Gönderen: bekirdurmaz | 27 Ekim, 2008

NAC ve En Yaygın NAC Çözümleri

NAC (Network Access Control) Nedir?

NAC (Network Access Control), kullanıcı odaklı, ağ tabanlı erişim kontrolüdür. Kullanıcı odaklıdan kasıt, kullanıcıların bazı politikalara tabi tutulması ve bu doğrultuda denetlenmesi ve yetkilendirilmesidir. NAC kelime anlamı itibari ile ağa erişimi kontrol altında tutmaya çalışmak olsa da uygulamanın yan etkisi olarak kullanıcıların bilgisayarlarının belli bir standarda getirilmesi de var. Kendi kullanıcılarınız da NAC politikalarınızdan geçmek durumunda olduklarından ve işlerini sürdürebiliyor olmaları gerektiğinden; bu politikaların sonucuna göre ağa kabul et ya da ağ dışı bırak seçeneklerinin yanına bir seçenek daha koymak gerekiyor. En ufak bir sorunda kullanıcınızı ağ dışı bırakmak istemiyorsanız politikanızın gereği olan işlemi otomatize edip hemen kullanıcınıza yardım etmeniz gerekiyor.

Denetleme ve Yetkilendirme

Sistemin kullanıcı odaklı olmasından yola çıkarak, üreticiler genelde son kullanıcıların bilgisayarlarına yükledikleri ajanlarla derinlemesine kontroller yapmaktadırlar. Üreticilerin kullandığı ve standartlaştırdıkları jargon ile “Endpoint Security Assessment” ya da “Host Integrity Check” işlevlerini yerine getiren bu ajanlar, kullanıcının bilgisayarını kontrolden geçirirler. Detaylı politikaları bir kenara bırakacak olursak, genel kontrol noktaları kullanıcının işletim sistemi, üye bulunduğu ağ ve NAC ajanının varlığı olmaktadır. Bu üç ön kontrolü geçemeyenler hemen kurumsal ağdan izole edilmekte veya tamamen bağlantısız bırakılmaktadırlar. Ön kontrolü geçenler zaten NAC ajanı çalışan bilgisayarlar olduğundan, yine bu NAC ajanı sayesinde geriye kalan detaylı politikayı gözden geçirirler. Politikayı geçen bilgisayar sorunsuzca ağına dahil olurken, geçemeyenler iyileştirme (remediation) sürecine girerler.

Yetkilendirme opsiyonları MAC adresi tabanlı, switch portu tabanlı ya da harici bir yetkilendirme mekanizması (veya bunların kombinasyonları) üzerinden yapılabilmektedir. 802.1x’li çözümler sayesinde switch portunuzun dahil olduğu VLAN’ı dinamik olarak değiştirebilir ya da portu komple kapatabilirsiniz. Paket filtreleme veya firewall’dan geçirme gibi çözümler de sunan üreticiler bulunmaktadır.

NAC Çözümü Üreticileri

Symantec, Juniper, McAfee, Bradford Networks, Cisco, Nortel, Trend Micro, Checkpoint, SonicWall, Identity Engines Inc, ForeScout Technologies, Impulse Point, Napera Networks, NetClarity, Rohati Systems, TippingPoint gibi üreticilerden bazıları hem cihazlı hem de cihazsız çözümler sunarken bazıları da sadece yazılımsal çözümler sunuyorlar.

Şu anda Türkiye’de en çok tercih edilen NAC çözümü Symantec’in çözümü. Aslında çözümleri demek gerek. Çünkü SEP (Symantec Endpoint Protection) altyapısını kullanan ve aynı altyapı üzerinden çalışan bu NAC çözümü, 4 çeşit uygulama (enforcement) olanağı tanıyor. Cihazsız uygulama olarak “Self Enforcement” öneren çözüm, SEP’in güvenlik duvarı ile uygulama ve aygıt kontrol bileşenleri üzerinden çalışıyor. Geriye kalan “Gateway Enforcement”, “Dhcp Enforcement” ve “802.1x LAN Enforcement” seçenekleri ise ekstra bir cihazla beraber kullanılabiliyor. En üst düzeyde de 802.1x’li çözüm öneriliyor. Çünkü ancak bu çözümle birlikte sizin ağ yapınızı bilen biri bile statik IP vererek de olsa ağınıza giriş yapamıyor. Dissolvable ajanı sayesinde VPN ya da kablosuz bağlantılar ile ağlarınıza yapılan erişimleri de kontrol altında tutabilirsiniz. Bu çözümle beraber yazıcılarınızın, IP kameralarınızın vb. gibi cihazlarınızın MAC adresleri switchlere tanımlanabiliyor ve muaf tutulabiliyor.

