2. NAC nedir?
Network Access Control (NAC) kurumlarca belirtilmiş
güvenlik ilkelerini tüm ağa yaymak ve bu ilkelere
uymayan son kullanıcıların ağa dahil olmasını
engellemek/sınırlanmak için üretilmiş bir çözümüdür.
NAC kullanımındaki amaç sadece güvenlik ilkelerine
uyan ve giriş izni verilmiş kullanıcıların ağa dahil
olmasını sağlamaktır.
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
4. NAC ile ağ güvenliği 4
aşamada sağlanır:
• Kimlik Doğrulama
• Yetkilendirme
• Güvenlik Taraması
• İyileştirme
Bu özelliklerin hepsini aynı anda sağlar.
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
6. NAC ın Özellikleri
• Ağa erşimden önce veya sonra denetim yapılabilir.
• Agent kullanılabilir veya kullanılmaz.
• Inline veya değildir.
Arada durabilir.
Anahtarlama cihazları sayesinde politikaları
uygulayabilir.
• Eğer NAC izin vermez ise;
Kullanıcılar duruma göre kapalı bir ağa dahil
edilebilir.
Kullanıcıların trafiği istenilen işlemlerin
yapılabileceği bir ağa yönlendirilir.
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
7. NAC ile Kontrol Edilen
Ögeler
• Bağlantıdan önce, cihaz uyumlu mu?
• Bağlantıdan sonra cihaz kabul edilebilir şekilde
davranıyor mu?
• Kim bağlanıyor?
• Hangi haklara sahip?
• Eğer bağlanamıyorsa veya uyumsuz ise ne
yapılmalıdır?
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
8. Sistemin kullanıcı odaklı olmasından yola çıkarak, üreticiler
genelde son kullanıcıların bilgisayarlarına yükledikleri
ajanlarla derinlemesine kontroller yapmaktadırlar. Bu
ajanlar, kullanıcının bilgisayarını kontrolden geçirirler. Detaylı
politikaları bir kenara bırakacak olursak, genel kontrol
noktaları kullanıcının işletim sistemi, üye bulunduğu ağ ve
NAC ajanının varlığı olmaktadır. Bu üç ön kontrolü
geçemeyenler hemen kurumsal ağdan izole edilmekte
veya tamamen bağlantısız bırakılmaktadırlar. Ön kontrolü
geçenler zaten NAC ajanı çalışan bilgisayarlar
olduğundan, yine bu NAC ajanı sayesinde geriye kalan
detaylı politikayı gözden geçirirler. Politikayı geçen
bilgisayar sorunsuzca ağına dahil olurken, geçemeyenler
iyileştirme (remediation) sürecine girerler.
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
9. Yetkilendirme opsiyonları MAC adresi tabanlı, switch
portu tabanlı ya da harici bir yetkilendirme
mekanizması (veya bunların kombinasyonları)
üzerinden yapılabilmektedir. 802.1x’li çözümler
sayesinde switch portunuzun dahil olduğu VLAN’ı
dinamik olarak değiştirebilir ya da portu komple
kapatabilirsiniz. Paket filtreleme veya firewall’dan
geçirme gibi çözümler de sunan üreticiler
bulunmaktadır.
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
10. NAC Çözümü Üreticileri• Symantec
• Juniper
• McAfee
• Bradford Networks
• Cisco
• Nortel
• Trend Micro
• Checkpoint
• SonicWall
• Impulse Point
• Napera Networks
gibi üreticilerden bazıları hem cihazlı hem de cihazsız
çözümler sunarken bazıları da sadece yazılımsal çözümler
sunuyorlar.Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
11. NAC Kullanımının
Amaçları
• Kurumsal Amaçlar
• İşlevsel Amaçlar
• Teknik Amaçlar
• Uygulama Alanı Belirleme
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
12. Kurumsal Amaçlar
• Kullanım çevresinin gözlemlenmesi, araştırılması.
• Tüm çalışma koşullarının güncellenmiş olduğundan
emin olmak. (yamalar, virus güncellemeleri gibi).
• Misafirleri ve yetkisiz kişileri şirket verilerine zarar
vermeyecekleri yerde tutmak.
• Risk koşullarınızı değerlendirmek.
• Her alan için farklı politikalar geliştirmek. Ağın farklı
bölgelerini bağımsız şekilde korumak.
• Riskli cihazları karantina altına almak. Ağa zarar
vermesini engellemek.
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
13. İşlevsel Amaçlar
• NAC'ın hangi aşamalarda uygulamak istendiği?
Niçin uygulanacağı?
Kazancın ne olacağı?
• Kurum içerisinde yapının kaç parçadan oluşacağı
• Hangi politikalara ihtiyaç duyulduğu.
• NAC'ı kimin yöneteceği?
• Mevcut politikalar uygulanabilir mi?
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
14. Teknik Amaçlar
• Yönetim sunucusu nereye konumlanmalıdır?
• Politika uygulama sunucuları nerelerde olmalıdır?
• Hangi politikalar uygulanmalıdır? Politikalar nasıl
zorlanmalıdır?
• Hangi Vlan'lar kullanılmalıdır?
• Misafirler, bilinmeyen cihazlar, yazıcılar, VOIP
cihazları, önemli görevliler ve cihazlar ne olacak?
• Kullanıcı ne kadar deneyimli olmalıdır?
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
15. Uygulama Alanı
• Hangi tip cihazlara izin verileceği.
• Ağa erişen kullanıcı profillerinin neler olacağı.
• Bunların kullanım kısıtlarının ne olacağı.
• Hangi tip erişim metotlarına izin verileceği.
• Kablolu, kablosuz bağlantı.
• Şu anda son kullanıcıya nasıl destek verildiği.
• Mevcut ağ topolojisi
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
17. EAP(Extensible
Authentication Protocol)
• EAP(Extensible Authentication Protocol), birçok
kablosuz ağ güvenliği metodunun temelini oluşturan
protokoldür. EAP protokolü üzerinden geliştirilen
PEAP, LEAP, EAP-TLS, EAP-FAST metotları bunlara
örnek olarak gösterilebilir. Bunlardan her biri EAP’i
temel alır, fakat kimlik denetimi için farklı referanslar
kullanırlar. Bazılarında ek güvenlik özellikleri
mevcuttur.
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
18. • EAP-TLS: güvenli kimlik denetimi için TLS( Transport
Layer Security) protokolünü kullanır. TLS’in temeli
güvenli web oturumları sağlamak için kullanılan
SSL(Security Socket Layer) protokolüne dayanır.
• PEAP(Protected EAP): kimlik denetimi için TLS
oturumu temel alınır. Fakat PEAP’te dijital sertifikaya
sadece kimlik denetimi sunucusunda gerek duyulur.
Kullanıcılar kimlik denetiminden geçmek için
MSCHAPv2’yi(Microsoft Challenge Handshake
Authentication Protocol version 2) kullanırlar.
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
19. • EAP-FAST(EAP Flexible Authentication via Secure
Tunneling): EAP-FAST Cisco tarafından geliştirilmiş bir
protokoldür. Yönetimsel karışıklıkları azalttığı için esnek bir
protokoldür. Kullanıcıların dijital sertifikalar kullanmasına
ve güçlü şifre kurallarına gerek yoktur.
• EAP-FAST ile kimlik denetim sunucusu ve kullanıcı
arasında güvenli bir tünel oluşturulur. Tüneli oluşturmak
için PAC(Protected Access Crediental) adında bir
referansa ihtiyaç duyular. PAC bir PAC sunucusu
vasıtasıyla veya EAP-FAST fazlarında dinamik olarak
oluşturulabilir. Tünel bir kez kurulduğunda, kullanıcılar
kullanıcı adı ve şifreleriyle kimlik denetiminden geçerler.
•
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
20. MD5 FILE
• MD5: gelişmiş şifreleme algoritmasıdır.
• MD5 (Message-Digest algorithm 5), veri
bütünlüğünü test etmek için kullanılan, Ron Rivest
tarafından 1991 yılında geliştirilmiş bir kriptografik
özet (tek yönlü şifreleme) algoritmasıdır. Girdi verinin
boyutundan bağımsız olarak 128 bitlik özetler üretir.
MD5’deki her girdinin benzersiz olması mümkün
değildir, çünkü üretilen “özet” sonuç olarak 128
bittir, ancak MD5’le şifrelenebilecek bilgiler sonsuza
gider.
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
21. NAC Sistem Bileşenleri
• NAC güvenlik kontrolünün gerçekleştirilebilmesi için
makinaların kontrol edileceği akıllı switchlere ihtiyaç
vardır.
• Gerçekleştirilmek istenen politikaları yönetebilmek
amaçlı da server yazılımına ihtiyaç duyulur.
• Politikalar MD5, EAP, PEAP
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
23. RADIUS Server Nedir?
• RADIUS (Remote Authentication Dial-in User Service)
sunucular uzaktan bağlanan kullanıcılar için kullanıcı
ismi-şifre doğrulama (authentication),
raporlama/erişim süresi (accounting) ve
yetkilendirme (authorization) işlemlerini yapar.
Örneğin işyeri dışından şirket ağına bağlanmak için
bu yapı kullanılabilir, kullanıcılar tek tek
yetkilendirilebilir.
• UDP protokolü üzerine dayalıdır. 1812 nolu UDP
portunu kullanır.
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin
24. • RADIUS için geliştirilmiş özgür yazılımlardan
biri FreeRADIUS. Bu yazılımla yapabileceklerinizin bir
kısmı şöyle:
Kişi bazında yetkilendime yapılabilir.
• Gruplar tanımlanıp, farklı erişim hakları verilebilir.
• Yapılan girişlerin kaydı tutulabilir.
• Sisteme o an bağlı kullanıcı listesini gösterebilir.
• Tek kullanıcının aynı anda iki bağlantı yapması
engellenebilir.
• Proxy kullanımını destekler
Sinem Altan
Oğuzhan Hacıeyüpoğlu
Ezgi Engin