NAC – Şirket Ağlarınızı Güvence Altına Alın. Kontrol, Denetim ve Yönetim

NETWORK ACCESS CONTROL(NAC)

Pek çok şirketin çalışanlarının sayıları fazlalaştıkça veya ağa giren uçnoktalar, iş istasyonları, sunucular, yazıcılar, kameralar gibi cihazlar arttıkça her bir cihazın kontrolünü sağlamak günümüz şartlarında pek de mümkün değildir. Ve aynı zamanda güvenli bir network içinde erişimlerin kontrol edilebilir ve izleniyor olması gerekmektedir. Yerel ağa giren veya girmeye çalışan makinelerin erişiminin olup olmadığını kontrol eden, erişime izin veren veya engelleyen sistem ise Network Access Control yani Ağ Erişim Kontrolüdür.

NAC, sistemde bulunan her bir kullanıcının yetkilerini belirli politikalar ile birlikte belirleyen, bu yetkilendirmeye uygun olarak düzenleme ve sınırlandırma yapan, kullanıcıların yanında ağa giren cihazları denetleyerek, ağ güvenlik denetlemesi sayesinde sistem güvenliğini sağlayan bir çözümdür.

Bu denetlemeleri ise, sisteme kablolu veya kablosuz olarak dahil olmak isteyen her bir kullanıcının, cihazın bilgilerini alarak ve belirlediğini politikalar ile karşılaştırarak yapmaktadır. Bu karşılaştırma ile birlikte, karşılaştırdığı kullanıcı veya cihaz, politika ile uyumlu ise izin verir uyumlu değil ise bloklamaktadır. Ve bu sayede güvenlik ilkelerine uyan kullanıcıların, cihazların ağa dahil olması sağlanmaktadır.

Örneğin kurumuzun da ilk olarak bir güvenlik politikaları belirleyebilir, belirlediğiniz bu politikaları ağa yayarak bu politikalara uymayan kullanıcıların ağa dahil olmasını kontrol edebilir veya engelleyebilirsiniz.

NAC çalışma olarak 5 farklı aşamada çalışmaktadır;

1. Aşama; NAC çözümünün başarılı bir şekilde uygulanabilmesi amacıyla, inceleme için arayüz kurulması gereken her yapının, ağda bulunan tüm uç noktaların, sunucuların, cihazların incelenmesi gerekmektedir.

2. Aşama; Kuruluşunuzda bulunan kullanıcı kimliklerinin yönetilmesi amacıyla, kimlik doğrulama ve yetkilendirme gibi bölümlerin incelenmesi gerekmektedir. Bunun için kuruluşunuz da bulunan dizin sistemlerinizin, kullanıcı kimlik doğrulama işlemini yapması ayarlanmalıdır.

3. Aşama; İzinleri belirleme aşamasıdır. Bu aşamada bir kullanıcının sadece görevlerinin gerektiği derece de izinlerin verilmesi sağlanarak, olası güvenlik açıklarının önüne geçilmesi amaçlanmaktadır.

4. Aşama; Belirlenen kullanıcı izinlerinin uygulanması sağlanmaktadır. Bu aşamada NAC’ı dizin sisteminize entegre edip, politikaları da sisteminize aktardıktan sonra, çalışanların erişim ve gerçekleştirdiği etkinliklerin izlenebilmesi için, NAC sistemine bu çalışanların kullanıcı olarak eklenmesi gerekmektedir.

5. Aşama; Güncelleme kısmı yer almaktadır. NAC tek seferlik, kurulum yaptıktan sonra bir daha bakılmayan bir sistem değildir. Güncelleme kısmında zaman içerisinde değişen sisteme göre, veriler incelenmeli ve güncellemeleri yapılmalıdır.

NAC kurulum olarak yazılımsal olarak veya donanımsal olarak kurulmaktadır. Hangi NAC türünü seçeceğimiz ağ da ki yapılandırmalarınıza bağlı olarak değişir fakat temel de 4 farklı kurulum gerçekleştirebilmektedir.

Ajan Tabanlı Ağ Erişim Kontrolü

Uç noktalara bir ajan kurulumu ile gerçekleşen Ajan Tabanlı Ağ Erişim Kontrolü, en yüksek güvenlik seviyesini sağlayan bir nac türüdür. Kurulan bu ajan sayesinde kullanıcının belirlenen politikalara uyması sağlanarak güvenlik kontrolü gerçekleştirilir. Bu güvenlik kontrolünü sağlamak için ajan cihazın arka planında devamlı olarak çalışır ve cihazı izler. İzlediği bu verileri NAC sunucusuna güncel olarak gönderir. Ayrıca kimlik doğrulama işlemlerini yapmak için de NAC sunucusuna gönderim gerçekleştirir. Ajan bazlı NAC, 802.1x protokolüne örnek olarak gösterilebilir. Port tabanlı olarak ağ erişim denetimi yapılan bu protokol de, yetkisi olmayan kişilerin mevcutta bulunan ağa bağlanmalarını engellemek amaçlanmaktadır. Bu sebeple de uç nokta cihazlarının ve ağda bulunan cihazların hepsini 802.1X protokolünü kullanabilmesi için yapılandırmak gerekmektedir. Eğer yapılan kimlik doğrulaması başarılı olmazsa bağlanılmaya çalışılan o portun erişimi engellenerek güvenlik sağlanmış olur.

