Şirketlerin Kablosuz erişim konusunda performans ve güvenlik ihtiyaçları belirlenmiştir. Son alınan laptop cihazlarının wireless adaptörlerinin 802.11 serisi yeni teknolojisileri desteklemesi ve mevcut yapılarda kullandığımız AP cihazlarının bu teknolojiyi desteklememesinden ötürü AP cihazlarının 802.11serisi yeni teknolojilere geçilmesi gerekmektedir. Bu sayede yöneticilerimizin kullandığı MAC cihazları ve son alınan laptop cihazlarının performans ve kopma sorunları tamamen ortadan kaldırılmış olacaktır.
802.11 Kablosuz Standartları ;
Yeni bir WiFi Standardı ;
Çok kullanıcılı uygulamalara daha fazla kablosuz hız ve güvenilirlik sağlamak için, yeni bir WiFi standardı - IEEE 802.11ax - ağ aşırı kullanımıyla ilgili hayal kırıklığını hafifletecek şekilde ayarlanmıştır. Bir çok insanın aynı anda daha yüksek hız ve daha az bağlantı sorunları ile aynı anda olması için 10G hız yetenekleri sunacaktır.
Bu yeni WiFi standardının amacı, kullanıcı başına ortalama iş hacmini mevcut WiFi standardıyla karşılaştırıldığında en az dört kat daha yüksek bir faktörle iyileştirmektir: IEEE 802.11ac.
IEEE 802.11ax şu anda
geliştirilmekte olup, Haziran 2019'da tamamlanmış olması beklenmektedir.
Hedeflenen Şirketlerin normal kullanıcı portföyü için daha güvenli daha performanslı kullanımını ve misafir kullanıcılarının sisteme bağlanırken daha güvenli bir şekilde bağlanmasını sağlayacak altyapının kurulmasıdır. Bu kapsamda kullanıcılar daha güvenli teknoloji olan domain kullanıcı adı ve şifresi ile bağlantıyı sağlayan 802.1x teknolojisi ile sisteme bağlanmasının sağlanması, misafir tarafında da hotspot çözümleri ile daha güvenli bir bağlantı sağlanmış olacaktır.
- Kullanıcıya özel bandwidth sınırlaması uygulanabilir. (veya kullanıcı türüne özel hız kısıtlanabilir.)
- Kullanıcı tipine özel QoS rolü yaratılabilinir. (örnek olarak kullanıcı1’in oluşturduğu paketler kullanıcı2’den daha öncelikli değerlendirilebilinir.
- Aynı vlan’dan olan kullanıcıların birbirlerine yapacakları olası network saldırılarında, trafik controller üzerinden geçtiği için üzerinde bulunan firewall ile bu ataklar engellenir.
Aruba Clearpass
Clearpass misafir kullanıcıları üzerinde portal ve SMS bağlantısı ile bağlantı seçenekleri vermektedir. Örnek senaryo olarak sistemde misafir bir kullanıcı şirkete geldiğinde “guest” SSID’sine bağlanır, normal bir browser açtığında şirket tarafından talep edilen bilgileri (ad, soyad, telefon numarası, T.C. kimlik no, vs..) bu ekrana girer, geldiği şirketteki sponsoru onay verir ise sonrasında kendisine şifre gelir ve bu şifre ile kendisine uygulanan kurallar sonucunda sisteme girişi gerçekleşir. Eğer onay verilmez ise sisteme girişi engellenir. Bu sayede hiçbir dış etken olmadan güvenli bir şekilde kullanıcı sisteme dahil olur.
Ayrıca bu sistem bir NAC (Network Access Controller) görevi de görmektedir. Cihazlara kurulacak bir agent ile sistem cihazı algılayıp istediğimiz politikalara göre (windows update güncel değil ise, antivirüsü güncel değil ise v.s.) sisteme erişimini kısıtlayabiliriz. Agent olmayan makina şirket dışı makina diye algılayıp ya guest networküne yada sisteme girişi engellenebilir.
Güvenlik
Aruba Networks, firewall özelliğine sahip olan controller ile sistemi kontrol etmeyi önermektedir. Diğer sistemlerden farklı olarak herhangi bir kullanıcının yarattığı trafiğin gideceği nokta, ister dışarı yönlü olsun, isterse aynı vlan’daki bir kullanıcıya doğru olsun, bağlandığı AP üzerinde decrypt olmadan controller’a geçer ve oradan hedefe gönderilir. Bunun iki faydası vardır:
1) AP üzerinde decrytp ve encrypt yapılmaz, bu AP’nin üzerinde trafik birikmesini ve AP’ye bağlanan kullanıcıların bağlantı hızlarını düşürmez.
2) Tüm trafik controller üzerinde belirtilen kurallar üzerinden geçeceği için istenilen seviyede (url filtering harici) güvenlik sağlanmış olur.). Kontrol açısından da aşırı trafik oluşturan kullanıcı sistem üzerinde takip edilebilir.
RF Manager konusunda;
Spectrum Analyze uygulaması ile binada ve etrafında bulunan ve Aruba’ya ait olmayan SSID’ler belirlenir, sinyal türleri sıralanır ve admin’e bu rapor olarak sunulur. ve isteğe göre SSID’yi yayan cihaza ve buna bağlanmaya çalışan client’a deassosiation paketi gönderilerek kullanıcıların belirlenen AP’ye bağlanması engellenir.
Güvenlik konusunda bir diğer çözüm ise AP’e yapılacak saldırıların önlenmesidir. Burada sistem bir kullanıcıdan bir AP’ye gelen fazla sayıda auth. isteğini görür, belirli bir sayıyı aştığında kullanıcıyı sistem içindeki blacklist’e atar, yani kullanıcı artık doğru hesap bilgilerini yazsa bile sisteme bağlanamaz. Sistem admini isterse kullanıcıyı belirli süre blacklist’te tutar, isterse blacklist’ten manuel olarak çıkarabilir. Bu konu sadece Aruba ürünlerinde vurgulanmıştır.
Önemli olan bir diğer konu da, şirketlerimizde hızlıca artmaya başlayan mobil kullanıcılardır. Cep telefonları ve tabletler wireless sisteme dahil olmaya başlamaktadır. Bu, hangi yazılımlara sahip oldukları bilinmeyen cihazların network’e erişimi demektir. Bu konuda en ayrıntılı çözümü Aruba Networks sunmuştur. Belli başlı OS’e sahip olan mobil cihazlar (Android, Apple OS, vb..), işletim sistemleri olarak controller üzerinde mac adresine kadar görülebilmektedir. Buna ek olarak belirli OS’e sahip olan cihazlara da controller üzerinde policy yazılabilmektedir. Bu sayede örnek olarak sisteme bağlanacak olan iPhone veya iPad cihazı, bu tür cihazlara atanan kurala düşecek ve hangi kullanıcı olursa olsun, bu kurallar ile wireless sistemini kullanabilecektir. Özellikle şirketin sahip olmadığı cihazların günümüzde ve yakın gelecekte wireless sistemi yolu ile şirket ağımıza bağlanmaya başladığı ve bu sayının geometrik artış gösterdiği göz önüne alındığında güvenlik açısından çok önemli bir özellik olduğu anlaşılmaktadır. Diğer firmaların ürünlerinde bu özellik görülmemektedir.
Comments
Post a Comment