Unidirectional Network (Tek Yönlü Ağ)
Bağlantısında veya Unidirectional
Gateway (Tek Yönlü Ağ Geçidi) Bağlantısında veya Data Diode (Veri Diyotu)
Bağlantısında; cihaz yalnızca veri gönderebilmektedir veya cihaz yalnızca
veri alabilmektedir. Yani, tek yönlü ağ bağlantısında; bir kaynak, verileri bir
veya daha fazla hedefe gönderebilmektedir, ancak hedef veya hedefler kaynağa
veri gönderememektedir.
1. Fiber Optik Ağ Üzerinde Tek Yönlü Ağ Bağlantısı Oluşturma
Bir fiber optik ağ bağlantısı oluşturmak için biri gönderme sinyali görevini gerçekleştiren, diğeri alma sinyali görevini gerçekleştiren iki fiber optik kablo kullanılmaktadır. Şekil 1’de tek çift yönlü fiber optik ağ bağlantısı ve iki tek yönlü fiber optik ağ bağlantısı gösterilmektedir.
 |
| Şekil 1: Tek Çift Yönlü Fiber Optik Ağ Bağlantısı ve İki Tek Yönlü Fiber Optik Ağ Bağlantısı |
Şekil 1’deki gönderme veya alma
çiftlerinden birinin ağ bağlantısının kesilmesiyle, bir bilgisayarın yalnızca gönderim
yapabileceği ve diğerinin yalnızca alabileceği tek bir ağ bağlantısı oluşmaktadır.
Bu durum, tek yönlü ağ bağlantısına bir örnektir.
2. Tek Yönlü
Ağ Bağlantısı Üzerinden Haberleşme
Tek yönlü bir ağ bağlantısı üzerinden haberleşmek
için bağlantısız bir protokol kullanılması gerekmektedir. Bağlantısız bir
protokolde; haberleşen noktalar arasında kalıcı mantıksal bağlantı
kurulmamaktadır ve alınan her veri birimi bağımsız olarak işlenebilmektedir.
Internet Protocol (IP – İnternet
Protokolü) bağlantısız bir protokoldür, Transmission Control Protocol (TCP –
İletim Kontrol Protokolü) ise IP üzerinden bağlantı odaklı bir protokoldür.
User Datagram Protocol (UDP – Kullanıcı Veri Bloğu İletişim Protokolü), IP
üzerinden bağlantısız bir protokoldür ve tek yönlü iletişimleri uygulamak için
çok uygundur. Çünkü, çoğunlukla UDP ile veri gönderen cihazın, hedef cihaza veri iletiminin başarıyla gerçekleşmesi konusunda hiçbir fikri yoktur.
3. Tek Yönlü
Ağ Bağlantısını Zorlama
Tek yönlü bir ağ bağlantısı, verilerin
belirli bir yönde gönderilmesini fiziksel olarak imkansız kılan data
diode (veri diyotu) donanım aygıtı kullanılarak güçlendirilebilmektedir.
Tek yönlü ağ bağlantısında; gönderen cihaz, veri diyotunun girişine
bağlanmaktadır ve alıcı cihaz, veri diyotunun çıkışına bağlanmaktadır. Veri
diyotu, verilerin ters yönde akamayacağını garanti etmektedir. Şekil 2’de veri
diyotu kullanarak tek yönlü haberleşmenin zorlanması gösterilmektedir.
 |
| Şekil 2: Veri Diyotu Kullanarak Tek Yönlü Haberleşmenin Zorlanması |
4. Tek Yönlü
Ağ Bağlantısında Bütünlük, Kullanılabilirlik ve Gizlilik
4.1. Tek
Yönlü Ağ Bağlantısında Bütünlük
Bir cihazın bütünlüğü, cihazın üzerindeki
bilgilerin ne kadar güvenilir olduğu ile ilgili olmaktadır. Bir cihaz yanlış
bilgi içerecek şekilde tahrif edilmişse, bu durum bir bütünlük ihlali olarak
kabul edilmektedir.
4.1.1 Tek
Yönlü Ağ Bağlantısında Gönderici Cihaz için Bütünlük
Bir cihaz fiziksel olarak veri alamıyorsa,
cihaz üzerindeki verileri değiştirmenin bir yolu bulunmamaktadır, bundan dolayı
tek
yönlü ağ bağlantısında gönderici cihazın bütünlüğü garanti edilebilmektedir.
