Unutulan Güvenlik Sorusundan NAC a Bakış, Yerel Ağ Çalışma Notlarından



Benzer belgeler
Sisteminiz Artık Daha Güvenli ve Sorunsuz...

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY

Temel Bilgi Teknolojileri I

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

EKLER EK 12UY0106-5/A4-1:

Muhammet Fatih AKBAŞ, Enis KARAARSLAN, Cengiz GÜNGÖR

Logsign Hotspot. Güvenli, izlenebilir, hızlı ve. bağlantısı için ihtiyacınız olan herşey Logsign Hotspot da!

IBM Güvenlik Sistemleri Yeni Nesil Güvenlik Bilgisi Toplama ve Olay Yönetimi

O P C S T A N D A R D I

Venatron Enterprise Security Services W: P: M:

Güvenlik Mühendisliği

Ağ Temelleri. Murat Ozdemir Ondokuz Mayıs Üniversitesi Bilgi İşlem Daire Başkanı 15 Ocak Ref: HNet.23

FortiGate Endpoint Control. v4.00-build /08

CENG 302 Yazılım Mühendisliği Yazılım Mimarisi - Devam. Alper UĞUR

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

Network Access Kontrol Ağ Erişim Kontrolü (NAC)

Bir 802.1x Kimlik Kanıtlama Uygulaması: EDUROAM

HAKKIMIZDA. Misyonumuz; Vizyonumuz;

İŞLETİM SİSTEMLERİNE GİRİŞ. Modern bilgisayar çalışma prensipleri, Von Neumann ın 1945 de geliştirdiği

SİBER SUÇLARA KARŞI SİBER ZEKA

MULTI - CORE UTM NİN AVANTAJLARI. Gerçek zamanlı ve kapsamlı tehdit koruması için hız engelleri nasıl aşılır.

Ağ Nedir? Birden fazla bilgisayarın iletişimini sağlayan printer vb. kaynakları, daha iyi ve ortaklaşa kullanımı sağlayan yapılara denir.

SOC unuz siber saldırılara hazır mı?

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

Bilgiyi Keşfedin! Özelleştirme, Eklenti ve Veri Entegrasyonu Kurumsal Seviyede Yönetim ve Performans

HP kimlik doğrulamalı baskı çözümleri

Kampüs Ağ Yönetimi. Ar. Gör. Enis Karaarslan Ege Ü. Kampüs Network Yöneticisi. Ege Üniversitesi BİTAM Kampüs Network Yönetim Grubu

Yazılım Tanımlı Ağlar Ders 1 Yazılım Tanımlı Ağların Temelleri. Mehmet Demirci

Basit Mimari, Katmanlı Mimari ve doğrudan çalıştırma olarak üçe ayrılır.


Ağ Yönetiminin Fonksiyonel Mimarisi

İstemci Yönetimi ve Mobil Yazdırma Çözümleri

AĞ TEMELLERİ 4.HAFTA CELAL BAYAR ÜNİVERSİTESİ AKHİSAR MESLEK YÜKSEKOKULU

Microsoft 20687A Configuring Windows 8

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

BioAffix Ones Technology nin tescilli markasıdır.

Bilgi Güvenliği Eğitim/Öğretimi

T.C. İSTANBUL ÜNİVERSİTESİ REKTÖRLÜĞÜ Bilgi İşlem Daire Başkanlığı 2012 YILI STRATEJİK PLANI DEĞERLENDİRME RAPORU

BİLGİ İŞLEM DAİRE BAŞKANLIĞI İŞ TANIMLARI SIRA NO ADI SOYADI GÖREV TANIMLARI

INTERNET PROGRAMCILIĞI. Kişisel Bağlantı. Neler Öğreneceğiz? Bağlantı Türleri. Gereksinimler. Modem

BioAffix Ones Technology nin tescilli markasıdır.

VERİ TABANI UYGULAMALARI

1.Mailbox Server Role:

SAÜ.NET. Kampüs İçi Kablosuz Ağ ve Merkezi Kimlik Doğrulama İşlemleri SAKARYA ÜNİVERSİTESİ 1/ 22. Bilgi İşlem Dairesi Başkanlığı

Selective Framebusting

Tarih Saat Modül Adı Öğretim Üyesi. 01/05/2018 Salı 3 Bilgisayar Bilimlerine Giriş Doç. Dr. Hacer Karacan

SOME niz SOC unuz} siber olaylara hazır mı? VOLKAN ERTÜRK C EO & C O F O U N D E R BARİKAT II : Güvenliğin Temelleri

Bilgisayar Mühendisliğine Giriş. Yrd.Doç.Dr.Hacer KARACAN

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Kaspersky Küçük ve Orta Ölçekli İşletmeler İçin Güvenlik

MAYIS 2010 ÖZGÜR DOĞAN İŞ GELİŞTİRME YÖNETİCİSİ KAMU SEKTÖRÜ

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Mobil Cihazlardan Web Servis Sunumu

FortiMail Gateway Modunda Kurulum. v4.00-build /08

RoamAbout Wireless Access Points

Tüm Lokasyonlarınızdaki BT Yönetimini Dinamik Ve Verimli Hale Getirin: Tivoli BigFix. Salih Abamor Yazılım Satış Yöneticisi

Bilgisayar Ağlarında Özel Konular (COMPE 435) Ders Detayları

OPC Data Access (DA) Temelleri

Elbistan Meslek Yüksek Okulu Güz Yarıyılı EKi Salı, Perşembe Öğr. Gör. Murat KEÇECĠOĞLU

Secure Networks Capabilities Dragon Network Defense


Nagios XI Günümüzün talep gören kurumsal gereksinimleri için en güçlü BT altyapısı gözetim ve uyarı çözümüdür.

Elbistan Meslek Yüksek Okulu Güz Yarıyılı

Google Play Zararlısı İnceleme Raporu

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

... ROBOTİK VE KODLAMA EĞİTİMİ ÇERÇEVESİNDE ÖĞRETİM YILI BİLİŞİM TEKNOLOJİLERİ DERSİ ÜNİTELENDİRİLMİŞ YILLIK DERS PLANI


Model Tabanlı Geliştirmede Çevik Süreç Uygulanması

Veri İletişimi ve Bilgisayar Ağları (COMPE 436) Ders Detayları

Power Site Controller

AĞ GÜVENLİĞİ DERSİ. Donanımsal ağ güvenliğini ve bakımını sağlamak Yazılımsal ağ güvenliğini ve bakımını sağlamak. Ağ Güvenliği (Donanım)

Uygulamaları ulut bilişime geçirmeden önce, firmanızın/şirketinizin ya da. işinizin gereksinimlerini göz önüne almanız gerekir. Aşağıda bulut bilişime

OPNET IT Guru- Güvenlik Duvarı ve Sanal Özel Ağ (Firewalls and Virtual Private Network, VPN)

Elbistan Meslek Yüksek Okulu Güz Yarıyılı

SİSTEM ANALİZİ VE TASARIMI. Sistem Analizi -Bilgi Sistemleri-

VERİ TABANI YÖNETİM SİSTEMLERİ

Buluta Taşının, Yeni Güvenlik ve Verimlilik Anlayışı ile Tanışın

BİLGİSAYAR AĞLARI Bilgisayar İletişimi Nedir? Veri İşleme Modelleri ve Ağ Gelişimi Merkezi İşleme

Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması. Akademik Bilişim Şubat 2006

Saldırı Tespit ve Engelleme Sistemleri Eğitimi Ön Hazırlık Soruları

Kategori:Allplan->Teknik Destek ve Kurulum->SSS_Allplan_2016_Server_Lisans_Kurulumu

DENİZ HARP OKULU BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜM BAŞKANLIĞI DERS TANITIM BİLGİLERİ

VERİ TABANI SİSTEMLERİ

Değerlerinizi Koruyun!

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

1. AMAÇ Bu Prosedürün amacı, Aksaray Üniversitesi bünyesinde yürütülen bilgi işlem hizmetlerinin yürütülmesi ile ilgili esasları belirlemektir.

Bir yazılım geliştirme metodolojisi aşağıdaki adımlardan meydana gelir; Yazılım geliştirme sürecine destek verecek araçlar, modeller ve yöntemler.

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı - ULAK/CSIRT. Sınmaz KETENCĐ ĐTÜ/BĐDB Ağ Uzmanı

Gökhan AKIN. ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi.

