SİBER GÜVENLİK ÇÖZÜMLERİ

Ağ Erişim Kontrol Sistemi (Nac)

Network Access Control , kurumlarca belirtilmiş güvenlik ilkelerini tüm ağa yaymak ve bu ilkelere uymayan son kullanıcıların ağa dahil olmasını engellemek/sınırlamak için üretilmiş bir çözümdür.

Network Access Control , kurumlarca belirtilmiş güvenlik ilkelerini tüm ağa yaymak ve bu ilkelere uymayan son kullanıcıların ağa dahil olmasını engellemek/sınırlamak için üretilmiş bir çözümdür.Erişim kontrolü ile kişinin erişeceği network üzerinde hangi işlemleri yapacağı konusunda yönetim sağlanır.

Bu sayede yalnızca yeterli yetkiye sahip olan kullanıcıların sisteme ve üzerindeki veriye erişmesi sağlanır.

Bu ilkeler belirlenirken iki temel gereksinim dikkate alınmalıdır

  • Görevlerin ayrılması
  • Mümkün olan en az yetki

NAC ile ağ güvenliği 4 aşamada sağlanır:

Kimlik doğrulama

Kimlik doğrulama sayesinde kurum çalışanları aktif dizinde kayıtlı kulalnıcı bilgilerini 802.1x standardının kullandığı RADIUS protokolü ile doğrulatarak

Networke authenticate işlemini gerçekleştirirler.Msiafir kullanıcılar ile kendilerine sisteme kayıt ettirip SMS üzerinden aldıkları şifre ile networke daihl olabilirler veya misafir olarak geldikleri kişi tarafından onaylandıktan sonra network erişimi sağlayabilirler.Sadece aktif dizin değil ldap,kerberos, gibi standart kullanıcı database leri kullanılabileceği gibi aynı zamanda external sql databse lerinden de kullanıcı otantikasoyn işlemi yapılabilir.

Yetkilendirme

Kimliği doğrulanmış kullanıcının erişim yetkisi verilen kaynak üzerinde yapabileceklerini belirlediğimiz özellik yetkilendirmedir.Örneğin,networke kullanıcı hesabı ile bağlanan kullanıcının ne kadar sürede bağlı kalacağı , kaç mb veri kullanımına izn verildiği , … gibi yetkilerin verildiği alandır.

Güvenlik taraması

Networke erişmek isteyen kullanıcının öncelikle olarak makinesinde , kurum kuralları gereği gerekli standartları sağlayıp sağlamadığı değerlendirilir.Örneğin biz kurumumuzda kural gereği sadece windows 10 kullanıyoruz ve sistem güncellemelerimizi düzenli olarak yapıyoruz ve x güncellenmesinin her makine de olmasını bekliyoruz ,ayrıca kurumsal olarak kullanılan antivirüs yazılımımız mevcut ve personele verdiğimiz bilgisayarlarda kullanılacak uygulamaların listesini de belirlemiş durumdayız bu durumda otantike olan kullanıcı eğer bu bahsedilen güvenlik sorgulamasından geçemezse networkten düşürülebilir veya izole bir vlan a atanabilir.

İyileştirme

Yukarıda basedilen taramaları özellştirebiliriz örneğin windows güncellemelerini ve antivirüs güncellemelerini yapabileceği bir vlan a alırız burada sadece ilgili kaynaklara erişimi oalcaktır güncelleme sonrası bilgisayarlar üzerinde çalışan ajanlar sayesinde gereksinimler tekrar kontrole dilecek ve erişim yetkileri normal bir personel yetkisine çevrilecektir.

NAC cihazları ağa erişmeden önce veya sonra gerekli denetimleri yapabilir.

Yine bu denetimleri yaparken ajan kullanmayabilir fakat ajansız metodda sistemsel değişikliklerin sürekli olarak kontrolü için windows makineler WMI bağlantısı linux a ise root yetkili bağlantı kurulması gerekir bu sebepten gerekli taramaların düzenli ve sürekli olarak yapılabilmesi için ajanlı kullanım tavsiye edilmektedir.

RADIUS 3 bileşenden oluşur

Supplicant ağa bağlanacak olan nedir ? sorusunun cevabıdır örneğin bir mobil cihaz , bir laptop veya bir güvenlik kamerası gibi.

Authenticatior ise ağa bağlanan şeyin bağlanmaya çalıştığı yer neresi sorusunun cevabıdır , örneğin bir kenar anahtarı veya bir kablosuz erişim noktası gibi.

Authentication server ise yetkilendirme işlemini yapacak olan NAC cihazını temsil eder.802.1x desteklemeyen sistemler için ise mac adresine göre statik listeler hazırlanarka otantikasyon bypass edilebilir.

Nac’ın Kullanım Amaçları

Kurumsal Amaçlar
  • Networkun kullanım çevresinin gözlemlenmesi ve araştırılması
  • Tüm çalışanların ağa bağlandıkları cihazların güncel güvenlik kuralları gereksinimlerini sağladığından emin olmak
  • Misafir ve yetkisiz kişileri kurum içi verilere erişemeyecekleri bir ağa dahil etmek
  • Risk koşullarını değerlendirmek ve bu riskleri kısa sürede kontrol altına almak
  • Riskli cihazları karantina altına alarak ağa zarar vermesini engellemek.
İşlevsel Amaçlar
  • İhityaç duyulan politikaların listelenmesi
  • Kurum içerisindeki ağ yapısının parçalarını tesbit etmek
  • Uygulanabilir politikalar oluşturmak
Teknik Amaçlar
  • Hangi vlanlar kullanılacak
  • Hangi politikalar kullanılacak
  • Misafir , bilinmeyen cihazlar , yazıcılar ,VOIP cihazları ,önemli görevler ve cihazlar neler olacak
  • Kullanıcının deneyim seviyesi ne olmalı

Bu amaçlar doğrultusunda hangi tip cihazlara izin verileceği,ağa erişen kullanıcıların profillerinin ne olacağı , profillerine göre uygulanacak olan kısıtlamaların neler olacağı ,hangi tip erişim metodlarına izin vereceğimiz,kablolu ve kablosuzu bağlantı tiplerinden hangilerine izin vereceğimizi geniş uygulama alanları ile sağlayabiliyor olacağız.

NAC dağıtık mimarilerde de çalışabilir , merkeze koyulacak yetkilendirme sistemi ile uç lokasyonlardan erişim kontrolü yapılabilir burda önemli olan nokta merkez ile loaksyonlar arasıdaki trafik tipi ve hasssasiyet derecesidir,

Hassas konulardan bir tanesi de aynı aktif dizin hesabıyla birden fazla bağlantı şekliyle ve makine üzerinden erişim ksıtlanması gerekliliğidir.Bu sayede misafir kurum personeli hesabıyla network erişimi alarak personel gibi hassas verinin olduğu alana erişememiş olur.

RADIUS un kullandığı EAP protokolünün pek çok çeşidi vardır bu çeşitlenme hesap bilgilerinin nasıl taşındığına göre değişmiştir ve tabiki güvenlik gereksinimlerinden dolayı.

En yaygın kullanılanları ise EAP-PEAP  ve EAP-TLS dir .

Bu iki metodda güvenlidiri fakat dikkat edilmesi gereken hususlara dikkat edilmezse ikisinde e güvenlik problemi oluşabilir.

Öncelikle EAP-PEAP sadece sunucunun kimliğini doğrular yani kişi gerçekten görüşmek istediği sunucu üerinden mi otantikasyon gerçekleştiriyor,

EAP-TLS ise daha güvenli olan versiyonudur , EAP-TLS hem sunucuyu hem kullanıcıyı doğrulamaktadır yani sunucu gerçekten otantike olacağımız sunucu mu diye doğrularken kullanıcı da gerçekten otantike olan kullanıcı mı diye doğrulanmış olur.

NAC güvenlik kontrollerinin gerçekleştirilmesi için makinaların kontrol edileceği akıllı switchlere ihtiyaç vardır , yönetimin sağlanması için yönetim sunucusuna ihtiyaç duyulacaktır.Gerekli bileşnelerin topoloji içiersinde nasıl konumlandırılacağı ürünlerin tesbitinden sonra tasarlanacaktır.

NAC sistemleri uygulanması en zor sistemlerdendir , başarılı bir şekilde uygulanması için sağlam bir network ve sistem yapısı olması gerekir ,

NAC sadece network te yetkilendirme yapmaz buunn haricinde akıllıca kullanıldığında takdirde atakları karşı aktif bir önleme mekanizmasıda oluşturacaktır , örneğin günümüzde en büyük problemlerden olan wannacry gibi cryptoransomware leri microsoft un SMB zaafiyetini kullanır , bu zararlı yazılım tesbit edildikten sonra windows güncelleme yayınlamıştır , NAC kullanan sistemelrde eğer ilgili güncellemeyi yüklememişse bir makineyi ağınıza dahil etmeye bilirsiniz izole bir networke alabilirsiniz.Veya crackattack çıktığında WPA2 nin de veri sızıntısı oluşturabileceği tesit edilmişti , her erişim noktası bir authenticator olduğu için NAC servislerinizi tanımlarken authenticator ın da özelliklerini kontrol ederek o kablosuz erişim noktası üzerinden gelmek isteyen kullanıcıları da bloklayabilirsiniz.

Yine NAC ağınıza dahil olan bütün makinelerin profilini çıakrtır bu sayede ağınızda kullanılan makinelerin tipi , işletim sistemi , işletim sistemi versiyonları bilgisini sürekli olarak görebilrisiniz ayrıca yeni nesil güvenlik duvarları ve SIEM lerle kurdukları entegrasyonlar ile bu sistemlere de bilgi beslemesi yaparak güvenlik kurallarını ve takip olaylarını sıkılaştırılmasına katkı sağlarlar.Örneğin

NAC bir güvenlik duvarı ile entegre olarak üzerinde cihaz profilleme yeteneği olmayan güvenlik duvarına bu yetiyi kazandırır ve bu sayede güvenlik duvarı makine işletim sistemi,tipi gibi bilgileri kullanarak kurallar yazdırabilir ve makinadan gelen kullanıcının ip adresinden hariç kullanıcı bilgisini de göstererek daha net olay kayıtları almamızı sağlar.

Diğer Siber Güvenlik Çözümlerimiz

Siber Güvenlik Çözümleri

5651 Loglama Çözümleri

Siber Güvenlik Çözümleri

Web Uygulama Güvenlik Duvarı (Waf)

Siber Güvenlik Çözümleri

Çoklu Kimlik Doğrulama Çözümleri (Mfa)

Siber Güvenlik Çözümleri

E-Posta Koruma Çözümleri (Antispam Gateway)

Siber Güvenlik Çözümleri

Gelişmiş ve Hedef Odaklı Ataklara Karşı Koyma Çözümleri (Atp)

Siber Güvenlik Çözümleri

Güvenlik Olay Kayıt ve Yönetim Yazılımı (Sıem)

Siber Güvenlik Çözümleri

Güvenlik Olaylarına Müdahale Ve Yönetim Yazılımı (Soar)

Siber Güvenlik Çözümleri

Kablosuz Misafir Erişim Yetkilendirme Çözümleri (Hotspot)

Siber Güvenlik Çözümleri

Saldırgan Oyalama Çözümleri (Deception Tech.)

Siber Güvenlik Çözümleri

Son Kullanıcı Güvenlik Çözümleri (Av – Edr)

Siber Güvenlik Çözümleri

Yeni Nesil Güvenlik Duvarı (Ngfw)

Siber Güvenlik Çözümleri

Yetkili Hesap Yönetim Çözümleri (Pam)

Siber Güvenlik Çözümleri

Yük Dengeleyiciler (Loadbalancer)

Siber Güvenlik Çözümleri

Veri Sızıntısı Engelleme Çözümleri (Dlp)

Siber Güvenlik Çözümleri

Zaafiyet Tarama Yazılım Çözümleri

Robit Teknoloji