EN
EN

FortiNAC

15 Haziran 2020


NAC (Network Access Control), ağa erişimi kontrol eden bir çözümdür. Her ne kadar NAC mekanizmasının temel işlevi bu olsa da diğer ağ kimlik doğrulama ve yetkilendirme sunucularından farklı özelliklere sahiptir. Geleneksel ağ kimlik doğrulaması, yerel alan ağına (LAN) veya kablosuz (LAN) ağlarına katılmak isteyen aygıtlara bir kimlik doğrulama yöntemi sağlayan IEEE 802.1x standartını uygular.

FortiNAC, istemci aygıtlar içerisinde çalışan ajan (agent) yazılımı vasıtasıyla, istemcilerin ağa erişimini kontrol etmek için port tabanlı bir ağ erişim kontrolü mekanizmasıdır. Bir diğer yol ise umuma açık bölgelerde, örneğin otellerde ağa bağlanmak için Captive Portal üzerinden ağa dahil olma methodudur. Captive portala örnek olarak, havaalanı gibi umuma açık bölgelerde, ağa bağlandıktan sonra web portalı üzerinden erişim izni vermeden önce girilen kimlik bilgisi ve yasal koşulların kabul edildiği web sayfası verilebilir.

Ağdaki istemcilerin bilgisayarlarına yüklenen ajan vasıtasıyla ağdaki bilgisayarlar üzerindeki şartlar kontol edilerek (antivirüs güncelliği, işletim sistemi güncelliği, Active Directory üzerinden kullanıcı doğrulaması yapılması) bilgisayarların ağa dahil edilmesi gerçekleştirilir. Ancak, elde taşınabilen kablosuz cihazların ortaya çıkmasıyla beraber BYOD (Bring Your Own Device/Kendi Cihazını Getir) ve BYOD cihazlarının iş sürekliliği konusunda faydalı olması sebebiyle işletmeler, bu cihazların network ağlarına dahil edilmesine izin vermeye başladılar. Fakat bu durum sahip olduğu avantajların yanı sıra bazı network risklerini de beraberinde getirdi.

Tüm bu gelişmelere paralel olarak IoT (Internet of Things/Nesnelerin İnterneti) cihazları da network sistemlerine dahil olmaya başladı. Bilgi toplayan ve kontrol edilebilen IoT cihazlarına; akıllı evlerde bulunan ısı ve nem ölçer IoT cihazlarını, market listesi yaparken bu konuda size yardımcı olan akıllı buzdolaplarını, kapıları ağ üzerinden kilitleyip açabildiğiniz kontrol sistemlerini, aydınlatma ve termostat ayarlarını yapabildiğiniz cihazları örnek olarak gösterebiliriz. IoT cihazlarının günlük yaşantıyı bu denli kolaylaştırması, kullanımını da popüler hale getirdi. Her ne kadar bu tip network üzerinden kontrol edilebilen otomasyon cihazlarının sayısı artsa da IoT cihazlarının içerisinde kimlik doğrulama sisteminin bulunmaması ve güvenlik yazılımlarını desteklememesi networkte güvenlik zafiyetlerine neden oldu.

IoT ekosistemine kurumsal açıdan bakıldığında ise, çok sayıda üretici farklı IoT otomasyon cihazlarını kullanıma sunmaktadır. Kullanıcılar bu cihazları kritik sistemler üzerinde gerekli analizler yapması, bilgi toplaması amacıyla kullanmaktadır. Farklı iş sektörlerinde karşımıza çıkan IoT sistemlerine; iklimlendirme sektöründe network üzerinden kontrol edilebilen klima santrallari, çeşitli fabrikalarda kullanılan ve oldukça kritik öneme sahip sıcaklık ve basınç ölçer cihazlar örnek olarak gösterilebilir.

Ancak, nesnelerin interneti yani IoT ekosistemlerinde bulunan cihazların güvenlik standartlarının eksikliği ve bu cihazların güvenliğinin sağlanamaması, ilgili cihazları ağda potansiyel bir tehdit haline getirmektedir. Bu da IoT cihazlarına güvenilemeyeceği anlamına gelmektedir ve bu aygıtlar kötü aktörler tarafından ağlara saldırmak için kullanılabilmektedir.

Fortinet olarak amaca uygun güvenlik dediğimiz mimari; ağımızda bulunan kullanıcılarımızı, fonksiyonlarımızı, uygulamalarımızı ve sanal varlıklarımızı belirlemeyi ve bunlar arasındaki iletişimi mümkün olduğunca güvenli hale getirmeyi hedeflemektedir. Network tarafında herhangi bir tehlike ile karşılaşılmaması amacı ile BYOD ve IoT cihazlarının kontrol edilmesi, izlenmesi ve monitör edilmesi gerekmektedir. Ağ erişim kontrolünde bu tip IoT ve BYOD cihazlarının profillenip, sadece kendi fonksiyonuna bağlı kalacak şekilde networkte gerekli erişimleri sağlanmalıdır. Örnek olarak, bir IP Kamera ağdaki NVR sunucusundan trafik gönderip alabilmelidir, satış veya finans sunucularının hiçbirine erişimi olmamalıdır. Sınırlı ve kontrollü erişim, IoT sistemlerinin faydalarını desteklerken bir ağa verebilecekleri hasarı da en aza indirmelidir. Güvenliği ihlal eden bir cihaz direkt olarak karantinaya taşınmalı ve ağdan izole bir sanal ağda bulunmalıdır.

İdeal olarak, farklı üreticilerin bulunduğu bir network sisteminde bulunan tüm cihazları ve tüm kullanıcıları tanımlamak için ağdaki TCP/IP ile iletişim kuran tüm cihazların görüntülenmesi ve görüntülenen bu cihazların hepsinin görevlerine göre profillendirilmesi gerekmektedir. IoT ve BYOD cihazlarının bulunduğu rollere göre profillendirilmesi güvenlik açısından oldukça önemli ve gereklidir. FortiNAC çözümü, büyük ve çok tesisli ağların etkin bir şekilde kontrol edilebilmesi için, merkezi bir mimariye sahip olmalıdır. Cihazlar yalnızca gerekli bulunduğu kaynaklara göre sınıflandırılmalı ve network sistemi bu yönde ölçeklendirilmelidir. Kritik olarak, FortiNAC, mevcut oluşturulmuş olan güvenlik mekanizmasına da dahil edilmelidir. Böylece herhangi bir ihlal durumunda diğer güvenlik mekanizmasıyla koordineli bir şekilde tehlikeyi izole etmesi sağlanarak güvenlik daha kapsamlı bir şekilde ele alınır ve tehlikenin bertaraf edilmesi kolaylaşır.