Dijital dönüşüm çağında, kurumlar hem veri güvenliğini hem de ağ güvenliğini daha da önemseyerek çalışmalarını sürdürmektedirler. Özellikle COVID-19 pandemisi ile birlikte daha fazla çalışan evden çalışma modeline geçiş yapmış ve ağ erişimi daha karmaşık hale gelmiştir. İşte bu noktada Network Access Control (NAC) ve IEEE 802.1X gibi güvenlik teknolojileri, bilgi güvenliğini korumak için kritik bir rol oynamaktadır. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, güncel dünyanın dijital sorunlarına tedbir alınmasını istemiş; kurum ve kuruluşların gereken tedbirleri alması için ise Bilgi ve İletişim Güvenliği Rehberi’ni hazırlamıştır. Alınması gereken tedbirler için kullanılabilecek yöntemler ve standartlar mevcuttur. Öncelikle NAC ve IEEE 802.1X’i inceleyip ardından Bilgi ve İletişim Güvenliği Rehberi’nde yer alan hususlara ne gibi çözümler getireceğini birlikte inceleyelim.
Network Access Control – NAC (Ağ Erişim Kontrolü)
NAC, Türkçe adıyla Ağ Erişim Kontrolü, bir organizasyonun ağ erişimini kontrol etmek ve güvence altına almak için kullanılan bir yöntemdir. Ağa bağlanmak isteyen cihazlar (bilgisayarlar, akıllı telefonlar, IoT cihazları vb.), belirli güvenlik ve uyumluluk gereksinimlerini karşılamalıdır. NAC, bu gereksinimleri denetler ve cihazların ağa erişimini engeller veya izin verir. Bu denetlemeler, antivirüs yazılımının güncel olup olmadığı, güncel güvenlik yamalarının yüklenip yüklenmediği gibi faktörleri içerir. NAC, kötü amaçlı yazılımları ve potansiyel tehlikeli cihazları ağdan uzak tutmaya yardımcı olurken, aynı zamanda ağ yöneticilerine cihazları izlemeleri ve yönetmeleri için araçlar sunar.
NAC sayesinde organizasyonlar kötü amaçlı yazılımlara karşı korunur, tehlikeli cihazların ağa girmesi engellenir, ağ cihazlarını izleme ve yönetme yeteneği kazanılır.
NAC ağ güvenliği 4 aşama ile gerçekleşir;
- Kimlik Doğrulama
- Yetkilendirme
- Güvenlik Taraması
- İyileştirme
Bu aşamaların tamamı aynı anda çalışır, herhangi birinde bir hata çıkması durumunda kullanıcı erişimi engellenir ve ağ korunur.
IEEE 802.1X
802.1X, ağ erişim denetimi için kullanılan bir standarttır ve ağ erişim kontrol (NAC) çözümlerinin temelini oluşturur. 802.1X standardı, kablolu ve kablosuz ağlarda ağ güvenliğini artırmak ve yetkilendirilmemiş erişimi önlemek için tasarlanmıştır. 802.1x başlarda kablolu yerel ağlarda kullanılmak üzere tasarlanmış ancak son zamanlarda kablosuz yerel ağların daha çok kullanılmasıyla popülerlik kazanmıştır.
802.1X standardının bileşenleri ve işleyişi şu şekildedir:
Supplicant (İstekçi): İstekçi, ağa bağlanmak isteyen cihazdır. Örnek olarak, bir dizüstü bilgisayar veya akıllı telefon söylenebilir. İstekçi, kimlik bilgilerini sunmak ve ağa erişim talep etmek için 802.1X protokolünü kullanır. İstekçinin kimlik bilgilerini gönderdiği mesaja EAP-Request/Identity denir.
Authenticator (Doğrulayıcı): Doğrulayıcı, istekçinin kimlik doğrulamasını gerçekleştiren ağ cihazıdır. Örnek olarak, bir ağ anahtarlayıcı (Switch) veya kablosuz erişim noktası (Access Point) verilebilir. Doğrulayıcı, istekçiye kimlik doğrulama talepleri gönderir ve kimlik doğrulama sürecini yönetir. Doğrulayıcı, kimlik doğrulama sunucusundan gelen yanıtı alır. Bu yanıt eğer kimlik doğrulamanın başarılı olması anlamına geliyorsa EAP-Success, başarısız olması anlamına geliyorsa EAP-Failure denir. EAP-Success durumunda istekçiye ağa bağlanma izni verir, EAP-Failure durumunda ise istekçiyi ağa kabul etmez.
Authentication Server (Kimlik Doğrulama Sunucusu): Kimlik doğrulama sunucusu, istekçinin kimlik bilgilerini doğrulayan ve yetkilendirme kararlarını veren merkezi bir sunucudur. Genellikle RADIUS (Remote Authentication Dial-In User Service) protokolü kullanılarak çalışır. Kimlik doğrulama sunucusu, kullanıcı adı, parola, sertifika veya diğer kimlik doğrulama yöntemlerini kullanarak istekçinin kimlik doğruluğunu kontrol eder.
DDO Bilgi ve İletişim Güvenliği Rehberi ile Uyum
Her kurumun güvenlik gereksinimleri farklıdır ve bu gereksinimleri karşılamak için bir yol haritasına ihtiyaç vardır. Bilgi ve İletişim Güvenliği Rehberi, tam bu noktada devreye girer. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi, içinde bulunan maddeler ile ağ ve veri güvenliğini sağlamak isteyen kişi veya kurumlara yol gösterir. Bu maddeler arasında 3.1.1.7 numaralı tedbiri, NAC ve IEEE 802.1X’in önemini vurgular:
“Sadece onaylı donanımların kurum ağına bağlanabilmesi için, 802.1x standardı veya NAC çözümleri kullanılarak kurum ağına bağlanan cihazlara kimlik denetimi yapılmalıdır.”
Hangi Sektörler NAC ve IEEE 802.1X’ten Yararlanmalıdır?
Her kurum ve kuruluş NAC ve IEEE 802.1X’ten yararlanarak ağ güvenliğini sağlayabilir ancak özellikle kritik altyapı hizmeti veren sektörlerin, NAC ve IEEE 802.1X gibi ağ güvenliğini ve kimlik denetimini yapan çözümlere ihtiyacı vardır. Bu sektörler arasında;
- Haberleşme,
- Finans,
- Enerji,
- Sağlık ve
- Eğitim gibi sektörler yer almaktadır.
Kritik altyapı hizmeti veren kurum ve kuruluşlar, NAC ve IEEE 802.1X kullanarak güvenlik açıklarından doğabilecek muhtemel büyük ölçekli ekonomik zararları, veri sızıntılarını ve özellikle sağlık gibi durumlarda ise can kaybı risklerini minimalize etme şansı bulurlar.
KAYNAKÇA
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi
https://cbddo.gov.tr/SharedFolderServer/Genel/File/bg_rehber.pdf
What is Network Access Control?
https://www.cisco.com/c/en/us/products/security/what-is-network-access-control-nac.html
802.1X: Port-Based Network Access Control
