NAC sistem kimlik doğrulamasını ağ güvenliğinin sağlanabilmesi için uygulayan bir teknolojidir. Ağın altyapısına bağlanan tüm cihazlar için gelişmiş bir kontrol sistemi aracılığıyla sistemin otomatik çalışmasına imkân sağlar. Kullanıcıların ve cihazların ağ denetimini sağlar. Ağ içerisine dışarıdan istenmeyen cihazların dahil olmaması veya mevcut cihazların farklı izole alanlarda konumlandırılması için ilgili kural setlerini uygular.
NAC ağda bulunan uç noktaların erişimini kontrol eden politikaların tanımlanmasına ve uygulanmasına olanak sağlar. NAC kullanımındaki amaç sadece güvenlik politikalarına uyan ve giriş izni verilmiş kullanıcıların ağa dâhil olarak ilgili alana atanmasını sağlamaktır. Böylece kullanıcılar tarafından erişilebilen verileri alan veya kullanıcı bazlı kısıtlar ve virüsten koruma, güvenlik duvarı ve casus yazılım algılama gibi tehdit önleyici aksiyonları uygular. Ağ içerisinde oluşan konfigürasyon değişiklikleri NAC sistemini etkilemez ve otomatik olarak uyum sağlar. Gelişmiş uyum kabiliyeti sayesinde, güvenlik altyapısının oldukça karmaşık olduğu alanlarda kullanıma uygundur. Bu noktada tepki sürelerinin düşük olması oldukça önemli bir rol oynar.
NAC, ekstra bir cihaz kullanmadan ağ içerisindeki tüm uç sistemlere belirlenen kuralları zorunlu kılar. Kullanıcıların ve cihazların düzenli periyotlarda taranarak tanınmasını sağlar. Aktiflik ve değişkenlik durumlarını tespit edebilmek için düzenli taramalar yapılır ve buna bağlı olarak mevcut kurallar uygulanır. Mevcut yapıya uygun çalışmayan cihazlar için bloklama, karantinaya alma ve onarma gibi emniyet politikalarını müdahale gerekmeksizin uygular ve tehditleri elimine eder. Misafir kullanıcılarının ağ erişimini sağlar ve her misafir kullanıcı için ayrı kayıt oluşturur. Misafir kullanıcılar için kimlik doğrulaması gerçekleştirir ve misafir yönetim portalı sayesinde, yönetici tarafından misafir erişimleri görüntülenebilir ve yönetilebilir. Open/RestFul API aracılığıyla diğer güvenlik ve ağ çözümleri ile entegre çalışır ve uç cihazlar ile iletişime geçer. Kullanıcıların hangi haklara sahip olduğunu, ne kadar süre bağlı kalabileceği, ne zaman bağlanabileceği gibi detaylı kullanıcı haklarını denetler.
Erişim denetimi sayesinde ağ üzerinde izin verilmeyen hiç bir istemci ve kullanıcı bulunamaz. Ağa bağlanacak olan kullanıcıların belirlenmesi, denetlenmesi ve yetkilendirilmesi, ağ tabanlı erişim kontrolü olan NAC tarafından belirlenir. 802.1x protokolü kablolu ve kablosuz ağlarda güvenli ve kontrollü kimlik denetimi yapmak amacıyla kullanılır. Kullanıcının kimliği, RADIUS sunucusu tarafından onaylanan kimlik bilgilerine veya sertifikasına göre belirlenir. Bu noktada kullanıcının verilerine dair iletişim SAML veya LADP protokolleri ile sağlanır. Böylece uç cihazların kontrollü bağlanmasına yardımcı olur. 802.1x protokolü kullanıcıların kimlik doğrulama durumu ile ilgilenir. Ancak iki uygulama temelde birbirine bağlı olarak bir arada çalışır, bu duruma ek olarak NAC farklı uygulama ve hizmetleri de içerisinde barındırmaktadır. Ağ içerisine dâhil olmak isteyen kullanıcı bilgisayarlarının MAC adreslerini kullanarak erişim denetimi sağlar.
IEEE 802.1X standardı direkt olarak yerel ağa bağlı cihazların kimlik doğrulama ve yetkilendirilmesine olanak sağlayan port tabanlı ağ erişim denetimidir. Cihazlara kimlik doğrulama ve yetkilendirme yapabilme yeteneği kazandırır. Ağ içerisinde port tabanlı kullanıcı doğrulamak ve herhangi bir kullanıcıya veya kullanıcı grubuna erişim politikaları uygulamak için kullanılır. Kimlik doğrulama ve yetkilendirme başarısız olursa, kullanıcının bağlı olduğu port erişime geçici olarak kapatılabilir. Bu sayede yerel ağ altyapısı korunur. Kimlik doğrulama protokolleri kullanılarak 802.1x için şifreleme yapılmasına izin verir. 802.1x protokolü EAP ve PPP protokolleriyle birlikte çalışır ve kimlik denetimi aşamaları AAA aracılığıyla yapılır. AAA, kimlik doğrulama sürecini ifade eden protokoldür. Kullanıcılara, ağa ve ilgili kaynaklara erişimlerini sınırlayan farklı yetki seviyeleri verilebilir. AAA protokolü kullanılarak kimlikler ve parolaların tümü merkezileştirilir. Kimlikler ve parolalar, belirli algoritmalar kullanılarak şifrelenir. Bu nedenle kullanıcı hesapları, üçüncü kişilerden korunmuş olur. AAA üç aşamadan oluşur; Authentication, Authorization ve Accounting. Ayrıca birden fazla kimlik doğrulama (AAA) yöntemi bulunmaktadır. Bunlardan da aşağıda bahsedilmiştir.
