NPS Network Policy Server Nedir?
Windows Sunucular üzerinde bulunan, domain kullanıcı adı parola doğrulaması yapmayı sağlayan erişim servisidir. Temel bir NAC olarak kullanılabilecek yetkinliğe sahiptir. Oluşturulan kurallar, ağa bağlanan kullanıcı bilgisayarlarının sağlık durumlarını, kullanıcı bilgilerini ve erişim yetkilerini, kullanılan protokoller aracılığıyla kontrol eder.
NAC teknolojilerinin uygulanabilirliği için AAA Server’lara ihtiyaç duyulmaktadır. Bu işlevleri yerine getirirken Radius protokolünü kullanır.
AAA Nedir?
1. Client PC ağa katılmak için Access Point’e istekte bulunur.
2. Access Point client’tan gelen isteği switche iletir.
3. Switch ilgili isteği NPS’e iletir.
4. NPS, AD’ye kulanıcı bilgilerini iletir ve domainde olup olmadığının sorgusunu yollar.
5. AD, NPS’e kullanıcının domainde olup olmadığının bilgisini döner.
6. NPS, AD’den gelen bilgi doğrultusunda; client’ın ağa katılmasına izin verir ya da vermez.
Burada işleyen süreç, Radius yardımı ile sağlanan ve switchin üzerinde konfigürasyonun yapılması ile hayata geçen, clientın verdiği bilgilerle doğrulanan bir süreçtir.
Kablolu bağlantı sağlanırken de yukarıdaki gibi bir süreç işler. Bu işlemler yapılırken Windows sunucular ve bilgisayarlar için ekstra bir servisin açılması gerekmektedir.
İlgili servis açıldı, bilgisayara kablo takıldı ve bağlantı aktif hale getirildi. Bağlı cihaz, ağda bir cihazın bağlandığını bildirir. Bağlı switch veya router, EAP Identity talebinde bulunur. Bu Identity talebine cevaben response kullanıcı bilgisayarı tarafından çıkıyor. Yanıt, RADIUS sunucusuna iletilir ve işlem tamamlanır.
Active Directory Authentication Server Mıdır?
Burada yaygın bir yanlışı düzeltmek gerekiyor. Active Directory bir Authentication Server değildir. İşlem yapmak için bir alan değildir. Bilgileri üzerinde tutmak için kullanılan bir depolama alanıdır.
Active Directory, Authentication Server olarak çalışmaz; yalnızca kullanıcı adı ve parola bilgilerini depolar. Bir RADIUS sunucusu, Active Directory’ye gelen istekleri ileterek doğrulama veya reddetme işlemi yapar. RADIUS, bilgileri kontrol ettikten sonra onay verirse “success” döner ve portu açar. Onay vermezse “fail” döner ve port yetkisiz duruma düşer. Ayrıca, karşı taraf işlemi bitirip bağlantıyı kestiğinde, sistem logoff işlemiyle portu tekrar yetkisiz duruma getirir.
NAC ile Ağ Güvenliği 4 Aşamada Sağlanır;
1. Kimlik Doğrulama: Kurum çalışanları bağlanırken bir kimlik doğrulamaya maruz bırakılıyor, yani kullanıcının kim olduğunu tanımlamak için kimlik atamak gerekir. Kullanıcı bilgilerini üstünde tutan Active Directory gibi sistemlerle NAC teknolojisini entegre ediyoruz. NAC entegre edildiğinde kullanıcı, gelen portal ya da authentication pay üzerinden bilgileri ile giriş yapıyor. User Active Directory üzerinde ekliyse networke dahil edilebiliyor. Değilse networkten atılabiliyor.
2. Yetkilendirme: Networke dahil olma kısmı yetkilendirmeye giriyor. Hangi switche dahil olması gerektiğini seçebiliyoruz.
3. Güvenlik Taraması: Kimlik doğrulandığında ve yetkilendirme yapıldıktan sonra cihazlar üzerinde güvenlik taraması başlatılır. Güvenlik taraması, kullanılan ürüne bağlı olarak çeşitli öğeleri kontrol eder. Örneğin, Windows 10 veya Windows 7 makinelerde, AVG antivirüs programının yüklü ve güncel olup olmadığı kontrol edilebilir. Geçemezse iyileştirme vlanına alıyoruz.
4. İyileştirme: Kısıtlı bir erişim veriliyor, örneğin windowsu güncel değil. Sadece windowsu güncelleyebileceği servislere erişim veriliyor. Windowsu güncelledikten sonra hangi alanda yetkilenecekse o yetkiyi almasını sağlıyoruz.
802.1x Nedir?
Şimdiki nac teknolojileri daha pratikleşti ama eskiden port kontrolünü sağlayan 802.1x idi. 802.1X ile kullanıcı, MAC adresiyle doğrulama işlemine tabi tutulabilir.
802.1X yapılandırıldığında, kullanıcıların kimlik doğrulaması gereklidir. Bu doğrulama işlemi için yaygın olarak kullanılan teknoloji RADIUS’tur. 802.1X konfigürasyonu yapmak için bir RADIUS sunucusu gerekir. Microsoft ortamlarında, NPS (Network Policy Server), LDAP sunucusu üzerinde çalışan bir RADIUS sunucusu olarak görev yapar.
NPS, kimlik doğrulama mekanizmasını yönetir ve ağ cihazları (örneğin switch’ler) ile entegre çalışır. 802.1X doğrulama isteği geldiğinde, NPS bu isteği işler ve LDAP entegrasyonu sayesinde kullanıcının kimliğini doğrular. Başarılı bir doğrulama sonrasında, kullanıcı ilgili VLAN’a atanır.
802.1X, hem kablolu hem de kablosuz ağlarda çalışır ve RADIUS sunucusu ile entegre olur. Kullanıcılar Wi-Fi ağına bağlanırken kullanıcı adı ve parola girerek kimlik doğrulaması yapar. Bu yöntemde, sistem WPA2-PSK (Pre-Shared Key) yerine kimlik tabanlı doğrulama yapar.
Domain kullanıcı adı ve parolası ile giriş yapıldığında, sistem kullanıcının yetkisini kontrol eder. Yetkili olmayan bir kullanıcı giriş yaparsa, sistem otomatik olarak misafir subnetine yönlendirir.
Kablosuz ağlarda hâlâ yaygın olarak 802.1X kullanılırken, kablolu ağ tarafında bazı alternatif çözümler de mevcuttur.
Yorum Gönder