IEEE 802.1X

IEEE 802.1x, bağlantı noktası tabanlı ağ erişim kontrolü için kullanılan bir standarttır ve 802.1 protokol grubunun bir parçasıdır. Bir kablolu (LAN) veya kablosuz (WLAN) ağa dahil olmak isteyen istemci cihazlara kimlik doğrulama mekanizması sağlar.

IEEE 802.1X, "LAN üzerinden EAP" (EAPOL) olarak bilinen IEEE 802.11 üzerinde Genişletilebilir Kimlik Doğrulama Protokolü (EAP) kapsüllemesini tanımlar. EAPOL, 802.1x-2001 içerisinde IEEE 802.3 Ethernet için tasarlanmıştır ancak 802.1x-2004 içerisinde Fiber Distributed Data Interface (ISO 9314-2) ve IEEE 802.11 wireless gibi diğer IEEE 802 LAN teknolojilerine de uygun hale getirilmiştir. EAPOL'nün 802.1x-2010 3 Ağustos 2021 tarihinde Wayback Machine sitesinde arşivlendi. sürümü ayrıca yerel LAN üzerinden noktadan noktaya şifreleme için IEEE 802.1AE (“MACsec”) ve kimlik tespit hizmetine destek vermek için IEEE 802.1AR (Secure Device Identity, DevID) ile birlikte kullanılacak şekilde güncellenmiştir.

Genel bakış[değiştir | kaynağı değiştir]

802.1x kimlik doğrulamada üç taraf vardır: istek sahibi, kimlik denetleyici ve doğrulama sunucusu.

İstek sahibi, bir ağa bağlanmak isteyen kullanıcı cihazıdır (taşınabilir bilgisayar veya akıllı telefon gibi). Terim aynı zamanda kullanıcı cihazında çalışan ve Kimlik Denetleyici'ye erişim bilgilerini sağlayan yazılımlar için de kullanılabilir.

Kimlik denetleyici, Ethernet erişim anahtarı (switch) veya kablosuz ağ ulaşım noktası (AP) gibi bir ağ cihazıdır.

Doğrulama sunucusu ise RADIUS ve EAP protokollerini destekleyen yazılımı çalıştıran bir sunucudur. Son ikisi bazen aynı cihaz da olabilir.

802.1x başlarda kablolu yerel ağlarda kullanılmak üzere tasarlanmış ancak son zamanlarda kablosuz yerel ağların daha çok kullanılmasıyla popülerlik kazanmıştır.Bu durumda yani hem kablolu hem kablosuz yerel ağlarda kullanılıyor olması fazladan birçok gereksinim doğurmuştur.

İstemci ve sunucu tarafından kimlik doğrulama işlemine yardımcı olacak programların kurulu olması ve bunların işletim sistemlerince desteklenmesi gerekir. Windows İşletim Sistemi'nin güncel sürümleri varsayılan olarak tüm ağ bağlantıları için 802.1X'i destekler. Ayrıca kullanılan erişim anahtarlarının (switch), erişim noktalarının (AP) ve ağ kartlarının (NIC) 802.1x destekli olması da gerekir.

802.1x düğümden düğüme bağlantılara sahip LAN portuna bağlanmış cihazların kimlik doğrulama yapılarak erişimine izin verilmesine imkân sağlar. OSI'nin 2. katmanı, denetimli kablolu veya kablosuz bir yerel ağa bağlanmak için kullanıcıların kimliklerini doğrulamalarını gerektirir. Ağın dinlenebilir olması ağın herkes tarafından erişilebilir olması durumudur. Bu durumdan kurtulmak için kimlik kanıtlaması yapılabilir. Her bilgisayar için belirli bir port tanımlanır. Kullanıcılar da bir porttan ağa dahil olurlar diğer portlardan da ağ dinlenebilir ancak verilerden anlamlı bir şey çıkartılamaz. Böylece ağın dışındaki bir bilgisayarın veri göndermesi için kimlik kanıtlaması yapılır. Ağın içindeki ve dışındaki bilgisayar yine de haberleşebilir ancak dışarıdaki bilgisayarlar ağı dinleyemezler. Kullanıcı doğrulama: MAC adresi, switch port, harici bir yetkilendirme politikası ile sağlanır. Ağa kimin, hangi hakla gireceğinin belirlenmesi, denetlenmesi ve yetkilendirilmesi ağ tabanlı erişim kontrolü olan NAC tarafından belirlenir.

Kimlik doğrulama, korumalı ağda güvenlik görevlisi gibi hareket eder. İstek sahibinin kimliği doğrulanana ve yetkilendirilene kadar ağın korumalı tarafına kimlik doğrulama izni verilmez. Örnek vermek gerekirse, ülkeye giriş için izin verilmeden önce havaalanında geçerli bir vize sağlanmaktadır. 802.1x bağlantı tabanlı kimlik doğrulama ile, istek sahibi, kimlik için kullanıcı adı / parola veya dijital sertifika gibi belgeler sağlar ve doğrulama için kimlik doğrulama sunucusuna belgeleri iletir. Eğer ki kimlik doğrulama sunucusu, belgelerin geçerliliğini belirlerse, ağın korumalı tarafında yer alan kaynaklara erişime izin verilir.

En kötü kimlik kanıtlama olarak düşünülen MAC'e göre kısıtlama yapmaktır. Böyle bir kısıtlama yapıldığında güvenli bir kimlik kanıtlama olmaz çünkü makinaların MAC adresi değişebilir. MAC adresine göre kısıtlama yapıldı ve ağın dışındaki biri MAC adresini değiştirilip ağa girdiğinde ağı dinleyebilir.

802.1x in yararları[değiştir | kaynağı değiştir]

Güvenlik sağlıyor. Ağda olmayan hiçbir cihaz ağı dinleyemiyor. Ağda port tabanlı kullanıcı doğrulayabilmek,herhangi bir kullanıcıya ya da gruba ağa erişim politikaları uygulamaya olanak tanır. Kimlik doğrulama ve yetkilendirme başarısız ise o port erişime kapatılır ve bu sayede yerel ağ altyapısı korunmuş olur. Ancak dikkat edilmesi gereken bir husus da 802.1x sadece kimlik denetimini tanımlar kimlik doğrulaması başarıyla yapılma aşamasından sonra veri trafiğinin güvenliği konusunda hiçbir şey yoktur.

Birçok mekanizma sağlıyor. Şöyle ki 802.1x standardı ağ sistemleri üreticilerinin ağa erişimini port seviyesinde denetleyen mekanizmalar oluşturmasını sağlamıştır. Ağın yönetimini hantallıktan kurtarmış, akıcılık kazandırmıştır.

802.1x port tabanlı ağ erişim denetimi nasıl yapılır[değiştir | kaynağı değiştir]

Kablosuz bir yerel ağda kablosuz Erişim Noktası (AP)'na erişerek, kablolu yerel ağda ise Erişim Anahtarı (switch)'na erişilerek yapılır. Kullanıcının kimliği doğrulanırsa bağlandığı port açılır ve ağa erişimine izin verilir. Eğer kimlik kanıtlaması doğrulanmaz ise port kapatılır böylece ağa erişim engellenir. Bu işlem için 2 port kullanılmaktadır:

• Denetimsiz port : Bu port üzerinden sadece kimlik doğrulanması sırasında kullanılan kimlik bilgilerinin değiş tokuşunu sağlayan mesaj trafiğine izin verilir.
• Denetimli port : Bu port ise sadece kimlik doğrulandığı zaman açılır.

802.1x'in bileşenleri[değiştir | kaynağı değiştir]

1. PAE[değiştir | kaynağı değiştir]

Açılımı Port Access Entity'dir. Kimlik doğrulama ile ilgili algoritmaları ve protokolleri idare eder. Hem istemci hem de kimlik denetleyici bu PAE'e sahiptir.

İstemci PAE'si: İstemcinin kimlik bilgilerini istemciye göndermekle görevlidir.

Kimlik Denetleyici PAE: İstemciden kimlik bilgilerini ister ve bilgileri kimlik doğrulama sunucusuna gönderir. Ayrıca denetimli portun yetkili veya yetkisiz konumunu denetler.

2. İstemci[değiştir | kaynağı değiştir]

Ağa bağlanmak isteyen bir aygıttır. Kablosuz dizüstü bilgisayar, avuçiçi bilgisayar veya bir masaüstü bilgisayar olabilir.

3. Kimlik Denetleyicisi[değiştir | kaynağı değiştir]

Bir kablosuz erişim noktası ya da bir anahtarlama cihazı olabilir. Kimlik doğrulama sunucusu ile istemci arasında bilgi trafiğinin taşınmasını sağlayan bir ara cihaz gibi çalışır.

4. Kimlik Doğrulama Sunucusu[değiştir | kaynağı değiştir]

Kimlik doğrulama, izin verme ve hesap tutma işlemlerini yapar. İstemcinin kimliğine bakarak servislere erişip erişmeyeceğini kontrol eder ve onaylar.

Protokol çalışması[değiştir | kaynağı değiştir]

EAPOL, veri bağlantı katmanının üstündeki ağ katmanında çalışır ve Ethernet II çerçeve protokolünde, bir 0x888E EtherType değerine sahiptir.

Bağlantı nesneleri[değiştir | kaynağı değiştir]

802.1X-2001, kimliği doğrulanmış bir bağlantı noktası "kontrollü bağlantı" ve "kontrolsüz bağlantı" için iki mantıksal bağlantı noktası tanımlar. Kontrollü bağlantıya, giriş çıkıştaki ağ trafiğine engel olmak ya da izin vermek için, 802.1X PAE tarafından kontrollü bağlantı manipüle edilir. Kontrolsüz bağlantı ise 802.1X PAE tarafından, EAPOL çerçevelerini göndermek ya da almak için kullanılır.

802.1X-2004, istek sahibi için eşit bağlantı nesneleri tanımlar; Örneğin, kimlik doğrulama başarıyla tamamlanmazsa, istek sahibinin uyguladığı 802.1X-2004, kullanılan yüksek seviyeli protokolleri engelleyebilir. Bu karşılıklı kimlik doğrulamayı sağlayan bir EAP metodu kullanıldığında oldukça yararlıdır. Örneğin, yetkisiz bir ağa bağlanıldığında, istek sahibi, veri sızıntılarını önleyebilir.^[1]

Kaynakça[değiştir | kaynağı değiştir]

Dış bağlantılar[değiştir | kaynağı değiştir]

• 802.1X-2004 - Port Based Network Access Control
• 8021xteknolojisi 29 Haziran 2013 tarihinde Wayback Machine sitesinde arşivlendi.
• çomü 29 Mayıs 2013 tarihinde Wayback Machine sitesinde arşivlendi.