Bir önceki bölümde ağımızı MAC adresi sınırlandırmaları (Port Security) ve ARP denetimleriyle (DAI) korumaya aldık. Ancak sistemciler çok iyi bilir ki; MAC adresleri kolayca kopyalanabilir (spoofing) ve statik güvenlik kuralları yüzlerce portun olduğu büyük bir yapıda yönetilemez bir iş yüküne dönüşür.

Modern ve kapsamlı bir ağ mimarisinde "Sıfır Güven" (Zero Trust) port seviyesinde başlar. Ağın bir ucuna bilgisayar takıldığında switch şu soruyu sormalıdır: "Sen kimsin ve bu ağa girmeye yetkin var mı?"

İşte bu sorunun cevabı IEEE 802.1X protokolü ve RADIUS (Remote Authentication Dial-In User Service) entegrasyonudur. Bu bölümde, kullanıcıları MAC adreslerine göre değil, Active Directory kullanıcı adı/parolası veya dijital sertifikalarına göre ağa kabul eden bu dinamik yapıyı kuracağız.

802.1X Mimarisindeki Üç Aktör

Konfigürasyona geçmeden önce yapının nasıl çalıştığını anlamak kritik:

   Supplicant (İstemci): Ağa bağlanmak isteyen ve kimlik bilgilerini (kullanıcı adı/parola veya sertifika) sunan bilgisayar. (Örn: Windows üzerinde çalışan Wired AutoConfig servisi).

   Authenticator (Switch): İstemci ile sunucu arasında aracı olan, kimlik doğrulanana kadar portu kapalı tutan cihazımız.

   Authentication Server (AAA Sunucusu): Kimlik bilgilerini doğrulayan beyin. Kurumsal ortamlarda genellikle Cisco ISE (Identity Services Engine) gibi gelişmiş çözümler konumlandırılır. Ancak bu yapılandırmaları canlı ortama almadan önce bir lab ortamı kurarak FreeRADIUS (ve yönetim arayüzü olarak daloRADIUS) üzerinde testler yapmak, tasarımları doğrulamanın en güvenli yoludur.

AAA Modelini Başlatma ve RADIUS Sunucusunu Tanımlama

Switch üzerinde kimlik doğrulama süreçlerini başlatmak için öncelikle AAA (Authentication, Authorization, and Accounting) modelini devreye almalı ve RADIUS sunucumuzun adresini switch'e öğretmeliyiz.

! AAA modelini global olarak aktif ediyoruz:
Merkez-SW1(config)# aaa new-model

! RADIUS sunucumuzu tanımlıyoruz:
Merkez-SW1(config)# radius server Srv-KimlikDogrulama
Merkez-SW1(config-radius-server)# address ipv4 192.168.10.50 auth-port 1812 acct-port 1813
! Switch ile RADIUS sunucusu arasındaki iletişimi şifreleyecek gizli anahtarı belirliyoruz:
Merkez-SW1(config-radius-server)# key G1zl1Sifre!
Merkez-SW1(config-radius-server)# exit

802.1X Doğrulama Yöntemlerini Belirleme

Sunucuyu tanıttıktan sonra, switch'e "802.1X talepleri geldiğinde bu sunucuyu kullan" dememiz gerekiyor.

! 802.1X için varsayılan kimlik doğrulama listesini RADIUS olarak belirliyoruz:
Merkez-SW1(config)# aaa authentication dot1x default group radius

! Switch üzerinde 802.1X kontrol mekanizmasını global olarak aktif ediyoruz:
Merkez-SW1(config)# dot1x system-auth-control

Kenar (Access) Portlarında 802.1X Konfigürasyonu

Global ayarlarımız tamam. Şimdi son kullanıcıların bağlandığı portlara inip güvenlik duvarımızı örmeye başlıyoruz. Portu, yetkilendirme yapılana kadar veri trafiğine kapatacağız.

Merkez-SW1(config)# interface gigabitEthernet 1/0/10
Merkez-SW1(config-if)# switchport mode access
! Portun 802.1X doğrulayıcı rolünü üstlenmesini sağlıyoruz:
Merkez-SW1(config-if)# dot1x pae authenticator
! Portun yetkilendirme durumunu otomatik moda alıyoruz (Doğrulama olana kadar kapalı tut):
Merkez-SW1(config-if)# authentication port-control auto

Sistemciler İçin Kapsamlı Detay: MAB (MAC Authentication Bypass)

Ağınızda 802.1X protokolünü desteklemeyen (Supplicant yazılımı olmayan) cihazlar mutlaka olacaktır. Örneğin; eski ağ yazıcıları, kameralar veya bazı IoT cihazları kimlik bilgisi gönderemez. Bu cihazlar porta takıldığında trafiğin tamamen kesilmesini önlemek için MAB teknolojisi kullanılır.

MAB, cihaz 802.1X yanıtı vermezse MAC adresini alır ve kullanıcı adı/parola gibi RADIUS sunucusuna gönderir. Sunucudaki beyaz listede (whitelist) bu MAC adresi varsa, cihaz ağa alınır.

Merkez-SW1(config-if)# mab
! Port hem 802.1X'i hem de cihaz yanıt vermezse MAB'ı sırayla deneyecek şekilde ayarlanır:
Merkez-SW1(config-if)# authentication order dot1x mab
Merkez-SW1(config-if)# authentication priority dot1x mab
Merkez-SW1(config-if)# exit

Gelişmiş Operasyon (Dinamik VLAN Ataması):

Cisco ISE veya FreeRADIUS üzerinde gerekli ayarlar yapıldığında, kullanıcı doğrulandıktan sonra switch'e statik olarak yapılandırılmış VLAN'ı ezip, kullanıcının departmanına göre otomatik VLAN (Dynamic VLAN Assignment) gönderebilirsiniz. 802.1X'in asıl gücü bu esneklikte yatar.

Doğrulama (Verification) Komutları

Bu konfigürasyon, istemci-switch-sunucu üçgeninde çalıştığı için hata ayıklaması (troubleshooting) en çok mesai harcanan süreçlerden biridir.

Switch'in RADIUS sunucusuyla konuşup konuşamadığını görmek için:

Merkez-SW1# show aaa servers

Belirli bir porttaki kimlik doğrulama durumunu ve cihazın yetki alıp almadığını kontrol etmek için:

Merkez-SW1# show authentication sessions interface gigabitEthernet 1/0/10 details

Bu çıktıda "State" kısmının Authz Success olarak görünmesi cihazın başarılı bir şekilde ağa dahil olduğunu gösterir.

Ağımızın kapılarını kilitledik ve anahtarı merkezi bir otoriteye teslim ettik. Yapımız artık kurumsal standartlarda güvenli. Ancak sistem yöneticileri olarak ağda neler olup bittiğini, donanımların sağlığını ve topolojimizi sürekli izlememiz gerekir. Körü körüne yönetilen bir ağ, saatli bombaya benzer.

Serimizin bir sonraki bölümünde cihazlarımızı nasıl dinleyeceğimizi; Logların merkezi yönetimi, performans takibi ve topoloji keşfi için Syslog, SNMP, NTP ve CDP/LLDP protokollerinin konfigürasyonlarını inceleyeceğiz.