NAC
Last updated
Last updated
Network Access Control (NAC) olarak Targitas, belirlenmiş güvenlik ilkeleri ve politikaları sayesinde ağa kontrollü olarak erişim imkanı sağladığı gibi iki faktörlü kimlik doğrulama ile ağın güvenlik derecesini güçlendirir. Sağlanan politikalar ve artırılmış güvenlik derecesi ile Targitas,
✓⃝ IEEE 802.1x protokolünü destekler. Agent kurulumuna ihtiyaç duymaz. ✓⃝ Local Radius server özelliği vardır. ✓⃝ Active Directory ile entegre çalışır. ✓⃝ Firewall, Webfilter ve Application Control ve loglama modülleri ile entegredir. Bu sayede sadece güvenlik ilkelerine uyan ve giriş izni verilmiş kullanıcıların ağa dahil olmasını sağlar. ✓⃝ Yerel ağdaki BYOD kaynaklı Zero Day saldırılarının etkisini minimuma indirir. Ağa erişim sırasında veya sonrasında izinsiz erişim, yetkisiz giriş, cihaz uyumu vb davranışlarını denetler. ✓⃝ Dynamic Vlan ataması sayesinde esneklik sağlar. ✓⃝ Ağ erişimlerinin telemetrik olarak izlenmesini sağlar ve bu sayede 5651 sayılı kanuna tam uygunluk elde edilmiş olunur.
Configuration > AAA > NAC arayüzünde 4 adet sekme bulunur. Bu sekmeler NAC, Dot1x Client, Mac Auth. ve Custom Attirbutes sekmeleridir. Bu sekmelerde gerçekleştirilebilecek Targitas NAC konfigürasyonu ile ilgili ayrıntılara bu sayfanın devamında erişebilirsiniz.
Targitas NAC ürünü, kullanıcıların ve bilgisayarların kurumsal bilgisayar ağına erişimlerinin kontrol edilmesi ve yönetilmesi işlemlerini gerçekleştirmek için tasarlanmıştır. Bu amaçla, cihazlar ilk erişim anından itibaren tüm çalışma süresi boyunca gerçek zamanlı kimlik doğrulama, yetkilendirme ve cihaz sağlık kontrol işlemlerini geçirmektedir. Kullanıcıların ve bilgisayarların ilk erişim anında, dünya standardı olan 802.1x (AAA) teknolojisi kullanılarak güvenlik ve yetkilendirme işlemleri gerçekleştirilmektedir.
IEEE 802.1X, genişletilebilir kimlik doğrulama protokolü (EAP) kullanarak güvenli ağ erişimini tanımlayan bir ağ standartıdır. Özellikle kablosuz ağlar için kullanılır, ancak yapılandırılmış ağlara da uygulanabilir. Genellikle RADIUS sunucusu ile birlikte kullanılır ve kullanıcıların ağa erişimine izin vermeden önce kimlik doğrulamasını gerçekleştirir.
Bu sekmede IEEE 802.1X protokünü destekleyen bir NAC konfigürasyonu gerçekleştireceğiz.
Bir IEEE 802.1X istemcisi, bir ağa bağlandığında kimlik doğrulama yapmak için kullanılan bir cihazdır. Bu cihaz, kullanıcının kimliğini doğrulamak için bir kimlik doğrulama sunucusuna bağlanır ve kullanıcının yetkilendirilmesini alır. Bu, kullanıcının ağa erişim izni olduğunu veya olmadığını belirler. IEEE 802.1X genellikle Wi-Fi ağlarında kullanılır, ancak diğer ağ tiplerinde de kullanılabilir.
NAC Kimlik doğrulamasının belirlenen MAC adresine sahip cihaz veya OUI (Organizationally Unique Identifier) değeriyle belirlenen üreticiye ait cihazlar için otomatik sağlanması ve MAC/OUI adresi kimlik doğrulamasını geçen cihazların belirtilen VLAN içerisinde yer alması bu konfigürasyon bölümünde sağlanabilir.
Bu bölümde Active Directory Entegrasyonu sağlandı ise kullanılabilir Active Directory obje ve gruplarını kullanılarak seçilen Active Directory kullanıcısına veya grubu ait kullanıcıların belirlenen Vlan içerisinde yer almasını sağlayacak NAC konfigürasyonu gerçekleştirilebilir.
AD Object bölümüne tıklandığında sahip olunan AD kullanıcıları ve grupları listelenir.
Aşağıda örnek bir Custom Attributes konfigürasyonu bulunmaktadır:
Status
Targitas'ın NAC özelliği devreye alınmak isteniyorsa aktifleştirilmelidir.
Listen
Kimlik doğrulama, aktivite izleme ve yetkilendirme gibi NAC işlemlerinin gerçekleştirileceği sunucuya ait IP adresi belirtilmelidir. Bu IP adresi Targitas'a veya bir RADIUS Sunucusuna ait olabilir.
