802.1X RADIUS Nedir? Kablolu ve Kablosuz Ag Guvenligi

Kurumsal aglarda en kritik guvenlik sorularindan biri sudur: aga baglanan cihazin veya kullanicinin gercekten yetkili olup olmadigini nasil anlayabiliriz? Iste 802.1X standardi ve RADIUS protokolu, tam olarak bu soruya yanit verir. Bu rehberde, 802.1X kimlik dogrulamanin nasil calistigini, hangi ortamlarda kullanildigini ve kurumsal aglarda nasil uygulandigini adim adim inceliyoruz.

802.1X Standardi Nedir?

IEEE 802.1X, bir aga fiziksel veya kablosuz olarak baglanan her cihaz icin kimlik dogrulama mekanizmasi tanimlayan bir standarttir. Temel mantigi basittir: bir cihaz aga baglanmak istediginde, kimligini kanitlamadan hicbir ag kaynagina erisamez.

Bu surecte uc temel bilesin bulunur:

• Supplicant (Istemci): Aga baglanmak isteyen bilgisayar, telefon veya cihaz.
• Authenticator (Kimlik Dogrulayici): Switch veya kablosuz erisim noktasi (Access Point). Istemci ile RADIUS sunucusu arasinda kopru gorevi gorur.
• Authentication Server (Dogrulama Sunucusu): Genellikle bir RADIUS sunucusu. Kullanici bilgilerini kontrol ederek erisim izni verir veya reddeder.

RADIUS Protokolu Nasil Calisir?

RADIUS (Remote Authentication Dial-In User Service), istemcilerin kimlik bilgilerini merkezi bir noktadan dogrulayan protokoldur. Switch veya Access Point, kullanici bilgilerini RADIUS sunucusuna iletir; sunucu bu bilgileri Active Directory, LDAP veya kendi yerel veritabaninda kontrol eder.

Dogrulama basarili olursa RADIUS sunucusu bir Access-Accept yaniti gonderir. Bu yanitta VLAN atamasi, bant genisligi siniri veya erisim suresi gibi ek politikalar da yer alabilir. Basarisiz olursa Access-Reject yaniti doner ve cihazin aga erisimi engellenir.

Kablolu ve Kablosuz Aglarda Kullanimi

802.1X hem kablolu hem de kablosuz aglarda uygulanabilir. Her iki senaryoda da amac aynidir: aga baglanan her cihazin kimligini dogrulamak.

Kablolu Aglarda (802.1X Wired)

Yonetilen switch uzerinde her port icin 802.1X etkinlestirilir. Bir bilgisayar Ethernet kablosuyla baglandiginda, switch cihazi RADIUS sunucusuyla iletisim kurarak kimlik dogrulamasi yapar. Dogrulama tamamlanmadan port uzerinden hicbir trafik gecisine izin verilmez.

Kablosuz Aglarda (802.1X Wireless / WPA2-Enterprise)

Kablosuz aglarda 802.1X genellikle WPA2-Enterprise veya WPA3-Enterprise ile birlikte kullanilir. Ortak bir Wi-Fi sifresi yerine, her kullanici kendi hesap bilgileriyle aga baglanir. Bu yontem ozellikle kurumsal ortamlarda misafir agi ile calisanlar agini birbirinden ayirmak icin idealdir.

EAP-PEAP ve EAP-TTLS: Farklar

802.1X dogrulama islemi sirasinda kullanilan iletisim yontemine EAP (Extensible Authentication Protocol) denir. Farkli EAP turleri farkli guvenlik ve uyumluluk seviyeleri sunar. Kurumsal ortamlarda en yaygin kullanilan iki tur sunlardir:

VLAN Atamasi Nasil Yapilir?

802.1X'in en guclu ozelliklerinden biri, kimlik dogrulama sonucuna gore cihazi otomatik olarak dogru VLAN'a yonlendirebilmesidir. RADIUS sunucusu, basarili dogrulama yanitinda VLAN bilgisini de gonderir. Bu sayede:

• Muhasebe departmani calisan bir personel otomatik olarak VLAN 10'a,
• IT ekibi uyesi VLAN 20'ye,
• Misafir kullanici VLAN 50'ye yonlendirilir.

Bu yaklasim ag segmentasyonunu merkezi ve dinamik hale getirir. Switch uzerinde elle VLAN yapilandirmasi yapmak yerine, tum politikalar RADIUS sunucusundan yonetilir.

Active Directory / LDAP Entegrasyonu

Kurumsal ortamlarda kullanici hesaplari genellikle Active Directory (AD) veya LDAP dizin hizmetlerinde tutulur. RADIUS sunucusu bu dizinlerle entegre calisarak kullanicilarin mevcut kurumsal hesaplariyla 802.1X dogrulamasi yapabilir.

Bu entegrasyonun avantajlari sunlardir:

• Tek hesap yonetimi: Kullanicilar icin ayri bir RADIUS hesabi olusturmaya gerek kalmaz.
• Grup bazli politikalar: AD gruplarina gore farkli VLAN veya erisim kurallari tanimlanabilir.
• Anlik degisiklik yansimasi: Bir kullanici AD'den devre disi birakildiginda 802.1X erisimi de otomatik olarak kapanir.

MAC Bypass Ne Zaman Kullanilir?

Her cihaz 802.1X destegi sunmaz. Ag yazicilari, IP kameralar, IoT sensorsler ve bazi ozel donanimlar EAP istemcisi calistiramazlar. Bu tur cihazlar icin MAC Authentication Bypass (MAB) devreye girer.

MAB'de cihazin MAC adresi, RADIUS sunucusuna kullanici adi ve sifre olarak gonderilir. Sunucu, tanimli MAC adreslerini kontrol ederek cihaza erisim izni verir.

Karantina VLAN Kavrami

802.1X dogrulamasinda basarisiz olan veya tanimlanmayan cihazlar tamamen engellenmek yerine bir karantina VLAN'ina yonlendirilebilir. Bu VLAN genellikle sinirli erisim saglar:

• Yalnizca RADIUS kayit sayfasina veya kurumsal yardim masasina erisim,
• Internet erisimi olmadan yalnizca guncelleme sunucularina baglanti,
• Gerekli yazilim veya sertifika yuklenmesi icin yonlendirme sayfasi.

Karantina VLAN, ozellikle BYOD (Bring Your Own Device) politikasi uygulayan kurumlarda cok faydalidir. Calisanlarin kisisel cihazlari once karantina VLAN'inda kontrol edilir, uyumluluk saglandiktan sonra kurumsal aga yonlendirilir.

Subgate Network ile 802.1X Kurulumu

Subgate Network, 802.1X Enterprise RADIUS dogrulamasini EAP-PEAP ve EAP-TTLS destesiyle birlikte sunar. Active Directory ve LDAP entegrasyonu sayesinde mevcut kullanici veritabaninizi dogrudan kullanabilir, VLAN atamasini merkezi olarak yonetebilirsiniz.

Platformun sundugu temel yetenekler sunlardir:

• EAP-PEAP (MSCHAPv2) ve EAP-TTLS destegi
• Active Directory ve LDAP uzerinden kimlik dogrulama
• Kullanici ve grup bazli dinamik VLAN atamasi
• MAC Authentication Bypass (MAB) destegi
• Karantina VLAN yonlendirmesi
• Kablolu ve kablosuz aglar icin tek merkezden yonetim
• Detayli RADIUS loglama ve raporlama

Tum bu ozellikler, Subgate Network'un tek panelinden yapilandirilabilir. Kurulum icin karmasik komut satiri islemlerine gerek kalmadan, gorsel arayuz uzerinden switch ve Access Point entegrasyonlarinizi tanimlayabilirsiniz.