NAC (Network Access Control — Ağ Erişim Kontrolü) Önceden belirlenmiş güvenlik politikaları ile bir kurum veya kuruluşun ağına erişimi denetleyen bir siber güvenlik çözümüdür.
İlk başlarda Bilgisayar korsanları güvenlik nedeniyle ataklarını internet üzerinden yaptıklarından, güvenlikçilerin ağın dış katman güvenliği odakları çok yüksek değildi. Dış katmandan gelecek ataklar bilgisayarlara yüklenen Anti virüs yazılımları ile engellenmeye çalışılıyordu. Ancak Hacker’ların değerli bilgilere erişiminin artması ve ağa fiziksel olarak daha da yaklaşarak atak yapması ile birlikte NAC çözümleri önem kazanmıştır.
NAC’ın koruduğu alan Network’un dış katmanı-kullanıcı katmanından gelebilecek atakları önlemektir. NAC’ın, Şirket ana Ağının omurgasını oluşturan WAN ve internet üzerinden gelebilecek ataklara karşı herhangi bir politikası yoktur ve bununla ilgilenmez. Ayrıca içeriden çıkabilecek data ile de ilgilenmez. Sadece ağın dış kabuğundaki sızmaları engellemeye çalışarak koruduğu ağı tamamıyla görünür hale getirir. Görünürlük yeteneği ile bir şirketin ağ içindeki bütün cihazları, cihazlarda kullanılan yazılımları ve versiyonları gibi envanteri de oluşturarak şirket IT ve güvenlik politikalarını güçlendirir. Ayrıca “Zero-day” saldırılarını karşılar ve sisteme gelecek sert atakları engeller.
Temel olarak, ağın dış katmanında, kullanıcı cihazları veya kullanıcı cihaz komşulukları bulunur. Dolayısı ile NAC’ın odaklandığı nokta uç cihazlardır. Uç cihazlar; dış katmandaki switchlerden başlayarak, Bilgisayarlar, Flash Bellekler, CD Okuyucular, IOT cihazları, Yazıcılar, tarayıcılar, BYOD cihazları vs.
NAC ve dış katmandaki çevre birimler şekilde gösterilmiştir.
Bir ağda ne kadar farklı ağ bileşeni varsa o ağ o kadar risklidir. Dolayısı ile her bir bileşen için ayrı bir çözüm bulmaktansa bütün bileşenlerin tek bir platformda değerlendirilip ortak politikalar belirleyerek çözüm bulmak en efektif çözüm olarak ortaya çıkmaktadır. Bu noktada büyük ağlar için NAC vazgeçilmez bir çözümdür ve GDPR’ın işaret ettiği çözüm setinin en önemli bileşenlerinden biridir.
NAC ile ağ güvenliği 4 seviyede gerçekleşir.
1. Authentication; Bağlanan kim, tanımla.
2. Authorization: Yetkileri ve hakları nedir?
3. Güvenlik Taraması yap, cihazda herhangi bir güvenlik problemi veya yama açığı var mı tespit et ve NAC sunucusuna raporla.
4. Güvenlik açığı denetimi ve politikaların uygulanması;
a. Güvenlik açığı yok;
i. Bağlanan cihaz tanımlanamadı. Guest networkuna al.
ii. Bağlanan cihaz tanımlandı. Networka dahil et.
b. Güvenlik açığı var;
i. Bağlanan cihaz tanımlanamadı. Güvenlik açığını gider. Guest networkuna al veya Networkten tamamen yalıt. (Politikaya bağlı)
ii. Bağlanan cihaz tanımlandı. Güvenlik açığını gider. Networka dâhil et. Güvenlik açığı giderilemiyorsa Guest Networkuna dahil et. Sunucuya raporla.
NAC bireysel kullanıcı cihazlarını veya bireysel kullanıcı cihaz komşuluklarını kısıtlar. Bağlanan kullanıcıya, virüsten koruma yazılımı, yama yapma, güvenlik duvarı ve casus yazılım algılama programları uygular.
NAC kurulum sürecinde;
1. Ağ mimarisi detaylı olarak kontrol edilmeli ve bütün uç ve komşu cihazların envanteri çıkartılmalıdır.
2. Şirketin iş yapış şekilleri detaylı analiz edilmeli şirketin iş yapış şekillerine aykırı ve şirketin temel fonksiyonlarını yerine getirmesine engel olacak bir NAC mimarisi ve politikasından kaçınılmalıdır.
3. NAC politikaları ve Kimin hangi noktaya erişebileceği bilgisi şirketin Genel Müdüründen en alt çalışanına kadar söylenmelidir.
4. NAC kurulduktan sonra NAC’ın tespit ettiği cihaz envanteri ile şirketin kendi envanterindeki cihazlar karşılaştırılmalı, eksik veya fazla olan cihazlar konusunda aksiyon alınmalıdır.
5. NAC politikaları her yeni eklenen cihaz gurubuna veya yeni iş yapış şekillerine göre değiştirilmeli ve çalışanlara bildirilmelidir.
6. Büyük ölçekli firmalarda IT-Network, Software ve Güvenlik birimleri ayrı olacağından NAC politikalarını yazan ve kontrol eden birimin bütün ekipler ile yakın çalışması sağlanmalıdır. Aksi takdirde şirketin ana merkezinden uzak çalışanlar zaman zaman sistem kaynaklarına erişmediği gibi sorunlar yaşanabilir.
NAC Çeşitleri;
Ajan Bazlı NAC: Uç nokta cihazında NAC ajanı kurulumu yapılarak sağlanır. NAC’ın bütün politikaları bu ajan aracılığı ile sağlanır. Yeni politikalar Sunucunda yapılan güncellemeler ile dağıtılır. Ajan bazlı NAC örneği, 802.1X protokolüdür. Bir IP adresine atanmadan önce elemanların ağa bağlanmasını önlemek için IEEE tanımlı bir protokoldür. Tüm uç nokta cihazları, ağ cihazları ve eski donanımlar 802.1X kullanacak şekilde yapılandırılmalıdır.
Ajan bazlı NAC’ın; ajan kurlumu, misafir kullanıcılara ajan kurulumu, IOT cihazlarının kontrolü ve kullanıcı bilgisayarı dışındaki cihazları yönetiminde ajan kurulamaması ve yönetilememesi ayrıca bütün ağların 802.1X protokolüne uyumlu hale getirilmesinin operasyonel zorlukları gibi ciddi problemleri vardır.
Ajansız NAC: Herhangi bir ek kurulum gerektirmez. Bunun yerine, bu tür bir ağ erişim kontrolü, kullanıcının ağa erişmesine izin verilmeden önce her iki uç noktadaki uygunluğu değerlendirir. Bu tip ağ erişim kontrolü ile ilgili sorun, ağ trafiğinin değerlendirilmesi yoluyla yetkilendirmenin sağlanmasıdır. Ajansız NAC temelde Switch portlarını denetler. Bu nedenle Sistemdeki bütün cihazların IP tabanlı olması şarttır. Operasyonel olarak sistemde hiçbir değişiklik gerektirmediği için çok kısa bir sürede kurulup devreye alınabilir.
Donanım bazlı NAC: Ağda kurulu olan ve ağ trafiğiyle bağlantılı olarak çalışan bir cihazla çalışır. Bu tip ağ erişim kontrolü, son kullanıcı tarafından tanımlanmış erişime izin vermek için altyapı ve işletim uygulamalarında değişiklikler gerektirir. Uygulama, önemli sunucu yapılandırma değişiklikleri gerektirdiğinden, başarısızlık olasılığı diğer ağ erişim kontrol sistemlerinden daha yüksektir.
Kuruluşunuz için seçtiğiniz ağ erişim kontrolü türü, ağ mimarinize bağlıdır. Kuruluşunuza uygun bir seçenek seçmeden önce, ağ mimarisinin ve son kullanıcılara uygulanacak politikaların çok dikkatli belirlenmesi gerekir.
Herhangi bir sorunuz olursa iletişim bilgilerim;
Ali Tas
BERN / SWITZERLAND
