Günümüzde kurumsal ağlarda güvenlik kavramı büyük bir değişim geçiriyor.. Internet'in yaygınlaşmaya başladığı günlerde, sadece "dış dünya"dan gelebileceği varsayılan belirgin tehditlere karşı önlem almakla eşdeğer kabul edilen ağ güvenliği, günümüzde hem iç hem dış tehditlere karşı önlemler almaya, hatta önlem almaktan öte, ağ davranışını aktif biçimde gözleyerek beklenmeyen aktiviteleri engelleme ve böylelikle henüz belirgin biçimde bilinmeyen tehditleri dahi etkisiz kılmaya varan bir gelişme gösterdi.

Olası saldırıların nereden geleceği sorusuna kesin bir yanıt vermek zorlaşırken, ağların temel hizmet alıcısı durumundaki kullanıcılar, saldırıların hedefi konumundan hem hedef hem de kaynak olma konumuna doğru kayıyor. Ağ güvenliğine yönelik saldırıların kaynakları konusunda yapılan araştırmalar, iç tehditlerin giderek dış tehditler boyutuna geldiğini gösteriyor. "Ağın içi", artık sadece korunan bir yer değil, aynı zamanda kendisine karşı tedbir alınan bir yer olarak algılanmalıdır.

Kurumsal ağlarda güvenlik adına ilk yapılması gereken, kurumsal bir güvenlik politikasının oluşturulması ve uygulamaya konmasıdır. Bu uygulama sadece güvenlik için alınan/kullanılan ciha ve yazılımlar olarak algılanmamalı, kişileri, iş süreçlerini, kullanılan araçları içeren ve değişen ihtiyaçlara göre sürekli yenilenen bir yapıda ele alınmalıdır.

Belirlenen bir güvenlik politikasının önemli uygulama noktalarından biri kullanılan tüm sunucu ve istemci bilgisayarlarının kurumsal politikalara uygun hale getirilmesidir. Ekran koruyucu kullanımının zorunlu tutulması, kullanıcı şifrelerinin belirli uzunlukta ve karmaşıklıkta olmasının sağlanması gibi temel adımların yanısıra Anti-Virüs yazılımları, kişisel güvenlik duvarı yazılımları gibi yardımcı araçlara başvurulması da gereklidir.

Kurum içerisinde kullanılan tüm bilgisayarların istenen güvenlik seviyesinde olmasının sağlanması başlı başına bir yönetim yükü getiren, ciddiyetle planlanması gereken bir faaliyettir. Gerekli güvenlik seviyesinde bulunmayan bir bilgisayarın ağa serbestçe bağlanması, tüm ağ üzerinde zararlı sonuçlar doğurabilecek bir saldırı için mükemmel bir fırsattır. Bu tür bir saldırı, sözkonusu bilgisayarı kullanan kişi farkına bile varmadan hızla yayılabilir ve basit önlemlerle engellenebilecek iş kayıplarına sebep olabilir.

Ağa Erişim” Çeşitleniyor
Bu tür bir kurumsal güvenlik politikasının uygulanmasındaki zorluklar, kullanıcıların daha hareketli olması, uzaktan erişim yöntemlerinin çeşitlenmesi nedeniyle de giderek artmaktadır. Bir bilgisayarın kurumsal ağa bağlanma hızı her geçen gün daha da artmakta ve çeşitlenmektedir. Yerel ağlarda Gigabitlere varan erişim kapasitesi, uzaktan erişim yapan kullanıcı bilgisayarına giren bir virüsün, şirket ağına çok kısa bir sürede yayılmasına zemin hazırlamaktadır. DSL, Metro Ethernet, GPRS, WLAN gibi teknolojilerin yaygınlaşması uzaktan erişim hızlarını alışılmamış seviyelere çıkarmış, dolayısıyla güvenlik tehditlerinin boyutunu da farklılaştırmıştır.

Bu nedenle, "ağa erişim" artık kablolamanın ulaştığı noktalar ile sınırlanamaz hale gelmiştir. Dolayısıyla ağa erişen cihazların kurumsal güvenlik politikalarına uygun olup olmadığı sadece kablolu ağa bağlanan kullanıcı makinalarının denetlenmesi ile sınırlı tutulamaz. Erişim biçimi ne olursa olsun, ağa dahil olan tüm bilgisayarların güvenlik politikasına uygun olup olmadığı denetlenebilmelidir. Kullanıcı nerede olursa olsun, nasıl bir erişim yöntemi ile ağa bağlanırsa bağlansın aynı güvenlik denetiminden geçirilebilmeli, gerekli güvenlik kriterlerine uygun değilse kullanıcıya gerekli güncelleme ve düzeltmeleri yapmasına yönelik yönergeler iletilebilmelidir.

Bu amaçla her tür uzak erişim yönteminde, Kablosuz Yerel Alan Ağı (WLAN), IPSec veya SSL temelli uzak erişim, Kablolu Yerel Alan Ağı (LAN) bağlantılarında aynı denetimlerin yapılabildiği, kurumsal politikaların uygulanmasını zorunlu hale getirebilen bir ağ erişim denetimi yapısı kurulmalıdır.

Güvenli Erişim için Kullanılan Bazı Uygulamalar
Ağ Erişimi konusunda varolan güvenlik ihtiyaçları, bu konuda farklı çözüm önerilerinin gelişmesine sebep olmuş, bunların bazıları uluslararası standartlara ulaşırken bazıları endüstride yaygınlık kazanan, "de-facto" standartlar halini almıştır.

Bu çözümler, yukarıda bahsedilen şekilde, bağlanan her bilgisayarın güvenlik taramasında geçirilmesi noktasında eksik kalmasına rağmen, bilinen/güvenilen kullanıcıların ağa bağlanabilmesine olanak verir, ilgili olmadıkları ağ kaynaklarına erişimlerini engelleyerek kaynakların etkin kullanımını sağlar. Hiçbir güvenlik önleminin uygulanmadığı bir durumla kıyaslandığında, daha ileri bir güvenlik durumuna geçilmesini kolaylaştırır.

IEEE 802.1X (EAP)
Bu çözümlerin arasında en bilinen ve standartlaşma anlamında en ileride bulunan uygulama IEEE 802.1X uygulamasıdır. Bu uygulamada, kullanılan Ethernet anahtarlar ve kullanıcı bilgisayarları bu standardı desteklemek zorundadır. Herhangi bir kullanıcı portuna bağlantı yapıldığında port doğrudan kullanıcı verisine geçiş izni vermemekte, öncelikle kullanıcıdan bir isim ve şifre girmesi istenmektedir. Girilen isim ve şifre bilgisi merkezi bir sunucuya sorulmakta, doğrulandığı taktirde kullanıcı, sunucunun belirttiği sanal yerel ağa (VLAN) bağlanmaktadır. Ethernet anahtarlar tarafından otomatik olarak gerçekleştirilen bu işlem, kullanıcı bilgisayarının bu standarta uygun bir yazılıma sahip olmasını gerektirmektedir. 802.1X, basit ve etkin bir kullanıma sahip bir standarttır. Standart haline ulaşmış olması sayesinde farklı markaların anahtarları ile birlikte çalıştırılabilmektedir. Bununla birlikte, standartın tanımlanışında değinilmeyen bazı kullanım zorlukları bulunabilmektedir. Örneğin kullanıcının Ethernet anahtar bağlantısı için girdiği şifre, işletim sistemine girilen şifre ile aynı dahi olsa, birbirinden farklı şifre giriş işlemleri yapılması şarttır ve bu nokta kullanıcılarda kafa karışıklığına sebep olabilmektedir. Birden fazla kullanıcıya sahip olabilen bilgisayarlarda (üniversitelerin bilgisayar laboratuvarları, kiosk makinalar, toplantı odalarında bulunan sunum makinaları gibi) Ethernet kablosunun bağlantısı çekilmediği sürece ilk girilen isim ve şifre geçerli olmakta, kullanıcının değiştiği sistem tarafından algılanamamaktadır. Her işletim sisteminin 802.1X sürücüsü bulunmayabilir. Üzerinde bu tür bir yazılım yükleme imkanı olmayan pek çok ağ elemanı da bulunacaktır (yazıcılar, WLAN erişim noktaları, tarayıcılar, kameralar gibi). Bu tür cihazların sisteme sabit MAC adresi bazında tanımlamak veya bu cihazların bağlanacağı Ethernet anahtar portlarında 802.1X kontrolünü devreden çıkarmak gerekmektedir. Bazı portların güvenlik taramasının dışına çıkarılması, bu portların farklı amaçlar için kullanımına pencere açabilecektir. Sabit tanımlamalar yapmak ise ağ yönetimine ek bir yük getirmektedir.

Bu olumsuz yanlarına rağmen 802.1X uygulaması standartlaşmış olması, basit bir konfigürasyona sahip olması ve daha önce güvenlik tedbiri alınmayan bir noktada kullanıcı kimliğini sorgulayan bir tedbir alabilmesi nedeniyle önerilen bir uygulamadır.

MAC Adres Temelli Güvenlik
Bir başka uygulama ise Ethernet anahtarlar üzerinde kullanıcıların MAC adres ve IP adresleri bazında tanınmaları ve bilinmeyen adreslerin ağa erişiminin kısıtlanmasıdır. Bu konuda uluslararası standartlar bulunmamakla birlikte hemen her büyük Ethernet anahtarı üreticisinin bu tür bir çözümü vardır. Ethernet anahtarlar üzerine bilinen kullanıcıların MAC adresleri ağ yöneticileri tarafından girilmekte, bilinmeyen tüm adreslerin ağa erişimi kapatılmaktadır. Bu sayede ağ yönetiminin bilgisi dışında ağa erişim mümkün olmamaktadır.

MAC adres temelli güvenlik uygulaması, kullanıcı bilgisayarlarında özel bir yazılım veya versiyon gerektirmediğinden kullanıcıdan bağımsız bir uygulama fırsatı vermekte, günlük uygulamayı basitleştirmektedir.

Bu uygulamanın ağ yönetimine getirdiği ek iş yükü, kullanıcı bilgisayarlarının MAC adreslerinin bulunması, bu bilginin gerekli yerlerdeki pek çok Ethernet anahtara girilmesi ve bu bilgilerin güncel tutulmasındaki zorluktur. Bu yükün azaltılması amacıyla bazı anahtarlarda "Öğrenme" modu bulunmaktadır. Ethernet anahtarı öncelikle öğrenme moduna alınmakta, MAC adres tablosu öğrenildikten sonra anahtar güvenli moda alınmaktadır. Bu sayede MAC adres listesinin elle girilmesine gerek kalmadığı gibi, çok sayıda değişikliğin yapılması gerektiğinde (örneğin departmanların yer değiştirmesi, veya bir anahtarın değiştirilmesi gibi) MAC adres tablosunun tek tek değiştirilmesinin de önüne geçilebilmektedir. Bu sayede günlük işletim son derece kolaylaşmaktadır.