- Authentication (Kimlik Doğrulama): Sunucu, switch veya router kullanılan ağlarda kullanıcının veya cihaz kimliğinin onaylanmasıdır. Her kullanıcının ağ erişimi elde etmek için benzersiz bir oturum açma kimlik bilgilerine sahip olması gerekir.
AAA sunucusu, bir kullanıcının kimlik doğrulama bilgilerini bir veri tabanında depolar. Sisteme giriş yapmak isteyen kullanıcının kimlik bilgileri, depolanan kullanıcı kimlik bilgileri ile karşılaştırır. Kullanıcının oturum açma kimlik bilgileri eşleşirse, kullanıcıya ağ erişimi verilir. Kimlik bilgileri eşleşmezse, kimlik doğrulama başarısız olur ve ağ erişimi reddedilir.
- Authorization (Yetkilendirme): Ağa dâhil olmak isteyen kullanıcılara, sisteme erişim hakkının verilmesidir. Kullanıcıya ne tür faaliyetler, kaynaklar veya hizmetlere erişim ve yönetim izninin verildiğini belirleme sürecidir.
- Accountting (Hesap yönetimi): Kullanıcıların ağdaki hareketleri, bağlantıları ve sistem kayıtlarının izlenebilmesi amacıyla yapılan işlemdir. Oturum istatistikleri ve kullanım bilgileri kaydedilerek gerçekleştirilir. Analiz ve planlama için kullanılır.
PPP (Point to Point Protocol): 802.1X’in kullanıcı doğrulama işlemi boyunca iletim katmanı üzerinde IP’ye ihtiyaç duymadan kimlik tanımlama yapmasına olanak sağlar. İyileştirilmiş bir iletim protokolü standardı olarak kullanılır. Günümüz de PPP genellikle Ethernet paket başlığı üzerinde kapsüllenir ve Ethernet üzerinden PPP over Ethernet (PPPoE) olarak çalışır. PPPoE, internet erişimi için bir internet servis sağlayıcısına kablolu modem veya DSL bağlantıları üzerinden bağlanabilmek için yaygın olarak kullanılır. PPP bu noktada iki farklı kimlik doğrulama mekanizması içerir.
- Parola Kimlik Doğrulama Protokolü (PAP – Password Authentication Protocol)
En eski kimlik doğrulama yöntemlerinden bir tanesidir. Oldukça basit bir çalışma yapısına sahip olduğu için işlem gücü azdır ancak güvenlik yönünden zayıf ve zafiyetlere açık konumdadır. Çünkü tüm bilgiler şifrelenmeden cleartext olarak yani açık metin olarak iletilir. Çalışma yapısında istemci, kimlik bilgilerini (kullanıcı adı ve parola) içeren bir paket göndererek kimlik doğrulamasını başlatır. PAP, sahip olduğu güvenlik açıkları sebebiyle en son başvurulacak bir kimlik doğrulama protokolü olmasına rağmen, basit bir yapıya sahip olması sebebiyle hala geniş çapta tercih edilir.
- Karşılıklı Kimlik Doğrulama Protokolü (CHAP – Challenge Handshake Authentication Protocol )
Oturum sırasında herhangi bir zamanda, sunucu bir seferlik kullanılacak olan parolayı (OTP) üretip istemciye göndererek (genellikle 128 bitlik bir dizi biçiminde) kimlik doğrulama sürecini başlatır. Genellikle bu durum oluşturulan bir oturum sırasında sunucunun ek güvenliği sağlaması için istemcinin kimliğini tekrar tekrar doğrulamasıyla birlikte birden fazla kez olur. Bu sebeple PAP ile kıyaslandığı zaman karşılıklı iletişimin kurulduğu oturum çok daha güvenli kabul edilir. Ancak elbete MD5 ile şifrelenen bir oturumun çözülebilmesi de oldukça mümkün.
EAP (Extensible Authentication Protocol): Çalışma yapısı göz önünde bulundurulduğu zaman PAP ve CHAP protokollerinin ötesinde kimlik doğrulama protokolleri için destek sağlamak üzere PPP içerisinde çalışan bir kimlik doğrulama protokolü olarak ortaya çıkmıştır.