Ajansız Ağ Erişim Kontrolü

Ajansız olarak yapılan Ağ Erişim kontrolünde ise uç noktalara herhangi bir kurulum vs gerekmemektedir. Bu sistemde ağ da bulunan trafik değerlendirilmesi yapılarak yetkilendirilme sağlanmaktadır. Yani ağda 2 uç nokta arasındaki uyumluluk nasıl diye bakılır ve buna bağlı olarak da kullanıcıya yetkilendirme sağlanır. Bu sebeple de diğer NAC türlerine göre, yetkisiz kişilerin veya cihazların daha kolay bir şekilde ağa erişimi gerçekleşmektedir.

Donanım Tabanlı Ağ Erişim Kontrolü

Donanım tabanlı olarak çalışan bu NAC türü, network üzerinde kurulan ve ağ trafiği ile bağlantılı bir şekilde çalışan bir cihazda çalışmaktadır. Ve bu sebeple de erişime izin verilmesi amacıyla, ağ da ki sunucularda, altyapı uygulamalarında belirli yapılandırılma değişikliklerinin yapılması gerekmektedir. Bundan dolayı Donanım Tabanlı Ağ Erişim denetiminde hata olasılığı ve başarısız olma durumu diğer NAC türlerine oranla daha fazladır.

Dinamik Ağ Erişim Kontrolü

Yazılıma dayalı olarak çalışan Dinamik Ağ Erişim Kontrolü, hem herhangi bir donanım değişikliği istemeyip ağda da bir değişikliğe gerek olmaması sebebiyle, hem de ağlarda bulunan mevcutta olan belirli makineleri kullanmasından dolayı diğer NAC türlerine göre daha kolay dağıtılabilmektedir ve bu sebeple daha fazla tercih edilmektedir. Çok kısa sürede yüklenerek ağda bulunan tüm cihazları izleyebilmektedir.

Bu NAC türünde yerel ağda belirli makineler Dinamik NAC istemcisi olarak kabul edilir ve ağa erişmeye çalışan kullanıcıları veya cihazların erişimini kısıtlar veya izin verir. Bu işlemlerde, Dinamik NAC makineyi taradıktan sonra elde ettiği sonuçları Policy Server’a gönderir, Policy Server da politikalara uyum sağlayıp sağlamadığını belirleyerek makineye erişim verir veya vermez. Bu politikalar da genellikle cihazların işletim sisteminin yamalı olup olmadığı, antivirüsler’inin güncel olup olmaması veya güvenlik duvarına sahip olup olmadığı gibi önceliklendirmelerdir.

Ayrıca Dinamik NAC, serverdan verileri toplayıp Network Access Kontrol’ün uyumluluğu ile ilgili ve dinamik NAC’ın gerçekleştirmiş olduğu eylemler ile ilgili raporlar oluşturan Raporlama Sunucusunu ve erişim ile ilgili politikaları da geliştirmek amacıyla Policy Manager uygulamasını da içermektedir. Bu uygulamalar sağlıklı olmayan bilgisayarları, yetkisiz olan cihazları rapor ederek karantinaya alabilir. Ve bu karantinada olan cihazlar manuel bir şekilde ve otomatik olarak sisteme uyumlu hale getirilerek ağa katılabilmektedir.

Dinamik NAC ve diğer NAC türlerinden hangisine karar vereceğiniz ise, kuruluşunuzun ağ yapılandırılmasına, kurulumuna bağlı olarak değişmektedir. Çünkü NAC kurgusu kurumların Bilgi Teknolojileri ekipleri tarafından kuruluşlara ait tasarlanarak yapılmaktadır. Ve her kuruluşun NAC tasarımı farklı olabilmektedir.

Önem derecesine göre de NAC sistemlerini farklı şekilde yapılandırarak maliyet açısından kontrollü davranabilirsiniz. Önem derecesi yüksek olan durumlarda daha yüksek kontrolleri sağlayabilir, daha düşük önem derecesine sahip olunan durumlar da ise daha maliyetsiz bir şekilde NAC sistemi kurabilirsiniz.