802.1x Protokolü

802.1x güvenli bir şekilde ağa bağlanmayı; ağ cihazları yardımıyla standartlaştıran protokoldür. 802.1x kablolu ağlar için geliştirilmesine karşın kablosuz ağlarda da kullanılmaktadır. IEEE 802.1x ‘in hedefi, yerel ağda (LAN) standart bir güvenli kimlik denetimi (authentication) sağlamaktır. IEEE 802.1x en az sayıda yönetici ek yüküyle çok daha geniş alanlara güvenli bir şekilde ulaşmamızı sağlar. Sunucular ve istemciler ancak kimlikleri doğrulandıktan sonra ağa oturum açabilirler. Oturumun başarılı bir şekilde açılabilmesi için kimlik sorgulamanın doğrulanması gerekir. Microsoft bazlı ağlarda sorgulama ekranı bilgisayar açılınca otomatik olarak açılır.
Eğer istemci bilgileri sunucu tarafından doğrulanırsa istediği ağ hizmetlerinden faydalanabilir (ağ yöneticisinin izni doğrultusunda) . Genelde bu tür kimlik doğrulama işlemleri e-posta, intranet ve diğer özel uygulamalarda kullanılır.
Bu istemci-sunucu arasındaki kimlik doğrulama işlemi ağ kaynaklarını korumak için kendini kanıtlamış bir metot olsa da; yetkilendirilmemiş girişleri engelleyen, tam bir ağ güvenlik mekanizması oluşturamamıştır. Bunun üzerine sağlayıcılar ağ tabanlı idari çözümler üretti(VLAN,ACL ve MAC locks gibi). VLAN, ACL, MAC locks gibi yöntemler etkili olmalarına karşın yönetici ihtiyaçlarına bağlı olarak kullanılırlar. Bu yöntemlerin her birinin tek avantajı olmasına rağmen sağlayıcılar sadece birini kullanırlar. 802.1x in var olan metotlarla kullanımı ağı çok daha güvenli bir hale getirmiştir.

802.1x mimarisinde üç temel öğe bulunur:

  1. İstemci (Supplicant, Station) : Kimlik sorgulaması yapılcak kişi
  2. Kimlik denetleyici (Authenticator) : istemciyle kimlik denetleme sunucusunun arasında bulunur. Ethernet anahtarlayıcı (Ethernet switch), Erişim noktası (Access Point)
  3. Kimlik denetleme sunucusu (authentication server): kimlik denetleme işlemini gerçekleştiren asıl sunucu.(Örnek: RADIUS Sunucusu)

802.1x ağla olan iletişimini; ortak anahtar kimlik doğrulaması(public key authentication), sertifika, bir seferlik şifre (one time password) gibi çoklu kimlik doğrulama metotlarını destekleyen EAP protokolü ile sağlar. EAP; 3.katmanın kullanılamadığı durumlarda 2.katmanı kullanarak kimlik doğrulaması yapmak için dizayn edilmiştir. Kimlik sorgulamasının güvenli olarak yapılmasını sağlayacak kadar paket taşır. Ayrıca diğer protokollerden farklı olarak kimlik doğrulama, kimlik denetleyici tarafından başlatılır. Kimlik denetleyicinin akıllı bir cihaz olmasına, denetlemeyi sağlayan algoritmayı anlamasına gerek yoktur. İşlemleri istemci ve sunucu yapar. Kimlik denetleyici; sunucu için hangi porta gidileceğini gösteren bir geçiş noktası (pass-through) özelliği taşır. Bu özelliğinden dolayı 802.1x, tipik olarak küçük ve hafızası az ve işlemci gücü düşük olan kablosuz erişim noktası (wireless access point) için idealdir. EAP’ ın farklı alanlarda kullanımı, güvenlik sorunu gibi nedenlerden dolayı EAP için birçok algoritma geliştirilmiştir. Bu algoritmalara göre EAP 6 alt bölüme ayrılır:
1. EAP MD5(Message Digest): EAP’ın en temel halidir. Kablosuz ağlarda şifrenin casino online açık gitmesinden dolayı önerilmez. Daha çok kablolu ağlarda kullanılır. Tek yönlü kimlik doğrulaması yapılır (one way authentication).
2. EAP-TLS(Transport Layer Security): İstemci ile ağ arasında sertifika temelli (certificate-based) , karşılıklı (mutual) kimlik doğrulama sağlar. Tam güvenliği sağlamak için hem istemci hem de sunucu sertifikası kullanılabilir. Bu sertifikalar dinamik olabilir. Dezavantajı sertifikaların yönetim gerektirmesidir. Çok geniş kablosuz ağlarda büyük sorunlar yaratabilir.
3. EAP-TTLS (Tunneled Transport Layer Security): Funk Software and Certicom tarafından EAP-TLS’in genişletilmişi olarak tasarlanmıştır. TLS’ten farklı olarak sadece sunucu bazlı sertifika kullanır ve doğrulama işlemini şifrelenmiş, güvenli bir tünelin (encrypted tunnel) içinden geçirerek yapar.
4. EAP-FAST (Flexible Authentication via Secure Tunneling): Cisco tarafından tasarlanan EAP-FAST; karşılıklı doğrulamayı serifika kullanmak yerine, sunucu tarafından dinamik olarak yönetilen PAC (Protected Access Credential) ile sağlar.
5. LEAP (Lightweight Extensible Authentication Protocol): Özellikle Cisco Aironet WLANs da kullanılan bir metottur. Data transferini her şifrelemede değişen WEP (wired equivalent privacy) anahtarı ile şifreler ve karşılıklı kimlik doğrulamayı sağlar. Bu mettotun lisansı halen Cisco’dadır.
6. PEAP (Protected Extensible Authentication Protocol): Microsoft, Cisco ve RSA Security nin geliştirdiği bir metottur. Kablosuz ağlarda güvenli bir şekilde kimlik doğrulama bilgilerini taşımak için eski şifrelemeye dayalı protokolleri (legacy password-based protocols) kullanan metottur. PEAP bu güvenli transferi istemci ile sunucu arasına kurduğu tünel ile sağlar. Aynı TTLS de olduğu gibi PEAP da kablosuz ağ istemcisinin sadece sunucu bazlı sertifika kullanarak kimliğini doğrular. Bu da yönetimsel olarak büyük bir kolaylık sağlar.

802.1x EAP Types

Feature / Benefit

MD5

(
Message Digest 5)
TLS

(
Transport Level Security)
TTLS

(
Tunneled Transport Level Security)
PEAP

(
Protected Transport Level Security)
FAST

(
Flexible Authentication via Secure Tunneling)
LEAP

(
Lightweight Extensible Authentication Protocol)
İstemci bazlı

sertifika

Yok Var Yok Yok Yok
(PAC)
Yok
Sunucu bazlı

Sertifika

Yok Var Yok Var Var
(PAC)
Yok
WEP anahtar

Yönetimi

Yok Var Var Var Var Var
Sağlayıcı MS MS Funk MS Cisco Cisco
Kimlik doğrulama şekli Tek yönlü Karşılıklı Karşılıklı Karşılıklı Karşılıklı Karşılıklı
Kullanım zorluğu Kolay Zor (istemci bazlı sertifika kullanılmasından dolayı) Orta kolaylıkta Orta kolaylıkta Orta

kolaylıkta

Orta

kolaylıkta

Kablosuz ağ güvenliği Zayıf Çok güvenli Güvenli Güvenli Güvenli Güvenli (Komplex şifreler kullanıldığında)

Ahmet Uncu – Şevket Gülhan

“802.1x Protokolü” için bir cevap

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir