EN

802.1x’ten NAC’a Güvenlik

26 Ağustos 2019

IoT cihazlarının yaygınlaşması, misafir kullanıcıların artması, işyerlerinde “Bring Your Own Device (BYOD)” mantığıyla çalışan farklı cihazların kullanılması yeni güvenlik açıklarını ortaya çıkarmıştır. Kurumsal ağların güvende kalması için, ağa bağlı olan veya bağlanacak olan cihazların belirli denetimlere tabi tutulması ihtiyacı doğmuştur. Başlangıçta 802.1x standartı bu denetim için yeterli olurken ilerleyen zamanlarda “Network Access Control (NAC)” teknolojisine ihtiyaç duyulmuştur.

Kablolu ya da kablosuz olarak yerel ağa bağlanmak isteyen cihazlar için kimlik doğrulama mekanizması sağlayan IEEE 802.1x, port tabanlı ağ erişim kontrolü için kullanılan bir IEEE standartıdır. 802.1x ağa erişmek isteyen cihazları ağa dahil etmekte ya da bu istekleri geri çevirmektedir.

802.1x’in birden fazla bileşen içermesi, değişken parçalara bağlı olması bu standartın uygulanabilirliğini olumsuz yönde etkilemektedir. Aşağıda 802.1x standartının yetersiz kaldığı bazı başlıklar incelenecektir.

MAC Adres Yönetme

802.1x’in çalışabilmesi için uç noktada bir kimlik doğrulama sunucusuna ve protokolün istemci tarafını uygulamak için bir araca ihtiyaç duyulmaktadır. Ancak, çoğu satıcı bu gereksinimleri hizmet olarak vermemektedir. Kuruluşların ağlarında tahminlere göre %50’den fazla yönetilemeyen IoT cihazları bulunmaktadır. Ağdaki IoT cihazlarını ağa bağlamak için iki çözüm bulunmaktadır. Birincisi, bazı portları dışarda tutmak; ikincisi bu cihazları MAC adreslerine göre yetkilendirmektir. Ancak MAC adreslerini yönetmek hem zahmetli bir iştir hem de ağ şifresini herkes için erişilebilir kıldığı için güvenli değildir.

BYOD

Kuruluşlarda “Bring Your Own Device” kullanımı ağ ve güvenlik yöneticileri için ağ güvenliğini kontrol etmeyi ve korumayı oldukça zor bir hale getirmektedir. Bu sorunu çözmek için yönetilen cihazlar ile yönetilemeyen BYOD arasında net bir ayrım oluşturulması gerekmektedir. 802.1x’in kullanıcı adı ve şifrelere dayanan mantığıyla bu mümkün değildir. Herhangi bir kullanıcı, kullanıcı adı ve şifresini kullanarak herhangi bir cihazı ağa bağlayabilmektedir.

Risk

802.1x’i tek başına uygulamak, bağlı cihazın güvenli olmadığı anlamına gelmez ancak hem düzenlemelere hem de uygulama standartlarına uymak için cihazın davranış değerlendirmesinin de yapılması gerekmektedir. Bunun için başka bir ticari ürün uygulanmalıdır. Bu iki kritere bakılarak cihazın ağa erişimine izin verilmelidir.

Uzmanlık Seviyesi

802.1x uygulaması için, bir ağ mühendisinin ihtiyaç duyduğu uzmanlık düzeyi çok yüksektir. RADIUS, 802.1x, EAP, farklı anahtar konfigürasyonları, uç nokta konfigürasyonları hakkında bilgi sahibi olmalı ve bir problem ortaya çıktığında bu sorunun nereden kaynaklandığını gösterebilmelidir.

802.1x sorunlarını çözmek için 802.1x’i SaaS olarak bulutta kullanmak ya da NAC teknolojisini kullanmak gerekmektedir.

NAC, ağa erişimi kontrol ederek kullanıcıları ve cihazları tanımlayan bir ağ oluşturma konseptidir. NAC, yetkilendirme ve politika uygulamalarını kullanarak kurumsal kaynaklara erişimi kontrol etmektedir. Yalnızca uç noktalar ve kullanıcılar için bir kimlik doğrulama mekanizması sağlamak için değil, aynı zamanda ağda neyin mevcut olduğu ve nereye bağlandığı konusunda görünürlük kazanmak için de kullanılmaktadır. Kablolu ya da kablosuz farketmeksizin IoT cihazlarının ağa bağlanması sonucunda oluşabilecek güvenlik risklerine karşı yardımcı olabilecek bir önleme teknolojisidir. Günümüzde NAC çoğu çözümleri 802.1x standartından bağımsız çalışabilmektedir.






İlgili İçerikler:

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog