Aselsan 2180 Sanal Hava Boşluğu (SAHAB), farklı güvenlik seviyesine sahip ağların (Cross Domain Networks) yüksek güvenlik seviyesine sahip ağın güvenlik seviyesini ihlal etmeden birbirleriyle güvenli bilgi
alış verişini sağlayan bir
sistem çözümü olarak, Wikileaks belgelerinde olduğu gibi bilgi sızmalarının da önüne geçiyor.
AA muhabirinin edindiği bilgiye göre, Sanal Hava Boşluğu sistemi, gerçek zamanlı
hizmet alan/veren kuruluşlar için gündemde olan güvenlik tehditlerine karşı durmak ve onları ortadan kaldırmak amacıyla tasarlandı. Dış ağ (Internet) ile kurum ağı (iç ağ) arasında konuşlandırılan sistem, kendi içinde IP tabanlı
iletişim kullanmıyor ve böylece iki ağ arasında yüksek düzeyde güvenlik sağlayan bir ''
sanal hava boşluğu (virtual air gap) sınırı oluşturuyor. Sistemin bu özelliği güvenlik düzeyi yüksek (kritik) görev yapan kurumsal ağlar için düşük güvenlik seviyesine sahip ağlara güvenli olarak bağlanma konusunda arzu edilen bir güvenlik çözümü sağlıyor.
2180 Sanal Hava Boşluğu yönlendirilebilir bir protokolün doğrudan yüksek güvenlik seviyesine sahip ağa erişmesini engelliyor. SAHAB, üzerlerinde özelleştirilmiş bir
işletim sistemi bulunan iç ve dış iki sunucudan ve ortaklaşa kullanılan
disk ünitesinden oluşuyor ve veri akışı ortak disk ünitesi üzerine
okuma/yazma şeklinde gerçekleşiyor.
SANAL HAVA BOŞLUĞUNDA BİLGİLER ''ANLIK VE ŞİFRELİ''
İlgili kurum/kuruluş tarafından alınacak diğer güvenlik önlemleri gereğince, SAHAB sistemin dışında ve ona ek olarak çeşitli diğer güvenlik teknolojilerin dış ve iç ağ üzerinde barındırılması da mümkün oluyor. Bu durum tasarlanmış sistemin çalışmasına engel olmadığı gibi, sistemin kurumsal ağ üzerinde konuşlandırılması da, kurumun aldığı diğer güvenlik önlemleri açısından bir sorun teşkil etmiyor.
2180 Sanal Hava Boşluğu sistemi üç katmanlı bir yapıya sahip bulunuyor. En alta disk erişim, kriptolama ve sayısal
imza işlemlerinin yapıldığı çekirdek katmanı yer alırken, ortada yer alan
mesaj katmanında ise mesajlaşma paketlerinin içinden verinin çıkarılması ve/veya yeniden mesajlaşma paketlerinin yaratılması ile
yönetim işlevleri,
alarm ve log
kayıtlarının tutulması gerçekleştiriliyor. En üstte ise birden fazla protokolün desteklendiği
uygulama katmanı yer alıyor.
SAHAB sisteminin sunduğu güvenlik avantajları ise şöyle:
''İç ve dış sunucularda çalışan, özelleştirilmiş ve güvenliği artırılmış bir 'Linux' işletim sistemi çekirdeği yer alıyor.
Paylaşılan disk üzerinden sadece iki sunucunun bildiği özgün bir veri alış veriş protokolüyle iç ve dış sunucular arasında paket alış verişi gerçekleştiriliyor.
İç ve dış sunucuların paylaştığı disk ünitesi özgün bir yöntemle biçimlendiriliyor. Ayrıca disk üzerine bilgiler anlık ve şifreli olarak yazılıyor ve böylece herhangi bir nedenle ele geçirilen disk ünitesi üzerinde yapılan çalışmalar ile sağlıklı bir bilgi edinilmesi mümkün olmuyor.
Sistemin iç ve dış ağ arayüzleri üzerinden IP protokolü kullanılarak gelebilecek zararlı ve/veya gereksiz tüm trafiğin denetlenmesi, filtrelenmesi ve kayıt altına alınması amacıyla sistemde iç ve dış güvenlik duvarı özelliği bulunmuyor.''
SALDIRI TESPİT ÖZELLİĞİ...
SAHAB, güvenlik duvarından geçen ve sisteme erişen ağ trafiğinde barınabilecek muhtemel saldırıları önlemek ve kayıt altına almak amacıyla iç ve dış sistemde ağ ve sistem tabanlı saldırı tespit özelliği bulunuyor.
İç ve dış sistemlerdeki tüm kritik
dosya ve dizinlerde,
yetki dışı değişiklikleri denetleyen bir bütünlük denetleyicisi ile iç ve dış güvenlik bileşeninde yapılan şifreleme işlemleri için gerekli olan anahtar bilgilerinin depolandığı bir donanım güvenlik bileşenine sahip durumda.
SAHAB sistemi, dış ve iç güvenlik bileşenleri arasında paylaşılan bellek üzerinden iletilen kimlik
denetleme (authentication) ve canlılık (heartbeat) mesajlaşması özelliğinin yanı sıra, dış ve iç güvenlik bileşenleri üzerinde anlaşılmazlık/şaşırtma (obfuscation) işlemleri gerçekleştirilebiliyor.
Dış ve iç güvenlik bileşenleri üzerine yerleştirilmiş orijinallik (authenticity) bilgisi, özel mesaj
sıralama protokolü bulunuyor.
Sistemde,
izleme/günlükleme ile ilgili kayıtlar tutuluyor ve sistem bütünlüğünü denetleme mekanizmaları bulunuyor.
Ağ yapısının gelişmesi ile iletişim ağlarının siber saldırılara karşı daha açık hale geldiğini, bunun sonucu olarak daha komplike güvenlik politikalarının uygulaması ihtiyacının ortaya çıktığını belirten uzmanlar, bilgi paylaşımının güvenli ve sağlıklı olarak gerçekleştirilmesinde, iyi tasarlanmış bir bilgi ağı mimarisinin yanı sıra uygun iletişim protokolleri ve şifreleme yöntemlerinin kullanımı, bilgi ağı cihazlarının
seçim ve konfigürasyonu, güvenlik duvarı, anti-virüs yazılımları ve saldırı tespit sistemi gibi bilinen
kontrol araçlarına ilave olarak ASELSAN 2180 Sanal Hava Boşluğu sisteminin, ağ güvenlik ve erişim denetimi alanında bünyesinde barındırdığı özellikler ile bu alanda yepyeni bir sistem olduğunu vurguluyorlar.