Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Network access control

1,800 views

Published on

Published in: Technology
  • Be the first to comment

Network access control

  1. 1. NETWORK ACCESS CONTROL (NAC) AĞ ERİŞİMİ KONTROLÜ Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  2. 2. NAC nedir? Network Access Control (NAC) kurumlarca belirtilmiş güvenlik ilkelerini tüm ağa yaymak ve bu ilkelere uymayan son kullanıcıların ağa dahil olmasını engellemek/sınırlanmak için üretilmiş bir çözümüdür. NAC kullanımındaki amaç sadece güvenlik ilkelerine uyan ve giriş izni verilmiş kullanıcıların ağa dahil olmasını sağlamaktır. Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  3. 3. Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  4. 4. NAC ile ağ güvenliği 4 aşamada sağlanır: • Kimlik Doğrulama • Yetkilendirme • Güvenlik Taraması • İyileştirme Bu özelliklerin hepsini aynı anda sağlar. Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  5. 5. Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  6. 6. NAC ın Özellikleri • Ağa erşimden önce veya sonra denetim yapılabilir. • Agent kullanılabilir veya kullanılmaz. • Inline veya değildir. Arada durabilir. Anahtarlama cihazları sayesinde politikaları uygulayabilir. • Eğer NAC izin vermez ise; Kullanıcılar duruma göre kapalı bir ağa dahil edilebilir. Kullanıcıların trafiği istenilen işlemlerin yapılabileceği bir ağa yönlendirilir. Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  7. 7. NAC ile Kontrol Edilen Ögeler • Bağlantıdan önce, cihaz uyumlu mu? • Bağlantıdan sonra cihaz kabul edilebilir şekilde davranıyor mu? • Kim bağlanıyor? • Hangi haklara sahip? • Eğer bağlanamıyorsa veya uyumsuz ise ne yapılmalıdır? Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  8. 8. Sistemin kullanıcı odaklı olmasından yola çıkarak, üreticiler genelde son kullanıcıların bilgisayarlarına yükledikleri ajanlarla derinlemesine kontroller yapmaktadırlar. Bu ajanlar, kullanıcının bilgisayarını kontrolden geçirirler. Detaylı politikaları bir kenara bırakacak olursak, genel kontrol noktaları kullanıcının işletim sistemi, üye bulunduğu ağ ve NAC ajanının varlığı olmaktadır. Bu üç ön kontrolü geçemeyenler hemen kurumsal ağdan izole edilmekte veya tamamen bağlantısız bırakılmaktadırlar. Ön kontrolü geçenler zaten NAC ajanı çalışan bilgisayarlar olduğundan, yine bu NAC ajanı sayesinde geriye kalan detaylı politikayı gözden geçirirler. Politikayı geçen bilgisayar sorunsuzca ağına dahil olurken, geçemeyenler iyileştirme (remediation) sürecine girerler. Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  9. 9. Yetkilendirme opsiyonları MAC adresi tabanlı, switch portu tabanlı ya da harici bir yetkilendirme mekanizması (veya bunların kombinasyonları) üzerinden yapılabilmektedir. 802.1x’li çözümler sayesinde switch portunuzun dahil olduğu VLAN’ı dinamik olarak değiştirebilir ya da portu komple kapatabilirsiniz. Paket filtreleme veya firewall’dan geçirme gibi çözümler de sunan üreticiler bulunmaktadır. Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  10. 10. NAC Çözümü Üreticileri• Symantec • Juniper • McAfee • Bradford Networks • Cisco • Nortel • Trend Micro • Checkpoint • SonicWall • Impulse Point • Napera Networks gibi üreticilerden bazıları hem cihazlı hem de cihazsız çözümler sunarken bazıları da sadece yazılımsal çözümler sunuyorlar.Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  11. 11. NAC Kullanımının Amaçları • Kurumsal Amaçlar • İşlevsel Amaçlar • Teknik Amaçlar • Uygulama Alanı Belirleme Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  12. 12. Kurumsal Amaçlar • Kullanım çevresinin gözlemlenmesi, araştırılması. • Tüm çalışma koşullarının güncellenmiş olduğundan emin olmak. (yamalar, virus güncellemeleri gibi). • Misafirleri ve yetkisiz kişileri şirket verilerine zarar vermeyecekleri yerde tutmak. • Risk koşullarınızı değerlendirmek. • Her alan için farklı politikalar geliştirmek. Ağın farklı bölgelerini bağımsız şekilde korumak. • Riskli cihazları karantina altına almak. Ağa zarar vermesini engellemek. Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  13. 13. İşlevsel Amaçlar • NAC'ın hangi aşamalarda uygulamak istendiği? Niçin uygulanacağı? Kazancın ne olacağı? • Kurum içerisinde yapının kaç parçadan oluşacağı • Hangi politikalara ihtiyaç duyulduğu. • NAC'ı kimin yöneteceği? • Mevcut politikalar uygulanabilir mi? Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  14. 14. Teknik Amaçlar • Yönetim sunucusu nereye konumlanmalıdır? • Politika uygulama sunucuları nerelerde olmalıdır? • Hangi politikalar uygulanmalıdır? Politikalar nasıl zorlanmalıdır? • Hangi Vlan'lar kullanılmalıdır? • Misafirler, bilinmeyen cihazlar, yazıcılar, VOIP cihazları, önemli görevliler ve cihazlar ne olacak? • Kullanıcı ne kadar deneyimli olmalıdır? Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  15. 