Türkiye'nin Endüstriyel Teknoloji PlatformuMESPLUS.com.tr →
DFDijital Fabrikalar
OT Güvenliği11 dk okuma

Endüstriyel Ağ Altyapısı: OT Ağ Tasarımı ve Güvenliği

Fabrika OT ağ altyapısı tasarımı: Endüstriyel Ethernet, PROFINET, EtherNet/IP, ağ segmentasyonu, DMZ ve IT/OT ağ entegrasyonu rehberi.

OT Güvenlik Ekibi·

Endüstriyel Ağ Altyapısı

Fabrika ağı, modern üretim tesisinin sinir sistemidir. PLC'den SCADA'ya, sensörden MES'e — tüm veri bu ağ üzerinden akar. Yanlış tasarlanmış ağ hem operasyonel güvenilirliği hem de siber güvenliği tehlikeye atar. Bu rehber endüstriyel ağ altyapısının temellerini ve OT ağ güvenliği prensiperini açıklar.

Endüstriyel Ağın Ofis Ağından Farkı

Gerçek zamanlı gereksinim: PLC'nin sensör okuması ve aktüatör komutu deterministik ve milisaniye mertebesinde olmalı. Ofis ağındaki bir gecikme e-posta kullanıcısını rahatsız eder; üretim ağındaki gecikme makinenin yanlış çalışmasına neden olur.

Yüksek güvenilirlik: Üretim ağı 24/7 çalışmalı. Bakım penceresi sınırlı. Ring topoloji ve redundant altyapı bu nedenle yaygındır.

Uzun ömürlü ekipman: PLC ve endüstriyel switch 15-20 yıl çalışabilir. Ağ tasarımı bu eski ekipmanları da kapsayacak şekilde yapılır.

Farklı öncelik: Ofis ağında bant genişliği önceliklidir; OT ağında gecikme (latency) ve güvenilirlik önceliklidir.

Endüstriyel Ethernet Protokolleri

Endüstriyel otomasyon farklı uygulama katmanı protokolleri kullanır — fiziksel katmanda hepsi standart Ethernet.

PROFINET

Siemens liderliğinde Profibus Uluslararası tarafından geliştirilen gerçek zamanlı Ethernet protokolü. Avrupa ve Türkiye'de dominant.

  • IRT (Isochronous Real Time): Mikrosaniye hassasiyetle hareket kontrolü
  • RT (Real Time): Otomasyon için tipik (1-10 ms döngü)
  • NRT (Non-Real Time): Konfigürasyon ve parametre verisi

Siemens TIA Portal ile native entegrasyon. Türkiye otomotiv ve genel imalat sektöründe en yaygın.

EtherNet/IP

Rockwell Automation (Allen-Bradley) öncülüğünde geliştirilen, CIP (Common Industrial Protocol) tabanlı. Kuzey Amerika'da dominant, Türkiye'de yaygın.

Avantaj: CIP, DeviceNet ve ControlNet ile aynı nesne modelini paylaşır — ağ üzerinden doğrudan cihaz konfigürasyonu.

Modbus TCP/IP

Klasik Modbus'un Ethernet versiyonu. En basit, en yaygın, en eski. Her PLC ve SCADA yazılımı Modbus TCP/IP destekler. Yeni proje başlatmak için önermiyoruz ancak eski sistem entegrasyonunda kaçınılmaz.

OPC-UA

Protokol değil, uygulama katmanı standardı — herhangi bir ağ üzerinden çalışır. Güvenli, platform bağımsız, semantik veri modeli. MES-SCADA, SCADA-ERP, makine-makine iletişiminde hızla yaygınlaşıyor.

OPC-UA over TSN (Time-Sensitive Networking): Determinizm isteyen uygulamalarda geleceğin standardı.

OT Ağ Topolojisi

Yıldız Topoloji

En basit: Her cihaz merkezi switch'e bağlı. Tek nokta arızası switch'tir.

Ring Topoloji (Halka)

Endüstriyel ağlarda yaygın. PROFINET MRP veya Ethernet ring protokolleriyle, switch arızasında alternatif yol otomatik devreye girer.

PROFINET MRP (Media Redundancy Protocol): Switch arızasında yeniden yapılandırma 200 ms içinde. Yüksek güvenilirlik gerektiren uygulamalar için.

Hiyerarşik (Tree) Topoloji

Katmanlı büyük fabrikalarda: Field switch → Cell switch → Plant switch → Enterprise network.

ISA-99/IEC 62443 Ağ Bölgelendirme (Zones and Conduits)

Endüstriyel siber güvenlik standardı IEC 62443, ağı güvenlik bölgelerine (zones) ayırır.

