2 Mart 2012 Cuma

802.1x Protokolü


802.1x güvenli bir şekilde ağa bağlanmayı; ağ cihazları yardımıyla standartlaştıran protokoldür. 802.1x kablolu ağlar için geliştirilmesine karşın kablosuz ağlarda da kullanılmaktadır. IEEE 802.1x ‘in hedefi, yerel ağda (LAN) standart bir güvenli kimlik denetimi (authentication) sağlamaktır. IEEE 802.1x en az sayıda yönetici ek yüküyle çok daha geniş alanlara güvenli bir şekilde ulaşmamızı sağlar. Sunucular ve istemciler ancak kimlikleri doğrulandıktan sonra ağa oturum açabilirler. Oturumun başarılı bir şekilde açılabilmesi için kimlik sorgulamanın doğrulanması gerekir. Microsoft bazlı ağlarda sorgulama ekranı bilgisayar açılınca otomatik olarak açılır.
Eğer istemci bilgileri sunucu tarafından doğrulanırsa istediği ağ hizmetlerinden faydalanabilir (ağ yöneticisinin izni doğrultusunda) . Genelde bu tür kimlik doğrulama işlemleri e-posta, intranet ve diğer özel uygulamalarda kullanılır.
Bu istemci-sunucu arasındaki kimlik doğrulama işlemi ağ kaynaklarını korumak için kendini kanıtlamış bir metot olsa da; yetkilendirilmemiş girişleri engelleyen, tam bir ağ güvenlik mekanizması oluşturamamıştır. Bunun üzerine sağlayıcılar ağ tabanlı idari çözümler üretti(VLAN,ACL ve MAC locks gibi). VLAN, ACL, MAC locks gibi yöntemler etkili olmalarına karşın yönetici ihtiyaçlarına bağlı olarak kullanılırlar. Bu yöntemlerin her birinin tek avantajı olmasına rağmen sağlayıcılar sadece birini kullanırlar. 802.1x in var olan metotlarla kullanımı ağı çok daha güvenli bir hale getirmiştir.

802.1x mimarisinde üç temel öğe bulunur:
1.     İstemci (Supplicant, Station) : Kimlik sorgulaması yapılcak kişi
2.     Kimlik denetleyici (Authenticator) : istemciyle kimlik denetleme sunucusunun arasında bulunur. Ethernet anahtarlayıcı (Ethernet switch), Erişim noktası (Access Point)
3.     Kimlik denetleme sunucusu (authentication server): kimlik denetleme işlemini gerçekleştiren asıl sunucu.(Örnek: RADIUS Sunucusu)


802.1x ağla olan iletişimini; ortak anahtar kimlik doğrulaması(public key authentication), sertifika, bir seferlik şifre (one time password) gibi çoklu kimlik doğrulama metotlarını destekleyen EAP protokolü ile sağlar. EAP; 3.katmanın kullanılamadığı durumlarda 2.katmanı kullanarak kimlik doğrulaması yapmak için dizayn edilmiştir. Kimlik sorgulamasının güvenli olarak yapılmasını sağlayacak kadar paket taşır. Ayrıca diğer protokollerden farklı olarak kimlik doğrulama, kimlik denetleyici tarafından başlatılır. Kimlik denetleyicinin akıllı bir cihaz olmasına, denetlemeyi sağlayan algoritmayı anlamasına gerek yoktur. İşlemleri istemci ve sunucu yapar. Kimlik denetleyici; sunucu için hangi porta gidileceğini gösteren bir geçiş noktası (pass-through) özelliği taşır. Bu özelliğinden dolayı 802.1x, tipik olarak küçük ve hafızası az ve işlemci gücü düşük olan kablosuz erişim noktası (wireless access point) için idealdir. EAP’ ın farklı alanlarda kullanımı, güvenlik sorunu gibi nedenlerden dolayı EAP için birçok algoritma geliştirilmiştir. Bu algoritmalara göre EAP 6 alt bölüme ayrılır:
1. EAP MD5(Message Digest): EAP’ın en temel halidir. Kablosuz ağlarda şifrenin açık gitmesinden dolayı önerilmez. Daha çok kablolu ağlarda kullanılır. Tek yönlü kimlik doğrulaması yapılır (one way authentication).
2. EAP-TLS(Transport Layer Security): İstemci ile ağ arasında sertifika temelli (certificate-based) , karşılıklı (mutual) kimlik doğrulama sağlar. Tam güvenliği sağlamak için hem istemci hem de sunucu sertifikası kullanılabilir. Bu sertifikalar dinamik olabilir. Dezavantajı sertifikaların yönetim gerektirmesidir. Çok geniş kablosuz ağlarda büyük sorunlar yaratabilir.
3. EAP-TTLS (Tunneled Transport Layer Security): Funk Software and Certicom tarafından EAP-TLS’in genişletilmişi olarak tasarlanmıştır. TLS’ten farklı olarak sadece sunucu bazlı sertifika kullanır ve doğrulama işlemini şifrelenmiş, güvenli bir tünelin (encrypted tunnel) içinden geçirerek yapar.
4. EAP-FAST (Flexible Authentication via Secure Tunneling): Cisco tarafından tasarlanan EAP-FAST; karşılıklı doğrulamayı serifika kullanmak yerine, sunucu tarafından dinamik olarak yönetilen PAC (Protected Access Credential) ile sağlar.
5. LEAP (Lightweight Extensible Authentication Protocol): Özellikle Cisco Aironet WLANs da kullanılan bir metottur. Data transferini her şifrelemede değişen WEP (wired equivalent privacy) anahtarı ile şifreler ve karşılıklı kimlik doğrulamayı sağlar. Bu mettotun lisansı halen Cisco’dadır.
6. PEAP (Protected Extensible Authentication Protocol): Microsoft, Cisco ve RSA Security nin geliştirdiği bir metottur. Kablosuz ağlarda güvenli bir şekilde kimlik doğrulama bilgilerini taşımak için eski şifrelemeye dayalı protokolleri (legacy password-based protocols) kullanan metottur. PEAP bu güvenli transferi istemci ile sunucu arasına kurduğu tünel ile sağlar. Aynı TTLS de olduğu gibi PEAP da kablosuz ağ istemcisinin sadece sunucu bazlı sertifika kullanarak kimliğini doğrular. Bu da yönetimsel olarak büyük bir kolaylık sağlar.
802.1x EAP Types
Feature / Benefit
MD5
---
(Message Digest 5)
TLS
---
(Transport Level Security)
TTLS
---
(Tunneled Transport Level Security)
PEAP
---
(Protected Transport Level Security)
FAST
---
(Flexible Authentication via Secure Tunneling)
LEAP
---
(Lightweight Extensible Authentication Protocol)
İstemci bazlı
sertifika
Yok
Var
Yok
Yok
Yok
(PAC)
Yok
Sunucu bazlı
Sertifika
Yok
Var
Yok
Var
Var
(PAC)
Yok
WEP anahtar
Yönetimi
Yok
Var
Var
Var
Var
Var
Sağlayıcı
MS
MS
Funk
MS
Cisco
Cisco
Kimlik doğrulama şekli
Tek yönlü
Karşılıklı
Karşılıklı
Karşılıklı
Karşılıklı
Karşılıklı
Kullanım zorluğu
Kolay
Zor (istemci bazlı sertifika kullanılmasından dolayı)
Orta kolaylıkta
Orta kolaylıkta
Orta
kolaylıkta
Orta
kolaylıkta
Kablosuz ağ güvenliği
Zayıf
Çok güvenli
Güvenli
Güvenli
Güvenli
Güvenli (Komplex şifreler kullanıldığında

Hiç yorum yok:

Yorum Gönder