Ağlar Arası Uyuşum Temelleri…

DG’nin iki tarafında da bulunan haberleşme sistemlerinde kullanılan güvenlik sistemleri, güvenlik fonksiyonları açısından aynı olmak zorunda değildir. Hatta ulusal kripto algoritmaları kullanarak ulusal bir güvenlik mekanizması kurabilmek için yüksek miktarda yatırımlar yapılmaktadır. Bu pahalı sistemler arasında uygun maliyetli bir çözüm olarak gerçeklenebilmesi, DG’ler için bir avantaj sayılabilir

DG, güvenli bir alanda Z1 ve Z2 kriptolarını kullanabilen bir ağ geçididir. A kullanıcısı/sistemi DG üzerinden Z1 algoritmasını kullanarak şifrelenmiş bilgiyi B kullanıcısı/sistemine göndermektedir. B kullanıcısı/sistemi de Z2 algoritmasıyla şifrelenmiş trafiği yorumlayabilmektedir. DG, Z1 ile şifrelenmiş trafiği çözer ve B kullanıcısı için Z2 ile tekrar şifreler. 

DG’lerin kullanım alanı, kriptolu haberleşme yapan tüm sistemlere genişletilebilir. Sesli, görüntülü haberleşme sistemleri, bilgisayar sistemleri ve farklı kriptoların kullanılıp haberleşmesi istenen tüm sistemler arasında DG aracılığıyla uyuşum sağlanabilir. DG’nin kendisinin güvenliğini sağlamak ana güvenlik sorunu olarak göz önünde bulundurulmalıdır.

Şimdi de bu konu üzerine piyasada mevcut iki uygulamanın çalışma prensibini inceleyelim.

Air Gap teknolojisi, backend ağlarını dış dünyadan donanımsal olarak izole eden bir platformdur. Bu mimarinin avantajları olarak şunlar söylenebilir: DMZ bölgesinden iç ofise hiçbir port açık değildir ve tüm güvenlik fonksiyonları Internetten erişilemeyen bilgisayarlarda çalışmaktadır. Teknolojinin implementasyonda Air Gap anahtarlama cihazı, iki adet bilgisayar, yazılım bileşenleri ve üzerinde Air Gap yazılımı çalışan iki ayrı sunucuya bağlanmış stand-alone Air Gap anahtarlama cihazı bulunmaktadır.

Dış E-Gap sunucusu mimarinin “face”’i ya da “gateway”’i olarak kabul edilir. Bu bilgisayarın IP adresi ve DNS adı dünyaya yayınlanır. İç E-Gap sunucusu LAN’a bağlı bilgisayardır, anahtarlama cihazından ilgili bilgiyi çeker ve SSL trafiğini deşifre eder.  Air Gap anahtarlama cihazı hafıza bankası ve yüksek hızlı analog anahtarlama cihazından oluşur ve belli bir anda sadece bir sunucuya bağlanabilir. Dış sunucu bilgiyi bu donanıma yükledikten sonra anahtarlama cihazı dış sunucuyla bağlantısını keser ve iç sunucuya bağlanır.

İnteraktif bağlantı veri diyodu (interactive link data diode, IL-DD) iki ağ arasında, donanımsal olarak ters yönde veri akışını engelleyerek, tek yönlü bir bağlantı sağlamaktadır.

Bu aygıt sayesinde güvenli bir ağın, genel amaçlı bir iç ağdan ters yönde veri akışı riski olmayacak şekilde veri çekebilmesi mümkündür. Böylece kullanıcıların güvenli olmayan kaynaklardan güvenli ağa veri transferine izin verilmektedir.
Kullanıcılar veriyi iç ağdan iç ağ veri diyodu sunucusuna gönderir. Daha sonra veri IL-DD’den geçerek güvenli ağ veri diyodu sunucusuna ulaşır.