4.1.2 Tek
Yönlü Ağ Bağlantısında Alıcı Cihaz için Bütünlük
Alıcı cihaz ile ilgili ayrıntılı bilgi sahibi
olan saldırgan, alıcı cihazda; uzaktaki bir güvenlik açığından
yararlanabilmektedir ve kod çalıştırması mümkün olabilmektedir. Ancak, alıcı cihaz
hakkında önceden bilgisi olmayan bir saldırgan için bu saldırıları
gerçekleştirebilmesi neredeyse imkansızdır. Saldırganın, alıcı cihazda; hangi
hizmetlerin çalıştığını veya kullanılan işletim sistemini saptaması için keşif
yapmasının bir yolu bulunmamaktadır. Ayrıca, alıcı cihaza fiziksel erişim
olmadan saldırının başarılı olup olmadığını belirlemenin bir yolu bulunmamaktadır.
Çünkü alıcı cihaz verileri uzaktaki saldırgana gönderememektedir. Teorik
olarak, verileri uzaktan değiştirmek ve alıcı cihazın bütünlüğünü tehlikeye
atmak mümkündür, bu nedenle tek yönlü ağ bağlantısında alıcı cihazın
bütünlüğü garanti edilememektedir.
4.2. Tek
Yönlü Ağ Bağlantısında Kullanılabilirlik
Bir cihazın kullanılabilirliği, o cihazın
bir ağ üzerinden iletişim kurup kuramadığıyla ilgilidir. Bir cihaz iletişim
kuramıyorsa, kullanılamaz olduğu söylenebilmektedir.
4.2.1 Tek
Yönlü Ağ Bağlantısında Gönderici Cihaz için Kullanılabilirlik
Bir cihaz veri alamazsa, Denial of Service
(DoS – Hizmet Reddi) saldırısı gibi kullanılabilirlik saldırılarıyla hedeflenememektedir.
Uzaktaki bir saldırganın gönderici cihazın kullanılabilirliğini doğrudan
tehlikeye atmasının bir yolu bulunmamaktadır, bu sayede tek yönlü ağ bağlantısında gönderici
cihaz için kullanılabilirlik garanti edilebilmektedir.
4.2.2 Tek
Yönlü Ağ Bağlantısında Alıcı Cihaz için Kullanılabilirlik
Bir cihaz veri alabiliyorsa, DoS
saldırısı gibi kullanılabilirlik saldırılarına müsaittir, bundan dolayı tek
yönlü ağ bağlantısında alıcı cihaz için kullanılabilirlik garanti
edilememektedir.
4.3 Tek
Yönlü Ağ Bağlantısında Gizlilik
Bir cihazın gizliliği, sahip olduğu
bilgilerin ne kadar özel/gizli olduğu ile ilgilidir. Örneğin, bir cihaz tüm
dünyanın görmesi için parolalar yayınlıyorsa, bu durum bir gizlilik ihlali olarak
kabul edilmektedir.
4.3.1 Tek
Yönlü Ağ Bağlantısında Gönderici Cihaz için Gizlilik
Yalnızca gönderebilen bir cihazın,
ilettiği bilginin amaçlanan hedefe ulaşıp ulaşmadığını bilme yolu bulunamamaktadır.
Ayrıca, bir saldırgan trafiği koklayabilmektedir ve haberleşmenin gizliliğini
tehlikeye atabilmektedir, bu nedenle tek yönlü ağ bağlantısında gönderici cihazın
gizliliği garanti edilememektedir.
4.3.2 Tek
Yönlü Ağ Bağlantısında Alıcı Cihaz için Gizlilik
Bir ağ üzerinden veri gönderemeyen bir cihaz,
tamamen gizli kabul edilebilmektedir. Bir saldırgan, cihazdan gelen herhangi
bir bilgiyi göremiyorsa, bu cihazla ilgili herhangi bir bilgi çıkarmasının yolu
bulunmamaktadır. Örneğin, saldırgan, cihazın açık olup olmadığını bilmesinin
bir yolu bulunmamaktadır. Böyle bir cihazda depolanan bilgileri görüntülemenin
tek yolu fiziksel erişimdir. Tek yönlü ağ bağlantısında alıcı cihazın
gizliliği garanti edilebilmektedir.
Kaynaklar
- https://en.wikipedia.org/wiki/Unidirectional_network
- https://www.giac.org/paper/gsec/2848/unidirectional-networking/104817
- https://www.opswat.com/blog/how-unidirectional-networks-are-used-industrial-control-systems
·
/Unidirectional Gateway (Tek Yönlü Ağ Geçidi)/Data Diode (Veri Diyotu) Bağlantısının Mimarisi, Bütünlüğü, Kullanılabilirliği ve Gizliliği){kind=link}
0 Yorumlar