802.1x

Port Base Security

Gözde Bilgi İşlem Sistemleri 2012

Port Security

Port Güvenliği & Kimlik Tanımlama

Risk Nedir?

Bir network te oluşabilecek riskler nelerdir?

Bilgi Hırsızlığı : Gizli bilgileri elde etmek için bir kaynağa izinsiz giriş yapmaktır. Bilgiler, çeşitli

amaçlar için kullanılabilir veya satılabilir.

Kimlik Hırsızlığı : Bilgi hırsızlığının bir başka biçimi de, birinin kimliğini ele geçirmek amacıyla kişisel

bilgilerini çalmaktır. Bir kişi, bu bilgileri kullanarak yasal belgeleri ele geçirebilir, kredi başvurusu yapabilir ve

izin almadan çevrimiçi satın alımlar yapabilir. Kimlik hırsızlığı her yıl milyarlarca dolara mal olan ve giderek

daha da büyüyen bir sorun hâline gelmiştir.

Veri Kaybı ve Kullanma : Veri kayıtlarını yok etmek veya değiştirmek için bir kaynağa giriş yapmaktır. Veri

kaybına örnek olarak, ağ kaynağıdaki veriyi silen bir virüs kullanmayı; veri kullanımına ise; bir ürünün fiyatı

gibi bilgileri değiştirmek için bir kayıt sistemine izinsiz giriş yapmayı örnek gösterebiliriz.

Hizmet Aksaması : İş kaybı olarak ta tanımlanabilir.Networkte oluşabilecek bir arp zehirlemesinin,

sorunu çözene kadar ERP sunucusunun çalışamamısına veya network te oluşabilecek bir loop’tan tüm

sistemin eski haline gelmesine ne kadar katlanabilirsiniz?

Risk

802.1x Nedir?

Port tabanlı ağ erişim denetimi, noktadan noktaya bağlantı özelliklerine sahip bir yerel ağ

portuna takılan cihazların,kimlik doğrulaması ve yetkilendirilmesi için ve bu sayede kimlik doğrulaması ve

yetkilendirilmesi başarısız olması durumunda o portu erişimden koruyarak IEEE 802 yerel ağ alt yapılarının

fiziksel erişim özelliklerinin kullanımına olanak sağlayan, IEEE standardı bir teknolojidir.Bu bağlamda bir port,

yerel ağ alt yapısına ekli tekil bir nokta olur.

Kullanıcı doğrulama; MAC adresi, switch portu ya da harici bir yetkilendirme politikası ile

sağlanır. Ağa kimin hangi hakla gireceğinin belirlenmesi, denetlenmesi ve yetkilendirmesi; kullanıcı odaklı,

ağ tabanlı erişim kontrolü olan NAC tarafından belirlenir.

802.1x - 2001

EAP Nedir?

Genişletilebilir kimlik kanıtlama protokolü EAP (Extensible Authentication Protocol) :

Kimlik kanıtlama için geliştirilmiş bir iletim protokolüdür.Kendisi bir kimlik kanıtlama yöntemi

değildir,protokoldür.

EAP coklu kimlik kanıtlama yontemlerini destekleyen bir kimlik kanıtlama calışma çerçevesidir.

EAP tipik olarak Point–to–Point Protokol (PPP) veya IEEE 802 gibi doğrudan veri iletim katmanları üzerinde

IP’ye ihtiyaç duymadan calışır. EAP çift eleme ve tekrar iletimi için kendi desteğini sağlar, ama daha düşük

seviyeli garantilere güvenmek durumundadır. Başka bazı EAP yöntemleri buna olanak sağlar.

Bazıları şunlardır;

EAP–MD5 ,Hafif EAP (LEAP) ,EAP–TLS ,EAP–TTLS ,Korumalı EAP (PEAP)

EAP–MSCHAPv2

EAP

Radius Nedir?

RADIUS (Remote Authentication Dial-in User Service) :Sunucular uzaktan bağlanan kullanıcılar

için kullanıcı ismi-şifre doğrulama (authentication), raporlama/erişim süresi (accounting) ve yetkilendirme

(authorization) işlemlerini yapar. Örneğin işyeri dışından şirket ağına bağlanmak için bu yapı kullanılabilir,

kullanıcılar tek tek yetkilendirilebilir. Daha çok internet servis sağlayıcıları tarafından kullanılsalar da, kendi

kullanıcılarına hesap açma ve yetkilendirme yapabilmek için merkezi bir kontrol kurulmak istenen tüm

ağlarda kullanılabilir. Geniş Wi-Fi (kablosuz) ağlarda da sıklıkla kullanılır.RADIUS, UDP protokolü üzerine

dayalıdır. 1812 nolu UDP portunu kullanır.

Günümüzde free Radius serverlar mevcuttur.Ayrıca fonksiyonel Radius veya Authenticaiton

sunucularıda bulunmaktadır.Cisco,Juniper,Microsoft gibi üreticiler kendi çözümlerini geliştirmişlerdir.

AAA

Authentication : Kullanıcı tanımı

Authorization : Erişim yetkileri

Accounting : Kullanıcı bilgileri

Radius

NAP Nedir?

Ağ Erişim Koruması NAP

(Network Access Protection):

Microsoft 2008 ile birlikte geliştirilen

NAC çözümüdür.NAP veya NPS olarak

bilinir.Burada microsoft EAP tarafında

MSCHAP kullanmaktadır.

Active Directory

ortamında kullanıcıların ağa dahil olup

olamayacağı belirlenir, veya kullanıcı

tanımlı değilse ne yapılacağına karar

verilir.

Dynamic Vlan teknolojisi

kullanılarak kabul edilmeyen

kullanıcıların başka Vlan’lara atanması

sağlanır.Veya erişim yasaklanır.

NAP

802.1x

Radius server kurulumu tamamlandıktan

sonra bu hizmeti verecek olan Clientlar ile iletişimi

sağlanır.Bunlar 802.1x desteği olan herhangi bir donanım

olabilir.

Bir bilgisayar ağ ortamına erişmek istediğinde

kablosu switch üzerinde bir porta bağlanır.O port Radius

Authentication gerektiriyor ise kullanıcının kimlik

bilgilerine bakılır.Şayet kullanıcı Radius üzerinde tanımlı

ise ve giriş izni varsa ilgili Vlan a atanır.Tanımlı değilse

veya bazı kriterler eksik ise (Örn: Firewall kapalı ,AV

güncel değil ise(Her radius server da mevcut değildir.))

network e dahil etme veya ilgili Vlan’a ata denilir.

Burada Radius Clientlar authenticator olarak

adlandırılır.

Çalışması

Ne Sağlayacak?

1. Kolay Network Yönetimi

2. Düzenli Kablo ve Switch

3. Port Kontrolü

4. Güvenliyim

5. Wireless Güvenliği

6. Veri Kaybı Endişesi

7. Düşük Yatırım Maliyeti

Avantaj - Gereksinim

1. 802.1x Support Switch

2. 802.1x Support Access Point

3. Windows 2008 Server

4. Active Directory, Dns, Certificate

Server

Dinlediğiniz için teşekkür ederiz...