Cisco Network Admission Control (Ağ Erişim Kontrolü)

Cisco Network Admission Control (Ağ Erişim Kontrolü)

Network Admission Control (NAC) kurumlarca belirtilmiş güvenlik ilkelerini tüm ağa yaymak ve bu ilkelere uymayan son kullanıcıların ağa dahil olmasını engellemek/sınırlanmak için üretilmiş bir Cisco çözümüdür. NAC kullanımındaki amaç sadece güvenlik ilkelerine uyan ve giriş izni verilmiş kullanıcıların ağa dahil olmasını sağlamaktır. NAC ile ağ güvenliği 4 aşamada sağlanır:

  • Kimlik Doğrulama
  • Yetkilendirme
  • Güvenlik Taraması
  • İyileştirme

Cisco NAC ürünleri iki kategoriye ayrılır.

1 -) NAC Framework

Cisco ve 75 in üzerinde Cisco partnerlerinin bir platformda birbiriyle uyumlu ve koordineli olarak çalışmasına imkan sağlayan bir frameworktür. Ağdaki Cisco cihazlar ve 3. Parti ürünler ile Cisco NAC Policy Controller vasıtasıyla tüm ağın güvenliğine bir çözüm getirmiş olurlar.

2-) NAC Appliance

Cisco NAC Appliance (eski adıyla Cisco Clean Access) networklerde kurumlara kendi belirlerdikleri kurallar çerçevesinde uç nokta bağlantısı, iyileştime servisi ve kural yönetimi sağlayan bir cihazdır. NAC Appliance ın bir özelliği de Cisco olmayan ağlarda da kullanılabilmesidir.

AdsızCisco Nac Appliance

Nac Appliance’ın kapasitesi Nac Framework’e göre daha azdır fakat yönetimi ve kurulumu kolaydır. Cisco NAC Appliance 4 ana bileşenden oluşur.

  • Cisco NAC Appliance Server (NAS) Ağa erişim kontrolünü gerçekleştiren cihazdır. Layer 2 ve Layer 3 te sanal bir gateway olarak ya da IP gateway olarak ta ağa yerleştirilebilir. Ağa erişmeye çalışan cihazların ağa uyumluluğunu kontrol eder.
  • Cisco NAC Appliance Manager (NAM)
    Güvenlik ilkelerini oluşturmaya ve bağlı kullanıcıları yönetmeye imkan sağlayan web tabanlı bir arayüzdür. Kimlik doğrulama vekil sunucusu(authentication proxy) olarakta çalışabilmektedir. Kullanıcı rollerini belirlemede, uyumluluk kontrolünde ve iyileştirme için kullanılır. NAS ile iletişim halinde çalışır.
  • Cisco NAC Appliance Agent (NAA)
    İstemci tarafında çalışan bir agent’tır. Yüklü olduğu makinada registry ayarları servisler ve dosyaları tarayarak makinanın güvenilirliğini kontrol eder. Bu kontrol sayesinde kullanıcılara gerekli güncellemeleri yapmaya zorlayarak makinayı güvenlik ilkelerine uygun hale getirir.
  • Rule-set updates
    Gerektiğinde kullanıcılara iletilmek üzere güncel yamaların ve updatelerin tutulduğu yerdir.

NAC Appliance ile LAN içerisi, uzak bağlantı noktaları, kablosuz erişim noktaları v.b. tüm erişim noktalarında NAC konrolü sağlanır. Ağa dahil olan konuk kullanıcılar için de durum tesbiti sağlar. NAC Appliance ile

– Kullanıcıların ağdaki rolü belirlenir. Bu işlem kimlik denetimi esnasında gerçekleştirilir.

– Cihazların güvenlik ilkelerine uyumluluğu kontrol edilir. Bu aşamada işletim sistemi, kullanıcı rolü ve cihaz tipine göre ayrı ayrı güvenlik ilkesi uygulanabilir.

– Güvenliği uygun görülmeyen cihazları bloklayarak, izole ederek ve gerekli güncelleştirmelerin yapılmasını sağlayarak ağ güvenliği sağlanmış olur.

2

NAC Appliance ile kullanıcı ağa bağlanmak istediğinde bir login sayfasına yönlendirilir. Burada kimlik doğrulamasına tabi tutulur ve cihazın durumu incelenir. Eğer uygunsa ağa erişim izni verilir değilse gerekli yükleme ve iyileştirmelerin yapılabileceği bir vlan e yönlendirilir.

Ironport

IronPort; spam mailler, spy ve virüs yazılımlara karşı ağ güvenliği sağlamak amacıyla üretilmiş cihazlardır. Ironport bu güvenliği SenderBase adı verilen bir veri tabanı aracılığıyla sağlar. SenderBase bilgileri sayıları 100,000 in üzerinde olan ISP, kurum ve üniversiteler aracılığıyla elde eder. SenderBase veritabanı günde 5 milyarın üzerinde sorgu almaktadır. SenderBase internetteki herhangi bir e-mail sunucusu için 120 nin üzerinde parametre çalıştırır.

IronPort 3 seri cihazdan oluşmaktadır.

– C Serisi: Virüs ve spamlere karşı e-mail güvenliği sağlar

– S Serisi: Spy, virüs v.b. zararlı yazılımlara karşı web güvenliği sağlar URL filtrelemesi yapar.

– M Serisi: E-mail ve web güvenliği sağlar

Ironport serisi cihazlarda antispam koruması gelen maillerin nerden geldiği, içeriği, nasıl oluşturulduğu kontrol edilerekten yapılır.(Milyonda 1 hata oranı ile bu işlem gerçekleştirilir) Virüsler için de iki aşamalı koruma ünitesi gerçekleştirilir. İlk aşamada “Virus Outbreak Filters” ile yeni virüslere karşı filtreleme uygulanır. İkinci aşamada içerisinde virüs tanımlama ve imzalarının bulunduğu antivirüs programı yardımıyla tarama gerçekleştirilir. ( Cisco yeni virüs salgınlarına diğer çözümlerden 14 saat önce cevap verceğini iddaa ediyor. )

Ironport C serisi cihazlar network topolojisinde firewall ile groupware arasına yerleştiriliyor. Ironport’dan filtrelenerek geçen e-mailler buradan mail serverına yönlendiriliyor. Ağın web güvenliğini sağlamak için gelen data firewall’dan sonra ironport web security cihazlara yönlendirilerekten son kullanıcılara iletiliyor.

3

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir