Erişim noktası kontrolörü

Erişim Noktası (accespoint) kablosuz ağ sistemi içerisinde hizmet Takımı tanıtıcısının(Ssid) Yayınlandığı Donanım cihazdır. Erişim Noktası cihazları farklı teknolojide birçok özellik barındırmaktadır günümüzde, bir erişim Noktası cihazına ortalama 40-50 Kullanıcı anlık olarak erişim sağlayabilmektedir. Kullanıcıları kablosuz ağ sistemine dâhil olabilmeleri için erişim Noktası cihazı üzerinde yayınlanan Ssid bilgisayar, tablet, akıllı cihazlar vasıtası ile erişim isteğinde bulunarak kablosuz ağ sistemine dâhil olabilmektedir.

Erişim Noktası kontrolürü, üniversite içerisinde yer alan erişim Noktası cihazlarının tamamını kontrol etmek, yönetmek, raporlamak ve erişim Noktası cihazlarına sisteme Bağlantı isteği iletildiği zaman 802.1x standardın’da kablosuz ağ kapsamı içerisinde hangi Yapılandırmadan etkileneceğini belirttiğimiz donanım cihazdır. Kablosuz ağ sistemi içerisinde üniversite de mevcut olarak kullanılan 250 ‘nin üzerinde erişim Noktası cihazı bulunmaktadır erişim noktası kontrolü yönetimi sayesinde erişim Noktası kontrolür cihazı üzerindeki yapılan konfigürasyondan tüm erişim Noktası cihazları etkilenmektedir. Bu sayede her bir erişim Noktası cihazı için ayrı ayrı yapılandırma yapılmasına ihtiyaç kalmamaktadır. Diğer önemli bir nokta ise yapılan yeni bir konfigürasyonda veya güncellemede tüm erişim noktası cihazları da güncellenmektedir.

33

Şekil 5.6:Erişim noktası kontrolorü kullanıcı, erişim noktası ve Nps (Radius sunucu )arasındaki iletişim

Şekil 5.6’da kablosuz ağ sistemine kullanıcı tarafından istek erişim noktası cihazına iletilmektedir Erişim noktası cihazı ise bu iletiyi Erişim Noktası kontrolör cihazına ileterek, Erişim noktası kontrolör cihazı ise Radius sunucu yani ağ hizmeti sunucu ile haberleşerek doğrulam işlemi yapmaktadır. Tabloda kullanıcı, erişim noktası, erişim noktası kontrolör ve Radius sunucu arasında iletişimi göstermektedir.Yapılan çalışmada erişim noktası kontrolörü üzerinde sanal ağ yapısı oluşturulmuş. Sanal ağların Ağ ilkesi sunucusu(Radius sunucu) ve Güvenlik duvar cihazı ile haberleşmesini sağlanmıştır. Authentication (kimlik doğrulama) 1812 portu ve internete erişimi sağlanmış aynı zamanda da 1813 Radius Accounting (Kullanıcının takip edilebilmesi) portundan gelen veriler ile de tanımladığımız kullanıcların 5651 sayılı kanuna göre kullanıcı yaptığı işlemleri kayıt altına alınması.

34

Çizelge 5.2 Erişim noktası kontrolör ’in Radius profile tasarımı

Çizelge 5.2 de erişim noktası kontrolür için Radius profile tasarımı oluşturulmuş Ağ ilkesi sunucunu ile iletişim kurabilmesi için ip adresi ve iletişim esnasında kullanılacak olan şifre ve port numaraları belirlenmiş ve tasarı oluşturulmuştur.

5.5.1. SSID (Service set identifier - Hizmet takımı tanıtıcısı)

Her kablosuz yerel Alan ağı (WLAN), kendini tanımlamak için benzersiz bir ağ adı kullanır. Bu ada SSID (Service Set Identifier - Hizmet Takımı Tanıtıcısı) de denir. WiFi bağdaştırıcınızı kurduğunuzda SSID değerini belirtmeniz gerekir. Varolan bir WLAN'a bağlandığınızda, bu ağın adını kullanmak zorundasınız. Kendi WLAN ağınızı kuruyorsanız, kendinize göre bir ad belirleyip her bilgisayarda bu adı kullanmanız gerekir. Ad için, harflerden ve sayılardan oluşan en çok 32 karakter kullanabilirsiniz. SSID ya da ağ adı, erişim noktasında ya da kablosuz yönlendiricide atanır.

Üniversite’de öğrencilerin,personellerin ve misafirlerin kablosuz ağa bağlanması için erişim noktası kontrolörü cihazından fsmk adı ile bir Ssıd yayınlanmış ve yayınlanan Ssıd den ağa erişmek isteyen kullanıcıların ,802.1x standardına göre kullanıcı adı ve şifresi doğrulandıktan sonra farklı sanal ağlara atanması ve kullanıcıların güvenliği ,üniversitenin kablosuz ağ güvenlik politikalarına göre sisteme erişim sağlanmıştır. Radius profile (NPS )Radius ip adresi Radius secret Radius port Authentication(kimlik

doğrulama) 192.168.240.56 ******** 1812

Accounting(kullanıcınıntakip

35

5.5.2. Erişim kontrolü üzerinde 802.1x Standardı için sanal ağ tasarımı

Üniversitenin kablosuz ağ içerisinde kullanıcı gruplarının güvenlik seviyelerine göre ayrı sanal ağlar oluşturmak ve bu sanal ağlardan sisteme erişebilmesi için her ağın içerisinde tanımlanması gereken bazı yapılandırmalar yapılması gereklidir.Öncelikle ağ sistemleri içerisinde her sanal ağın bir sanal ağ ismi (vlan ismi) ve sanal ağ numarası (tagid) tanımlanmalıdır, tanımlanan bu isimleri ağ sistemi içerisinde iletişim sağlandıktan sonra sanal ağ ile yapılacak işlemleri vlan numarası yani tag idler üzerinden dizin hizmeti (ad), güvenlik duvarı (firewall) ve erişim noktası kontrolürü(acces point controller) ayrı ayrı ağlar olduğu belirlenmiş olur.

Kullanıcının kablosuz ağ sistemine istek gönderdikten sonra sanal ağ üzerine bir ip adresi alarak kablosuz ağa dahil olacaktır bu ip adresin sınıfı (netmask) geçici ağ (default gateway) ve ip adreslerinin başlangıç noktaları itibariile dağıtımı için dhcp server tanımlanması gerekmektedir. vlan isimleri,tag id leri, ip adresleri, net mask, default gateway ve dhcp sunucu belirlenip diğer 802.1x standardı kapsamında yapılandırılan yazılım ve donanım cihazları ile haberleştirilmesi için analizler yapılmış ve bu analizler neticesinde Tasarı oluşturulmuştur.

Çizelge 5.3 Sanal ağ tasarımı

Vlan isim Tag id Ip adres netmask Default gateway Dhcp server Ogrenci_test 2000 10.10.0.2 255.255.255.0 10.10.0.1 10.10.0.1 Akademi_Te st 2001 10.10.1.2 255.255.255.0 10.10.1.1 10.10.1.1 Bim_Test 2002 10.10.2.2 255.255.255.0 10.10.2.1 10.10.2.1 İdari_Test 2003 10.10.3.2 255.255.255.0 10.10.3.1 10.10.3.1 Server_test 2004 10.10.4.2 255.255.255.0 10.10.4.1 10.10.4.1

36 5.5.3. Security profile

Çizelge 5.4 Güvenlik profil tasarımı

Figür 5.4 Erişim noktası kontrolör Güvenli profil kısmında oluşturacağımız güvenlik profilinin ismi, uygulayacağımız güvenlik methodunu, veri şifreleme metodolojisini, tasarımı oluşturulmuştur.

5.5.4. ESS profile

SSID (Service set identifier - hizmet takımı tanıtıcısı)

Üniversite kablosuz ağ kullanıclıların 802.1x standardı ile sisteme erişim sağlayabilmeleri için oluşturacağımız kablosuz yayının ismi ve bu isimden sisteme bağlanan kullanıcıların 802.1x standardı kapsamında etkileneceği özellikleri için oluşturulan hizmet tanıtıcısı tasarımı;

Çizelge 5.5:Hizmet takımı tanıtıcısı tasarımı ESS Profil ismi Aktif olma bilgisi Hizmet takımı tanıtıcı ismi Güvenlik görüntü ismi Broadcas t Bağlantı bölge tipi Veri bağl antı Yön etici FSMK Enable FSMK FSMK_Güv enlik profile On Radius vlan only Tun nel contr olur Secret profile ismi Model Data Encript Radius profil ismi

FSMK_Güvenlik_Profili 802.1x ******** Authentication(Kimlik Doğrulama

37

6. IEEE 802.1X STANDARDININ TEZ ÇALIMASINDA KULLANILAN