Ağ Güvenliği - Erişim Kontrolü
Ağ erişim kontrolü, ağ kaynaklarının kullanılabilirliğini kuruluşun güvenlik politikasıyla uyumlu uç nokta cihazlarıyla sınırlandırarak özel bir kurumsal ağın güvenliğini artırmanın bir yöntemidir. Tipik bir ağ erişim kontrol şeması, Kısıtlı Erişim ve Ağ Sınır Koruması gibi iki ana bileşenden oluşur.
Ağ cihazlarına Kısıtlı Erişim, farklı kullanıcıların ağ sistemine tanımlanmasından ve kimliklerinin doğrulanmasından sorumlu olan kullanıcı kimlik doğrulama ve yetkilendirme kontrolü yoluyla elde edilir. Yetkilendirme, korunan bir kaynağa belirli erişim izinlerini verme veya reddetme sürecidir.
Network Boundary Protectionağların içine ve dışına mantıksal bağlantıyı kontrol eder. Örneğin, ağ sistemlerine yetkisiz erişimi önlemek için birden çok güvenlik duvarı kullanılabilir. Ayrıca, İnternet'ten gelen saldırılara karşı savunma yapmak için izinsiz giriş tespit ve önleme teknolojileri de kullanılabilir.
Bu bölümde, ağ erişimi için kullanıcı tanımlama ve kimlik doğrulama yöntemlerini ve ardından çeşitli güvenlik duvarı türlerini ve izinsiz giriş algılama sistemlerini tartışacağız.
Ağ Cihazlarına Erişimi Güvenli Hale Getirme
Ağdaki cihazlara erişimi kısıtlamak, bir ağın güvenliğini sağlamak için çok önemli bir adımdır. Ağ cihazları iletişim ve bilgi işlem ekipmanından oluştuğundan, bunlardan ödün vermek potansiyel olarak tüm ağı ve kaynaklarını çökertebilir.
Paradoksal olarak, birçok kuruluş sunucuları ve uygulamaları için mükemmel güvenlik sağlar, ancak iletişim sağlayan ağ cihazlarını temel güvenlik ile bırakır.
Ağ cihazı güvenliğinin önemli bir yönü, erişim kontrolü ve yetkilendirmedir. Bu iki gereksinimi karşılamak ve ağ güvenliğini daha yüksek seviyelere çıkarmak için birçok protokol geliştirilmiştir.
Kullanıcı Doğrulama ve Yetkilendirme
Ağ sistemlerine, özellikle ağ altyapı cihazlarına erişimi kontrol etmek için kullanıcı kimlik doğrulaması gereklidir. Kimlik doğrulamanın iki yönü vardır: genel erişim kimlik doğrulaması ve işlevsel yetkilendirme.
Genel erişim kimlik doğrulaması, belirli bir kullanıcının bağlanmaya çalıştığı sisteme "herhangi bir" türde erişim hakkına sahip olup olmadığını kontrol etme yöntemidir. Genellikle, bu tür bir erişim, o sistemde bir "hesabı" olan kullanıcıyla ilişkilendirilir. Yetkilendirme, bireysel kullanıcı "hakları" ile ilgilenir. Örneğin, bir kullanıcının kimliği doğrulandıktan sonra ne yapabileceğine karar verir; kullanıcı, cihazı yapılandırma veya yalnızca verileri görüntüleme yetkisine sahip olabilir.
Kullanıcı kimlik doğrulaması, bildiği bir şeyi (şifre), sahip olduğu bir şeyi (kriptografik jeton) veya olduğu bir şeyi (biyometrik) içeren faktörlere bağlıdır. Tanımlama ve doğrulama için birden fazla faktörün kullanılması, Çok faktörlü kimlik doğrulamanın temelini oluşturur.
Parola Tabanlı Kimlik Doğrulama
Minimum düzeyde, tüm ağ cihazlarında kullanıcı adı-şifre doğrulaması olmalıdır. Parola önemsiz olmamalıdır (en az 10 karakter, karışık harfler, sayılar ve semboller).
Kullanıcı tarafından uzaktan erişim durumunda, kullanıcı adlarının ve şifrelerin ağ üzerinden açık olarak aktarılmamasını sağlamak için bir yöntem kullanılmalıdır. Ayrıca, şifreler de makul bir sıklıkta değiştirilmelidir.
Merkezi Kimlik Doğrulama Yöntemleri
Bireysel cihaz tabanlı kimlik doğrulama sistemi, temel bir erişim kontrol önlemi sağlar. Bununla birlikte, ağda çok sayıda kullanıcının bu cihazlara eriştiği çok sayıda cihaz olduğunda, merkezi bir kimlik doğrulama yöntemi daha etkili ve verimli kabul edilir.
Geleneksel olarak, uzak ağ erişiminde karşılaşılan sorunları çözmek için merkezi kimlik doğrulama kullanılmıştır. Uzaktan Erişim Sistemlerinde (RAS), ağ aygıtları üzerindeki kullanıcıların yönetimi pratik değildir. Tüm kullanıcı bilgilerini tüm cihazlara yerleştirmek ve ardından bu bilgileri güncel tutmak bir yönetim kabusu.
RADIUS ve Kerberos gibi merkezi kimlik doğrulama sistemleri bu sorunu çözer. Bu merkezi yöntemler, kullanıcı bilgilerinin tek bir yerde depolanmasına ve yönetilmesine izin verir. Bu sistemler genellikle Microsoft'un Active Directory veya LDAP dizinleri gibi diğer kullanıcı hesabı yönetim şemalarıyla sorunsuz bir şekilde entegre edilebilir. Çoğu RADIUS sunucusu, normal RADIUS protokolündeki diğer ağ cihazlarıyla iletişim kurabilir ve ardından dizinlerde depolanan hesap bilgilerine güvenli bir şekilde erişebilir.
Örneğin, Microsoft'un İnternet Kimlik Doğrulama Sunucusu (IAS), cihaz kullanıcıları için merkezi kimlik doğrulama sağlamak üzere RADIUS ve Active Directory arasında köprü kurar. Ayrıca, kullanıcı hesabı bilgilerinin Microsoft etki alanı hesaplarıyla birleştirilmesini sağlar. Yukarıdaki diyagram, ağ öğelerinin bir Active Directory etki alanında kimlik doğrulaması için hem bir Active Directory sunucusu hem de bir RADIUS sunucusu olarak çalışan bir Windows Etki Alanı denetleyicisini göstermektedir.
Erişim Kontrol Listeleri
Birçok ağ cihazı, erişim listeleri ile yapılandırılabilir. Bu listeler, cihaza erişim için yetkilendirilmiş ana bilgisayar adlarını veya IP adreslerini tanımlar. Örneğin, ağ yöneticisi dışında IP'lerden ağ ekipmanına erişimi kısıtlamak tipiktir.
Bu, daha sonra yetkisiz olabilecek herhangi bir erişim türüne karşı koruma sağlayacaktır. Bu tür erişim listeleri önemli bir son savunma görevi görür ve farklı erişim protokolleri için farklı kurallara sahip bazı cihazlarda oldukça güçlü olabilir.