Ağ Erişim Kontrolü (NAC) Nedir? Neden Önemlidir?

NAC (Network Access Control); uç nokta güvenlik teknolojisini, kullanıcı veya sistem yetkilendirmesini ve ağ güvenliği uygulamasının denetlemesini yapan bilgisayar güvenliğine yönelik bir yaklaşımdır. 

Güvenlik ilkelerine uyan ve giriş izni verilmiş kullanıcıların ağa dahil olmasını sağlamaktadır.  

NAC ile ağ güvenliği 4 aşamada sağlanır: 

  • Kimlik Doğrulama 
  • Yetkilendirme 
  • Güvenlik Taraması 
  • İyileştirme 

Bu özelliklerin hepsini aynı anda sağlamaktadır. 

 

NAC neden önemlidir ?

Günümüz teknoloji dünyasında güvenlik risklerinin artması nedeniyle, ağ güvenliği altyapılarının güçlendirilmesi için gereken denetimi, erişim kontrolünü ve uyumluluk işlevlerini uygulayacak araçlara sahip olunması gerekmektedir. 

Ağ Erişim Kontrolü, tam olarak adından da anlaşılacağı gibi, kullanıcıların ve cihazların bir ağda nereye gidebilecekleri ve neler yapabilecekleri konusunda gerekli güvenlik politikalarının uygulanmasını ve ardından ağ ortamına yönelik güvenlik risklerini ortadan kaldırılmasını, önlenmesini ve azaltılmasını hedeflemektedir. 

Bilgisayarlar, sunucular, güvenlik duvarları, yönlendiriciler ve ağa eriştikleri yöntem gibi tüm uç noktalara kapsamlı bir NAC çözümü uygulanabilir. 

 

NAC nasıl çalışmaktadır ?

NAC sisteminin son kullanıcı odaklı olmasından dolayı, sistemlerin kontrollerin derinlemesine incelenmesi için bilgisayarlara ajan yüklemesi yapılmaktadır.  

Genel kontrol noktaları; kullanıcının işletim sistemi, kayıtlı olduğu ağ ve NAC ajanının varlığı olmasıdır. Bu üç ön kontrolü geçenler zaten NAC ajanı çalışan bilgisayarlar olduğundan, NAC sisteminde uygulanan önceden yapılandırılmış politikalara göre detaylı kontroller yapılır ve politikayı geçen bilgisayar sorunsuzca ağa dahil olurken, geçemeyenler iyileştirme (remediation) sürecine girmektedirler. 

 

NAC çözümlerinin amaçları nelerdir ?

  • Sıfır gün (Zero- Day) saldırılarının azaltılması,
  • Ağ bağlantılarının yetkilendirilmesi (Authorization) , doğrulanması (Authentication) ve hesaplanması (Accounting), 
  • EAP-TLS, EAP-PEAP veya EAP-MSCHAP gibi 802.1X protokollerini kullanarak kablosuz ve kablolu ağa giden trafiğin şifrelenmesi,
  • Kimlik doğrulama sonrası kullanıcı, cihaz, uygulama veya güvenlik duruşunun rol tabanlı kontrolleri,
  • Virüsten koruma, yamalar veya ana bilgisayar izinsiz giriş önleme yazılımı olmayan uç istasyonların ağa erişmesini ve diğer bilgisayarları bilgisayar solucanlarının (worms) çapraz bulaşma riskine (risk of cross contamination) sokmasını önlemektir. 
  • Ağ operatörlerinin, ağ alanlarına erişmesine izin verilen bilgisayar türleri veya kullanıcıların rolleri gibi ilkeleri tanımlamasına ve bunları anahtarlarda, yönlendiricilerde ve ağ orta kutularında (middleboxes) zorlamasına olanak tanır. 
  • Geleneksel IP ağlarının IP adresleri açısından erişim ilkelerini zorunlu kıldığı durumlarda, NAC ortamları, dizüstü bilgisayarlar ve masaüstü bilgisayarlar gibi kullanıcı uç istasyonları için, kimliği doğrulanmış kullanıcı kimliklerine dayalı olarak bunu yapmaya çalışır.

 

NAC kullanım amaçları nelerdir ?  

      Kurumsal Amaçlar

  • Kullanım çevresinin gözlenmesi ve araştırılması,
  • Çalışma koşullarının ( yamalar (patches), güncellemeler (updates) gibi ) güncel olması,
  • Yetkisiz ve misafir kullanıcıları iç ağdan uzak tutulması, 
  • Risk koşullarının belirlenmesi,
  • Her alan (domain) için farklı politikaların geliştirilmesi ve birbirinden bağımsız ağ yapısı oluşturulması,
  • Risk cihazlarının karantinaya alınması ve ağa karşı oluşacak zararların engellenmesi amaçlanmaktadır.

 

      İşlevsel Amaçlar

  • NAC sisteminin hangi alanlarda uygulanacağının belirlenmesi, 
  • Uygulanma sebebinin belirlenmesi, 
  • Uygulanma durumunda elde edilecek kazancın tahmin edilmesi amaçlanmaktadır.
      

      Teknik Amaçlar

  • Yönetim sunucusunun konumlanacağı yerin tespit edilmesi,
  • Politikaların uygulanacağı sunucuların konumlarına karar verilmesi, 
  • Politikaların belirlenmesi ve uygulanma yöntemlerinin belirlenmesi, 
  • Vlan tanımlamalarına karar verilmesi, 
  • Tanımlı olmayan cihaz ve misafir kullanıcılar, yazıcılar, VOIP cihazların tanımlamalarının yapılması, 
  • Kullanıcıların yetkilerinin belirlenmesi amaçlanmaktadır.

 

       Uygulama Alanı Belirleme

  •  Hangi tip cihazlara izin verileceğinin belirlenmesi,
  • Ağa erişimi olacak kullanıcı profillerinin kararlaştırılması,
  • Bu profillerinin kullanım kısıtlarının tanımlanması,
  • Hangi tip erişim metotları kullanılacağının belirlenmesi,
  • Bağlantı şekillerinin belirlenmesi ( Kablolu, kablosuz),
  • Mevcut son kullanıcıya verilen desteklerin belirtilmesi,
  • Mevcut ağ topolojisinin çıkartılması amaçlanmaktadır.

 

Nac’ın ne olduğunu, neden önemli olduğunu siz değerli okurlarımıza aktarmaya çalıştık.

SyberCode olarak NAC hizmetimiz hakkında sizleri daha detaylı olarak bilgilendirmek isteriz.

NAC ve diğer hizmetlerimizle ilgili bize ulaşmak için buraya tıklayınız.