802.1x Protokolü

802.1x güvenli bir şekilde ağa bağlanmayı; ağ cihazları yardımıyla standartlaştıran protokoldür. 802.1x kablolu ağlar için geliştirilmesine karşın kablosuz ağlarda da kullanılmaktadır. IEEE 802.1x ‘in hedefi, yerel ağda (LAN) standart bir güvenli kimlik denetimi (authentication) sağlamaktır. IEEE 802.1x en az sayıda yönetici ek yüküyle çok daha geniş alanlara güvenli bir şekilde ulaşmamızı sağlar. Sunucular ve istemciler ancak kimlikleri doğrulandıktan sonra ağa oturum açabilirler. Oturumun başarılı bir şekilde açılabilmesi için kimlik sorgulamanın doğrulanması gerekir. Microsoft bazlı ağlarda sorgulama ekranı bilgisayar açılınca otomatik olarak açılır.

Eğer istemci bilgileri sunucu tarafından doğrulanırsa istediği ağ hizmetlerinden faydalanabilir (ağ yöneticisinin izni doğrultusunda) . Genelde bu tür kimlik doğrulama işlemleri e-posta, intranet ve diğer özel uygulamalarda kullanılır.

Bu istemci-sunucu arasındaki kimlik doğrulama işlemi ağ kaynaklarını korumak için kendini kanıtlamış bir metot olsa da; yetkilendirilmemiş girişleri engelleyen, tam bir ağ güvenlik mekanizması oluşturamamıştır. Bunun üzerine sağlayıcılar ağ tabanlı idari çözümler üretti(VLAN,ACL ve MAC locks gibi). VLAN, ACL, MAC locks gibi yöntemler etkili olmalarına karşın yönetici ihtiyaçlarına bağlı olarak kullanılırlar. Bu yöntemlerin her birinin tek avantajı olmasına rağmen sağlayıcılar sadece birini kullanırlar. 802.1x in var olan metotlarla kullanımı ağı çok daha güvenli bir hale getirmiştir.

802.1x mimarisinde üç temel öğe bulunur:

1.     İstemci (Supplicant, Station) : Kimlik sorgulaması yapılcak kişi

2.     Kimlik denetleyici (Authenticator) : istemciyle kimlik denetleme sunucusunun arasında bulunur. Ethernet anahtarlayıcı (Ethernet switch), Erişim noktası (Access Point)

3.     Kimlik denetleme sunucusu (authentication server): kimlik denetleme işlemini gerçekleştiren asıl sunucu.(Örnek: RADIUS Sunucusu)

802.1x ağla olan iletişimini; ortak anahtar kimlik doğrulaması(public key authentication), sertifika, bir seferlik şifre (one time password) gibi çoklu kimlik doğrulama metotlarını destekleyen EAP protokolü ile sağlar. EAP; 3.katmanın kullanılamadığı durumlarda 2.katmanı kullanarak kimlik doğrulaması yapmak için dizayn edilmiştir. Kimlik sorgulamasının güvenli olarak yapılmasını sağlayacak kadar paket taşır. Ayrıca diğer protokollerden farklı olarak kimlik doğrulama, kimlik denetleyici tarafından başlatılır. Kimlik denetleyicinin akıllı bir cihaz olmasına, denetlemeyi sağlayan algoritmayı anlamasına gerek yoktur. İşlemleri istemci ve sunucu yapar. Kimlik denetleyici; sunucu için hangi porta gidileceğini gösteren bir geçiş noktası (pass-through) özelliği taşır. Bu özelliğinden dolayı 802.1x, tipik olarak küçük ve hafızası az ve işlemci gücü düşük olan kablosuz erişim noktası (wireless access point) için idealdir. EAP’ ın farklı alanlarda kullanımı, güvenlik sorunu gibi nedenlerden dolayı EAP için birçok algoritma geliştirilmiştir. Bu algoritmalara göre EAP 6 alt bölüme ayrılır:

1. EAP MD5(Message Digest): EAP’ın en temel halidir. Kablosuz ağlarda şifrenin açık gitmesinden dolayı önerilmez. Daha çok kablolu ağlarda kullanılır. Tek yönlü kimlik doğrulaması yapılır (one way authentication).

2. EAP-TLS(Transport Layer Security): İstemci ile ağ arasında sertifika temelli (certificate-based) , karşılıklı (mutual) kimlik doğrulama sağlar. Tam güvenliği sağlamak için hem istemci hem de sunucu sertifikası kullanılabilir. Bu sertifikalar dinamik olabilir. Dezavantajı sertifikaların yönetim gerektirmesidir. Çok geniş kablosuz ağlarda büyük sorunlar yaratabilir.

3. EAP-TTLS (Tunneled Transport Layer Security): Funk Software and Certicom tarafından EAP-TLS’in genişletilmişi olarak tasarlanmıştır. TLS’ten farklı olarak sadece sunucu bazlı sertifika kullanır ve doğrulama işlemini şifrelenmiş, güvenli bir tünelin (encrypted tunnel) içinden geçirerek yapar.

4. EAP-FAST (Flexible Authentication via Secure Tunneling): Cisco tarafından tasarlanan EAP-FAST; karşılıklı doğrulamayı serifika kullanmak yerine, sunucu tarafından dinamik olarak yönetilen PAC (Protected Access Credential) ile sağlar.

5. LEAP (Lightweight Extensible Authentication Protocol): Özellikle Cisco Aironet WLANs da kullanılan bir metottur. Data transferini her şifrelemede değişen WEP (wired equivalent privacy) anahtarı ile şifreler ve karşılıklı kimlik doğrulamayı sağlar. Bu mettotun lisansı halen Cisco’dadır.


6. PEAP (Protected Extensible Authentication Protocol): Microsoft, Cisco ve RSA Security nin geliştirdiği bir metottur. Kablosuz ağlarda güvenli bir şekilde kimlik doğrulama bilgilerini taşımak için eski şifrelemeye dayalı protokolleri (legacy password-based protocols) kullanan metottur. PEAP bu güvenli transferi istemci ile sunucu arasına kurduğu tünel ile sağlar. Aynı TTLS de olduğu gibi PEAP da kablosuz ağ istemcisinin sadece sunucu bazlı sertifika kullanarak kimliğini doğrular. Bu da yönetimsel olarak büyük bir kolaylık sağlar.

802.1x EAP Types Feature / Benefit	MD5 --- (Message Digest 5)	TLS --- (Transport Level Security)	TTLS --- (Tunneled Transport Level Security)	PEAP --- (Protected Transport Level Security)	FAST --- (Flexible Authentication via Secure Tunneling)	LEAP --- (Lightweight Extensible Authentication Protocol)
İstemci bazlı sertifika	Yok	Var	Yok	Yok	Yok (PAC)	Yok
Sunucu bazlı Sertifika	Yok	Var	Yok	Var	Var (PAC)	Yok
WEP anahtar Yönetimi	Yok	Var	Var	Var	Var	Var
Sağlayıcı	MS	MS	Funk	MS	Cisco	Cisco
Kimlik doğrulama şekli	Tek yönlü	Karşılıklı	Karşılıklı	Karşılıklı	Karşılıklı	Karşılıklı
Kullanım zorluğu	Kolay	Zor (istemci bazlı sertifika kullanılmasından dolayı)	Orta kolaylıkta	Orta kolaylıkta	Orta kolaylıkta	Orta kolaylıkta
Kablosuz ağ güvenliği	Zayıf	Çok güvenli	Güvenli	Güvenli	Güvenli	Güvenli (Komplex şifreler kullanıldığında