Embed Size (px)
DESCRIPTION
Port tabanlı ağ erişim denetimi, noktadan noktaya bağlantı özelliklerine sahip bir yerel ağ portuna takılan cihazların,kimlik doğrulaması ve yetkilendirilmesi için ve bu sayede kimlik doğrulaması ve yetkilendirilmesi başarısız olması durumunda o portu erişimden koruyarak IEEE 802 yerel ağ alt yapılarının fiziksel erişim özelliklerinin kullanımına olanak sağlayan, IEEE standardı bir teknolojidir.Bu bağlamda bir port, yerel ağ alt yapısına ekli tekil bir nokta olur.
Citation preview
802.1x
Port Base Security
Gözde Bilgi İşlem Sistemleri 2012
Port Security
Port Güvenliği & Kimlik Tanımlama
Risk Nedir?
Bir network te oluşabilecek riskler nelerdir?
Bilgi Hırsızlığı : Gizli bilgileri elde etmek için bir kaynağa izinsiz giriş yapmaktır. Bilgiler, çeşitli
amaçlar için kullanılabilir veya satılabilir.
Kimlik Hırsızlığı : Bilgi hırsızlığının bir başka biçimi de, birinin kimliğini ele geçirmek amacıyla kişisel
bilgilerini çalmaktır. Bir kişi, bu bilgileri kullanarak yasal belgeleri ele geçirebilir, kredi başvurusu yapabilir ve
izin almadan çevrimiçi satın alımlar yapabilir. Kimlik hırsızlığı her yıl milyarlarca dolara mal olan ve giderek
daha da büyüyen bir sorun hâline gelmiştir.
Veri Kaybı ve Kullanma : Veri kayıtlarını yok etmek veya değiştirmek için bir kaynağa giriş yapmaktır. Veri
kaybına örnek olarak, ağ kaynağıdaki veriyi silen bir virüs kullanmayı; veri kullanımına ise; bir ürünün fiyatı
gibi bilgileri değiştirmek için bir kayıt sistemine izinsiz giriş yapmayı örnek gösterebiliriz.
Hizmet Aksaması : İş kaybı olarak ta tanımlanabilir.Networkte oluşabilecek bir arp zehirlemesinin,
sorunu çözene kadar ERP sunucusunun çalışamamısına veya network te oluşabilecek bir loop’tan tüm
sistemin eski haline gelmesine ne kadar katlanabilirsiniz?
Risk
802.1x Nedir?
Port tabanlı ağ erişim denetimi, noktadan noktaya bağlantı özelliklerine sahip bir yerel ağ
portuna takılan cihazların,kimlik doğrulaması ve yetkilendirilmesi için ve bu sayede kimlik doğrulaması ve
yetkilendirilmesi başarısız olması durumunda o portu erişimden koruyarak IEEE 802 yerel ağ alt yapılarının
fiziksel erişim özelliklerinin kullanımına olanak sağlayan, IEEE standardı bir teknolojidir.Bu bağlamda bir port,
yerel ağ alt yapısına ekli tekil bir nokta olur.
Kullanıcı doğrulama; MAC adresi, switch portu ya da harici bir yetkilendirme politikası ile
sağlanır. Ağa kimin hangi hakla gireceğinin belirlenmesi, denetlenmesi ve yetkilendirmesi; kullanıcı odaklı,
ağ tabanlı erişim kontrolü olan NAC tarafından belirlenir.
802.1x - 2001
EAP Nedir?
Genişletilebilir kimlik kanıtlama protokolü EAP (Extensible Authentication Protocol) :
Kimlik kanıtlama için geliştirilmiş bir iletim protokolüdür.Kendisi bir kimlik kanıtlama yöntemi
değildir,protokoldür.
EAP coklu kimlik kanıtlama yontemlerini destekleyen bir kimlik kanıtlama calışma çerçevesidir.
EAP tipik olarak Point–to–Point Protokol (PPP) veya IEEE 802 gibi doğrudan veri iletim katmanları üzerinde
IP’ye ihtiyaç duymadan calışır. EAP çift eleme ve tekrar iletimi için kendi desteğini sağlar, ama daha düşük
seviyeli garantilere güvenmek durumundadır. Başka bazı EAP yöntemleri buna olanak sağlar.
Bazıları şunlardır;
EAP–MD5 ,Hafif EAP (LEAP) ,EAP–TLS ,EAP–TTLS ,Korumalı EAP (PEAP)
EAP–MSCHAPv2
EAP
Radius Nedir?
RADIUS (Remote Authentication Dial-in User Service) :Sunucular uzaktan bağlanan kullanıcılar
için kullanıcı ismi-şifre doğrulama (authentication), raporlama/erişim süresi (accounting) ve yetkilendirme
(authorization) işlemlerini yapar. Örneğin işyeri dışından şirket ağına bağlanmak için bu yapı kullanılabilir,
kullanıcılar tek tek yetkilendirilebilir. Daha çok internet servis sağlayıcıları tarafından kullanılsalar da, kendi
kullanıcılarına hesap açma ve yetkilendirme yapabilmek için merkezi bir kontrol kurulmak istenen tüm
ağlarda kullanılabilir. Geniş Wi-Fi (kablosuz) ağlarda da sıklıkla kullanılır.RADIUS, UDP protokolü üzerine
dayalıdır. 1812 nolu UDP portunu kullanır.
Günümüzde free Radius serverlar mevcuttur.Ayrıca fonksiyonel Radius veya Authenticaiton
sunucularıda bulunmaktadır.Cisco,Juniper,Microsoft gibi üreticiler kendi çözümlerini geliştirmişlerdir.
AAA
Authentication : Kullanıcı tanımı
Authorization : Erişim yetkileri
Accounting : Kullanıcı bilgileri
Radius
NAP Nedir?
Ağ Erişim Koruması NAP
(Network Access Protection):
Microsoft 2008 ile birlikte geliştirilen
NAC çözümüdür.NAP veya NPS olarak
bilinir.Burada microsoft EAP tarafında
MSCHAP kullanmaktadır.
Active Directory
ortamında kullanıcıların ağa dahil olup
olamayacağı belirlenir, veya kullanıcı
tanımlı değilse ne yapılacağına karar
verilir.
Dynamic Vlan teknolojisi
kullanılarak kabul edilmeyen
kullanıcıların başka Vlan’lara atanması
sağlanır.Veya erişim yasaklanır.
NAP
802.1x
Radius server kurulumu tamamlandıktan
sonra bu hizmeti verecek olan Clientlar ile iletişimi
sağlanır.Bunlar 802.1x desteği olan herhangi bir donanım
olabilir.
Bir bilgisayar ağ ortamına erişmek istediğinde
kablosu switch üzerinde bir porta bağlanır.O port Radius
Authentication gerektiriyor ise kullanıcının kimlik
bilgilerine bakılır.Şayet kullanıcı Radius üzerinde tanımlı
ise ve giriş izni varsa ilgili Vlan a atanır.Tanımlı değilse
veya bazı kriterler eksik ise (Örn: Firewall kapalı ,AV
güncel değil ise(Her radius server da mevcut değildir.))
network e dahil etme veya ilgili Vlan’a ata denilir.
Burada Radius Clientlar authenticator olarak
adlandırılır.
Çalışması
Ne Sağlayacak?
1. Kolay Network Yönetimi
2. Düzenli Kablo ve Switch
3. Port Kontrolü
4. Güvenliyim
5. Wireless Güvenliği
6. Veri Kaybı Endişesi
7. Düşük Yatırım Maliyeti
Avantaj - Gereksinim
1. 802.1x Support Switch
2. 802.1x Support Access Point
3. Windows 2008 Server
4. Active Directory, Dns, Certificate
Server
Dinlediğiniz için teşekkür ederiz...
