EN

802.1x Protokolünden NAC'a Erişim Denetimi

12 Temmuz 2019

802.1x Standardı Nedir?

802.1x peer-to-peer bağlantılı LAN portlarına takılan cihazların kimlik doğrulama ve yetkilendirme işlemlerini yapan port tabanlı ağ erişim denetimidir. Ağa port kullanarak dahil olmaya çalışan kullanıcılara ağa erişim politikaları uygulamak amacıyla kullanılır. Kimlik doğrulama switch portu, harici yetkilendirme politikası ve MAC adresleri ile sağlanır. Geçerli doğrulamalardan geçemeyen kullanıcının porta erişimi kapatılır. Ağa dâhil olma, yetkilendirme vb. işlemler için NAC çözümü kullanılır. 802.1x standardı kablolu ve kablosuz olarak ağ güvenlik denetimi sağlar.

https://www.beyaz.net/tr/network/makaleler/802_1x_nedir.html

802.1x protokolünün kimlik denetimi üç amaçla yapılır:

Authentication (Yetkilendirme): Ağa dahil olmak isteyen kullanıcılara erişim hakkının verilmesidir.

Authorization (Kimlik Doğrulama): Sunucu, switch veya router kullanılan ağlarda kullanıcı veya cihaz kimliğinin onaylanmasıdır.

Accountting (Hesap yönetimi): Ağda kullanıcı hareketleri,  veri bağlantıları ve kullanıcı sistem kayıtlarının izlenebilmesi amacıyla yapılan işlemdir.

802.1x Protokolü Nasıl Çalışır?

İstemci ve kimlik denetiminin yapıldığı sunucu (Authentication Server) arasında bulunan denetleyici (authenticator) cihaz, bağlantı durumunda istemciye EAP-Request/Identity paketi göndererek kendisini tanıtmasını ister.

- İstemci, kimliğini tanıtan EAP-Response/Identity paketi ile cevap verir. Ve bu paket enkapsül işlemi yapılarak sunucuya gönderilir.
- Sunucu, denetleyiciye şifreli token sistemi gibi bir davetiye atar. Denetleyici bu paketi açıp EAPOL (LAN üzerinden EAP) içerisinde istemciye gönderir. İstemci davetiyeye denetleyici üzerinden cevap gönderir.
- Eğer istemci gerekli kullanıcı tanımına ve haklarına sahipse, sunucunun gönderdiği doğrulayıcı mesaj denetleyicinin istemciye LAN’a erişim izni vermesiyle sonuçlanır.

https://www.beyaz.net/tr/network/makaleler/802_1x_nedir.html

NAC Nedir?

Network Access Control, ağ ortamında erişim denetimini sağlar. NAC temelde 802.1x protokolünü kullanır ancak 802.1x protokolünü kullanmayan NAC çözümleri de vardır. Yetki ve izin denetimini kimlik ve erişim yönetimi (Identify and Access Management - IAM) bileşeni üzerinden yapar. NAC çözümü mimariye dahil edildiğinde, ağa o anda erişmek isteyen cihazları ve türlerini, belirlenen cihazlara uygulanacak kuralları gibi süreçleri işletir.

NAC pre-admission ve post-admission olmak üzere iki şekilde uygulanır. Pre-admission, kullanıcının ön izinle ağa dahil olacağını belirleme işlemidir. Post-admission, kullanıcı ağa dahil olduktan sonra verilen yetkiye göre uygulamalara erişebilir.

Kısaca NAC;

- Ağda işlem yapan tüm sistemlere belirlenen kuralları zorunlu kılar.
- Son kullanıcı uygulamalarının kontrolünü sağlar.
- ZeroDay saldırılarına karşı önemlidir.
- Kullanıcı cihazlarının tanınması ve yetkilendirilmesini sağlar.
- Misafir (Guest) kullanıcılarının ağ erişimlerini kontrol eder. Kullanıcı kaydı ve kimlik doğrulaması sağlar. Guest yönetim portalı vardır.
- Güvenlik politika kontrolü sağlar. Kullanıcı tipi, cihaz türü ve işletim sistemi bazında denetleme yapar.
- Ağa erişim denetiminde uyumlu olmayan kullanıcıları bloklama, izole etme ve onarma vb. güvenlik politikalarını müdahale gerekmeden gerçekleştirir.
- Open/RestFul API yardımıyla güvenlik ve ağ çözümleri ile entegreli olarak çalışır.
- 802.1x protokolü için kablolu ve kablosuz ağların şifreleme yapmasına izin verir.

Sonuç olarak bir ağda erişim denetimi kullanılması zorunludur buişlem 802.1x ve NAC çözümleriyle yapılabilir durumdadır. Ancak Erişim denetimi için 802.1x yeterli olamamakta çeşitli yöntemlerle bypass edilebilmektedir. Bu nedenle bir NAC çözümünün ağda bulunması BYOD, misafir ve zararlı kullanıcılara göre bir erişim politikasının uygulanması zorunludur.






İlgili İçerikler:

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog