İçindekiler

  • Özet
  • Giriş
  • NAC Nedir?
  • NAC Nasıl Çalışır?
  • Aşamaları Nelerdir?
    • Kimlik Doğrulama
    • Yetkilendirme
    • Güvenlik Taraması
    • İyileştirme
    • Çözüm Aşamaları Nelerdir?
    • Çözüm amacı Nelerdir?
  • Sonuç
  • Kaynakça

 

ÖZET

Günümüzde güvenlikle ilgili tehdit faktörleri çok geniş bir alanı kapsamaktadır. Bu bağlamda, mevcut koşullarda bireylerin ve şirketlerin sağlıklı bir şekilde faaliyetlerini sürdürebilmeleri için güvenlik önlemleri hayati önem taşımaktadır.
Ağ erişim kontrolü, yetkisiz kullanıcıları ve cihazları özel bir ağdan uzak tutma eylemidir. Belirli cihazlara veya kuruluş dışındaki kullanıcılara ara sıra ağ erişimi sağlayan kuruluşlar, bu cihazların kurumsal güvenlik uyumluluk düzenlemelerini karşılamasını sağlamak için ağ erişim kontrollerini kullanabilir.

Anahtar kelimeler: NAC (Ağ erişim kontrolü), 

GİRİŞ:

Başlangıçta bilgisayar korsanlarının güvenlik sebebiyle saldırıları internet üzerinde   yaptıklarından, güvenlik ağlarının, ağın dış katman güvenliği merkezleri yüksek sayılmazdı. Dış katmandan gelecek saldırıları bilgisayarlara indirilen Anti virüs yazılımları ile engellenmeye çalışılıyordu. Ancak Hacker’ların değerli bilgilere erişiminin artması ve ağa fiziksel olarak daha da yaklaşarak atak yapması ile NAC çözümleri önem kazanmıştır. 

Ağ erişim kontrolünün korunduğu alan Network’un dış katmanı-kullanıcı katmanından gelebilecek saldırıları kapatmaktır. NAC’ın, kurumun ana ağının omurgasını oluşturan WAN ve internet üzerinden oluşabilecek saldırılara karşı herhangi bir önleminin olmamasıyla ilgilenmez. Ayrıca içerisinden çıkabilecek data ile de ilgilenmez. Sadece ağın dış kabuğundaki sızmaları engellemeye çalışarak koruduğu ağı tamamıyla görünür hale getirir. Görünürlük kapasitesiyle bir kurumun ağ içindeki tüm cihazları, cihazlarda kullanım sağlayan yazılımları ve versiyonları gibi envanteri de oluşturarak kurumun IT ve güvenlik tutumlarını güçlendirir. Öte yandan “Zero-day” saldırılarını karşılar ve sisteme gelecek sert saldırıları engeller. 

Temel olarak, ağın dış katmanında, kullanıcı cihazları veya kullanıcı cihaz komşulukları bulunur. Dolayısıyla ağ erişim kontrolünün odaklandığı nokta uç cihazlardır. Uç cihazlar; dış katmandaki switchlerden başlayarak, Bilgisayarlar, Flash Bellekler, CD Okuyucular, IOT cihazları, Yazıcılar, tarayıcılar, BYOD cihazları vs. (“Ali T.” 2021).

NAC nedir?

Network Access Control, (NAC) kullanılan bir ağınız var ise bu ağın hangi kısımlarını kimin hangi zamanda erişim sağlayacağını kontrol eder. İlk olarak ağa erişim sağlayan herkesin bunu yapmaya yetkinliğe sahip olması için tasarlanmış güvenlik özelliğidir. Veya kurumların belirtmiş oldukları güvenlik ilkelerinin bütün ağa dağıtmak ve bu ilkelere uyum sağlamayan son kullanıcıları ağa katılım sağlamalarını kısıtlamak veya engellemek için ortaya çıkarılan çözüm olarak tanımlanabilir.  

 NASIL ÇALIŞIR?

Mevcut bir sisteme bağlı olabilen ve bu sisteme farklı cihazlar yardımıyla erişebilen kablolu ve kablosuz ağlar üzerinde çalışmaktadır. Bir ağ güvenlik çözümü kurulumu yapılırken yöneticiler ise hangi protokollerin uygulanması gerektiğini belirleyerek doğru yetkilendirme düzeyi için kullanıcıların ve cihazların nasıl etkin bir biçimde yetkilendirileceğini belirleyecektir. NAC ağ kabulünün denetiminin çalıştığı ilkeler genellikle farklılık gösterebilir. Erişilen konuma, erişim hakları, kullanılan cihaza ve erişilen belirli kaynaklara ve verilere göre farklı ilkeler oluşturulabilir. Sistemin yöneticileri de erişimi açmaya/kapatmaya ve karantinaya almayı kararlaştırabilir.

Bir kurumun yöneticisi personelin herhangi bir cihazla ağlara erişime onay vermeyi düşünüyorsa hem cihazın hem de kullanıcının ağ güvenliğini tehlikeye atmaması bakımından kontrolleri sağlamaya ihtiyacı vardır. Bundan kaynaklı dışarıdan veya uzaktan çalışanların, uygun veri koruması için yapılandırıldıklarında güncellenmiş olan güvenlik yazılımlarını kullanıldığından ve güvenli olmayan bir uç nokta gibi hareket ederek ağdaki diğer güvenlik açıklarını açmadıklarını kontrol edebilir (“Çağatay K., Tuncay D., Erkan A., Erkan B.,” 2019).

ekran resmi https://docs.microsoft.com/ sitesinde benim tarafımdan çekilmiştir.
  1. İlk olarak Azure Active Directory (AAD) ile NAC iş ortağı çözümünü kaydetmeniz gerekir  ve ondan sonra  Intune NAC API’sine yetkili izinleri verin.
  2. NAC iş ortağı çözümünü, Intune bulma URL’si dahil uygun ayarlarla yapılandırın
  3. Kimlik doğrulaması SERTIFIKA için NAC iş ortağı çözümünü yapılandırın.
  4. Wİ-Fİ erişim noktasına kullanıcı firma bağlantı isteğinde bulunur.
  5. NAC iş ortağı çözümü, cihaz bilgilerini Intune iletir ve cihaz kaydı ve uyumluluk durumu hakkında Intune sorar.
  6. Cihaz uyumlu değilse veya kayıtlı değilse, NAC iş ortağı çözümü kullanıcıya cihaz uyumluluğunu kaydetmesini veya düzeltmesini bildirir.
  7. Cihaz uygun olduğunda uyumluluk ve kayıt durumunu tersine çevirmeye çalışır.
  8. Cihaz kaydedildikten ve uyumlu hale geldiğinde, NAC iş ortağı çözümü durumu Intune alır.
  9. Cihazın şirket kaynaklarına erişmesine izin veren bağlantı başarıyla kuruldu.

NAC ile ağ erişim güvenliği 4 aşamada sağlanmaktadır:

1) Kimlik Doğrulama

2) Yetkilendirme

3) Güvenlik Taraması

4) İyileştirme

1)Kimlik Doğrulama: Kurum çalışanlarının düzenli biçimde kayıtlı kullanıcı bilgilerinin 802.1x standardında kullanılan RADIUS protokolüyle onaylayıp Networke authenticate uygulamasını yürürlüğe koymaktadırlar. Kayıtlı olmayan misafir kullanıcılar ise sisteme kendilerinin kayıtlarını mesaj üzerinden alınan şifre ile kendilerini networke dahil edebilirler ya da misafir girişi olarak kayıtlarını alınan kişi tarafından onay alındıktan sonra network erişimini sağlayabilirler. Bu işlemi sadece aktif dizinle değil kerberos, ıdap gibi kullanıcıların datebase’lerinin de kullanılabileceği gibi bununla beraber aynı zamanda external sql datebase’lerin de kullanıcı otantik asyön işlemleri yapılabilir.

2) Yetkilendirme: Kimliği doğrulanan kullanıcıların erişim yetkilerinin verilmiş olan kaynak üzerinden yapılması belirlenmiş özelliklerin yetkilendirmesi olarak tanımlanabilir. Örnek verecek olursak eğer; networke kullanıcının hesabıyla bağlanabilen kullanıcının ne kadar zaman içerisinde oraya bağlı kalacağı ve kaç MB verinin kullanımına izin verildiği gibi yetkinlik verilmiş olduğu alandır.

3) Güvenlik Taraması: Kullanıcının networke erişim istemesinden önce kurum ve kurumlar gereği gerekli standartların sağlanmasını değerlendirmesidir. Mesela kurumun kuralları gereğince Windows 10 kullanılması ve o sistemin güncellemelerini aktif biçimde yapılıyorsa ve X güncellemesinin de makine olması beklentisine giriyoruz ayrıca kurumsal kullanılmış olan anti virüs yazılımı içerimizde çalışan personellere verildiğinde bilgisayarlarda kullanılması gereken uygulamaları belirlemekte ve böylelikle otantike olan kullanıcı bu anlatılan güvenlik sorgulamasından geçemezse networkten çıkabilir veya başka izole edilen bir vlana atanabilir.

4) İyileştirme:

Yukarıda anlatılan taramaları kişiselleştirebilir. Mesela Windows güncellemesini ve anti virüs güncellemesinin yapabileceği bir vlan’a alınır ve burada sadece kullanılan kaynaklara erişim sağlanacaktır. Güncelleme sonrasında ise bilgisayarlarda çalışan ajanlar sayesinde duyulan gereksinimler tekrar yenilenecek ve yetkileri normal bir çalışan yetkisine çevrilecektir.

NAC ÇÖZÜM AŞAMALARI

  • Kablolu/kablosuz kullanıcılardan ve sisteme fiziksel olarak katılmaya çalışan cihazlardan gerekli ağ/sistem/güvenlik bilgilerini alır.
  •  Şirketin siber güvenlik politikalarına uyuyorsa izin verir, aksi takdirde engeller.
  • ARP zehirlenmesi, VLAN switch portlarının değiştirilmesi, ACL saldırıları gibi yöntemle
  • Mevcut ürünler, merkezi olarak yapılandırılmış fiziksel veya sanal sunucularda sunulur
  • Yönetimine gelince, orada bazı yönetici kullanıcılar tanımlanmıştır.
  • Sızma testi (pentest) çalışmalarında tehdite açık zafiyetler barındırabilir.

NAC Çözümlerinin Amaçları Nelerdir?

  • Sıfır gün (Zero- Day) saldırılarının azaltılması,
  • Ağ bağlantılarının yetkilendirilmesi (Authorization), doğrulanması (Authentication) ve hesaplanması (Accounting), 
  • EAP-TLS, EAP-PEAP veya EAP-MSCHAP gibi 802.1X protokollerini kullanarak kablosuz ve kablolu ağa giden trafiğin şifrelenmesi,
  • Kimlik doğrulama sonrası kullanıcı, cihaz, uygulama veya güvenlik duruşunun rol tabanlı kontrolleri,
  • Virüsten koruma, yamalar veya ana bilgisayar izinsiz giriş önleme yazılımı olmayan uç istasyonların ağa erişmesini ve diğer bilgisayarları bilgisayar solucanlarının (worms) çapraz bulaşma riskine (risk of cross contamination) sokmasını önlemektir. 
  • Ağ operatörlerinin, ağ alanlarına erişmesine izin verilen bilgisayar türleri veya kullanıcıların rolleri gibi ilkeleri tanımlamasına ve bunları anahtarlarda, yönlendiricilerde ve ağ orta kutularında (middleboxes) zorlamasına olanak tanır. 
  • Geleneksel IP ağlarının IP adresleri açısından erişim ilkelerini zorunlu kıldığı durumlarda, NAC ortamları, dizüstü bilgisayarlar ve masaüstü bilgisayarlar gibi kullanıcı uç istasyonları için, kimliği doğrulanmış kullanıcı kimliklerine dayalı olarak bunu yapmaya çalışır. (“Syberidea”,2021)

SONUÇ

NAC, ağ erişiminin denetimini günümüzde hareketli ağların tehlikeli ve savunmasız uç noktaların oluşturduğu tehlikeleri azalmaktadır. NAC çözümleriyle beraber kurum ağları içinde olan bütün varlıkları kusursuz bir şekilde tespit etmek, şirket politikalarına uyuma sağlamayan ya da yanlış yapılandırılmış sistemleri bularak şirket ağına katılmasını engellemek veya şirket ağının dışına çıkarılmasıdır. Kablosuz ve kablolu ağlardaki cihazların sayısı BYOD gibi girişimlerle büyümeyi devam ettiğinde, siber suçlar için ağ saldırıların yüzeyleri de aynı şekilde devam etmektedir.

 

Kaynakça 

Ali T. (Haziran 2021) Ağ Erişim Kontrolü Nedir? 13 Mayıs 2022 tarihinde   https://tas-alich.medium.com/nac-network-access-control-a%C4%9F-eri%C5%9Fim-kontrol%C3%BC-nedir-38b50cd0371a  adresinden erişildi

Çağatay K., Tuncay D., Erkan A., Erkan B. (25 Eylül 2019), Blokzincir Tabanlı Ağ Erişim Kontrol (NAC) Yönetimi İçin Alternatif Modeli ve Tasarımı. 13 Mayıs 2022 tarihinde https://blokzincir.bilgem.tubitak.gov.trAdresinden erişildi.

Syberidea. (Eylül 2021) NAC neden önemlidir? 13 Mayıs 2022 tarihinde  https://www.syberidea.com/ag-erisim-kontrolu-network-access-control/ adresinden erişildi

Kapak Görsel: https://cyberartspro.com/ adresinden 27.05.2022 tarihinde alınmıştır. Creative Commons lisanslıdır.

Bu makale smallseotools  sitesi üzerinden 27.05.2022 tarihinde kontrol edilmiştir. Makale, benzerlik değeri ile kabul edilmiştir.  Plagiarism: %10 Unique: %90 

Creative Commons Lisansı
Bu eser Creative Commons Atıf-GayriTicari 4.0 Uluslararası Lisansı ile lisanslanmıştır.