IoT cihazlarının yaygınlaşması, misafir kullanıcıların artması, işyerlerinde “Bring Your Own Device (BYOD)” mantığıyla çalışan farklı cihazların kullanılması yeni güvenlik açıklarını ortaya çıkarmıştır. Kurumsal ağların güvende kalması için, ağa bağlı olan veya bağlanacak olan cihazların belirli denetimlere tabi tutulması ihtiyacı doğmuştur. Başlangıçta 802.1x standartı bu denetim için yeterli olurken ilerleyen zamanlarda “Network Access Control (NAC)” teknolojisine ihtiyaç duyulmuştur.
Kablolu ya da kablosuz olarak yerel ağa bağlanmak isteyen cihazlar için kimlik doğrulama mekanizması sağlayan IEEE 802.1x, port tabanlı ağ erişim kontrolü için kullanılan bir IEEE standartıdır. 802.1x ağa erişmek isteyen cihazları ağa dahil etmekte ya da bu istekleri geri çevirmektedir.
802.1x’in birden fazla bileşen içermesi, değişken parçalara bağlı olması bu standartın uygulanabilirliğini olumsuz yönde etkilemektedir. Aşağıda 802.1x standartının yetersiz kaldığı bazı başlıklar incelenecektir.
MAC Adres Yönetme
802.1x’in çalışabilmesi için uç noktada bir kimlik doğrulama sunucusuna ve protokolün istemci tarafını uygulamak için bir araca ihtiyaç duyulmaktadır. Ancak, çoğu satıcı bu gereksinimleri hizmet olarak vermemektedir. Kuruluşların ağlarında tahminlere göre %50’den fazla yönetilemeyen IoT cihazları bulunmaktadır. Ağdaki IoT cihazlarını ağa bağlamak için iki çözüm bulunmaktadır. Birincisi, bazı portları dışarda tutmak; ikincisi bu cihazları MAC adreslerine göre yetkilendirmektir. Ancak MAC adreslerini yönetmek hem zahmetli bir iştir hem de ağ şifresini herkes için erişilebilir kıldığı için güvenli değildir.
BYOD
Kuruluşlarda “Bring Your Own Device” kullanımı ağ ve güvenlik yöneticileri için ağ güvenliğini kontrol etmeyi ve korumayı oldukça zor bir hale getirmektedir. Bu sorunu çözmek için yönetilen cihazlar ile yönetilemeyen BYOD arasında net bir ayrım oluşturulması gerekmektedir. 802.1x’in kullanıcı adı ve şifrelere dayanan mantığıyla bu mümkün değildir. Herhangi bir kullanıcı, kullanıcı adı ve şifresini kullanarak herhangi bir cihazı ağa bağlayabilmektedir.
Risk
802.1x’i tek başına uygulamak, bağlı cihazın güvenli olmadığı anlamına gelmez ancak hem düzenlemelere hem de uygulama standartlarına uymak için cihazın davranış değerlendirmesinin de yapılması gerekmektedir. Bunun için başka bir ticari ürün uygulanmalıdır. Bu iki kritere bakılarak cihazın ağa erişimine izin verilmelidir.
Uzmanlık Seviyesi
802.1x uygulaması için, bir ağ mühendisinin ihtiyaç duyduğu uzmanlık düzeyi çok yüksektir. RADIUS, 802.1x, EAP, farklı anahtar konfigürasyonları, uç nokta konfigürasyonları hakkında bilgi sahibi olmalı ve bir problem ortaya çıktığında bu sorunun nereden kaynaklandığını gösterebilmelidir.
802.1x sorunlarını çözmek için 802.1x’i SaaS olarak bulutta kullanmak ya da NAC teknolojisini kullanmak gerekmektedir.
NAC, ağa erişimi kontrol ederek kullanıcıları ve cihazları tanımlayan bir ağ oluşturma konseptidir. NAC, yetkilendirme ve politika uygulamalarını kullanarak kurumsal kaynaklara erişimi kontrol etmektedir. Yalnızca uç noktalar ve kullanıcılar için bir kimlik doğrulama mekanizması sağlamak için değil, aynı zamanda ağda neyin mevcut olduğu ve nereye bağlandığı konusunda görünürlük kazanmak için de kullanılmaktadır. Kablolu ya da kablosuz farketmeksizin IoT cihazlarının ağa bağlanması sonucunda oluşabilecek güvenlik risklerine karşı yardımcı olabilecek bir önleme teknolojisidir. Günümüzde NAC çoğu çözümleri 802.1x standartından bağımsız çalışabilmektedir.