15. Uygulama Alanı • Hangi tip cihazlara izin verileceği. • Ağa erişen kullanıcı profillerinin neler olacağı. • Bunların kullanım kısıtlarının ne olacağı. • Hangi tip erişim metotlarına izin verileceği. • Kablolu, kablosuz bağlantı. • Şu anda son kullanıcıya nasıl destek verildiği. • Mevcut ağ topolojisi Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  16. 16. Mimari Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  17. 17. EAP(Extensible Authentication Protocol) • EAP(Extensible Authentication Protocol), birçok kablosuz ağ güvenliği metodunun temelini oluşturan protokoldür. EAP protokolü üzerinden geliştirilen PEAP, LEAP, EAP-TLS, EAP-FAST metotları bunlara örnek olarak gösterilebilir. Bunlardan her biri EAP’i temel alır, fakat kimlik denetimi için farklı referanslar kullanırlar. Bazılarında ek güvenlik özellikleri mevcuttur. Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  18. 18. • EAP-TLS: güvenli kimlik denetimi için TLS( Transport Layer Security) protokolünü kullanır. TLS’in temeli güvenli web oturumları sağlamak için kullanılan SSL(Security Socket Layer) protokolüne dayanır. • PEAP(Protected EAP): kimlik denetimi için TLS oturumu temel alınır. Fakat PEAP’te dijital sertifikaya sadece kimlik denetimi sunucusunda gerek duyulur. Kullanıcılar kimlik denetiminden geçmek için MSCHAPv2’yi(Microsoft Challenge Handshake Authentication Protocol version 2) kullanırlar. Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  19. 19. • EAP-FAST(EAP Flexible Authentication via Secure Tunneling): EAP-FAST Cisco tarafından geliştirilmiş bir protokoldür. Yönetimsel karışıklıkları azalttığı için esnek bir protokoldür. Kullanıcıların dijital sertifikalar kullanmasına ve güçlü şifre kurallarına gerek yoktur. • EAP-FAST ile kimlik denetim sunucusu ve kullanıcı arasında güvenli bir tünel oluşturulur. Tüneli oluşturmak için PAC(Protected Access Crediental) adında bir referansa ihtiyaç duyular. PAC bir PAC sunucusu vasıtasıyla veya EAP-FAST fazlarında dinamik olarak oluşturulabilir. Tünel bir kez kurulduğunda, kullanıcılar kullanıcı adı ve şifreleriyle kimlik denetiminden geçerler. • Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  20. 20. MD5 FILE • MD5: gelişmiş şifreleme algoritmasıdır. • MD5 (Message-Digest algorithm 5), veri bütünlüğünü test etmek için kullanılan, Ron Rivest tarafından 1991 yılında geliştirilmiş bir kriptografik özet (tek yönlü şifreleme) algoritmasıdır. Girdi verinin boyutundan bağımsız olarak 128 bitlik özetler üretir. MD5’deki her girdinin benzersiz olması mümkün değildir, çünkü üretilen “özet” sonuç olarak 128 bittir, ancak MD5’le şifrelenebilecek bilgiler sonsuza gider. Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  21. 21. NAC Sistem Bileşenleri • NAC güvenlik kontrolünün gerçekleştirilebilmesi için makinaların kontrol edileceği akıllı switchlere ihtiyaç vardır. • Gerçekleştirilmek istenen politikaları yönetebilmek amaçlı da server yazılımına ihtiyaç duyulur. • Politikalar MD5, EAP, PEAP Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  22. 22. Akıllı Switch Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  23. 23. RADIUS Server Nedir? • RADIUS (Remote Authentication Dial-in User Service) sunucular uzaktan bağlanan kullanıcılar için kullanıcı ismi-şifre doğrulama (authentication), raporlama/erişim süresi (accounting) ve yetkilendirme (authorization) işlemlerini yapar. Örneğin işyeri dışından şirket ağına bağlanmak için bu yapı kullanılabilir, kullanıcılar tek tek yetkilendirilebilir. • UDP protokolü üzerine dayalıdır. 1812 nolu UDP portunu kullanır. Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  24. 24. • RADIUS için geliştirilmiş özgür yazılımlardan biri FreeRADIUS. Bu yazılımla yapabileceklerinizin bir kısmı şöyle: Kişi bazında yetkilendime yapılabilir. • Gruplar tanımlanıp, farklı erişim hakları verilebilir. • Yapılan girişlerin kaydı tutulabilir. • Sisteme o an bağlı kullanıcı listesini gösterebilir. • Tek kullanıcının aynı anda iki bağlantı yapması engellenebilir. • Proxy kullanımını destekler Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  25. 25. Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  26. 26. Nac Bileşenleri • Akıllı switchler • Yönetim Konsol Server • Güvenli iletişimi sağlayan protokoller(EAP, MD5, PEAP Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin
  27. 27. Kaynakça • http://www.agciyiz.net/index.php/guvenlik/cisco- network-admission-control-ag-erisim-kontrolu/ • http://csirt.ulakbim.gov.tr/dokumanlar/2008.NAC.pdf • http://sozluk.cozumpark.com/goster.aspx?id=342&kelim e=network-access-control • http://www.slideshare.net/mgocmen37/a-eriim- kontrolnac • http://www.nilvera.com/sayfa/64/ag-erisim-kontrolu- nac.html • http://www.agciyiz.net/index.php/guvenlik/kablosuz- aglarda-eap-tabanli-guvenlik-metotlari/ • http://kodveus.blogspot.com/2007/03/radius-server- nedir.html Sinem Altan Oğuzhan Hacıeyüpoğlu Ezgi Engin

×