Güvenlik / Security Makaleleri - NAC ve En Yaygın NAC Çözümleri

NAC (Network Access Control), kullanıcı odaklı, ağ tabanlı erişim kontrolüdür. Kullanıcı odaklıdan kasıt, kullanıcıların bazı politikalara tabi tutulması ve bu doğrultuda denetlenmesi ve yetkilendirilmesidir. NAC kelime anlamı itibari ile ağa erişimi kontrol altında tutmaya çalışmak olsa da uygulamanın yan etkisi olarak kullanıcıların bilgisayarlarının belli bir standarda getirilmesi de var.

Kendi kullanıcılarınız da NAC politikalarınızdan geçmek durumunda olduklarından ve işlerini sürdürebiliyor olmaları gerektiğinden; bu politikaların sonucuna göre ağa kabul et ya da ağ dışı bırak seçeneklerinin yanına bir seçenek daha k****k gerekiyor. En ufak bir sorunda kullanıcınızı ağ dışı bırakmak istemiyorsanız politikanızın gereği olan işlemi otomatize edip hemen kullanıcınıza yardım etmeniz gerekiyor.

Sistemin kullanıcı odaklı olmasından yola çıkarak, üreticiler genelde son kullanıcıların bilgisayarlarına yükledikleri ajanlarla derinlemesine kontroller yapmaktadırlar. Üreticilerin kullandığı ve standartlaştırdıkları jargon ile “Endpoint Security Assessment” ya da “Host Integrity Check” işlevlerini yerine getiren bu ajanlar, kullanıcının bilgisayarını kontrolden geçirirler.

Detaylı politikaları bir kenara bırakacak olursak, genel kontrol noktaları kullanıcının işletim sistemi, üye bulunduğu ağ ve NAC ajanının varlığı olmaktadır. Bu üç ön kontrolü geçemeyenler hemen kurumsal ağdan izole edilmekte veya tamamen bağlantısız bırakılmaktadırlar. Ön kontrolü geçenler zaten NAC ajanı çalışan bilgisayarlar olduğundan, yine bu NAC ajanı sayesinde geriye kalan detaylı politikayı gözden geçirirler. Politikayı geçen bilgisayar sorunsuzca ağına dahil olurken, geçemeyenler iyileştirme (remediation) sürecine girerler.

Yetkilendirme opsiyonları MAC adresi tabanlı, switch portu tabanlı ya da harici bir yetkilendirme mekanizması (veya bunların kombinasyonları) üzerinden yapılabilmektedir. 802.1x’li çözümler sayesinde switch portunuzun dahil olduğu VLAN’ı dinamik olarak değiştirebilir ya da portu komple kapatabilirsiniz. Paket filtreleme veya firewall’dan geçirme gibi çözümler de sunan üreticiler bulunmaktadır.

Symantec, Juniper, McAfee, Bradford Networks, Cisco, Nortel, Trend Micro, Checkpoint, SonicWall, Identity Engines Inc, ForeScout Technologies, Impulse Point, Napera Networks, NetClarity, Rohati Systems, TippingPoint gibi üreticilerden bazıları hem cihazlı hem de cihazsız çözümler sunarken bazıları da sadece yazılımsal çözümler sunuyorlar.

Şu anda Türkiye’de en çok tercih edilen NAC çözümü Symantec’in çözümü. Aslında çözümleri demek gerek. Çünkü SEP (Symantec Endpoint Protection) altyapısını kullanan ve aynı altyapı üzerinden çalışan bu NAC çözümü, 4 çeşit uygulama (enforcement) olanağı tanıyor. Cihazsız uygulama olarak “Self Enforcement” öneren çözüm, SEP’in güvenlik duvarı ile uygulama ve aygıt kontrol bileşenleri üzerinden çalışıyor. Geriye kalan “Gateway Enforcement”, “Dhcp Enforcement” ve “802.1x LAN Enforcement” seçenekleri ise ekstra bir cihazla beraber kullanılabiliyor. En üst düzeyde de 802.1x’li çözüm öneriliyor. Çünkü ancak bu çözümle birlikte sizin ağ yapınızı bilen biri bile statik IP vererek de olsa ağınıza giriş yapamıyor. Dissolvable ajanı sayesinde VPN ya da kablosuz bağlantılar ile ağlarınıza yapılan erişimleri de kontrol altında tutabilirsiniz. Bu çözümle beraber yazıcılarınızın, IP kameralarınızın vb. gibi cihazlarınızın MAC adresleri switchlere tanımlanabiliyor ve muaf tutulabiliyor.