Bu durumda bu MAC adreslerini iyi saklamanızda fayda var 🙂

Sevgilerle.


Responses

  1. Bu yazinin daha teknik detayi gelcek mi?

    Not:Bu arada nac urunlerinden baya bi ornek vermissiniz, hatta hepsini saycakken juniper’i unutmussunuz. Ben junipersever olarak “juniper”inda isminin makalenizde yer almasi taraftariyim. (babamin sirketi diil ama nedense seviyorum adamlari, kahve icebiliyim diye koskoca termos verdiler belki ondardir)

  2. Ali, Juniper’i ve McAfee’yi unutmuşum, ekledim. Teşekkür ederim hatırlattığın için. Vaktim olduğunda edindiğim tecrübeleri aktaracağım. Ama teknik altyapı ile ilgili özellikle sormak istediğin birşey varsa yanıtlamaya çalışırım, elimden geldiğince. Selamlar!

  3. Dostum, eger bana mail ile ulasabilirsen calistigim firmaya nac demo yaptirmak istiyorum. Sende bu konuda tecrubelisin konusmak gorusmek isterim.

  4. selam merhaba symantec nac ürünleri hakkında biraz daha bilgi alabilrmiyim , kuruluu ve config konusund asitesind eyeterli bilgi yok döküman yok bu konud adökümana ihtiyacım var, symantec nac ürününleirni kurulumu vs nasıl öğrenebilrim.

  5. Merhaba Kemal,

    Symantec NAC ürününün demosunu bu adresten indirebilirsiniz :
    http://www.symantec.com/business/products/trialware.jsp?pcid=pcat_security&pvid=1304_1
    İlgili dökümanlara kurulum medyasından ulaşabilirsiniz.
    Daha öncesinde nasıl kurulduğunu görmek isterseniz Symantec partnerlerinden demo talep edebilirsiniz.

    Kısaca şunu söyleyebilirim. Hiç gözünüzde büyütmeyin; Symantec NAC uygulamaları çok hızlı aktive edilebilmektedir. Özellikle SEP ortamı hazır ise, manager üzerinde bir upgrade ile tüm client’ların NAC bileşeni de aktiflenmiş olur. Appliance kurulumu ise oldukça basittir. 2 komut ile appliance SEP Manager’dan yönetilebilir hale gelmektedir. Esasen ürünün temel kurulumundan çok çevre bileşenler üzerindeki bilgi birikimi önemlidir. Örneğin, switch ve wireless 802.1x ayarları (ki bu markadan markaya değişen bir konudur), Radius sunucular (IAS ya da Cisco ACS gibi), Active Directory ve troubleshooting teknikleri gibi.
    Bu kısımlara hakim olmadan sağlıklı çalışacak bir NAC altyapısı kurmak çok zaman almaktadır.

    Yazıda da belirttiğim gibi iyi bir NAC ürünü bu değişik ortamların merkezinde, hepsini destekleyebilecek kapasitede olmalıdır.

    Selamlar

  6. Bekir tşkler. cvp için, ancak verdiğiniz link çalışmıyor, ayrıca eklemek istediği.m bir şey var symantec nac ürünleri symantec in end point security manager ürünü ile mi manage ediliyor, yani appliance cihazını bu software ilemi yönetiyoruz , tşkler..

  7. Rica ederim. Linki kontrol ettim, çalışıyor.

    Evet aynı arayüzden yönetilebiliyor. NAC ürünü ayrı lisanslandığından, sadece NAC ürününü aldığınızda aynı arayüzün NAC ile ilgili kısımları geliyor yalnızca.
    Symantec Endpoint Protection Manager kullanıcıları ise küçük bir upgrade ile SEP Manager’ın yanı sıra bütün SEP ajanlarında NAC’ı aktive ediyorlar.

    Selamlar

  8. selam tekrar, ürünü indirmeye başladım şimdi linkden symantec geçişte problem yaşamışım sadece linki kopyalayınca çalıştı,

    şimdi Symantec Endpoint Protection and Network Access Control 11.0.5 RU5 bu programı indiriyorum. ve symantec nac ürünü bu program la yönetim manage ediyorz deilmi,aldımız lisansa göre özellikler aktif oluyor, sadece nac bu programdan ibaret değil ayrıca bir cihaz olması lazım o cihazı bu proıgramla kurup manage ediyorz anladığım kadarıyla bütün bu işlemler gui arayüzünden yapılıyor, appliance kurulumu nasıl öğrenebilirim. bu kouda bir video yada döküman varmı. tşkler..


Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s

Kategoriler

%d blogcu bunu beğendi: