Wireshark, ağ protokol analizi için en popüler araçlardan biridir. Ancak çoğu kullanıcı, Wireshark'ın endüstriyel protokoller üzerinde ne kadar etkili olduğunu fark etmez. SCADA, ICS ve diğer endüstriyel sistemlerin kritik altyapılarında kullanılan protokolleri analiz etmek, yalnızca ağ güvenliğini sağlamakla kalmaz, aynı zamanda sistemlerin güvenilirliğini artırmaya yardımcı olur.

Bu blog yazısında, Wireshark’ın endüstriyel protokollerde nasıl kullanılacağını, doğru filtreleme yöntemlerini ve kritik altyapılarda nasıl uygulanabileceğini derinlemesine inceleyeceğiz.

Wireshark ve Endüstriyel Protokoller: Kapsam ve Önem

Endüstriyel Kontrol Sistemleri (ICS) ve SCADA ağları, Modbus, DNP3, IEC 104, BACnet gibi özel protokoller kullanır. Bu protokollerin genellikle düşük güvenlik önlemleriyle çalışması, saldırganlar için cazip hedefler oluşturur. Wireshark, bu protokolleri analiz etmek için güçlü bir çözüm sunar:

1. Protokol Çözümleme: Endüstriyel protokolleri yerel olarak tanıyan Wireshark, paketleri otomatik olarak çözümleyerek anlaşılır hale getirir.

2. Anomali Tespiti: Normalden sapmaları ve potansiyel tehditleri tespit eder.

3. Sistem Optimizasyonu: Hatalı yapılandırmaları ve ağ sorunlarını belirleyerek performansı artırır.

Wireshark ile Endüstriyel Protokollerin Analizi

Aşağıda, Wireshark’ın endüstriyel protokoller üzerindeki analizi için adım adım bir rehber sunulmaktadır.

1. Modbus Analizi

Modbus, SCADA sistemlerinde en yaygın kullanılan protokoldür. Wireshark, Modbus TCP/IP trafiğini çözümlemek için yerleşik destek sunar.

1.1. Modbus Trafiğini Yakalama

Modbus TCP trafiğini yakalamak için şu adımları izleyin:

• Filtreleme: Ağı daraltmak için aşağıdaki filtreyi kullanın:

tcp.port == 502

• Analiz: Paketleri inceleyin. Wireshark, Modbus TCP protokolünü otomatik olarak tanır ve veriyi çözümleyerek "Function Code", "Starting Address", "Quantity of Coils" gibi detayları gösterir.

1.2. Modbus Anomalilerini Tespit Etme

• Sıradışı Function Code: Yaygın olmayan function code’lar kötü niyetli trafiğe işaret edebilir.

• Çoklu Yanıt Paketleri: Birden fazla yanıt paketi alıyorsanız, ağda bir kesinti veya saldırı olabilir.

2. DNP3 Analizi

DNP3, özellikle enerji sektöründe yaygın olarak kullanılır. Güvenlik açıkları nedeniyle dikkatlice izlenmesi gerekir.

2.1. DNP3 Trafiğini Yakalama

DNP3 trafiğini yakalamak için şu filtreyi kullanabilirsiniz:

tcp.port == 20000 or udp.port == 20000

2.2. Kritik Alanlar

• Control Field: Paketlerin zamanlamasını ve türünü kontrol eder. Manipülasyon belirtileri arayın.

• Object Header: Özellikle veri türlerini ve boyutları inceleyin.

2.3. Örnek Anomali

Bir saldırgan, sahte bir Write komutu göndererek DNP3 cihazlarının parametrelerini değiştirmeye çalışabilir. Bu tür bir saldırı, Wireshark’ta "Function Code = 2" olarak görülebilir.

3. IEC 104 Analizi

IEC 104, Avrupa enerji sektöründe popüler bir telekontrol protokolüdür. Wireshark, IEC 104 için yerleşik destek sunar.

3.1. IEC 104 Trafiğini Yakalama

IEC 104 protokolü için filtre:

yaml

tcp.port == 2404

3.2. Protokol Detayları

• Type Identifier: Veri türünü belirtir (örneğin, ölçüm verisi, kontrol komutu).

• Cause of Transmission: İletimin nedenini açıklar (örneğin, "spontaneous" veya "interrogation").

3.3. Örnek Kullanım

Bir saldırgan, sürekli "interrogation" komutları göndererek ağın kaynaklarını tüketebilir. Bu, Wireshark'ta "Cause of Transmission: Interrogation" satırlarında anormal artış olarak görülebilir.

4. BACnet Analizi

BACnet, bina otomasyon sistemlerinde yaygın bir protokoldür. Wireshark, BACnet protokolüne özel çözümleme sunar.

4.1. BACnet Trafiğini Yakalama

Filtre:

udp.port == 47808

4.2. Örnek İnceleme

• Service Choice: Cihazlar arasındaki komutları analiz edin (örneğin, Who-Is veya I-Am).

• Cihaz Keşfi: Ağda izin verilmeyen cihazların iletişim kurduğunu tespit edin.

Wireshark ile Anomali Tespiti ve Filtreleme

Özelleştirilmiş Filtreleme

Wireshark, karmaşık endüstriyel protokoller için özelleştirilmiş filtreler sunar. Örneğin:

• Belirli Bir Modbus Komutunu Filtreleme

modbus.func_code == 3

• DNP3'te Yalnızca Yazma Komutlarını Filtreleme

dnp3.func_code == 2

Renk Kodlaması ile Anomali Görselleştirme

Renk kodlarıyla anormal trafiği hızlıca fark edebilirsiniz:

• Anormal Paketler: Örneğin, yüksek frekansta tekrarlayan Write komutlarına kırmızı bir renk atayın.

Wireshark ile SCADA/ICS Güvenliğini Artırma

Wireshark, sadece analiz için değil, aynı zamanda güvenliği artırmak için de güçlü bir araçtır:

1. Normal Davranışı Öğrenme: Ağ trafiğinin normal paternlerini kaydederek anormal durumları belirleyebilirsiniz.

2. Saldırı Simülasyonu: SCADA sistemine yönelik olası saldırı senaryolarını analiz etmek için trafiği yeniden oynatabilirsiniz.

3. Gerçek Zamanlı İzleme: Wireshark'ı canlı trafiği izlemek için kullanarak, anında tepki verebilirsiniz.

Sonuç: Wireshark ile Endüstriyel Sistemlere Derinlemesine Bakış

Wireshark, endüstriyel protokol analizi için güçlü bir araçtır. SCADA ve ICS ağlarındaki özel protokolleri desteklemesi, anomali tespiti ve sorun giderme süreçlerini kolaylaştırır. Ancak, bu araçla etkili sonuçlar elde etmek için protokollerin temel prensiplerini anlamak şarttır.

Eğer bu yazıyı okuduktan sonra endüstriyel protokollerde Wireshark'ı nasıl kullanacağınızı merak ettiyseniz veya örnek bir analiz senaryosu görmek isterseniz, yorum kısmında tartışabiliriz! Unutmayın, güçlü bir savunma detaylı analizle başlar.