Ağ Erişim Kontrolü (NAC), ağa bağlanan kullanıcı ve cihazların kimliğini doğrulayan, güvenlik duruşunu (posture) denetleyen ve erişimi politikaya göre otomatik yöneten bir güvenlik katmanıdır. 802.1X, MAB ve captive portal gibi yöntemlerle kimlik doğrular; agent/agentsiz taramalarla işletim sistemi, patch seviyesi, antivirüs, sertifika, şifreleme gibi kriterleri kontrol eder. Uygun olmayan cihazları karantinaya alır, misafir/BYOD erişimini izole VLAN’lara yönlendirir, mikro-segmentasyon ve Zero Trust ilkeleriyle en az ayrıcalık sağlar.
Defendia ConnGuard: Hibrit Mimarili Ağ Erişim Orkestrasyonu
Defendia ConnGuard, heterojen ağ altyapılarını yönetmek için tasarlanmış, IEEE 802.1x ve SNMP protokollerini hibrit bir yapıda kullanan yeni nesil bir Ağ Erişim Kontrol (NAC) çözümüdür. Geleneksel NAC çözümlerinin aksine, Defendia ConnGuard “Vendor Agnostic” (Üretici Bağımsız) çekirdeği sayesinde, Cisco, HP, Huawei, Juniper veya Extreme Networks gibi farklı donanımların bulunduğu karmaşık topolojilerde dahi “Port-Level” (Port seviyesinde) görünürlük ve denetim sağlar.
Çekirdek Yetenekler ve Protokol Desteği:
Hibrit Uygulama Modeli (Hybrid Enforcement)
802.1x (EAP-TLS/PEAP)
Kurumsal cihazlar ve yüksek güvenlik gerektiren varlıklar için sertifika tabanlı veya Active Directory entegre kimlik doğrulama sağlar. Radius (AAA) sunucusu olarak hareket ederek, istemci (Supplicant) ile NAS (Network Access Server) arasındaki şifreli tüneli yönetir.
SNMP Read/Write (VLAN Steering)
802.1x desteği olmayan eski nesil switchler veya IoT cihazları için SNMP (v2c/v3) protokolünü kullanarak dinamik VLAN ataması yapar. Cihaz profiline göre (örn: Kamera, Yazıcı) ilgili portu otomatik olarak doğru VLAN’a taşır (RFC 3580 uyumluluğu gerektirmez).
Sıfır Dokunuş Cihaz Tanıma (Zero-Touch)
Pasif Sınıflandırma
DHCP Fingerprinting, HTTP User-Agent analizi ve OUI (MAC Address) taraması kombinasyonunu kullanarak ağa bağlanan cihazları pasif olarak sınıflandırır.
Profiling Engine
Bir cihazın CCTV kamera mı yoksa Linux sunucu mu olduğunu davranışsal analizle tespit eder ve “Least Privilege” (En Az Yetki) prensibine göre yetkilendirir.
Entegrasyon Arayüzleri
(API & Synergies)
RESTful API
Defendia ConnGuard, üçüncü parti SIEM (Logsign, QRadar, Splunk) ve Firewall (Fortinet, Palo Alto) çözümleriyle çift yönlü konuşur.
SSO (Single Sign-On)
Kimlik doğrulama verisini (Kullanıcı Adı – IP eşleşmesi) Firewall’a ileterek, Firewall kurallarının IP yerine “Kullanıcı Adı” bazlı yazılmasını sağlar (FSSO ve Radius Accounting entegrasyonu).
Defendia Hotspot & 5651 Loglama: Yasal Uyumlu Captive Portal Mimarisi
Defendia SpotGate, Katman 3 (Layer 3) seviyesinde çalışan, marka bağımsız bir “Captive Portal” ve “Log İmzalama” çözümüdür. Misafir (Guest) ağları, BYOD cihazları ve halka açık Wi-Fi noktaları için kimlik doğrulama, yetkilendirme ve 5651 sayılı kanuna uygun zaman damgalı loglama süreçlerini tek bir platformda birleştirir.
Kimlik Doğrulama Mekanizmaları ve API Entegrasyonları
SMS Gateway Entegrasyonu
Türkiye'deki yerel SMS sağlayıcıları (MutluCell, Netgsm vb.) ile API tabanlı entegrasyon sayesinde, kullanıcıların GSM numaraları üzerinden OTP (Tek Kullanımlık Şifre) ile doğrulanmasını sağlar.
TC Kimlik (NVİ) Doğrulama
Nüfus ve Vatandaşlık İşleri (NVİ) SOAP servisleri ile gerçek zamanlı iletişim kurarak, Ad, Soyad, Doğum Yılı ve TCKN eşleşmesini doğrular. Bu, 5651 sayılı kanun kapsamında "failin tespiti" için kritik bir teknik gerekliliktir.
Otel/PMS Entegrasyonu
Oracle Opera, Fidelio gibi PMS (Property Management System) veritabanları ile SQL veya FIAS protokolü üzerinden konuşarak, otel misafirlerinin "Oda Numarası + Soyadı" kombinasyonu ile internete çıkışını sağlar.
5651 Sayılı Kanun ve Loglama Mimarisi
RFC 3161 Zaman Damgası
Sistem, DHCP lease loglarını, web erişim loglarını ve kimlik doğrulama loglarını toplar. Bu verileri günlük olarak "HASH" algoritması ile özetler ve TÜBİTAK Zaman Damgası sunucuları ile senkronize bir şekilde kriptografik olarak imzalar.
Log Bütünlüğü ve Saklama
İmzalanan log dosyaları, değiştirilemez (immutable) formatta, kanunun gerektirdiği 2 yıl boyunca saklanır. TİB (Telekomünikasyon İletişim Başkanlığı) tarafından yayınlanan IP Log İmzalayıcı yazılımları ile tam uyumlu formatta çıktı üretir. şekilde kriptografik olarak imzalar.
Ağ Yönetim Özellikleri
Bandwidth Throttling (Hız Sınırlama):
Radius nitelikleri (Attributes) kullanılarak, kullanıcı veya grup bazlı Upload/Download hız limitleri (Rate Limit) dinamik olarak uygulanır.
MAC Caching
Tekrar gelen ziyaretçilerin, belirlenen süre (örn: 24 saat) boyunca Captive Portal'a takılmadan, MAC adresi üzerinden otomatik tanınmasını sağlar, kullanıcı deneyimini (UX) artırır.
