Bir suredir ag haberlesmesinin sifrelenmesi uzerine dusunuyorum. Amac ise aginiza dahil olan bir saldirganin diger sistemleri dinlese bile sifreli bir trafik gozlemlemesini saglamak, belirli bir ag gecidinden sonrasina da erismesini engellemek.

Bu gereksinime karsi aslinda Cisco ve Nortel’in L2 seviyesinde mudahale eden NAC cozumleri var. NAC’in kabaca yaptigi sey ise aga dahil olmak isteyen sistemin yeterliliklerine bakmak ve aga dahil etmek.

Daha sonra bu sifrelemenin hem wide area baglaminda hem de yerel ag baglantisi baglaminda olabilecegini dusundumç Wide area’daki cozum bir nevi var aslinda, VPN. VPN uzerinden sifreleme kullanarak uzak noktalariniz arasinda sifreleme yapabiliyorsunuz.

Ancak istemci sistemler ile ag gecidiniz arasindaki haberlesme daha dusundurucu. ilk asamada sahte bir vpn agi olusturup gw ye kadar istemcileri vpn ile getirmeyi dusundum. Ancak bu cozum L2 seviyesinde bir sifreleme yine saglamiyor. istemci IP leri gorulebliyor. Ayrica ag gecidinden sonrasi icin de IP bagimsiz kural yazabilmeliydim.

VPN cozumu sakli kalmakla birlikte daha profesyonel ve bu isler icin ortaya atilmis cozumler uzerinde durdum. Ilk karsima cikan SafeNet in L3 sifreleme urunleri oldu. Ancak Bu kutularin istemcilerle konusabilmeleri icin bir cozumu mevcut degil. Tamamen wide arealar icin gelistirilmis bir cozum gibi duruyor. Bir diger urun de Fortress firmasinin FC model sifreleme cihazlari. Bu cihazlar wide area aglarda karsilikli iki ag gecidi olarak calisabiliyorlar. Ayni zamanda istemci yazilimlari sayesinde yerel ag ile ag gecidinin onune konan Fortress cihazi sayesinde sifrelenmis bir alan sagliyorlar. Cihazin en taktir ettigim ozelligi L2 uzeri bir sifreleme saglayabilmesi. istemci ile Fortress-gw arasindaki trafigi dinleseniz bile sifreli bilgiler ve mac adresinden baska bir bilgi alamiyorsunuz. Ayni zamanda bu trafigin taklit edilmesi de mumkun degil. Wireless ag guvenligi icin bicilmis kaftan gibi. Kablosuz aginizi gozlemleyen bir saldirgan mac adreslerinden baska bir bilgiye ulasamiyor. IP bilgisini de yakalayamadigindan IP kandirmacalari cok zor bir hal aliyor. Saldirgan aga dahil olsa bile Fortress-gw sayesinde access point inizi gecemez hale geliyor. Agdaki diger istemcilerle de dogrulamasi olmadigindan iletisim kuramiyor.

Guvenlik gereksinimlerinizin arttikca maliyetlerinizin de artacagini unutmamak gerekiyor.