« Karda Fotoğraf Çekmek…
Deniz »
h1

802.1x

Aralık 15, 2008

Merhaba,

802.1x denen protokol hakkında bir şeyler yazmak istedim. Networking ile uğraşanlar bilirler, network dünyasının bazı lafları vardır, çok basit olmasına karşın çok matah bir şeymiş gibi anlatılır. Bunlardan biri de 802.1x’dir. Birçok kişinin oldukça karmaşık ve ileri düzey bir konu olarak gördüğü 802.1x teknolojisi, aslında oldukça basit bir işleyişe sahip bir mekanizmadır.

Biraz bilgi vermek adına bu teknolojiden bahsedelim.

Normalde şirketlerimizdeki bilgisayarlarımızı bağladığımız switch’ler, kimin gelip bağlandığına bakmaksızın network hizmetini “herkese” sunmaktadır. Yani şirketimizdeki bir lan switch’e bağlanan bir PC’nin şirketin bir çalışanına ait olup olmadığı denetlenemez. Bu PC, şirkete misafir olarak gelmiş birine ait “virütik” bir bilgisayar da olabilir. Bu, şirket network’üne ve network’teki kaynaklara zarar verebilir.

Böyle durumlarda 802.1x teknolojisi uygulanmalıdır.

(Tabii hemen parantez içinde, şirketimizde bir Domain yapısının bulunduğunu ve kullanıcıların kimliklerinin merkezi bir veritabanında tutulduğunu varsayıyoruz. Bu günümüzde olmazsa olmaz bir yapılandırmadır.)

802.1x teknolojisi sayesinde, switch’ler, kendilerine bağlanan makinayı hemen network’e almak ve bağlı bulunduğu port’un VLAN’ina göre haberleşmesini sağlamak yerine, önce bilgisayardan kullanıcı bilgisi isterler. Bu kullanıcı bilgileri, kullanıcının windows’a login olurken kullandığı AD user/pass’i veya ağa dahil olma esnasında girilecek user/pass olabilir. Switch bu bilgileri ortamdaki bir RADIUS Server’a gönderir. RADIUS Server ise kendisine bağlanmak isteyen kullanıcının merkezi veritabanında var olup olmadığını, var ise hangi gruba dahil olduğunu sorgular.

Bu sorgu neticesinde, kullanıcıyı sisteme dahil edecekse eğer, dahil etme emrini ve kullanıcının dahil olacağı VLAN bilgisini switch’e gönderir. Kullanıcı merkezi veritabanında yok ise, bu durumda switch’e kullanıcının Misafir VLAN’ine dahil edilmesi gerektiğini söyler. (Genelde misafirperver network adminleri olarak, misafirleri komple dışarı atmak yerine onlara sadece internet veririz)

Böylelikle, kullanıcı, ismin bağlı dinamik VLAN ataması lüksünden faydalanmış olur. Ayrıca network’e, kimlik doğrulaması yapılmayan kişiler giremezler.

802_1x

Bu teknoloji hem kablolu hem de kablosuz sistemler için kolaylıkla kullanılmakta, network güvenliğini önemli ölçüde arttırmaktadır.

Oğuzhan Eren

Networking ve Güvenlik kategorisinde yayınlandı | Etiketler , |

Yorum yapın