ASELSAN, güvenlik düzeyi yüksek resmi kurumlar arasında, en güvenilir bilgi paylaşımı ve iletişimine imkan veren, “2180 Sanal Hava Boşluğu-SAHAB” isimli yeni bir sistem geliştirdi.

Aselsan 2180 Sanal Hava Boşluğu (SAHAB), farklı güvenlik seviyesine sahip ağların (Cross Domain Networks) yüksek güvenlik seviyesine sahip ağın güvenlik seviyesini ihlal etmeden birbirleriyle güvenli bilgi alış verişini sağlayan bir sistem çözümü olarak, Wikileaks belgelerinde olduğu gibi bilgi sızmalarının da önüne geçiyor.

Sanal Hava Boşluğu sistemi, gerçek zamanlı hizmet alan/veren kuruluşlar için gündemde olan güvenlik tehditlerine karşı durmak ve onları ortadan kaldırmak amacıyla tasarlandı. Dış ağ (Internet) ile kurum ağı (iç ağ) arasında konuşlandırılan sistem, kendi içinde IP tabanlı iletişim kullanmıyor ve böylece iki ağ arasında yüksek düzeyde güvenlik sağlayan bir “sanal hava boşluğu (virtual air gap) sınırı oluşturuyor. Sistemin bu özelliği güvenlik düzeyi yüksek (kritik) görev yapan kurumsal ağlar için düşük güvenlik seviyesine sahip ağlara güvenli olarak bağlanma konusunda arzu edilen bir güvenlik çözümü sağlıyor.

2180 Sanal Hava Boşluğu yönlendirilebilir bir protokolün doğrudan yüksek güvenlik seviyesine sahip ağa erişmesini engelliyor. SAHAB, üzerlerinde özelleştirilmiş bir işletim sistemi bulunan iç ve dış iki sunucudan ve ortaklaşa kullanılan disk ünitesinden oluşuyor ve veri akışı ortak disk ünitesi üzerine okuma/yazma şeklinde gerçekleşiyor.

SANAL HAVA BOŞLUĞUNDA BİLGİLER “ANLIK VE ŞİFRELİ”

İlgili kurum/kuruluş tarafından alınacak diğer güvenlik önlemleri gereğince, SAHAB sistemin dışında ve ona ek olarak çeşitli diğer güvenlik teknolojilerin dış ve iç ağ üzerinde barındırılması da mümkün oluyor. Bu durum tasarlanmış sistemin çalışmasına engel olmadığı gibi, sistemin kurumsal ağ üzerinde konuşlandırılması da, kurumun aldığı diğer güvenlik önlemleri açısından bir sorun teşkil etmiyor.

2180 Sanal Hava Boşluğu sistemi üç katmanlı bir yapıya sahip bulunuyor. En alta disk erişim, kriptolama ve sayısal imza işlemlerinin yapıldığı çekirdek katmanı yer alırken, ortada yer alan mesaj katmanında ise mesajlaşma paketlerinin içinden verinin çıkarılması ve/veya yeniden mesajlaşma paketlerinin yaratılması ile yönetim işlevleri, alarm ve log kayıtlarının tutulması gerçekleştiriliyor. En üstte ise birden fazla protokolün desteklendiği uygulama katmanı yer alıyor.

SAHAB sisteminin sunduğu güvenlik avantajları ise şöyle: “İç ve dış sunucularda çalışan, özelleştirilmiş ve güvenliği artırılmış bir 'Linux' işletim sistemi çekirdeği yer alıyor.

Paylaşılan disk üzerinden sadece iki sunucunun bildiği özgün bir veri alış veriş protokolüyle iç ve dış sunucular arasında paket alış verişi gerçekleştiriliyor.
İç ve dış sunucuların paylaştığı disk ünitesi özgün bir yöntemle biçimlendiriliyor. Ayrıca disk üzerine bilgiler anlık ve şifreli olarak yazılıyor ve böylece herhangi bir nedenle ele geçirilen disk ünitesi üzerinde yapılan çalışmalar ile sağlıklı bir bilgi edinilmesi mümkün olmuyor.

Sistemin iç ve dış ağ arayüzleri üzerinden IP protokolü kullanılarak gelebilecek zararlı ve/veya gereksiz tüm trafiğin denetlenmesi, filtrelenmesi ve kayıt altına alınması amacıyla sistemde iç ve dış güvenlik duvarı özelliği bulunmuyor.”

SALDIRI TESPİT ÖZELLİĞİ...

SAHAB, güvenlik duvarından geçen ve sisteme erişen ağ trafiğinde barınabilecek muhtemel saldırıları önlemek ve kayıt altına almak amacıyla iç ve dış sistemde ağ ve sistem tabanlı saldırı tespit özelliği bulunuyor.

İç ve dış sistemlerdeki tüm kritik dosya ve dizinlerde, yetki dışı değişiklikleri denetleyen bir bütünlük denetleyicisi ile iç ve dış güvenlik bileşeninde yapılan şifreleme işlemleri için gerekli olan anahtar bilgilerinin depolandığı bir donanım güvenlik bileşenine sahip durumda.

SAHAB sistemi, dış ve iç güvenlik bileşenleri arasında paylaşılan bellek üzerinden iletilen kimlik denetleme (authentication) ve canlılık (heartbeat) mesajlaşması özelliğinin yanı sıra, dış ve iç güvenlik bileşenleri üzerinde anlaşılmazlık/şaşırtma (obfuscation) işlemleri gerçekleştirilebiliyor.

Dış ve iç güvenlik bileşenleri üzerine yerleştirilmiş orijinallik (authenticity) bilgisi, özel mesaj sıralama protokolü bulunuyor.

Sistemde, izleme/günlükleme ile ilgili kayıtlar tutuluyor ve sistem bütünlüğünü denetleme mekanizmaları bulunuyor.

Ağ yapısının gelişmesi ile iletişim ağlarının siber saldırılara karşı daha açık hale geldiğini, bunun sonucu olarak daha komplike güvenlik politikalarının uygulaması ihtiyacının ortaya çıktığını belirten uzmanlar, bilgi paylaşımının güvenli ve sağlıklı olarak gerçekleştirilmesinde, iyi tasarlanmış bir bilgi ağı mimarisinin yanı sıra uygun iletişim protokolleri ve şifreleme yöntemlerinin kullanımı, bilgi ağı cihazlarının seçim ve konfigürasyonu, güvenlik duvarı, anti-virüs yazılımları ve saldırı tespit sistemi gibi bilinen kontrol araçlarına ilave olarak ASELSAN 2180 Sanal Hava Boşluğu sisteminin, ağ güvenlik ve erişim denetimi alanında bünyesinde barındırdığı özellikler ile bu alanda yepyeni bir sistem olduğunu vurguluyorlar.

Kaynak...