Almayı planladığınız veya aldığınız switch 802.1x protokolünü destekliyor mu?

Yönetilemeyenler dışında neredeyse tüm switch' leri için üreticiler 802.1x protokolünü desteklediklerini iddia etmekte. Bu durumda bizim soruyu biraz değiştirip sormamızda yarar var.

Almayı planladığınız veya aldığınız switch 802.1x protokolünün ne kadarını destekliyor?

Soru böyle olunca cevaplarda değişiyor.

Sadece 802.1x' i destekliyorum demek yetmez.

Switch aşağıdaki senaryolardan başarı ile geçmiyorsa 802.1x desteğinin de bir anlamı kalmıyor. Network güvenliği sizin için gerçekten önemli ise bu senaryoların tamamında başarılı olan bir switch tercih etmelisiniz.

Özellikle IP Telefon ve  Access Point' lerin olduğu bir networkte buna daha fazla dikkat etmeniz gerekir.

Şimdi aşağıdaki senaryoları gözden geçirin ve gerçekten 802.1x desteği olan bir switch almak için ilk adımı atın.

Senaryo 1: Önceden tanımlanmış(statik) bir VLAN’ a, 802.1x kimlik doğrulaması denetiminden geçen kullanıcının atanması.
Not: Bu çok basit. Üreticilerin çoğu sadece bunu desteklemekte:)


Senaryo 2: Switch portu arkasına bağlanmış olan bir hub üzerinden gelen kullanıcıların (veya IP Telefon arkasından gelen kullanıcıların) tek tek 802.1x kimlik doğrulaması denetiminden geçmesi ve kullanıcının dinamik olarak ilgili VLAN’ a atanması.
Kullanıcıların bir kısmının aynı VLAN’ a bir kısmının farklı VLAN’ a veya hepsinin farklı VLAN’ lara atanması.

Bazı üreticiler yukarıdaki senaryonun sadece tek tek denetleme kısmını başarabilmekte.

Oysa senaryo bununla bitmiyor. Denetimden geçen herkesin dinamik olarak ilgili VLAN' a atanması da gerekmekte. Aksi halde örneğin Access Point' e bağlanan her kullanıcıyı aynı VLAN' e atamak zorunda kalırsınız. Bu durum, ne yazık ki, kablosuz IP Telefonları kullanıcılarla veya misafirleri şirket çalışanları ile aynı VLAN' e atamak zorunda kalacağınız anlamına gelir. Benzer örnekler çoğaltılabilir.

Önemli Not: Switch' in herhangi bir portuna sizin bilginiz dahilinde veya haberiniz olmadan bir hub bağlandığını düşünün.

Bu hub' a bağlı kullanıcıların tamamının kullanıcı adı ve şifre denetiminden geçmesi gerekir.

Fakat çoğu switch üreticisi sadece switch portuna gelen ilk kullanıcıyı bu denetimden geçirmekte ve aynı porttan gelen diğer kullanıcılar hiçbir denetime uğramadan networke dahil olmaktalar.

Bu çok ciddi bir güvenlik açığı. Kötü niyetli bir kişinin networke dahil olmak için tek yapması gereken basit bir hub bulup buna hem kendini hem de gerçekten kullanıcı adı ve şifreye sahip, yani networke giriş hakkı olan herhangi bir kullanıcıyı bağlaması.

Gerçek hayattan bir benzetme yaparsak.

Her switch portu aslında birer kapı. Kapıdaki güvenlik görevlisi gelen kişinin kimliğine bakıyor ve geçmesine izin veriyor. Öyle bir durum düşünün ki, kapıdan geçen ilk kişinin kimliğine bakılıyor ve kapı açık bırakılıyor. O kişiden sonra gelen herkes hiçbir sorgu olmadan içeri girebiliyor.

Yukarıdaki durum kapıdan geçmek isteyen her kişinin kimliğine bakılmasına benziyor. Yani switch' in her geleni denetleyebilmesi gerekir.

Bu arada unutmayın ki Access Point' ler aslında birer hub' dır. Yani kablosuz ağ kullanıyorsanız ve yanlış bir switch seçimi yaparsanız hacker' ın işi çok daha kolay.


Senaryo 3: Switch' in rastgele herhangi bir portuna bağlanan kullanıcının, 802.1x kimlik doğrulaması denetiminden geçmesi ve kullanıcının dinamik olarak ilgili VLAN’ a atanması.
 
Bu çok önemli, bu sayede kullanıcıların tüm networkte mekan bağımsız olarak 802.1x ile denetlenmesi ve ilgili VLAN’ a atanması sağlanır.


Senaryo 4: 802.1x kimlik doğrulaması denetiminden geçen kullanıcılara, nerelere gidip gidemeyeceği ile ilgili dinamik Access Control List (ACL) uygulanması.
 
Bu çok önemli, bu sayede kullanıcıların tüm networkte mekan bağımsız olarak 802.1x ile denetlenmesi ve ilgili VLAN’ a atanması, aynı zamanda sadece izin verilen kaynaklara erişimi sağlanır.


Buraya kadar olan senaryoların tamamında kullanıcının 802.1x kimlik doğrulaması denetiminden geçmesi durumları ele alındı. Ya diğer durumlarda ne olacak?


Senaryo 5: 802.1x kimlik doğrulaması denetiminden geçemeyen kullanıcıların, Guest veya Restricted VLAN’ a atanması.

Şifresini yanlış yazan kullanıcılar veya misafirler için bu senaryo önemli.

Önemli Not: VLAN mevcut olmasa bile dinamik olarak bir VLAN yaratılması gerekir.


Senaryo 6: 802.1x desteği olmayan cihazların durumu.

Printer, IP Kamera vb. Bu cihazların bağlı olduğu portların VLAN tanımlarının önceden yapılması ve sadece MAC adresi doğrulamasının yapılması.

Bunun için switch’ in MAC Authentication’ ı desteklemesi gerekir.

Önemli Not: MAC tablosunun switch’ de tutulmaması gerekir. Bazı switch üreticileri bunu yapmakta. Bu durumda network üzerindeki tüm switchlere tek tek MAC listeleri girmek gerekir.

Örneğin 50 adet switch olan bir networkte her switch’ e ayrı ayrı bu listeleri girmek gerekir. Tabii switch' ler tüm bu MAC listelerini girmenize izin verirse.

Önemli Not: MAC adresi doğrulaması yaparken bazı üreticiler Radius Server' a Username: MAC adresi , Password:MAC adresi olarak girilmesini istemekte ve switch ancak buna göre MAC doğrulamasını yapabilmekte.

Oysa bu son derece sakıncalı. Printer’ ı çıkartan bir hacker buraya kendisini bağlayabilir ve username/password (cihazın MAC adresini cihaz üzerindeki etiketten okuyabilir) bilgisi de elinde olur.

Bu nedenle switch üzerinde username olarak MAC adresini kullan, şifre olarak benim vereceğim şifreyi kullan şeklinde ayar yapılabilmesi gerekir.


Senaryo 7: Switch' in rastgele herhangi bir portuna bağlanan IP Telefonların MAC authentication denetiminden geçmesi ve telefonların dinamik olarak Voice VLAN’ a atanması, IP Telefon arkasına bağlı kullanıcının 802.1x kimlik doğrulaması denetiminden geçmesi ve dinamik olarak ilgili VLAN’ a atanması.

Bu sayede telefonların ve kullanıcıların tüm networkte mekan bağımsız olarak 802.1x ile denetlenmesi ve ilgili VLAN’ lara atanması sağlanır.

Bizim yapmış olduğumuz testlerde yukarıdaki tüm senaryolarda başarılı olan az sayıda üretici olduğunu söyleyebiliriz.

Almayı planladığınız switch' in yukarıdaki senaryolardan kaçında başarılı olacağını birlikte inceleyebilir ve sizin için en doğru seçimin hangisi olacağına birlikte karar verebiliriz. Biltam test ortamlarında bu testler için gerekli tüm altyapı hazır.
Ayrıca 802.1x kurumsal eğitimleri için Biltam Akademi ile temasa geçebilirsiniz.