diğer ağlara güvenli bir şekilde bağlanması hakkında bilgi verilecektir.

SCALANCE S615’in Yapısı ve Çalışması Nasıldır?

Aşağıdaki bölüm, SCALANCE S615’in kısa bir açıklamasını sağlar. Ek ayrıntılar ve bilgiler, support.automation.siemens.com adresinden indirilebilen kılavuzlarda bulunabilir.

Endüstriyel Ethernet Güvenliği Nasıl Sağlanır S615?

SCALANCE S615, proses otomasyonu için endüstriyel bir Ethernet yönlendiricisi ve güvenlik duvarıdır.

(1) Ağ bağlantı noktaları

(2) AYARLA düğmesi

(3) Dijital giriş

(4) Dijital çıkış

(5) Güç kaynağı için besleme girişi

(6) LED ekran

 AYARLA(SET) Düğmesi Nasıl Kullanılır?

SCALANCE S615’teki AYARLA(SET) düğmesi muhafazanın ön tarafında bulunur.

AYARLA(SET) düğmesinin birkaç işlevi vardır. Düğmeye 3 saniyeden daha kısa süreyle basılırsa, cihaz yeniden başlatma gerçekleştirir. 10 saniyeden uzun basıldığında cihaz fabrika ayarlarına sıfırlanır.

Düğme, aygıtı önyükleyiciye getirmek için de kullanılabilir. Arızalı bir bellenim olması durumunda, önyükleyici kullanılarak yeni bir bellenim yüklenebilir. Bu konuyla ilgili daha ayrıntılı bilgi kılavuzda bulunabilir.

LED Gösterge Işıkları Anlamları Nelerdir?

SCALANCE S615, sistem durumuna genel bir bakış sağlayan çeşitli LED’lerle donatılmıştır.

Her bir LED’in ayrıntılı açıklaması cihazın kılavuzunda bulunabilir.

Ağ bağlantı noktaları(PORTLAR) Nasıl Kullanılır?

SCALANCE S615, beş ağ bağlantı noktasına sahiptir. İlk dört bağlantı noktası fabrikada VLAN 1 (INT) ve beşinci bağlantı noktası VLAN 2 (EXT) olarak yapılandırılmıştır.

Bu ara bağlantı istenildiği gibi değiştirilebilir. Varsayılan olarak, VLAN 2, güvenli olmayan bir harici ağ olarak ve VLAN 1, koruyucu bir dahili ağ olarak yapılandırılır.

VLAN 1, fabrika ayarlarında IP 192.168.1.1/24 ile yapılandırılmıştır. Ancak VLAN 2’deki cihazın sabit bir IP adresi yoktur, bunun yerine DHCP kullanılarak dinamik bir IP adresi ayarlanabilir.

VLAN: Sanal ağlar Nedir, Nasıl Çalışır?

Anahtarlar gibi aygıtlar, genellikle tümü ağa ait olan birden çok ağ bağlantı noktasına sahiptir. Bu nedenle, A bağlantı noktasındaki bir aygıt, B bağlantı noktasındaki bir aygıtla engellenmeden iletişim kurabilir. Ayrı aygıtları birbirinden ayırmak için, ağ başına buna göre özel olarak ayrılmış fiziksel aygıtların kullanılması gerekir.

Sanal Yerel Alan Ağları (VLAN’lar), bir fiziksel ağ cihazını sanal ağlara bölmek için kullanılabilir. Her bağlantı noktası kalıcı olarak bir VLAN’a atanır. VLAN 1’deki bir bağlantı noktasındaki bir cihaz artık yalnızca VLAN 1’deki cihazlarla iletişim kurabilir. Her VLAN, cihazda benzersiz bir kimlikle yapılandırılır. Bu kimlik genellikle 12 bit uzunluğundadır ve ondalık biçimde görüntülenir.

Bir bağlantı noktasına birkaç VLAN atama seçeneğiniz vardır. Böyle bir bağlantı noktasından ayrılan paketlere, VLAN’ın kimliğini içeren bir etiket sağlanacaktır. Gelen paketler mevcut bir etiket için kontrol edilir ve paket, etikette yer alan ID ile VLAN’a atanır. Etiketleri doğru bir şekilde değerlendirmek için, böyle bir bağlantı noktasındaki ortağın elbette buna göre yapılandırılması gerekir.

