IEEE 802.1X
IEEE 802.1x, bağlantı noktası tabanlı ağ erişim kontrolü için bir IEEE standartıdır. Bu, ağ protokolleri IEEE 802.1 grubunun bir parçasıdır. Bir LAN veya WLAN eklemek isteyen cihazlara kimlik doğrulama mekanizmasını sağlar.
IEEE 802.1X, "LAN üzerinden EAP" veya "EAPOL" olarak bilinen IEEE 802 üzerinde Genişletilebilir Kimlik Doğrulama Protokolü (EAP) kapsüllemesini tanımlar. EAPOL, 802.1x-2001 içerisinde IEEE 802.3 Ethernet için tasarlanmıştır ancak 802.1x-2004 içerisinde Fiber Distributed Data Interface (ISO 9314-2) ve IEEE 802.11 wireless gibi diğer IEEE 802 Lan teknolojilerine de uygun hale getirilmiştir. EAPOL protokolü ayrıca yerel LAN segmenti üzerinden noktadan noktaya şifreleme ve kimlik tespit hizmetine destek vermek için 802.1x-2010 içerisinde IEEE 802.1AR (Secure Device Identity, DevID) ve IEEE 802.1AE (“MACsec”) ile birlikte kullanılacak şekilde güncellenmiştir.
Genel bakış
802.1x kimlik doğrulama üç grup içerir: bir istek sahibi, bir kimlik ve bir kimlik doğrulama sunucusu. "İstek sahibi" LAN/WLAN ile bağlantı kurmak isteyen kullanıcı aracıdır (laptop gibi). Terim, her ne kadar "İstek sahibi" olsa da ayrıca "kullanıcı aracında" çalışan, kimlik belirleyiciye referans sağlayan yazılımları değiş tokuş yaparak havale etme için de kullanılır. Kimlik doğrulama, ethernet switch ya da kablosuz ağ ulaşım noktası gibi bir ağ cihazıdır ve kimlik doğrulama sunucusu, RADIUS ve EAP protokollerini destekleyen yazılımı çalıştıran bir dizidir.
802.1x başlarda kablolu yerel ağlarda kullanılmak üzere tasarlanmış ancak son zamanlarda kablosuz yerel ağların daha çok kullanılmasıyla popülerlik kazanmıştır.Bu durumda yani hem kablolu hem kablosuz yerel ağlarda kullanılıyor olması fazladan birçok gereksinim doğurmuştur.
İstemci ve sunucu tarafından kimlik doğrulama işlemine yardımcı olacak programların kurulu olması ve bunların işletim sistemlerince desteklenmesi gerekir. Ayrıca kullanılan switchlerin, erişim noktalarının, ağ kartlarının vs. 802.1x destekli olması da gerekir.
802.1x düğümden düğüme bağlantılara sahip LAN portuna bağlanmış cihazların kimlik doğrulama yapılarak erişimine izin verilmesine imkan sağlayan port tabanlı ağ erişim denetimidir. 802.1x standardı 2.katmanda denetimli kablolu veya kablosuz bir yerel ağa bağlanmak için kullanıcıların kimliklerini doğrulamalarını gerektirir. Ağın dinlenebilir olması ağın herkes tarafından erişilebilir olması durumudur bu durumdan kurtulmak için kimlik kanıtlaması yapılabilir. Her bilgisayar için belirli bir port tanımlanır. Kullanıcılar da bir porttan ağa dahil olurlar diğer portlardan da ağ dinlenebilir ancak verilerden anlamlı bir şey çıkartılamaz. Böylece ağın dışındaki bir bilgisayarın veri göndermesi için kimlik kanıtlaması yapılır. Ağın içindeki ve dışındaki bilgisayar yine de haberleşebilir ancak dışardaki bilgisayarlar ağı dinleyemezler. Kullanıcı doğrulama: MAC adresi, switch port, harici bir yetkilendirme politikası ile sağlanır. Ağa kimin, hangi hakla gireceğinin belirlenmesi,denetlenmesi ve yetkilendilirmesi ağ tabanalı erişim kontrolü olan NAC tarafından belirlenir.
Kimlik doğrulama, korumalı ağda güvenlik görevlisi gibi hareket eder. İstek sahibinin kimliği doğrulanana ve yetkilendirilene kadar ağın korumalı tarafına kimlik doğrulama izni verilmez. Örnek vermek gerekirse, ülkeye giriş için izin verilmeden önce havaalanında geçerli bir vize sağlanmaktadır. 802.1x bağlantı tabanlı kimlik doğrulama ile, istek sahibi, kimlik için kullanıcı adı / parola veya dijital sertifika gibi belgeler sağlar ve doğrulama için kimlik doğrulama sunucusuna belgeleri iletir. Eğer ki kimlik doğrulama sunucusu, belgelerin geçerliliğini belirlerse, ağın korumalı tarafında yer alan kaynaklara erişime izin verilir.
En kötü kimlik kanıtlama olarak düşünülen MAC'e göre kısıtlama yapmaktır. Böyle bir kısıtlama yapıldığında güvenli bir kimlik kanıtlama olmaz çünkü makinaların MAC adresi değişebilir. MAC adresine göre kısıtlama yapıldı ve ağın dışındaki biri MAC adresini değiştirilip ağa girdiğinde ağı dinleyebilir.
802.1x in yararları
Güvenlik sağlıyor. Ağda olmayan hiçbir cihaz ağı dinleyemiyor. Ağda port tabanlı kullanıcı doğrulayabilmek,herhangi bir kullanıcıya ya da gruba ağa erişim politikaları uygulamaya olanak tanır. Kimlik doğrulama ve yetkilendirme başarısız ise o port erişime kapatılır ve bu sayede yerel ağ altyapısı korunmuş olur. Ancak dikkat edilmesi gereken bir husus da 802.1x sadece kimlik denetimini tanımlar kimlik doğrulaması başarıyla yapılma aşamasından sonra veri trafiğinin güvenliği konusunda hiçbir şey yoktur.
Birçok mekanizma sağlıyor. Şöyle ki 802.1x standardı ağ sistemleri üreticilerinin ağa erişimini port seviyesinde denetleyen mekanizmalar oluşturmasını sağlamıştır. Ağın yönetimini hantallıktan kurtarmış, akıcılık kazandırmıştır.
802.1x port tabanlı ağ erişim denetimi nasıl yapılır
Kablosuz bir yerel ağda AP (kablosuz erişim noktası)'e erişerek, kablolu yerel ağda ise switchlere erişilerek yapılır. Kullanıcının kimliği doğrulanırsa bağlandığı port açılır ve ağa erişimine izin verilir. Eğer kimlik kanıtlaması doğrulanmaz ise port kapatılır böylece ağa erişim engellenir. Bu işlem için 2 port kullanılmaktadır:
- Denetimsiz port : Bu port üzerinden sadece kimlik doğrulanması sırasında kullanılan kimlik bilgilerinin değiş tokuşunu sağlayan mesaj trafiğine izin verilir.
- Denetimli port : Bu portta ise sadece kimlik doğrulandığı zaman açılır.
802.1x'in bileşenleri
1. PAE
Açılımı Port Access Entity'dir. Kimlik doğrulama ile ilgili algoritmaları ve protokolleri idare eder. Hem istemci hem de kimlik denetleyici bu PAE'e sahiptir.
İstemci PAE'si: İstemcinin kimlik bilgilerini istemciye göndermekle görevlidir.
Kimlik Denetleyici PAE: İstemciden kimlik bilgilerini ister ve bilgileri kimlik doğrulama sunucusuna gönderir. Ayrıca denetimli portun yetkili veya yetkisiz konumunu denetler.
2. İstemci
Ağa bağlanmak isteyen bir aygıttır. Kablosuz dizüstü bilgisayar, avuçiçi bilgisayar veya bir masaüstü bilgisayar olabilir.
3. Kimlik Denetleyicisi
Bir kablosuz erişim noktası ya da bir anahtarlama cihazı olabilir. Kimlik doğrulama sunucusu ile istemci arasında bilgi trafiğinin taşınmasını sağlayan bir ara cihaz gibi çalışır.
4. Kimlik Doğrulama Sunucusu
Kimlik doğrulama, izin verme ve hesap tutma işlemlerini yapar. İstemcinin kimliğine bakarak servislere erişip erişmeyeceğini kontrol eder ve onaylar.
Protokol çalışması
EAPOL, veri bağlantı katmanının üstündeki ağ katmanında çalışır ve Ethernet II çerçeve protokolünde, bir 0x888E EtherType değerine sahiptir.
Bağlantı nesneleri
802.1X-2001, kimliği doğrulanmış bir bağlantı noktası "kontrollü bağlantı" ve "kontrolsüz bağlantı" için iki mantıksal bağlantı noktası tanımlar. Kontrollü bağlantıya, giriş çıkıştaki ağ trafiğine engel olmak ya da izin vermek için, 802.1X PAE tarafından kontrollü bağlantı manipüle edilir. Kontrolsüz bağlantı ise 802.1X PAE tarafından, EAPOL çerçevelerini göndermek ya da almak için kullanılır.
802.1X-2004, istek sahibi için eşit bağlantı nesneleri tanımlar; Örneğin, kimlik doğrulama başarıyla tamamlanmazsa, istek sahibinin uyguladığı 802.1X-2004, kullanılan yüksek seviyeli protokolleri engelleyebilir. Bu karşılıklı kimlik doğrulamayı sağlayan bir EAP metodu kullanıldığında oldukça yararlıdır. Örneğin, yetkisiz bir ağa bağlanıldığında, istek sahibi, veri sızıntılarını önleyebilir.[1]
Kaynakça
- ↑ İngilizce Vikipedi'de 10 Mayıs 2013 tarihli IEEE 802.1X maddesi.