Tipik OT Ağ Katmanları

Sahа Seviyesi (Seviye 0-1): Sensörler, aktüatörler, PLC'ler. Doğrudan fiziksel sürece bağlı. Hiçbir ofis trafiği bu ağa ulaşmamalı.

Kontrol Seviyesi (Seviye 2): SCADA sunucuları, mühendislik iş istasyonları, HMI'lar. Saha ağından sadece gerekli trafiğe izin verilir.

MES/Operasyon Seviyesi (Seviye 3): MES, historian, operasyon veritabanları. Kontrol ağından veri alır, IT ağına veri gönderir.

Demilitarized Zone (DMZ): OT ve IT ağları arasında tampon bölge. Güvenlik duvarları her iki yönde trafiği filtreler. Veri yalnızca DMZ üzerinden geçer.

IT/Kurumsal Ağ (Seviye 4-5): ERP, ofis ağı, internet bağlantısı. OT ağına doğrudan erişim yoktur.

Güvenlik Duvarı Kuralları (Örnekler)

Saha → Kontrol: PLC programlama trafiği yalnızca mühendis istasyonundan, belirli saatlerde.

Kontrol → MES: OPC-UA sadece historian ve MES sunucusuna, read-only.

MES → ERP: REST API, belirli endpoint'ler, yalnızca HTTPS.

Dış erişim → SCADA: Kesinlikle yasak. Yalnızca VPN tüneli üzerinden, iki faktörlü doğrulama ile.

Endüstriyel Switch Seçimi

Ev veya ofis switch'leri fabrika ortamına uygun değildir — nem, toz, titreşim, sıcaklık.

Dikkat edilecekler:

  • Çalışma sıcaklığı aralığı: -40°C ile +70°C (geniş aralık)
  • IP koruma sınıfı: Panel içi için IP20, açık ortam için IP67
  • DIN ray montaj (panel kutusu için standart)
  • Güç yedekliliği (iki güç girişi)
  • PROFINET, EtherNet/IP gibi endüstriyel protokol desteği
  • Yönetilen switch (managed) — VLAN, QoS, port mirroring konfigürasyonu

Yaygın üreticiler: Siemens SCALANCE, Cisco Industrial, Phoenix Contact FL Switch, Hirschmann, Moxa.

Kablosuz OT Ağı

Fabrika içinde WiFi kullanımı yaygınlaşıyor — ancak dikkatli tasarım gerekiyor.

Zorluklar:

  • Metal yapı ve makine gürültüsü sinyal kalitesini bozar
  • Kanal çakışması (IEEE 802.11ax/Wi-Fi 6 ile azalıyor)
  • Deterministik gerçek zamanlı iletişim için WiFi güvenilmez

Uygundur: Veri toplama (sensör, barkod okuyucu), AGV (otonom güdümlü araç), operatör tabletleri.

Uygun değil: PLC-PLC gerçek zamanlı kontrol, güvenlik kritik kontrol döngüleri.

5G Private Network: Büyük fabrikalar için özel 5G ağı — düşük latency, yüksek güvenilirlik. Henüz erken aşamada ancak hızla olgunlaşıyor.

Türkiye'de Endüstriyel Ağ Gerçeği

Türk fabrikalarının önemli bölümünde OT ağı ya hiç ayrılmamış (IT ile karışık) ya da flat (düz, bölümlenmemiş) yapıda. Bu durum hem güvenilirlik hem siber güvenlik riski yaratıyor.

Yaygın sorunlar:

  • IT güncelleme trafiği üretim ağını bozuyor
  • Ofis PC'leri SCADA'ya doğrudan erişiyor
  • Uzaktan bakım bağlantısı güvenli değil (port forwarding ile)
  • Endüstriyel ekipman patch edilmiyor (yıllar önce kurulmuş, dokunulmamış)

Başlangıç adımları:

  1. OT varlık envanteri: Ağda ne var? Bilinmeyen cihaz var mı?
  2. IT/OT ağ segmentasyonu: Güvenlik duvarı veya en azından VLAN ayrımı
  3. Uzaktan erişim güvenliği: Port forwarding kapalı, VPN zorunlu
  4. Güvenli default: Fabrika çıkışı şifreler değiştirilmiş mi?

Daha fazla bilgi: Fabrikalarda OT Güvenliği | OT Güvenlik Standartları | SCADA Nedir?

📬

Haftalık Endüstriyel Teknoloji Bülteni

MES, OEE ve OT güvenliği alanındaki en son gelişmeler, rehberler ve Türk sanayii verileri. Her Salı, 3 dakikada okunur.

Spam göndermiyoruz. İstediğinizde çıkabilirsiniz.

Fabrikanız İçin Uzman Desteği Alın

MES, OEE veya OT güvenliği konusunda fabrikanıza özel değerlendirme ve çözüm önerileri için uzmanlarımızla görüşün.

Demo ve Danışmanlık Talep Et →