Bu nedenle, aynı fiziksel ağ yapısı, bireysel cihaz gruplarını birbirinden ayırmak için uygun maliyetli bir şekilde kullanılabilir.

SCALANCE S615 fabrikada iki ayrı ağa olmak üzere VLAN Kimliği 1 ile güvenli bir ağ ve VLAN Kimliği 2 ile güvenli olmayan bir ağ olmak üzere bölünmüştür.

Yönlendirici(Router) Ne İşe Yarar?

Bir anahtarın aksine, bir yönlendirici farklı ağları birbirine bağlayabilir. Fiziksel bir bağlantısı ve her ağ için uygun bir IP adresi vardır. Bu, ağdaki diğer cihazlar tarafından erişilebilir olmasını sağlar ve bağlı ağlar arasında paket alışverişi yapmasına izin verir.

SCALANCE S615 Güvenlik Duvarı(Firewall) Nasıl Kullanılır??

Bir güvenlik duvarı, içinden geçen paketleri filtreleyebilir. Cihaz bu amaç için kaynak ve hedef adresleri veya TCP portları gibi farklı kriterler kullanabilir. Daha güçlü cihazlar, kullanıcının şu anda bir web sitesine hangi verileri gönderdiği gibi daha karmaşık şeyleri de anlayabilir.

SCALANCE S615 hem yönlendirici hem de güvenlik duvarıdır ve bir VLAN’dan diğerine yönlendirilen eck paketleri (katman 3). Bu, bir VLAN (katman 2) içinde kendisi aracılığıyla iletilen paketleri kontrol edemediği anlamına gelir.

S615’teki güvenlik duvarı, 4. katmana kadar olan bilgileri işleyebilir. Bu, IP adreslerini ve kullanılan protokolü içerir, örn. TCP veya UDP ve kullanılan bağlantı noktaları.

Filtreleme, tablo şeklinde var olan bir kural kümesine dayalı olarak yapılır. Burada her satır bir kurala karşılık gelir.

Bu kural seti yukarıdan aşağıya doğru işlenir ve ilk eşleştirme kuralı kullanılır. Yukarıdaki örnekte, IP 192.168.1.24’e sahip düğüm, 192.168.2.5 düğümü ile her türlü iletişim kurabilir.

192.168.1.x ağındaki düğümler, TCP ve 443 numaralı bağlantı noktası (HTTPS) aracılığıyla başka herhangi bir adresle iletişim kurabilir. Son kural, diğer tüm paketlerin düşürülmesini sağlar.

Genellikle üç eylemden birini gerçeklestirmek mümkündür.

– Paketler kabul edilebilir ve iletilebilir.

– Paketleri reddetmek veya düşürmek de mümkündür. Bu durumda göndericiye paketin nerede olduğu konusunda bilgi verilmez.

– Son olarak, paketleri reddetmek mümkündür. Bu durumda, gönderici, paketlerinin reddedildiğine ilişkin geri bildirim alır.

Kabul Et ve Bırak fonksiyonu çoğu durumda kullanılır ve Reddet yalnızca özel durumlar için kullanılır.

Örtük kural(Implicit Rule)

Yapılandırılan kuralların hiçbiriyle eşleşmeyen paketlere ne olur? Cevap, filtrenin üreticisine bağlıdır. Çoğu üreticinin, kural kümesinin sonunda, her şeye izin veren veya her şeyi bırakan örtük bir kuralı vardır. Bu davranış genellikle ayarlanabilir.

SCALANCE S615 durumunda, örtük kural tüm paketleri bırakır.

Durum Denetimi(Stateful inspection)

Çoğu güvenlik duvarı yalnızca gelen paketleri filtrelemekle kalmaz, aynı zamanda hangi bilgisayarın hangi bağlantıyı kurduğunu da hatırlar. Örneğin, bir web sitesini arayan bir bilgisayar, sunucudan yanıt paketleri alır. Modern güvenlik duvarları paketleri yalnızca bağlantı kurulumu sırasında kontrol eder, böylece bu yanıt paketlerinin filtre kurallarında da tanımlanması gerekmez.

192.168.1.5 düğümü, 192.168.3.25 düğümündeki şifreli bir web sayfasına 443 numaralı bağlantı noktası üzerinden ulaşmaya çalışırsa, bu bağlantı kurulumu kural kümesine göre kontrol edilir. Kural kümesi bu bağlantıyı kabul ederse, güvenlik duvarı bu bağlantının geçerliliğini özel bir oturum tablosunda hatırlar. İstemciden veya web sunucusundan, herhangi bir kaynak veya hedef bağlantı noktasından bu bağlantıya ait olan sonraki paketler artık güvenlik duvarı tarafından kabul edilir.

Bu yöntemi kullanarak, yöneticinin yalnızca bağlantı kurulumu için gerekli olan kural kümesini oluşturması gerekir.

CIDR Gösterimi Nedir?

Mevcut IP adreslerinin en verimli şekilde kullanılmasını sağlamak için, bunlar günümüzde IP adresine göre değil, alt ağ maskesiyle sınıflandırılmaktadır.

Alt ağ maskesi genellikle gerçek adresin sonuna eklenen bir sonek olarak temsil edilir. Bu gösterime CIDR (Sınıfsız Etki Alanları Arası Yönlendirme) gösterimi de denir.

->Örnek: 192.168.0.1/24

/24 soneki, alt ağ maskesinde ayarlanan bit sayısını gösterir. Örnekte, alt ağ maskesinin ilk 24 biti ayarlanacaktır.

-> İkili: 111111111.11111111.11111111.000000000

-> Ondalık: 255.255.255.0

Güvenlik duvarı kurallarında bu gösterim, kaynak ve hedef adresleri için aralıkları tanımlamak için kullanılır. Sonek, paketteki adresin kuraldaki adresle eşleşmesi gereken biti belirtir.

Son örnek gibi daha karmaşık aralıklar için uygun araçlar yardımcı olabilir. “Alt ağ bilgisayarları” veya “CIDR bilgisayarları” için basit bir İnternet araması, yeterli çevrimiçi araç üretmelidir.

Yararlı bir sezgisel araç, örneğin burada bulunabilir:

heise.de/netze/tools/netzwerkrechner/

Programlama Cihazında IP Adresinin Ayarlanması Nasıl Yapılır?

SIMATIC S7-1500’ü PC’den, programlama cihazından veya dizüstü bilgisayardan programlamak için bir TCP/IP bağlantısına veya isteğe bağlı olarak bir PROFIBUS bağlantısına ihtiyacınız vardır.

PC ve SIMATIC S7-1500’ün TCP/IP üzerinden birbirleriyle iletişim kurması için her iki cihazın IP adreslerinin eşleşmesi önemlidir.

Windows 10 işletim sistemine sahip bir bilgisayarın IP adresini ayarlama prosedürü aşağıda sunulmuştur.

-> Alttaki görev çubuğunda ağ simgesi bulunur ve -> “Ağ ayarları(Network Settings)”na tıklanır.

-> Açılan ağ ayarları penceresinde, -> “Ethernet”e ve ardından -> “Adaptör seçeneklerini değiştir(Change Adepter Settings)”e tıklanır.

-> Kontrolöre bağlanmak için kullanmak istediğiniz desired “LAN bağlantısını(LAN connection)” seçin ve -> “Özellikler(Properties)”e tıklayın

-> Ardından, -> “İnternet Protokolü Sürüm 4 (TCP/IP)(Internet Protocol Version 4 (TCP/IP))” için -> “Özellikler(Properties)” seçilir.

-> Artık örneğin şu IP adresi kullanılabilir: 192.168.1.99 alt ağ maskesi 255.255.255.0 ile ve ayarları uygulanabilir. (-> “Tamam(OK)”)

KAYNAKÇA:

https://new.siemens.com/global/en/company/sustainability/education/sce/learning-training-documents.html

HAZIRLAYAN: Mehmet Berat Şen

linkedin.com/in/mehmet-berat-şen-583108167

KURSLARIMIZ

BLOG KATEGORİLERİ

SON YAZILAR

Mesajınız için teşekkür ederiz. Size en kısa sürede ulaşacağız.
Mesajınızı gönderirken bir hata oluştu. Lütfen tekrar deneyin.

İletişim Bilgilerinizi Bırakın Biz Sizi Arayalım!

Sizin memnuniyetiniz, bizim mutluluğumuzdur…

Mesajınız için teşekkür ederiz. Gönderildi.
Mesajınızı gönderirken bir hata oluştu. Lütfen tekrar deneyin.