Auth-port
Belirtilen IP adresindeki cihazın hangi portunda NAC Kimlik doğrulama ile ilgili iletişimi dinleyeceği belirtilir. IEEE 802.1X standartına göre bu port değeri 1812 olarak belirlenmiştir.
Acct-port
Belirtilen IP adresindeki cihazın hangi portunda NAC kullanıcı aktivitelerini izleme ve kaydetme ile ilgili iletişimi dinleyeceği belirtilir. IEEE 802.1X standartına göre bu port değeri 1813 olarak belirlenmiştir.
Auth-mode
Kullanıcıların ve bilgisayarların kurumsal bilgisayar ağlarına ilk erişimlerinde kimlik doğrulama için kullanılacak yöntem belirlenebilir.
Auth-order
Kullanıcıların ve bilgisayarların kurumsal bilgisayar ağlarına ilk erişimlerinde kimlik doğrulama kaynakları ile ilgili seçimin yapılacağı bölümdür. Bu bölümde kimlik doğrulama kaynağı olarak local, Configuration -> AAA -> Radius Server arayüzünde oluşturulmuş RADIUS sunucular veya Configuration -> AAA -> Active Directory arayüzünde eşleştirilmiş bir Active Directory belirlenebilir. Birden fazla seçim yapılabilir ve bunların sıralaması değiştirilebilir.
Certificate Profile
Bu bölümde varsayılan Sertifika profili veya Configuration -> System -> Certificates bölümünde oluşturulan sertifikalar arasında seçim yapılabilir.
Restricted Vlan-ID
Eğer Kimlik doğrulama (Authentication) süreci başarısız olursa. Kullanıcının belirlenen sınırlı yetkili Vlan içerisinden IP adresi alması sağlanır.
NFV Unlock Profile
NFV Unlock Profile, Network Functions Virtualization (NFV) çerçevesinde, bir cihazın belirli bir özelleştirme seviyesine ulaşması için gerekli olan yapılandırma ve yükleme adımlarını tanımlayan bir profildir. Opsiyonel bir seçenektir.
NFV Unlock Mode
NFV(Network Functions Virtualization) modları olan standalone, edge veya master modlarından hangisinde çalışması isteniyorsa belirlenmelidir.
Name
Oluşturulan Dot1X Client Objesine görevini ifade eden bir isim verilmesi önerilir.
IP
Dot1X Client'ın çalışacağı IP adresi veya netmask belirtilerek bir subnet belirtilebilir.
Secret Key
Dot1X Client ile iletişim kuracak Switch benzeri cihazın konfigürasyonunda kullanılacak güvenlik için eşleşmesi gereken Secret Key değeri belirlenmelidir.
Short Name
Konfigürasyona herhangi bir etkisi olmayacaktır. Network yönetimini kolaylaştırmak için görevini ifade eden bir kısa isim verilebilir.
Name
Oluşturulan MAC adresi ile Kimlik doğrulama konfigürasyon objesine görevini ifade eden bir isim verilmesi gereklidir.
Type
OUI (Organizationally Unique Identifier - MAC adresinin ilk 24 bit değeri) veya MAC Adresi seçenekleri arasından seçim yapılması gereklidir. MAC Adresi belirtilerek sadece bir cihaz için geçerli konfigürasyon gerçekleştirilebilir veya OUI değeri belirtilerek bir üreticiye ait tüm cihazlar için konfigürasyon gerçekleştirilebilir.
OUI
Targitas içerisinde önceden tanımlanmış üreticilere ait OUI değerleri arasından seçim yapılabilir.
Custom OUI
Tanımlanmış OUI değerlerine ek olarak xx:xx:xx formatında bir OUI değeri belirtilebilir.
MAC
xx:xx:xx:xx:xx:xx formatında bir MAC adresi belirtilmelidir.
Vlan ID
MAC Authentication konfigürasyonunda tanımlanan OUI veya MAC değeriyle eşleşen cihazların NAC Authentication sürecinin ardından yer alacağı Vlan ID değeri belirtilebilir.
AD Object
NAC konfigürasyonu sonucunda belirtilen Vlan ID içerisinde yer alması istenilen Active Directory kullanıcısı veya grubu belirlenmelidir.
Sort
Daha önceden oluşturulan Custom Attributes objeleri listelenir. Konfigürasyonu devam eden Custom Attributes objesinin yer alacağı sıra belirlenmelidir.
Vlan ID
NAC konfigürasyonu sayesinde belirtilen Active Directory kullanıcısının veya grubunun yer alması istenilen Vlan ID belirlenmelidir.
IP
Belirtilen AD Objesinin alacağı IP adresi ve netmask değeri belirlenebilir.
Force-Require
