IEEE 802.1x Nedir?
IEEE 802.1x, bağlantı noktası tabanlı veya port tabanlı ağ erişim kontrolü için kullanılan bir IEEE standardıdır. Başka bir deyişle LAN portuna bağlanmış kullanıcı bilgisayarlarının kimlik doğrulama yapılarak erişimine izin verilmesini sağlayan port tabanlı ağ erişim denetimidir.
Unutmadan söyleyelim, 802.1x’e bazı yerlerde dot1x’de denilir. Ayrıca IEEE’nin açılımı “The Institute of Electrical and Electronics Engineers” yani “Elektrik ve Elektronik Mühendisleri Enstitüsü”dür.
İşlemler OSI modelinin (Open Systems Interconnection Model) 2. Katmanında gerçekleştirilir. OSI referans modeli ile ilgili açıklamalara OSI MODELİ NEDİR? NE İŞE YARAR? isimli malamemizden ulaşabilirsiniz. Her bir kullanıcı bilgisayarı için bir port tanımlaması yapılır. Kullanıcılar da bir porttan LAN ağına dâhil olurlar.
IEEE 802.1x Neden Gereklidir?
Yerel ağların yani LAN (Local Area Network – Yerel Alan Ağları) ağlarının dinlenilmesinin engellenmesi veya istenmeyen yabancı kişilerin ağa bağlanmasının engellenmesi için kullanılır.
802.1x Nerelerde Kullanılır?
Hem kablolu hem kablosuz yerel ağlarda kullanılmaktadır.
802.1x Sistem Bileşenleri Nelerdir?
Sistem; kullanıcı bilgisayarı, access point (kablosuz erişim noktası) veya switch (anahtarlayıcı) gibi bir ağ cihazı ve kimlik doğrulama sunucusu olmak üzere 3 ana noktadan oluşur. Kullanıcı ağa dâhil olmak istediğinde kullanıcı adı / parola veya dijital sertifika gibi şeylerle kimlik doğrulama sunucusuna başvurur. Kullanıcının kimliği onaylanırsa erişim izni sağlanır ve ağ erişim izni verilir. Kimlik doğrulama başarısızsa o port kullanıcıya kapatılır veya yapılan ayara göre o port başka bir vlan’a aktarılır. Böylece ağ güvenliği sağlanmış olur.
802.1X Nasıl Çalışır?
IEEE 802.1X, EAPOL olarak da bilinir. EAPOL’ün açılımı “EAP over LANs” dır. Sistem 3 ana noktadan oluşur.
- Supplicant: Lan veya WLAN ağına erişmek isteyen bir kullanıcı bilgisayarı (client) veya bir bilgisayar üzerinde çalışan kullanıcı kimliği olan bir yazılım olabilir.
- Authenticator: Access Point (kablosuz erişim noktası) veya Switch (anahtarlayıcı) gibi bir ağ cihazı olabilir.
- Authentication Server: RADIUS ve EAP protokollerini destekleyen bir kimlik doğrulama sunucusudur.
Authenticator bir güvenlik görevlisi gibi çalışır ve LAN/WLAN ağını korur. Kullanıcının kimliği doğrulanana kadar korunan ağa erişim izni verilmez. Bu işlem havalimanında pasaport kontrolüne benzetilebilir.
802.1X port bazlı kimlik doğrulama sistemidir. Kullanıcı (supplicant), kullanıcı adı/şifre veya dijital sertifika gibi bir kimlik üretir. Daha sonra Switch veya Access Point cihazı (authenticator) kimliğin doğrulanması için bilgileri kimlik doğrulama sunucusuna (authentication server) gönderir. Kimlik onaylanırsa kullanıcının korunan network alanına erişimine izin verilir.
EAPOL, OSI referans modelinde veri bağı katmanının (data link layer) üstündeki ağ katmanında (network layer) çalışır.
Bu sistemde 802.1X-2001’e göre denetimli ve denetimsiz olmak üzere iki tür port vardır.
- Denetimli Port: 802.1X PAE (Port Access Entity) ile erişim kontrolünün yapıldığı porttur. Kimlik doğrulandığı zaman açılır, aksi durumda kapalıdır.
- Denetimsiz Port: Kimlik doğrulanması sırasında kullanılan trafiğine izin verilir.
802.1X-2004’e göre ise istemciler için eşit portlar bulunur. Bu port sistemi karşılıklı kimlik doğrulama (Mutual Authentication) sağlayan bir EAP ile birlikte kullanıldığında faydalı olabilir.
Çalışma Aşamaları:
- Switch veya Access Point gibi bir authenticator üzerinde herhangi bir portta yeni bir (supplicant) istemci tespit edilirse ilk başta bu port yetkisiz konumdadır (unauthorized state). Bu durumda 802.1X hariç diğer tüm trafikler drop edilir yani engellenir.
- Authenticator periyodik olarak “EAP-Request Identity frame” isteklerini gönderir. Tabiri caiz ise “Yok mu yeni katılan birileri?” diye sürekli sorar. Supplicant (istemci) ise dinleme halindedir ve bu mesajı alır almaz, cevaben, User ID kimlik bilgilerini içeren “EAP-Response Identity frame” mesajını gönderir. Yani “Ben varım!” der ve authenticator’e kimliğini verir. Authenticator bu mesajı kapsüller ve “RADIUS Access-Request packet” mesajı haline dönüştürür. Bu işleme “encapsulation” işlemi denir. Kapsüllenmiş “RADIUS Access-Request packet” mesajını kimlik doğrulama sunucusuna (authentication server) gönderir. Bu esnada istemci kimlik doğrulama işlemini EAPOL göndererek tekrar başlatabilir.
- Kimlik doğrulama sunucusu (authentication server) herhangi bir EAP yöntemini içeren kapsüllenmiş “RADIUS Access-Challenge packet” mesajını authenticator’e cevap olarak gönderir. Authenticator bu cevabı kapsüller ve EAPOL frame’i içerisinde istemciye (supplicant) iletir.
- Kimlik doğrulama sunucusu (authentication server) ile istemci (supplicant) hangi EAP yönteminin kullanılacağı konusunda anlaşmaya varırsa; sunucu “EAP-Success” mesajı (sunucuda kapsüle edilmiş RADIUS Access-Accept paketi) veya “EAP-Failure” mesajı (sunucuda kapsüle edilmiş RADIUS Access-Reject paketi) gönderene kadar EAP istek/cevap mesajları sunucu ile istemci arasında gönderilir. Kimlik doğrulama başarılı olursa authenticator port konumunu yetkilendirilmiş (authorized state) olarak ayarlar ve normal trafik akmaya başlar. Aksi takdirde kimlik doğrulama başarılı işlemi başarısız olursa authenticator port konumunu yetkilendirilmemiş (unauthorized state) olarak ayarlar ve istemcinin LAN veya WLAN ağına erişim reddedilmiş olur. Böylece oturumu kapatan istemci, authenticator’e “EAPOL-logoff” mesajını gönderir. Kapatılan porttan EAP trafiği haricindeki tüm trafiklerin erişimi engellenmiş olur.
“1- 802.1x Nedir?” üzerine 2 yorum
site çok iyi emeğiniz için teşekkürler takipteyim
Teşekkürler, faydalı oluyor ise ne mutlu bana…