Icerik
- Kurumsal WiFi Guvenliginin Onemi
- WPA2/WPA3 Personal ve Enterprise Farki
- 802.1X ile Kimlik Dogrulama
- VLAN Segmentasyonu: Departman Bazli Ag Ayirma
- Misafir Agi ve Personel Agi Ayirimi
- Active Directory Entegrasyonu
- Kablosuz Ag Izleme ve Loglama
- Siber Saldiri Riskleri ve Onlemler
- Subgate Network ile Kurumsal WiFi Guvenligi
Gunumuzde kurumsal ortamlarda kablosuz ag kullanimi artik bir tercih degil, zorunluluktur. Dizustu bilgisayarlar, tabletler, akilli telefonlar ve IoT cihazlari gibi onlarca farkli donanim ayni anda kablosuz aga baglanmaktadir. Ancak bu yayginlik, beraberinde ciddi guvenlik risklerini de getirmektedir. Yetkisiz erisimlerin onlenmesi, ag trafiginin segmentasyonu ve kullanici bazli kimlik dogrulama, kurumsal WiFi guvenliginin temel taslarini olusturur.
Kurumsal WiFi Guvenliginin Onemi
Kablosuz aglar, kablolu aglarin aksine fiziksel bir sinir tanimaz. Bina disindaki bir kisi bile yeterli sinyal gucuyle kurumsal aga erismeye calisabilir. Bu durum, kurumsal WiFi guvenligini kablolu ag guvenliginden cok daha kritik bir konuma tasir.
Guvenli yapilandirilmamis bir kablosuz ag, kurumsal verilerin sizmasina, yetkisiz kullanicilarin ag kaynaklarina erisimesine ve yasal yukumluluklerin ihlal edilmesine neden olabilir. Ozellikle 5651 sayili kanun kapsaminda internet erisim loglarinin tutulmasi zorunlulugu dusunuldugunde, kimlik dogrulamasi yapilmayan bir kablosuz ag ciddi hukuki sorunlar yaratabilir.
WPA2/WPA3 Personal ve Enterprise Farki
Kablosuz ag sifreleme standartlarinda iki temel mod bulunur: Personal ve Enterprise. Her ikisi de veriyi sifrelese de, kimlik dogrulama yaklasimi temelden farklidir.
| Ozellik | Personal (PSK) | Enterprise (802.1X) |
|---|---|---|
| Kimlik Dogrulama | Ortak sifre (Pre-Shared Key) | Kullanici bazli (RADIUS) |
| Sifre Yonetimi | Tek sifre herkes icin | Her kullaniciya ozel kimlik bilgisi |
| Kullanici Takibi | Kim baglandi bilinemez | Her baglanti kullanici bazli kayit altinda |
| VLAN Atamasi | Desteklemez | Kullanici/grup bazli dinamik VLAN |
| Sifre Degisikligi | Tum cihazlarda guncellenmeli | Bireysel hesap bazinda yonetilir |
| Uygun Ortam | Ev, kucuk ofis | Kurumsal, egitim, saglik kurumlari |
Kurumsal ortamlarda Personal mod kullanmak ciddi guvenlik aciklarina yol acar. Ortak sifre paylasildikca kontrolden cikar ve eski calisanlar dahil herkes aga erismeye devam edebilir. Enterprise mod ise her kullanicinin kendi kimlik bilgileriyle dogrulanmasini saglayarak bu sorunu kokunden cozer.
802.1X ile Kimlik Dogrulama
802.1X, kablosuz aga baglanan her cihazin bir RADIUS sunucusu araciligiyla kimlik dogrulamasindan gecmesini saglayan standarttir. Kullanici, kablosuz aga baglanmak istediginde kullanici adi ve sifresini girer; Access Point bu bilgileri RADIUS sunucusuna iletir. Dogrulama basarili olursa kullanici aga kabul edilir.
Kullanici Cihazi
Access Point
RADIUS Sunucusu
Erisim Izni
Bu surecte EAP-PEAP veya EAP-TTLS gibi kimlik dogrulama protokolleri kullanilir. Sunucu tarafinda bir sertifika bulunur ve tum kimlik bilgileri sifrelenmis bir tunel icerisinde iletilir. Bu sayede kullanici bilgileri ag uzerinde acik sekilde iletilmez.
VLAN Segmentasyonu: Departman Bazli Ag Ayirma
Kurumsal WiFi guvenliginin en etkili yontemlerinden biri VLAN segmentasyonudur. VLAN (Virtual Local Area Network), fiziksel olarak ayni ag altyapisini kullanan cihazlari mantiksal olarak birbirinden ayirir. Bu sayede farkli departmanlar veya kullanici gruplari kendi ag segmentlerinde izole edilir.
802.1X kimlik dogrulama ile birlikte kullanildiginda VLAN atamasi dinamik hale gelir. RADIUS sunucusu, kullanicinin kimligine veya grup uyeligine gore uygun VLAN'i otomatik olarak atar:
- Yonetim departmani: VLAN 10 - tam ag erisimi
- Muhasebe departmani: VLAN 20 - finansal sistemlere erisim
- Teknik ekip: VLAN 30 - sunucu ve ag cihazlarina erisim
- Misafir kullanicilar: VLAN 50 - yalnizca internet erisimi
Bu yapilandirma sayesinde bir departmandaki guvenlik ihlali diger departmanlari etkilemez. Ag trafigi birbirinden izole edilir ve yatay yayilim (lateral movement) onlenir.
Misafir Agi ve Personel Agi Ayirimi
Kurumsal ortamlarda ziyaretcilere internet erisimi saglanmasi siklikla gerekli olur. Ancak misafir kullanicilarin kurumsal ag kaynaklarina erisimi kesinlikle engellenmeli, personel agindan tamamen ayri bir yapilandirma kullanilmalidir.
Bu ayirim icin en etkili yontem, misafir kullanicilari ayri bir SSID ve VLAN uzerinden yonlendirmektir. Misafir aginda Captive Portal ile kayit islemi yapilarak 5651 sayili kanun kapsamindaki loglama yukumlulugu de karsilanir. Personel agi ise 802.1X Enterprise kimlik dogrulamasiyla korunur.
Active Directory Entegrasyonu
Cogu kurumsal ortamda kullanici hesaplari Active Directory (AD) uzerinde yonetilir. Kablosuz ag kimlik dogrulamasini AD ile entegre etmek, calisanlarin mevcut kurumsal hesaplariyla WiFi agina baglanmasini saglar. Ayri bir kablosuz ag hesabi olusturmaya gerek kalmaz.
Active Directory entegrasyonunun sagladigi avantajlar sunlardir:
- Merkezi hesap yonetimi: Kullanici istendan ayrildiginda AD hesabi devre disi birakilir ve WiFi erisimi aninda kapanir.
- Grup bazli politikalar: AD grup uyeligine gore otomatik VLAN atamasi yapilir.
- Sifre politikalari: Kurumsal sifre karmasikligi ve suresi politikalari kablosuz ag icin de gecerli olur.
- Tek oturum acma (SSO): Windows domainine katilmis cihazlar otomatik olarak WiFi dogrulamasini tamamlayabilir.
Kablosuz Ag Izleme ve Loglama
Kurumsal WiFi guvenliginde yapilandirma kadar surekli izleme de buyuk onem tasir. Hangi kullanicinin ne zaman, hangi Access Point uzerinden aga baglandiginin kayit altinda tutulmasi hem guvenlik hem de yasal uyumluluk acisindan zorunludur.
Etkili bir kablosuz ag izleme sistemi su bilgileri kayit altina almalidir:
- Kullanici adi, MAC adresi ve IP adresi
- Baglanti baslangic ve bitis zamani
- Baglanti yapilan Access Point ve SSID bilgisi
- Basarisiz kimlik dogrulama girisimleri
- Kullanilan bant genisligi ve oturum suresi
Bu loglar syslog sunucusuna aktarilarak merkezi olarak saklanabilir. Anormallik tespiti icin belirli esik degerleri tanimlanabilir; ornegin ayni kullanici hesabiyla farkli lokasyonlardan es zamanli baglanti girisimi bir alarm olusturabilir.
Siber Saldiri Riskleri ve Onlemler
Kablosuz aglar, yapilari geregi cesitli siber saldiri turleri icin hedef olabilir. En yaygin tehditler ve alinmasi gereken onlemler sunlardir:
Evil Twin (Sahte Erisim Noktasi) Saldirisi
Saldirgan, kurumsal aga benzer bir SSID yayinlayarak kullanicilari kendi cihazina baglanmaya yonlendirir. Onlem: 802.1X ile sunucu sertifikasi dogrulamasi kullanilmasi ve Wireless Intrusion Detection System (WIDS) kurulmasi.
Deauthentication Saldirisi
Saldirgan, sahte deauthentication paketleri gondererek kullanicilarin baglantisini koparir. Onlem: WPA3 destegi ile Protected Management Frames (PMF) etkinlestirilmesi.
Credential Harvesting (Kimlik Bilgisi Toplama)
Zayif yapilandirilmis aglardan kullanici bilgileri ele gecirilmeye calisilir. Onlem: EAP-PEAP veya EAP-TTLS ile sifrelenmis tunel uzerinden kimlik dogrulama yapilmasi.
Subgate Network ile Kurumsal WiFi Guvenligi
Subgate Network, kurumsal kablosuz ag guvenligini tek bir platformdan yonetmenizi saglar. 802.1X Enterprise kimlik dogrulamasi, dinamik VLAN atamasi ve kapsamli loglama yetenekleriyle kablosuz aginizi uctan uca koruma altina alir.
Platformun kurumsal WiFi guvenligi icin sundugu temel ozellikler:
- 802.1X RADIUS destegi: EAP-PEAP ve EAP-TTLS ile guvenli kimlik dogrulama
- Active Directory entegrasyonu: Mevcut kullanici veritabaniyla sorunsuz calisma
- Dinamik VLAN atamasi: Kullanici ve grup bazli otomatik ag segmentasyonu
- Captive Portal: Misafir agi icin kayit ve yetkilendirme sayfasi
- Detayli loglama: Tum kablosuz ag baglantilarinin merkezi kaydi
- Syslog entegrasyonu: Loglarin merkezi syslog sunucusuna aktarimi
- Raporlama: Kullanici bazli baglanti gecmisi ve ag kullanim raporlari
Tum bu yapilandirmalar Subgate Network'un gorsel yonetim paneli uzerinden kolayca gerceklestirilebilir. Karmasik komut satiri islemleri gerektirmeden, kurumsal WiFi guvenliginizi en ust duzeye tasiyabilirsiniz.
Ilgili Yazilar
Ag Guvenliginizi Guclendirelim
Subgate Network ile 5651 uyumlu loglama, hotspot, 802.1X RADIUS ve MFA cozumlerini kesfet.
Iletisime Gecin