802.1X ile Ağa Erişim Kontrolü
Günümüzde ağ güvenliği yalnızca dış tehditlere karşı alınan önlemlerle sınırlı kalamaz. Kurumlar için en az dış saldırılar kadar riskli olan bir diğer konu, iç ağlara yetkisiz veya güvenilmeyen cihazların erişimidir. İşte bu noktada 802.1X protokolü, kimlik doğrulamaya dayalı erişim kontrolü sağlayarak devreye giriyor.
802.1X Nedir?
IEEE 802.1X, bir ağda uç cihazların kimlik doğrulaması yapılmadan erişim sağlamasını engelleyen bir port tabanlı erişim kontrol protokolüdür. Özellikle kurumsal kablolu/kablosuz ağlarda kullanılır. 802.1X, istemci (supplicant), otorite (authenticator) ve kimlik doğrulayıcı (authentication server) arasında üçlü bir yapıyla çalışır:
Supplicant: Ağa bağlanmak isteyen cihaz (örneğin, bir laptop)
Authenticator: Ağ erişimini sağlayan cihaz (örneğin, switch veya access point)
Authentication Server: Kimlik doğrulamasını yapan sunucu (genellikle RADIUS)
Neden 802.1X?
Ağlara bağlanan her cihaz potansiyel bir risk taşır. Özellikle BYOD (Bring Your Own Device), IoT cihazları, ziyaretçi cihazları gibi durumlarda ağın kontrolsüz şekilde genişlemesi mümkündür. 802.1X sayesinde:
Kimlik doğrulama yapılmadan ağ erişimi sağlanmaz.
MAC spoofing, rogue device gibi saldırılar engellenir.
Kullanıcıya/cihaza özel VLAN veya erişim profili atanabilir.
Ağ segmentasyonu ve güvenlik politikaları dinamik olarak uygulanabilir.
802.1X Nasıl Çalışır?
1. Kullanıcı dizüstü bilgisayarını bir Ethernet portuna takar.
2. Switch, bu portu “unauthorized” durumda bekletir ve EAP (Extensible Authentication Protocol) üzerinden kimlik bilgilerini ister.
3. Kullanıcı bilgileri (örneğin, AD kullanıcı adı/parolası) bir RADIUS sunucusuna iletilir.
4. RADIUS sunucusu doğrulama yapar ve başarılıysa switch’e portu "authorized" yapmasını söyler.
5. Kullanıcı ağa erişir. VLAN ataması, ACL veya QoS politikaları uygulanabilir.
Kurumsal Ortamlarda Yaygın Kullanım: NAC Çözümleri
802.1X yapılandırması genellikle NAC (Network Access Control) çözümleri ile entegre şekilde kullanılır. Popüler çözümlerden bazıları:
Çözüm ve Özellikler
FortiNAC: FortiGate entegrasyonu, profil tabanlı erişim, IoT keşfi
Cisco ISE: Gelişmiş kimlik doğrulama ve politika yönetimi
Aruba ClearPass: Cihaz ve kullanıcı farkındalığı ile merkezi kontrol
Microsoft NPS: Windows ortamlarında temel RADIUS hizmeti sunar
Uygulama Senaryosu: VLAN Ataması ile Kimlik Tabanlı Ağ
Bir üniversite kampüsünü düşünelim. Öğrenciler, öğretim üyeleri ve misafirler aynı fiziksel ağ üzerinden bağlanıyor ancak farklı erişim yetkilerine sahip olmalı. 802.1X ile;
= Öğrenciler VLAN 10’a,
= Akademik personel VLAN 20’ye,
= Misafirler VLAN 30’a yönlendirilebilir.
Tüm bu işlem kimlik doğrulama sonucu dinamik olarak uygulanabilir. Böylece fiziksel port değişmeden, kullanıcı bazlı erişim sağlanır.
Karşılaşılan Zorluklar
-802.1X’in kurumlara kattığı faydalar kadar, uygulanması sırasında dikkat edilmesi gereken bazı noktalar da vardır:
-Uç cihaz uyumluluğu: Eski printer, IP kamera gibi cihazlar kimlik doğrulama desteklemeyebilir (çözüm: MAC bypass).
-Kimlik sunucusu yedeği: RADIUS sunucusunun erişilemez hale gelmesi tüm ağ erişimini kesebilir.
-Kablosuz ağlarda kararlılık: Wi-Fi üzerinde 802.1X yapılandırmaları dikkatli yapılmalıdır, aksi takdirde bağlantı sorunları yaşanabilir.
802.1X, kimlik doğrulamasına dayalı erişim kontrolü ile kurumsal ağlarda yüksek güvenlik seviyesi sağlayan bir çözümdür. Tek başına yeterli olmasa da Zero Trust ve NAC mimarileri ile entegre edildiğinde iç tehditlere karşı güçlü bir kalkan oluşturur.
Ağa bağlanan her cihaz bir tehdit olabilir. 802.1X ile kim olduğunu bilmeden kimseye güvenmeyin.
yazar: Asrın Haktan Şahin