Digital dönüşüm ile birlikte kurumlarda teknolojik cihaz kullanımı her geçen gün artış göstermektedir. Özellikle IoT (Internet of Things) cihazların kullanımı çok yaygınlaştı. Gartner 2021 yılında 9.1 milyar IoT cihazı kullanılacağını öngörmektedir. IoT cihazları genelikle ekranları olmayan, tek bir portu olan, antivirus yüklenemeyen güvensiz cihazlardır. Aynı şekilde BYOD( Bring Your Own Device) teknolojisi de gittikçe yaygınlaşmaktadır ve bu teknoloji ile birlikte çalışanlar kendi cihazlarıyla şirket ağına daha fazla bağlanmaya başlamıştır. Pandemi döneminde BYOD teknolojisi kullanımı uzaktan çalışma modeli yüzünden çok fazla artış göstermektedir. Bu cihazlar kurumlara bir çok alanda kolaylık sağlamakla birlikte kurumlarda güvenlik olarak büyük risk teşkil etmektedir. Bütün bu ağa bağlanan cihazların kontrol edilebilmesi ve güvenlik isterlerinin karşılanması için NAC (Network Access Control) çözümleri devreye girmektedir. Sektörde lider firmalardan birisi olan Fortinet’in FortiNAC çözümünü görünürlük, kontrol, otomatik aksiyon olmak üzere üç başlık altında detaylı olarak inceleyebiliriz.
Görünürlük
İlk olarak ağa bağlanan cihazların görünürlüğünün sağlanması gerekiyor. Ağa hangi cihazın, nasıl bağlandığı, hangi kullanıcının kullandığı, ne zaman bağlandığı, cihazın üzerinde hangi uygulamaların olduğunun tespit edilmesi çok önemlidir. Ağa giren cihazların tanımlanması regülasyonlara uyumluluk, envanter yönetimi ve uyumluluğa aykırı cihazların oluşturduğu risk açısından büyük önem belirtir.
FortiNAC’da cihazların ağda görünür olması için ajana gerek duyulmadan veri toplama işlemi yapar. FortiNAC ağa erişmeye çalışan cihazlardan Switch, Router, Access Point, Firewall, SIEM, IDS/IPS gibi ağ ve güvenlik ürünlerinden farklı protokollerle bilgiler toplar. Bu bilgilere istinaden bağlanan cihazlar üzerinde tanıma gerçekleştirilir.
FortiNAC, ağdaki cihazları profilleme metodları ile tanır. FortiNAC içerisinde yandaki görselde görünen 17 tane farklı metod bulunmaktadır. Bu methodlar ile cihaz sınıflandırılması yapılır. Örneğin cihaz network’e bağlandığında port taraması gerçekleştriliyor. Port taraması sonucunda TCP 9100 ve TCP 515 portları(network yazıcılarında açık olan portlar) açıksa aynı zamanda markası Canon ise yazıcı olarak değerlendirip ağa erişimine izin ver denilebilir. Buna benzer bir çok farklı method belirleyerek cihazlar ağa tanıtılabilir.
DHCP Fingerprinting önemli methodlardan birisidir. Ağa bağlanan bir cihaz DHCP paketi yollamaya başlar. Bu paketler içerisinde değerli bilgiler bulunur. Cihazın adı, işletim sistemi gibi önemli bilgiler elde edilir.
FortiNAC’da görünürlüğü kolaylaştıran diğer bir unsur da Fingerbank’tan alınan cihaz tanıma kurallarıdır. Fingerbank, cihaz tanıma işlemi gerçekleştiren bir üreticidir. Bu kaynak içerisinde belirli cihaz tanıma kuralları mevcuttur. Bu tanıma kurallarını, FortiNAC entegre ederek otomatik olarak cihazları tanımaya başlar. Cihaz bir kere tanımlandıktan sonra onun bilgileri FortiNAC’ın veritabanına kaydedilir. Daha sonra bu bilgiler içerisinde herhangibi bir değişiklik olduğunda alarm üretilerek haber verilir. Çünkü bu değişikliği saldırganda gerçekleştirebilir. Örneğin cihazın adı değiştiği anda portu kapat, admine bilgi yolla gibi aksiyonlar alınabilir.
Kontrol
Cihazların tanımlanması gerçekleştikten sonra ağa erişim kısmına geçiş yapılır. Cihazlar belirli kriterlere bakılarak Vlan’lara erişilmesine izin verilir. Yetki , lokasyon, zaman ve cihaz özeliklerine göre ağ erişimi sağlanır. Örneğin insan kaynakları personelinin bilgisayarı ağa bağlandığı anda insan kaynakları Vlan’ınına yerleştir şeklinde kural yazılabilir.
FortiNAC çözümü ile Vlan segmentasyonu da çok kolay bir şekilde yapılabilir. Vlan segmentasyonunu yapmak maliyetli ve zahmetli olduğu için kurumlarda genelde gerçekleştirilemiyor. Vlan segmentasyonu sayesinde bir cihaza zararlı bulaşması durumunda ağdaki diğer kaynaklara bulaşma riski azalır. FortiNAC’da cihazın grubuna göre veya üzerinde oturum açan kullanıcının grubuna göre işlem gerçekleştirilebilir. Bu süreçte cihaza ajan kurularak içerisindeki bilgilere göre de aksiyon uygulanabilir. Örneğin bir cihazda antivirus yazılımı varsa ağa erişimine izin verilebilir. Antivirüs üreticisine göre bir çok kontrol yapılabiliyor. Antivirüs yazılımının güncel olup olmadığı, versiyonun ne olduğu gibi önemli kriterlere bakılabilir.
Cihazların ağa erişimine izin verirken farklı seçenekler mevcuttur. Cihaza hiç erişim verilmeyebilir, misafir erişimi, kısıtlı erişim veya full erişim verilebilir.Ağa erişim verilen cihazlar firewall’a bildirilerek firewall üzerinden internete çıkış yetkileri de düzenlenebilir.
Otomatik Aksiyon
Cihazlar tanındı ve belirli kriterlere göre ağa erişimi gerçekleştirildiğini varsayalım. Ağa erişimleri sağlandıktan sonra cihazlarının takiplerinin yapılması gerekiyor. Güvenlik çözümelerinden alınan bilgilere göre aksiyonlar alınabilir. Sadece Fortinet ürünlerinden değil farklı markalardan da bilgiler toplanır. Otomatik kurallar sayesinde saniyeler içerisinde zararlı hareketlere karşı aksiyon alınabilir.
FortiNAC ile otomasyon süreci de kolay bir şekilde yönetilebilir. Kurumlarda bir zararlı tespit edildiğinde SOC ekipleri bunu tespit eder ve network ekibine yönlendirir. Network ekibi de gerekli aksiyonları gerçekleştirir. FortiNAC, iki ekibin arasında bir köprü vazifesi görür. Güvenlik ürünlerinden gelen bilgileri SOC ekiplerinin tespit etmesine gerek kalmadan, network ekibinin aksiyon almasını beklemeden otomatik olarak aksiyonu gerçekleştirebilir.
Genel olarak FortiNAC’ın avantajlarından bahsedecek olursak, FortiNAC 150’den fazla üretici cihazını, 2000’den fazla ağ cihazını destekler. Yeni cihaz modelleri de hızlıca desteklenebilir. FortiNAC mimarisi ağ trafiğini dinleme üzerine kurulmamıştır bu yüzden her ofise bir cihaz konulmasına gerek kalmaz, tek bir yere konumlandırılması yeterlidir. Servis sağlayıcılar sanal ve bulut desteği sayesinde kolayca sistemi devreye alabilir.