Taşınabilir cihazlar sürekli bizimle birlikte gezmeye başlayınca, insan ister istemez onlarla sarmaşdolaş oluyor. Evdeyken elde tablet PC, internete girebilen cep telefonu, masanın üstünde laptop, online filmleri tek tıkla listeleyebilen bir hdtv… Hepsi internete bağlanabiliyor. Zaten internete bağlanmadıkları zaman tatsız tuzsuz cihazlar gibi oluyorlar zira hepsi internet bağlantısının varolması tabanında şekillenmiş. Özellikle sürekli yanımızda gezdirdiğimiz cihazların üzerlerindeki yazılımlar, internet bağlantısının sürekli varolması düşünülerek yazılmış. Internet bağlantısını kestiğinizde şaşkına dönüyor Ipad mesela. 3G olmayan modelini de piyasaya sürerek sadece 20-30 usd eden 3G modülü de 130 dolar farkla satma akıllılığını gösteriyorlar tabii :)

Taşınabilir cihazlar; ipad, ipod, iphone, android cihazlar, windows mobile tabletler, cep telefonları vs vs bolca cihaz artık hem internete bağlanmak isteyip hem de bizimle birlikte gezmeye başlayınca, bizimle beraber sabah uyanıp işe de geliyorlar tabii.

Bu cihazları işe getirince, bu cihazların yapıları gereği doğal olarak onları internete bağlamak istiyoruz.

Şirkette internet var zaten, oradan bağlayalım?

Olmaz mı?

Sizin şirket network’ü için kullandığınız kullanıcı adı parolayı kullanarak (hatta sertifikayı kullanarak) taşınabilir cihazınızı şirket ağına bağlamanız çok kolay. Birçok şirket artık MS bağımlığına yaklaşan ‘machine authentication’ yapısını pek kullanmak istemiyor, kimisi baştan beri hiç kullanmıyor ve kullanıcı tabanlı EAP-TLS veya EAP-PEAP çözümlerine gidiyor.

Basit gibi görünebilir ama sizin kendi cihazınızı şirket iç ağına bağlayıp internete çıkarmanız IT departmanı için tam bir işkence. Çünkü onlar sadece onların kontrolündeki cihazların şirket ağına bağlanmasını istiyorlar. Tabii siz elinizdeki Ipad ile şirket ağı üzerinden internete bağlanmaya kalktığınızda, çok yüksek olasılıkla, onların kontrolünde olmayan bu cihazın şirket ağına dahil olmasını istemeyecekler. Haklılar çünkü bu cihazın içinde ne tür programlar olduğu belli değil, bu programların ‘güvenli’ addedilen iç network’de neler yapacakları belli değil. Bu yüzden, IT departmanı yüksek olasılıkla sizin şirket misafir network’unu kullanarak internete çıkmanızı istiyor.

Çalışanın kendisine ait taşınabilir cihazların şirket misafir ağı üzerinden internete çıkması fikri de çoğunlukla çalışanı memnun etmiyor. Çünkü bu yöntemle internete erişmeden önce, büyük ihtimal bir web sayfası aracılığı ile kimlik doğrulanması gerekiyor, bu doğrulama cihazın her açılışında gerekiyor ve hepsinden önemlisi, şirket misafir ağı üzerinden internete çıkan cihaz şirket iç kaynaklarına ulaşamaz oluyor. Çalışan tabii ki şirket iç kaynaklarına, aynen şirket bilgisayarından eriştiği gibi erişmek istediği için misafir ağ üzerinden internet erişimi yöntemi kullanıcıyı mutsuz ediyor.

Bunun tam ortasında bir yol bulmak lazım. Çünkü ne misafir olan ne de tam anlamıyla şirkete ait olan bir cihazdan bahsediyoruz. Şirketin çalışanı olan bir kişinin kullandığı şirkete ait olmayan bir cihaz. İki arada bir derede.

Artık mobil cihazlar bol bol bizimle beraber şirkete geldikleri için, bu sorun gitgide büyümeye başladı. IT yöneticileri, şirket bilgisayarlarını gönül rahatlığı ile iç ağa bağlarken, misafirleri de gönül rahatlığı ile misafir ağına bağlıyorlar fakat ‘iki arada bir derede’ cihazlar için ne yapacaklarını bilmiyorlar.

Bu sorunun çözümü için üreticileri yeni yeni yöntemler geliştiriyorlar.

Bunların en ilginç ve akıllıca çözüm sağlayanlarından biri şöyle çalışıyor:

Önce cihazınızı misafir SSID’sine bağlıyorsunuz. Browser’inizi acip bir web sayfasına erişmek istediğinizde karşınıza misafir erişimi için kullanıcı adı parola soran ekran geliyor. Tabii orada bir de “Şirket çalışanına ait cihaz girişi” diye bir kısım var. Kullanıcı o kısma tıklıyor.

Daha sonra, ilgili yazılım, kullanıcıdan gelen http paketlerine bakarak kullanıcı cihazının hangi tip bir cihaz olduğunu tanıyor (Ipad, Iphone, windows mobile device, android device vs) ve bu cihaza göre bir konfigürasyon dosyası oluşturuyor. Kullanıcı bu dosyayı indirip tıklayınca cihaz, şirket ağına 802.1x kullanarak ve EAP-TLS ile bağlanmış oluyor.

Tabii kablosuz ağ altyapısı da cihazı tanıyacak özelliklere sahip. Kablosuz ağ altyapısı da, bağlanan mobil cihazı tanıyıp onu kısıtlı bir role atıyor. Örneğin kullanıcı şirkete ait bilgisayardan tüm iç network’e bağlanırken, kendine ait cihazdan sadece kısıtlı kaynaklara ulaşabiliyor. Tabii ki kullanıcının hangi cihazdan bağlandığına göre değişen bu “rol”, aynı zamanda o kişi için geçerli firewall kurallarını da içeriyor. Tam bu noktada çok ilginç bir özellik de şu: bahsi geçen role atanmış ve ilgili firewall kurallarına tabi olan cihaz için bu firewall kuralları hem iç network <-> dış network olacak şekilde hem de iç network <-> iç network olacak şekilde çalışıyor. Bu gerçekten ilginç çünkü malum günümüzde içerden içeriye tüm iç network client trafiğini firewall’dan geçiren ve bunu da ICSA sertifikalı firewall’lar ile yapabilen sistemler yok denecek kadar az. Bu gerçekten önemli bir özellik.

Sonuçta ortaya şöyle bir yapı çıkıyor. Kullanıcı şirket bilgisayarından bağlandığında tüm haklar ile iç network’e bağlanabiliyor. Eğer kendine ait bir cihazı yanında getirip kendi şirket hesabı ile bu cihazdan bağlanırsa sistem cihazı tanıyor ve kullanıcı o cihazla birlikte “kısıtlı iç network erişimi” rolüne otomatik olarak atanıyor.

Tabii diğer yandan sistem trafik önceliklendirme de yapıyor. Yani bir yandan kritik iş trafiği aynı network üzerinden akarken, bu trafiği etkilemeyecek şekilde VoIP, Apple FaceTime, IPTV vs trafik de arkaplanda kendisine uygun önceliklendirilmiş şekilde akıyor.

Bir diğer konu da çalışanlara ait cihazların fiziksel güvenliği. Şimdi biz malum bu cihazlara özel konfigürasyon sağlar ve şirket iç kaynaklarına kısıtlı da olsa bağlanmalarını sağlarsak, bu cihazların fiziksel güvenliklerini de sağlamamız gerekir. Bu da client’larımızı izleyen ve sürekli onların “sağlıklarını” monitor eden sistemlerle sağlanıyor. Sistemin bir diğer parçası olan ağ izleme yazılımı da client’ları izliyor, onların yerlerini sürekli takip ediyor ve örneğin olmamaları gereken bir yere gittiklerinde bizi mail,sms vs bir şekilde uyarıyor.

Diğer yandan aynı yazılım normal zamanlarda da bu cihazları diğer cihazlarla birlikte izleyerek onların doğru performansla çalışıp çalışmadıklarını da bize raporluyor. Malum, IT’cilerin en kralı problem ona kullanıcı tarafından bildirilmeden önce problemden haberdar olabilendir :) Sistem bu izleme işlerini de yapıyor.

Ek bir güvenlik özelliği olarak da, yukarıda da bahsedilen, taşınabilir cihazlar için kullanıcılara download ettirilip cihazlarına yükletilen otomatik yapılandırma ayarlarında da fiziksel güvenliği arttırıcı ayarlar olabiliyor. Örneğin şirket ağına bağlanacak Ipad’iniz siz şirket için gereken sertifikayı ve ayarları otomatik olarak yüklettirince artık 1dk boşta kalınca kendi kendine kilitleniyor :) E ne yapalım, şirket network’üne bağlanıyorsunuz, bu kadar ortalıkta gezebilen bir cihaz için fiziksel güvenlik şart :)

Ayrıca, bir başka “ya şöyle olursa?” senaryosuna da cevap vermek gerekir bu noktada. Bizim “normal” senaryomuzda kullanıcılar şirkete ait PC’ler ile EAP-PEAP ile ağa dahil oluyorlar, kendilerine ait mobil cihazlarda da EAP-TLS kullanıyorlar. Ya bizim kullanıcılarımız, aynen şirket PC’lerinde olduğu gibi Ipad’leri de EAP-PEAP ile ağa bağlamaya çalışırlarsa ne olacak? İşte o zaman da yine altyapının zekası devreye giriyor ve o mobil cihaz, yapmaması gerektiği halde EAP-PEAP ile bağlanmaya çalışırsa ağa bağlanabiliyor ancak otomatik olarak ya özel bir “bloklama” rolüne atanıp hiçbir yere bağlanamadan “şöyle şöyle yaptığınız için bağlanamadınız” yazan bir sayfaya redirect oluyor veya kısıtlı role sahip olup yine iç network’e tamamıyla bağlanamamış oluyor. Yani kullanıcıların sistemi kandırma niyetleri pek sonuç getirecek gibi değil :)

Sonuçta, en yukarıdan bakarsak şöyle bir yapı ortaya çıktı:

1-Kullanıcılar kendilerine ait taşınabilir cihazları şirkete getirebiliyorlar.

2-Bu cihazları misafir olarak bağlamak yerine şirket SSID’sine bağlıyorlar.

3-Bunun için önce cihazı özel bir işlemle kablosuz ağa tanıtıp otomatik olarak bazı ayarlar yüklemek gerekiyor. Ardından cihaz şirket ağına bağlanıyor.

4-Şirket ağına bağlanan cihaz özel bir role atanıyor, gerekmeyen bazı yerlere erişemeyecek şekilde firewall’lanıyor.

5-Bu cihaz sürekli takip ediliyor ve olmaması gereken bir bölgeye gittiğinde sistem yöneticisi haberdar edilebiliyor.

6-Kullanıcı 3G bağlantısı ve ücreti ile uğraşmaktansa çok daha stabil olan şirket network’ü ile internete çıkıyor, her türlü ‘eğlence amaçlı’ haberleşmesini, QoS teknikleri sayesinde kritik şirket haberleşmelerini engellemeden gerçekleştiriyor.

Güzel bir yapı :)

İyi çalışmalar.

Oğuzhan Eren