Farklı kimlik doğrulama sunucuları (RAS, RADIUS) için genelleştirilmiş bir kimlik doğrulama alanı sunar. EAP ile kimlik doğrulama yöntemlerinin bir arada çalışabilirliği ve uyumluluğu daha basit hale gelir.
Sunucu, istemciye 40 kimlik doğrulama yönteminden hangisini kullanması gerektiğini içeren bir kimlik doğrulama isteği gönderir. İstemci daha sonra seçilen şifreleme yöntemine bağlı olarak ihtiyaç duyduğu her hesaplamaları gerçekleştirir. Ardından, istemci sonuçları seçilen şifreleme yöntemi ile birlikte sunucuya geri gönderir, böylece sunucu çıktıyı kontrol etmek için hangi yöntemi kullanması gerektiğini bilir. Kimlik doğrulamanın başarılı veya başarısız olduğu sonuçlanana kadar tüm oturum boyunca istemciye farklı zamanlarda şifreleme yöntemini değiştirerek başka istekler gönderir. Bu işlem oturumu sürekli güvenilir tutar.
EAP protokolü, kimlik doğrulama bilgileri (EAP-TTLS/PAP/MD5 ve PEAP-MSCHAPv2) veya dijital sertifika (EAP-TLS/FAST) kullanılarak kimlik doğrulaması için yapılandırılabilir. Bu seçenekler göz önünde bulundurulduğunda, sertifikalı kimlik doğrulama yöntemi yani TLS en güvenilir yöntem kabul edilir.
RADIUS ise uzaktan ağa erişmek isteyen kullanıcıların kimlik denetimini gerçekleştirmek üzere sunucu üzerinde kullanılan bir protokoldür. RADIUS pakerleri iletişimde UDP kullanır. Bu protokol ile kaynaklara güvenli erişim için gereken AAA aktivitelerinin izlenmesi sağlanır. Bir istemci ağa erişmek istediğinde RADIUS sunucusuna istek gönderir.
Güvenli bir network için öncelikle tüm erişimlerin kontrol altında ve gözlenebilir olması gerekir. Kurumların ağda neler olduğunu bilmesi durumunda tehlikelere karşı önlem almaları gerekir. NAC teknolojisi ile ağda bulunan her cihazın detayını görerek güvenlik politikaları oluşturmak ve oluşabilecek tehditlere karşı otomatik önlemler almak kolaylaşır. Böylece önceden tanımlanmış bir kurala uymayan cihazların bağlanmasına izin verilmez. Ağda olmayan hiçbir cihaz ağı dinleyemez.
Ek olarak 802.1x WPA2-Enterprise olarak anılır. Önemli nokta eğer 802.1x konfigürasyonu geniş çaplı bir kurumda uygulanacaksa, kuruluşun kimlik bilgilerine dayalı kimlik doğrulama mı yoksa sertifika tabanlı kimlik doğrulama mı kullanacağı oldukça önemlidir. Sertifika tabanlı EAP-TLS, bir kurumunkimlik bilgilerinin çalınma riskini önemli ölçüde azaltır ve 802.1x kullanmanın en güvenli yoludur. 802.1x WPA genellikle evlerde kullanılan Wi-Fi gibi kişisel ağlar için ayrılmıştır. WPA2’den daha az güvenlidir, ancak genellikle evde kullanım için yeterlidir.
WEP ya da Wired Equivalent Privacy, ilk kullanılan şifreleme türüdür. RC4 şifresi ile kimlik doğrulama ve şifreleme yapar.
WAP/WPA ya da Wi-Fi Protected Access için WEP şifrelemenin kusurlarına karşı çıktığı söylenebilir. WEP şifreleme türünün geliştirilmesi, iyileştirilmesi ve pek çok sorununun giderilmesi ile oluşturulmuştur. Kurumsal ve kişisel kullanım için olan modları farklıdır. WEP 24 bitlik bir başlatma vektörü kullanırken WPA için bu 48 bittir. WEP ile de uyumlu olarak tasarlanmıştır. Fakat WEP’in kullandığı anahtar sisteminden daha iyi bir şifreleme kullanır. Bunun için de WEP’ten daha güvenli; ama WPA2 kadar da güvenli değil diyebiliriz.
Wi-Fi Protected Access II ise 2006 yılında hayatımıza girmiştir ve WPA’nın yerini almıştır. WPA2, AES tabanlı CCMP (Sayaç Modu Şifre Bloğu Zincirleme İleti Kimlik Doğrulama Kodu Protokolü) ismi verilen bir şifreleme türünü kullanır. Bu şifreleme türü kimlik doğrulama gibi oldukça önemli bir yeniliği hayatımıza sokmuştur. WPA2’nin de WPA gibi hem kurumsal hem de kişisel kullanım için modları bulunmaktadır. WPA2, WPA ve WEP’e göre daha rahat bir dolaşım sunar ve kesinlikle bu iki şifreleme türünden çok daha güvenlidir. Yeni cihazların da WPA2 sertifikasının zorunluluğu vardır.