Maltepe Üniversitesi Bilgisayar Mühendisliği Bölümü Bilgisayar Ağları - 1 (BİL 403)

Güvenli Doküman Senkronizasyonu

ELEKTRONİK SAĞLIK KAYITLARI GÜVENLİĞİNDE IEEE 802.1x STANDARDININ KULLANILMASI

2. hafta Bulut Bilişime Giriş

İSTANBUL AYDIN ÜNİVERSİTESİ SİSTEM ANALİZİ VE TASARIMI KADİR KESKİN ERİM KURT YAZILIM GEREKSİMLERİ DOKÜMANI ONLİNE SİNEMA BİLET SİSTEMİ B1310.

İş Sürekliliği Ve Güvenliği

Bilgi İşlemde Yeni Bir Çağ IBM Corporation

CLR-232-ES RS232 - Seri Ethernet Çevirici

Vitel. Manage Engine. Opmanager Yönetici Özeti

Siber Güvenlik Basın Buluşması. C.Müjdat Altay 15 Haziran 2015

Transkript:

inet-tr 09 - XIV. Türkiye de İnternet Konferansı Bildirileri 12-13 Aralık 2009 Bilgi Üniversitesi, İstanbul Unutulan Güvenlik Sorusundan NAC a Bakış, Yerel Ağ Çalışma Notlarından Atılım Üniversitesi Bilgi İşlem Koordinatörlüğü, Sistem ve Ağ Yönetim Birimi; İncek Gölbaşı, Ankara serhat@atilim.edu.tr Özet: Bu yazı yönetim ve güvenlikle ilgili ortak bir sorudan yola çıkarak, NAC yapısının esaslarına dair fikir verebilmek amacıyla olağan çalışmaların da dışında farklı bir perspektifken bakarak hem işin felsefesine inilmiş hemde teknik detaylar en aza indirgenerek olması gereken nihai yapı tarihsel süreçteki köşe noktalarına değinilerek anlatılmıştır. Başka bir ifadeyle buradaki çıkarımlarımız bir paylaşımın notları olup NAC denemesi için NAC ı anlayıp nasıl uygulayabilmeyizle başladı ve sonrasında yönetemediğimiz sistemlerin güvenliğini nasıl sağlarız sorusuyla da asıl şeklini aldı Anahtar Kelimeler: NAC ın Tarihsel Gelişimi, Temel NAC Yapısı, NAC Çalışma Notları. Abstract: This article is a formed by common management and security-related question; in order to provide insight about NAC structure, outside the usual works in a different perspective both diving into its philosophy and minimizing the technical details to get the final structure with emphasizing and clarifiying the historical mile stones. In other word this case is a notes of a local study with started to try the understand the NAC to get the the answer of how we could apply and followed by the final question how can we secure that we can t provide to manage the unmanaged systems Keywords: NAC Historical Development, Basic NAC Structure, NAC Study Notes. 1.Giriş 49 Güvenliğin bir süreç yapısı olduğu ve herhangi bir ürün olmadığı uzun zamandan beri kabul gören bakış açısıdır. Burada gözlemdiğimiz eksik kısım ise güvenliğin aslında varlıkların yönetimi ve bu yönetim ile birlikte gelen bir uygulama yapısı (süreç) olduğunun arka planda kalmasıdır. Bu varsayımın kökeninde, Yönetemediğimiz sistemlerin güvenliğini nasıl sağlarız, sorusu yatmaktadır. Geleneksel NAC çözümlerinin yaklaşımı; ağ yapısını veya uygulama yapılarını kendi merkezli güvenlik çözümünü sistemin esas parçalarından biri yaptığı ve buna bağlı olarak farklı ihtiyaçlara gereksim duyulduğundan tam yönetilebilme kısmını aşamamış ağları daha karmaşık hale getirebilmekte veya kullanılmayan ya da başarısız bir çözüm olarak bir kenarda bekletebilmektedir. 2. NAC Yapısının İncelenmesindeki Başlangıç Varsayımlarımız 2.1.1 Kelimelerin Kullanım Şekilleri: Sistem: IP adresi alabilen, üzerinde işletim sistemi bulunduran elektronik aygıtlar. Pro-active: Etkin. N: herhangi bir sınır koymadığımız sayılabilir makul sayıdaki sayısal büyüklük ifadesi. Varlık: Yazı genelinde, kurum bünyesinde sahip olunan bilgiden, sistemlere kadar içine alan bütünsel yapı olarak kullanılmıştır.

Unutulan Güvenlik Sorusundan NAC a Bakış, Yerel Ağ Çalışma Notlarından Policy-enforcement: Politikaların uygulatılması veya dikte ettirilmesi. 0-day : Kelimenin yazıdaki ifadesiyle güncellemesi üretici tarafından yapılmamış uygulamalar üzerinde zararlı kod çalıştırabilme imkanına olanak sağlayan manasında. Client-security: Kişisel sistem güvenliği. Mobility : Lokasyon bağımsız. 2.1.2 Prensipler: Prensip.2.4: NAC da kullanılan inline, outof-band management, remediation, pre-connect, post-connect, network-based, host-based, karantina metotları gibi kavramları birer uygulama metodu olarak sınıflandırdığımız ve ürünlerin uygulama bazında rekabetlerini, başarımlarını ayrı ayrı karşılaştırmadığımız; bunları birer NAC uygulama metodu olduğunu varsaydığımız için bu kavramların temel NAC yapısını çıkarabilmek için konu dahilinde gözükse bile bu çalışmanın dışında tutulmasına karar verdik. Prensip.1: Olabildiğince anlaşılır, basit ve geliştirmeye açık yönetilebilir yapının temellerini çıkarabilmek. Prensip.2: Teknik uygulama detaylarına bağlı yapıların farklılıklardan çok işin mantıksal çözüm yolunu bulabilmek. Prensip.2.1: Network anormallikleri tespitine dayalı pro-active önlemleri içeren tüm NAC çözümleri parçalarını ayrı bir yapı olduğunu varsaydık. Bu yapıları Security Information Management (Güvenlik Yönetim Sistemleri) yapılarında incelenmesini gereken bölümler olduğunu öngördük ve çekirdek NAC yapısına dahil etmedik. Prensip.2.2: Cihazları birer sistem ve sistemleride herhangi bir IP alan elektronik aygıtlar olarak özetledik. Ve uygulama bazında politikaların oluşturulmasında yönetilemeyen cihazların uygulama yapılarına bağlı olarak farklı ele alınması gereken varlıklar olduğunu varsaydık. Prensip.2.3: Üreticinin ürününü uygun yerleştirilmesine dayalı idealize ettiği ağlar değil, gercekçil olarak bir kampüs networkünde N farklı ürün olabileceği; bunun yanında her an ihtiyaç duyulabilecek durumlarda, ağa dahil olunabilecek sistemler ve kontrolümüz dışına çıkabilen IP almayan ya da sanal makine kaynaklı bridge veya NAT yapabilme kabiliyetine sahip cihazlarında olabileceğini varsaydık. 50 2.1.3 NAC ın adının konulması: NAC ın adını veren üreticinin yaklaşımını NAC diye adlandırmak yerine, genel olarak firmaların ya da güvenlikle uğraşan kişilerin, bu güvenlik konusuna bakışlarında koydukları ortak ürün/çalışma adı olarak NAC adını seçiyoruz. 2.2 NAC nedir: En basitleştirilmiş ifadeyle yerel ağımızda belirlediğimiz politikalara göre dikte ettirilen sistem tabanlı güvenlik otomasyonu. 2.3. NAC yapısının genel ihtiyaç nedenleri, tehdit vektörleri: NAC yapısına ihtiyaç duyulma sebeplerinin başında yerel ağlardaki kullanıcıların varlıklara bilinçli ya da bilinçsizce oluşturacağı tehditlerin dışarıdan gelebilecek tehditler kadar önemli olması ve kurumların uygulamakta zorunlu olduğu düzenleme veya sahip olmak istedikleri standartlara ait güvenlik politikaların ihtiyaç gereksinimlerindendir. 2.3.1 Tehdit vektörünün gelişmesi 1 Kullanıcı profilleri : Ağ güvenlik yapıları ilk olarak kendi güvenlik alanlarını siyah ve beyaz gibi net bölgelere ayırarak güvenlik yönetimlerine başladı. Bu ayırım dış tarafı (siyah bölge) tehditlerin geliş yönü olarak sayılmasıyla birlikte korunması gereken varlıkların olduğu iç taraf ise (beyaz bölge) kullanıcılar ve sistemler olarak ayrıldı. Ağ yapısına dahil olmuş sistemlerin ilk koruma başlangıç modeli olarak kale yapısını anımsatan bir mantıkta oluşturulan sistemler;

inet-tr 09 - XIV. Türkiye de İnternet Konferansı Bildirileri 12-13 Aralık 2009 Bilgi Üniversitesi, İstanbul yerel ağ kullanıcıların da birer güvenlik tehdidi olabileceklerinin gündeme gelmesiyle; siyah, beyaz gibi net ayrımlar yerine korunması gereken varlıkların çıkartılıp riskleri sayısal veya sezgisel hesap edilerek belli politikalarla göre erişim denetimine sahip olmasına sebep oldu. Güvenlik sistemlerinin gelişimin temel vektörü tehdidin gelebilecek ilk noktasına kadar indirgemeyi hedeflemesi, yerel ağdaki güvenlik gereksimlerinin iç kullanıcılar tarafına doğru yönelmesinide beraberinde getirdi. Daha teknik bir ifadeyle de tehdit oluşturan, kullanıcının ya da sistemin ilk bağlandığı aktif ağ cihazda durdurabilmesidir. (802.1x in hedeflediği yapı). 2.3.2 Tehdit vektörünün gelişmesi 2 İstemci sunucu yapısı : Sunucu/istemci mimarisi tabanlı sistemlerin artması denetimi daha zor olan yerel ağdaki sunuculara ya da verilerin bulunduğu alanlara gelebilecek tehditler diğer kullanıcıların çalışmaları etkileyebilerek iş kaybına sebep olabilmektedir. PC kullanım oranı ve otomasyon süreçlerinden kaynaklı PC kullanımının katlanarak artması, bu uygulamaların altyapısını oluşturan iş yapılarının sunucu istemci tabanlı sistemler şeklinde geliştirdiğinide ekleyebiliriz. 2.3.4 Tehdit vektörünün gelişmesi 4 PC gelişimi ve mobility : PC yapılarının hem yazılım hemde donanım olarak gelişmesi beraberinde birçok farkı uygulamanın çalıştırılabileceği ortak platformlar olmalarını sağladı. Düşen donanım fiyatlarıyla ve internetin alt yapısını oluşturduğu mobil iletişimin katlanarak büyümesiyle lokasyondan bağımsız iletişim, çalışma ve iş yapabilme imkanları doğmuştur. Bu olanakların dezavantajı olarak son kullanıcı farklı birçok ağı kullanabilmekte ve bu ağlardan gelebilecek tehditlere açık bulunmaktadır. 2.3.5 Tehdit vektörünün gelişmesi 5 Uygulama güvenliği : Güncellenmemiş veya 0-day kabul edilen açıklara karşı sistemlerde zararlı kod çalıştırabilmesiyle sistemler üçüncü kişilerin denetimlerine girerek kimi zaman bir spam ağının üyesi kimi zamanda istenilen bilgilerin çalındığı bir kaynak olabilmektedir. 2.4. Tarihsel süreçteki çıkarımlarımız: Yerel ağlardaki güvenlik sorunlarının başlangıcından bugüne olan çıkardığımız belli noktaların NAC la ilgili kısımları birer başlık halinde not ettik. 2.4.1 Tarihsel süreçteki çıkarımlarımız 1 Policy-enforcement ın olmazsa olmaz oluşunun sebebi ve NAC yapısındaki karışıklığın başlangıcı : Bilinen ifadelerin dışında ve daha etkin bir saptama olarak NAC yapısının sebebini güvenlik duvarlarından yola çıkarak bulabiliriz. 2.3.3 Tehdit vektörünün gelişmesi 3 Internet : Internet aynı zamanda bir paradigma değişimidir. Bu değişimin getirdiği, iletişimin daha hızlı, etkin kullanılması ile aynı zamanda hem zarar vermek isteyen kişilerin profillerinin (casusluk, merak, zarar vermek, vb.) artmasına hemde etkilenen sistem sayısının hızlıca katlanarak çoğalmasına sebep oldu. 51 Güvenlik duvarlarının iki farklı şekilde tanımı yapılabilinir. Birincisi teknik olan tanım; güvenlik duvarının aslında birer yönlendirici olduğu, farkı ise sadece seçilen ağlara izin vermesi. Bizim ilgilendiğimiz teknik olmayan tanım ise erişim denetimi sağlayan mekanizma olması ve bunu da belirtilen politikalara göre belirlenen ağlar arasında erişimlerin denetiminlerini sağlanması şeklindedir. Buradan çıkarımlarımız ağ yapısındaki güvenlik taraflı politikaların ilk olarak uygulama mekanizmasının güvenlik duvarının ortaya çıkmasına kadar gittiğidir. Güvenlik duvarlarına ait politikaların paket akışındaki yapısına bağlı olarak net ve anlaşılır olması bu sistemlerin birer duvar gibi düşünülüp hem fiziksel hem mantıksal olarak kolay

Unutulan Güvenlik Sorusundan NAC a Bakış, Yerel Ağ Çalışma Notlarından konumlandırılmasını sağlamıştır. Buna karşın yerel ağa bağlanırken veya içerde herhangi bir kaynağa erişirken, kullanıcılara veya sistemlere uygulanması gereken özgü politikaların olabileceği ve bunların uygulanabilmenin de bu kadar kolay olmadığı fark edilmiştir. Çünkü bu genel yapı güvenlik duvarı olarak adlandırdığımız yapı kadar ne fiziksel nede mantıksal olarak rahat konumlandırılabilinmiştir. Bunun sebebi olarak güvenlik duvarların ölçüt olarak adres, port bazında ayrıştırmasına karşın, yerel ağların uygulama hizmetleri, ağ hizmetleri, sistemler, kullanıcılar olarak birbirleriyle ilgili ama bağımsız kabul edeceğimiz politikaların her birisi için farklı denetim mekanizmalarına ihtiyaç duyulmasından kaynaklanmıştır. 2.4.2 Tarihsel süreçteki çıkarımlarımız 2 Temel NAC elementleri : Yerel ağa yönelik sistemlere uygulanan politikaların dikte ettirme yapısı ürün bazında ortaya çıkısı yaklaşık sekiz yıldan beri güvenlik marketinde olmasına karşın, son dört yıl içinde kendisini NAC adı altındaki ürünlerle boy göstermiştir. İçerdeki kullanıcılara serbestlik sağlanmasından kaynaklı güvenliğin dinamik yapıda olması ihtiyacıyla birlikte, net olarak sivrilen üç tane birbirinden bağımsız öğenin denetim ve politikalar çerçevesinde ortak çalışma esasına dayalı bütünleşik yönetimine ihtiyaç duyuldu. Özetle bunlar kullanıcı, sistem, ağ üçlüsüdür. Güvenliğin bir süreç ve öncesinde yönetim yapısı gerektirmesinden ötürü, bu konuyla ilgilenen kurum, üretici, ağ ve sistem yöneticilerinin birbirinden farklı üç yapı için ayrı yönetim kullanarak kimi zaman protokol seviyesinde kimi uygulamalar seviyesinde bir tür güvenlik temelli denetim mekanizması getirebilmiş; başarılı olan yapılarda belli standart forumların, ortak çalışma gruplarının önerileri veya aynı görüşlerle ortak bir yapı haline getirilebilmiştir. İşte bu birbirinden bağımsız davranabilme yetisine sahip yapıları, birer nesne olarak değerlendirip bunların bileşkeleriyle de ortak ve etkin 52 yönetim kavramlarını çıkartabilmekteyiz. Örn: Kimlik denetimlerinin kullanıcı bilgisayarlarına kadar indirgenerek, antivirus programının silinememesi veya dizin haklarıyla yazma haklarının PC yönetimiyle birlikte kullanılmasına olanak sağlanması gibi. Özetle: Büyük bir ağ içersinde belli politikalara göre ortak yönetilebilen kullanıcı, sistem, ağ üçlüsünü temel NAC elementleri olarak çıkartıyoruz. 2.4.3 Tarihsel süreçteki çıkarımlarımız 3 Marketin ilkleri ve Project Athena : NAC kavramını ilk ticari olarak Sygate firmasının çıkardığı ürünlerin güvenlik market pazarına girmesiyle ticari bilinirliği ortaya çıktı. Sygate in öne çıkaran bu fark dağıtık yapıda policy-enforcement yapısını öne çıkarmasından kaynaklı olmasıdır. Ama öncesinde bir saptama olarak bu yapıyı ilk olarak gözlemlediğimiz nokta MIT nin Project Athena olması. Bu projenin günümüze etkileri aslında farklı olarak ayrı çalışmalar konusudur (örn: Unified Communication) özetle üzerinden geçebileceğimiz konu projenin teknik ilkleriyle ve teknik başarısıyla ilgilidir. Çünkü NAC yerine yerel güvenlik otomasyonu yerel güvenlik otomasyonun yapı taşları, kullanıcı, ağ kavramlarını doğru şekilde yerleştirdiğinizde bize bu kavrama en yakın çalışmanın Athena Projesi olduğunu anlıyoruz. Çünkü ihtiyaçlara göre teknik ilklere imza atan bu projenin yapısı şuandaki NAC ihtiyaçlarına uyuşmaktadır. Bu projede otomatik kimlik denetimlerine izin veren, hem sistem güvenliği sağlanabilmiş hemde kullanıcıların lokasyondan bağımsız dosya hizmetlerini takip edebildikleri, belli politikalar çerçevesinde yönetilen ve izin verilen kaynaklara erişip, kullanılabilen bir yapıdır. Hepsinden önemlisi ise bütünsel bir yapı olarak karşımıza çıkmış olmasıdır. Bu teknik başarımlarından bir kaçı Kerberos ağ kimlik denetimi, lokasyondan bağımsız kullanı-

cı hesapları, otomatik sistem güncellemeleridir. Mikro bir karşılaştırma ise Kerberos un anlamını RADIUS ile karşılaştırdığımızda bu çözümün neden ilk NAC yapılarından biri olduğunu görebiliriz. Kerberos : network kimlik denetimi, singlesign-on un atası kabul edebilecek bu kimlik denetimi yerel kullanıcılarını hedef alan, zaman biletleri prensibiyle birden fazla kez denetim yapmadan tekil olarak kimlik doğrulatmasının yaparak kullanıldığı mekanizmalardır. RADIUS: çevirmeli kullanıcı servisi, uzaktan kimlik doğrulaması. Kimlik doğrulatma ve yetkilendirmede bir endüstri standartı olarak kabul edilen bu yapı ilk olarak Dial-up kullanıcıları hedeflereyerek ortaya çıktı. Bu projenin ilk NAC yapısının atası olduğu çıkarımı kendi itibariyle sıra gelen NAC anlatımların çok uzağında bir çıkarımdır. Ama tarihsel süreç içersindeki gelişim ve NAC yapısının nedenine ait bir iz takip edildiğinde ihtiyaç ve sonuçlara göre yapılan projeler ürünler incelendiğinde en doğru policy-enforcement uygulamasını birer çerçeve olarak aldığımızda kullanıcı,ağ, sistem güvenlik otomasyonuna en yakın çalışmanın günümüzdeki örneklerle karşılaştırıldığımızda bu proje olduğunu belirledik. 3.0 NAC ın Karışık Bir Yapı Olmasının Sebepleri ve Günümüzdeki Durum: Kritik sistemler direk olarak birçok ticari üreticinin hedef aldığı market segmentini oluşturur. Çünkü servisi sekteye vurabilecek bir yapı aynı zamanda mutlaka önlem alınması, harcama yapılması gereken bir ihtiyaç kalemi olarak kendini gösterir. Buda oluşacak bir market ve ürün sağlayıcılar için daha rahat büyüyecekleri ya da kendilerini idame ettirebilecekleri bir pazar ortamı demektir. 3.1 Market yapısı Daha önceden net olarak alanları bu kadar net kesişmemiş güvenlik marketine domine eden 53 inet-tr 09 - XIV. Türkiye de İnternet Konferansı Bildirileri 12-13 Aralık 2009 Bilgi Üniversitesi, İstanbul ürün sağlayıcıların aynı pazardan pay almak istemesi ve özgür yazılım felsefesi yerine kapalı kaynak koduyla birlikte, önceden gelen ürün merkezli güvenlik anlayışı sebebiyle bu yapı normalden daha karışık bir hal almıştır. Özgür yazılım felsefenin buradaki etkisi ortak platformlar oluşturarak eş çalışmayı hızlandıran bir olgu olmasından kaynaklıdır. Güvenlik marketini besleyen üç tip farklı ürün sağlayıcısı bu markete birer NAC oyuncusu olarak yer aldı. Birincisi geleneksel antivirus üreticilerinin oluşturduğu, client-security güvenlik pazarı ikincisi ise network tarafında aktif olarak çalışan firmaların network tabanlı güvenlik pazarı. Son olarak bunların arasında kalan ya da belli bir konu üzerinde ürün geliştirmiş firmaları yine doğal bir market oyuncusu olarak düşünebiliriz. Serbest pazarın bir getirisi olarak, marketi domine eden firmaların kendi anlayışlarını uygulama ve defacto standartlarını koyarak bir adım öne geçmek isteği, bu pazarın biraz daha karışmasına sebep oldu. Çünkü her oyuncu kendi ürünü temelli bir güvenlik otomasyonu yapısına öncelik sağlamak istemiştir. Market yapısının en sondaki durumu bu marketin içinde belli başlı üç tane temel oyuncuyu meydana getirdi birincisi NAC ın adını veren Cisco, ikincisi Microsoft, üçüncüsü ise üreticilerin birlikte eş çalışabilirliğini sağlamayı hedeflemiş TNC dir (Trusted Network Connect). 3.2 Üreticiye bağlı NAC yapısı problemleri: Üreticiye bağlı NAC çalışması teknik olarak güvenlik kavramlarına ters düsen bir çalışma haline gelmektedir, çünkü güvenliğin sağlanması hususunda sorunsuz çalışma şuandaki mevcut NAC yapılarında aynı marka üreticiyle giden ürünlerde ya da çok bilinen üreticilerin ürünlerinin eş çalışması yapısıyla verim elde edilir haldedir. Bir üreticiye ya da ürüne bağlı kalmak hem güvenlik, hemde rekabettin zayıflamasından kaynaklı yüksek bütçeli ürünlerin alınmasını getirir. Özellikle güvenlik için düşünürsek

Unutulan Güvenlik Sorusundan NAC a Bakış, Yerel Ağ Çalışma Notlarından aynı marka sistemlerin güvenlik hatasının ya da üreticinin tespit edemediği ürüne ait güncel tutulması gereken atak vb. tanıtıcı bilgilerin tüm ürün gruplarında eş olması güvenliğin IPS den antivirüse kadar giden paket izinde katmanlı yapısını bile anlamsız kılabilmektedir. Bu sistemlerin eş, uyumlu çalıştırmaya dayalı birlikteliği ise direk olarak üreticinin bilgi/ becerisi ve bunun yanında NAC hizmetinin temelini oluşturan cihazların bu yapılara izin verebilmesiyle mümkün gözükmektedir. Kaynakça: [1] Gartner, Inc. Magic Quadrant for Network Access Control, by Lawrence Orans, John Pescatore and Mark Nicolett. March 27, 2009. [2] Marc Horowitz, http://web.mit.edu/cluedumps/slides/how-athena-works.pdf, 2006 [3] Richard Deal, Cisco Router Firewall Security, Cisco Press 2004 4. Sonuç: Çıplak gözle fark edebilecek bütünsel sorunun alt sorunlarını ve politik nedenlerine kadar inceleyip buradan NAC kavramını rafine ederek; element bazında inceleme ve yönetmenin önemini gösterebildik. Doğru yaklaşımın ancak net olarak tanımlanmış ihtiyaca göre çıkartılan bir çözüm olabileceği ve bundan yola çıkarak NAC ı birden fazla süzgeçten geçirerek teknik detayların birer amaç değil uygulama farklılığı olarak öngörüp genel bir çerçeve çizebildik. Bu çerçeve bize yapılacak işlerin sınırlarını gösterip gerektiği yerde bağımsız çalışan alt sistemlerin gün sonunda birleştirerek en az problemle uygulamaya geçilmesini olanak sağlamasının yol haritasını verdi. 54

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim