802.1x güvenli bir
şekilde ağa bağlanmayı; ağ cihazları yardımıyla standartlaştıran protokoldür.
802.1x kablolu ağlar için geliştirilmesine karşın kablosuz ağlarda da
kullanılmaktadır. IEEE 802.1x ‘in hedefi, yerel ağda (LAN) standart bir güvenli
kimlik denetimi (authentication) sağlamaktır. IEEE 802.1x en az sayıda yönetici
ek yüküyle çok daha geniş alanlara güvenli bir şekilde ulaşmamızı sağlar.
Sunucular ve istemciler ancak kimlikleri doğrulandıktan sonra ağa oturum
açabilirler. Oturumun başarılı bir şekilde açılabilmesi için kimlik
sorgulamanın doğrulanması gerekir. Microsoft bazlı ağlarda sorgulama ekranı
bilgisayar açılınca otomatik olarak açılır.
Eğer istemci bilgileri sunucu tarafından doğrulanırsa istediği ağ
hizmetlerinden faydalanabilir (ağ yöneticisinin izni doğrultusunda) . Genelde
bu tür kimlik doğrulama işlemleri e-posta, intranet ve diğer özel uygulamalarda
kullanılır.
Bu istemci-sunucu arasındaki kimlik doğrulama işlemi ağ kaynaklarını korumak için kendini kanıtlamış bir metot olsa da; yetkilendirilmemiş girişleri engelleyen, tam bir ağ güvenlik mekanizması oluşturamamıştır. Bunun üzerine sağlayıcılar ağ tabanlı idari çözümler üretti(VLAN,ACL ve MAC locks gibi). VLAN, ACL, MAC locks gibi yöntemler etkili olmalarına karşın yönetici ihtiyaçlarına bağlı olarak kullanılırlar. Bu yöntemlerin her birinin tek avantajı olmasına rağmen sağlayıcılar sadece birini kullanırlar. 802.1x in var olan metotlarla kullanımı ağı çok daha güvenli bir hale getirmiştir.
802.1x mimarisinde üç temel öğe bulunur:
Bu istemci-sunucu arasındaki kimlik doğrulama işlemi ağ kaynaklarını korumak için kendini kanıtlamış bir metot olsa da; yetkilendirilmemiş girişleri engelleyen, tam bir ağ güvenlik mekanizması oluşturamamıştır. Bunun üzerine sağlayıcılar ağ tabanlı idari çözümler üretti(VLAN,ACL ve MAC locks gibi). VLAN, ACL, MAC locks gibi yöntemler etkili olmalarına karşın yönetici ihtiyaçlarına bağlı olarak kullanılırlar. Bu yöntemlerin her birinin tek avantajı olmasına rağmen sağlayıcılar sadece birini kullanırlar. 802.1x in var olan metotlarla kullanımı ağı çok daha güvenli bir hale getirmiştir.
802.1x mimarisinde üç temel öğe bulunur:
1. İstemci (Supplicant,
Station) : Kimlik sorgulaması yapılcak kişi
2. Kimlik denetleyici
(Authenticator) : istemciyle kimlik denetleme sunucusunun arasında bulunur.
Ethernet anahtarlayıcı (Ethernet switch), Erişim noktası (Access Point)
3. Kimlik denetleme sunucusu
(authentication server): kimlik denetleme işlemini gerçekleştiren asıl
sunucu.(Örnek: RADIUS Sunucusu)
802.1x ağla olan
iletişimini; ortak anahtar kimlik doğrulaması(public key authentication),
sertifika, bir seferlik şifre (one time password) gibi çoklu kimlik doğrulama
metotlarını destekleyen EAP protokolü ile sağlar. EAP; 3.katmanın
kullanılamadığı durumlarda 2.katmanı kullanarak kimlik doğrulaması yapmak için
dizayn edilmiştir. Kimlik sorgulamasının güvenli olarak yapılmasını sağlayacak
kadar paket taşır. Ayrıca diğer protokollerden farklı olarak kimlik doğrulama,
kimlik denetleyici tarafından başlatılır. Kimlik denetleyicinin akıllı bir
cihaz olmasına, denetlemeyi sağlayan algoritmayı anlamasına gerek yoktur.
İşlemleri istemci ve sunucu yapar. Kimlik denetleyici; sunucu için hangi porta
gidileceğini gösteren bir geçiş noktası (pass-through) özelliği taşır. Bu
özelliğinden dolayı 802.1x, tipik olarak küçük ve hafızası az ve işlemci gücü
düşük olan kablosuz erişim noktası (wireless access point) için idealdir. EAP’
ın farklı alanlarda kullanımı, güvenlik sorunu gibi nedenlerden dolayı EAP için
birçok algoritma geliştirilmiştir. Bu algoritmalara göre EAP 6 alt bölüme
ayrılır:
1. EAP MD5(Message Digest): EAP’ın en temel halidir. Kablosuz ağlarda şifrenin açık gitmesinden dolayı önerilmez. Daha çok kablolu ağlarda kullanılır. Tek yönlü kimlik doğrulaması yapılır (one way authentication).
2. EAP-TLS(Transport Layer Security): İstemci ile ağ arasında sertifika temelli (certificate-based) , karşılıklı (mutual) kimlik doğrulama sağlar. Tam güvenliği sağlamak için hem istemci hem de sunucu sertifikası kullanılabilir. Bu sertifikalar dinamik olabilir. Dezavantajı sertifikaların yönetim gerektirmesidir. Çok geniş kablosuz ağlarda büyük sorunlar yaratabilir.
3. EAP-TTLS (Tunneled Transport Layer Security): Funk Software and Certicom tarafından EAP-TLS’in genişletilmişi olarak tasarlanmıştır. TLS’ten farklı olarak sadece sunucu bazlı sertifika kullanır ve doğrulama işlemini şifrelenmiş, güvenli bir tünelin (encrypted tunnel) içinden geçirerek yapar.
4. EAP-FAST (Flexible Authentication via Secure Tunneling): Cisco tarafından tasarlanan EAP-FAST; karşılıklı doğrulamayı serifika kullanmak yerine, sunucu tarafından dinamik olarak yönetilen PAC (Protected Access Credential) ile sağlar.
5. LEAP (Lightweight Extensible Authentication Protocol): Özellikle Cisco Aironet WLANs da kullanılan bir metottur. Data transferini her şifrelemede değişen WEP (wired equivalent privacy) anahtarı ile şifreler ve karşılıklı kimlik doğrulamayı sağlar. Bu mettotun lisansı halen Cisco’dadır.
6. PEAP (Protected Extensible Authentication Protocol): Microsoft, Cisco ve RSA Security nin geliştirdiği bir metottur. Kablosuz ağlarda güvenli bir şekilde kimlik doğrulama bilgilerini taşımak için eski şifrelemeye dayalı protokolleri (legacy password-based protocols) kullanan metottur. PEAP bu güvenli transferi istemci ile sunucu arasına kurduğu tünel ile sağlar. Aynı TTLS de olduğu gibi PEAP da kablosuz ağ istemcisinin sadece sunucu bazlı sertifika kullanarak kimliğini doğrular. Bu da yönetimsel olarak büyük bir kolaylık sağlar.
1. EAP MD5(Message Digest): EAP’ın en temel halidir. Kablosuz ağlarda şifrenin açık gitmesinden dolayı önerilmez. Daha çok kablolu ağlarda kullanılır. Tek yönlü kimlik doğrulaması yapılır (one way authentication).
2. EAP-TLS(Transport Layer Security): İstemci ile ağ arasında sertifika temelli (certificate-based) , karşılıklı (mutual) kimlik doğrulama sağlar. Tam güvenliği sağlamak için hem istemci hem de sunucu sertifikası kullanılabilir. Bu sertifikalar dinamik olabilir. Dezavantajı sertifikaların yönetim gerektirmesidir. Çok geniş kablosuz ağlarda büyük sorunlar yaratabilir.
3. EAP-TTLS (Tunneled Transport Layer Security): Funk Software and Certicom tarafından EAP-TLS’in genişletilmişi olarak tasarlanmıştır. TLS’ten farklı olarak sadece sunucu bazlı sertifika kullanır ve doğrulama işlemini şifrelenmiş, güvenli bir tünelin (encrypted tunnel) içinden geçirerek yapar.
4. EAP-FAST (Flexible Authentication via Secure Tunneling): Cisco tarafından tasarlanan EAP-FAST; karşılıklı doğrulamayı serifika kullanmak yerine, sunucu tarafından dinamik olarak yönetilen PAC (Protected Access Credential) ile sağlar.
5. LEAP (Lightweight Extensible Authentication Protocol): Özellikle Cisco Aironet WLANs da kullanılan bir metottur. Data transferini her şifrelemede değişen WEP (wired equivalent privacy) anahtarı ile şifreler ve karşılıklı kimlik doğrulamayı sağlar. Bu mettotun lisansı halen Cisco’dadır.
6. PEAP (Protected Extensible Authentication Protocol): Microsoft, Cisco ve RSA Security nin geliştirdiği bir metottur. Kablosuz ağlarda güvenli bir şekilde kimlik doğrulama bilgilerini taşımak için eski şifrelemeye dayalı protokolleri (legacy password-based protocols) kullanan metottur. PEAP bu güvenli transferi istemci ile sunucu arasına kurduğu tünel ile sağlar. Aynı TTLS de olduğu gibi PEAP da kablosuz ağ istemcisinin sadece sunucu bazlı sertifika kullanarak kimliğini doğrular. Bu da yönetimsel olarak büyük bir kolaylık sağlar.
802.1x EAP Types
Feature / Benefit
|
MD5
--- (Message Digest 5) |
TLS
--- (Transport Level Security) |
TTLS
--- (Tunneled Transport Level Security) |
PEAP
--- (Protected Transport Level Security) |
FAST
--- (Flexible Authentication via Secure Tunneling) |
LEAP
--- (Lightweight Extensible Authentication Protocol) |
İstemci bazlı
sertifika
|
Yok
|
Var
|
Yok
|
Yok
|
Yok
(PAC) |
Yok
|
Sunucu bazlı
Sertifika
|
Yok
|
Var
|
Yok
|
Var
|
Var
(PAC) |
Yok
|
WEP anahtar
Yönetimi
|
Yok
|
Var
|
Var
|
Var
|
Var
|
Var
|
Sağlayıcı
|
MS
|
MS
|
Funk
|
MS
|
Cisco
|
Cisco
|
Kimlik doğrulama
şekli
|
Tek yönlü
|
Karşılıklı
|
Karşılıklı
|
Karşılıklı
|
Karşılıklı
|
Karşılıklı
|
Kullanım zorluğu
|
Kolay
|
Zor (istemci bazlı
sertifika kullanılmasından dolayı)
|
Orta kolaylıkta
|
Orta kolaylıkta
|
Orta
kolaylıkta
|
Orta
kolaylıkta
|
Kablosuz ağ
güvenliği
|
Zayıf
|
Çok güvenli
|
Güvenli
|
Güvenli
|
Güvenli
|
Güvenli (Komplex
şifreler kullanıldığında
|
Hiç yorum yok:
Yorum Gönder