Edge N100 Appliance

Edge N100, AnchorSpot'un Pro ve Enterprise paketlerinde kullanılan yüksek güvenlikli, yerel captive portal yürütme ve RADIUS kimlik doğrulama platformudur. Fanless alüminyum kasası ve gelişmiş güvenlik yığını ile ticari ortamlara yönelik tasarlanmıştır.

Teknik Özellikler

Özellik	Değer
İşlemci	Intel N100 (Alder Lake-N), 4 çekirdek, 3,4 GHz boost
RAM	16 GB DDR5
Depolama	1 TB NVMe SSD (PCIe 3.0)
Ethernet	2× Gigabit Ethernet (WAN + LAN, i226-V)
USB	2× USB 3.0, 1× USB-C
Görüntü	1× HDMI 2.0 (konsol erişimi için)
Kasa	Fanless alüminyum, pasif soğutma
Güç Tüketimi	< 15W (tam yük altında)
Güç Girişi	12V DC (adaptör dahil)
Çalışma Sıcaklığı	0°C ila 40°C
Boyutlar	130 × 112 × 38 mm
Ağırlık	480 g

Güvenlik Yığını

dm-verity — Kök Dosya Sistemi Koruması

Kök dosya sisteminin her bloğu SHA-256 hash ağacı ile doğrulanır. Herhangi bir blok değiştirilirse sistem önyüklemeyi reddeder.

Önyükleme Akışı:
UEFI Secure Boot → GRUB (imzalı) → Kernel → dm-verity → Root FS
                                                    │
                                              Hash ağacı
                                            doğrulaması başarısız
                                                    │
                                            Önyükleme durdurulur
                                            + alarm gönderilir

LUKS AES-256-XTS — Veri Bölümü Şifrelemesi

Yerel olarak depolanan tüm oturum verileri, RADIUS veritabanı ve denetim günlükleri şifreli LUKS bölümünde tutulur:

• Algoritma: AES-256-XTS (NIST SP 800-38E)
• Anahtar Türetme: Argon2id (bellek: 64 MB, iterasyon: 3)
• Anahtar Saklama: TPM 2.0'a mühürlenmiş (yetkisiz fiziksel erişimde kilitleme)

RAUC A/B Bölümleme — OTA ile Otomatik Geri Dönüş

Disk Düzeni:
┌─────────────────────────────────────────────────────┐
│  EFI  │  Slot A (Aktif OS)  │  Slot B (Yedek OS)  │
│  Boot │  System A           │  System B            │
│       │  Data (LUKS)        │  Rollback işareti    │
└─────────────────────────────────────────────────────┘

OTA güncelleme sırasında:

1. Yeni paket Slot B'ye yazılır
2. cosign imzası doğrulanır
3. Sistem Slot B'den önyüklenir
4. Sağlık kontrolü başarılı → Slot B aktif hale gelir
5. Sağlık kontrolü başarısız → Slot A'ya otomatik geri dönüş

TPM 2.0 Anahtar Mühürleme

LUKS disk şifreleme anahtarı TPM 2.0 güvenli alanına PCR (Platform Configuration Register) değerleriyle bağlanır. Sistem yetkisiz değiştirilirse (donanım takası, OS modifikasyonu) PCR değerleri değişir ve disk anahtarı serbest bırakılmaz.

Sıfır Dokunuşlu Sağlama (ZTP)

1. Edge N100'ü WAN portuna bağlayın
         │
2. HDMI monitöre veya SSH'a bağlanın
         │
3. Kayıt tokenini girin:
   anchorspot-enroll --token XXXXX-XXXXX-XXXXX-XXXXX
         │
4. Cihaz otomatik olarak:
   - TLS sertifikası alır
   - RADIUS şifresini senkronize eder
   - Portal yapılandırmasını indirir
   - Yerel veritabanını başlatır
         │
5. Konsol panelinde cihaz "Çevrimiçi" görünür
   (genellikle 2–5 dakika)

tip

ZTP tamamlandıktan sonra kayıt tokeni geçersiz hale gelir. Her cihaz için ayrı token üretilir: Konsolda Ayarlar → Cihazlar → Yeni Cihaz Ekle.

Yerel Portal Yürütme

MikroTik hEX S'de captive portal yönlendirmesi bulut üzerinden yapılırken Edge N100'de portal tamamen yerel olarak çalışır:

Özellik	MikroTik hEX S	Edge N100
Portal yürütme	Bulut (SiperOne CDN)	Yerel (cihaz üzerinde)
Çevrimdışı portal	Hayır	Evet (4 saate kadar)
Depolama	16 MB flash	1 TB NVMe
Hesaplama	256 MB RAM	16 GB DDR5
OTA güncelleme	RouterOS (manuel)	Otomatik A/B
Güvenlik donanımı	Yok	TPM 2.0, dm-verity

Çevrimdışı Süreklilik

Edge N100, internet bağlantısı kesildiğinde:

1. Yerel RADIUS veritabanı ile kimlik doğrulama sürer (4 saate kadar)
2. Yeni SMS OTP gönderilmez (operatör ağı bağlantısı gerektirir)
3. Voucher, önceden indirilen listeden doğrulanır
4. Denetim günlükleri yerel olarak yazılır; bağlantı gelince senkronize edilir
5. 4 saat sonra RADIUS kimlik doğrulama durdurulur, yeni oturum açılamaz (mevcut oturumlar devam eder)

warning

Çevrimdışı süreklilik için yerel RADIUS veritabanının güncel olması gerekir. Cihaz internet bağlantısından 24 saatten uzun süre kopuk kalmışsa yerel veritabanı eskiyebilir.

OTA Güncellemeleri

# Güncelleme durumunu kontrol edin (cihaz CLI)
anchorspot-ctl update status

# Manuel güncelleme tetikleme
anchorspot-ctl update apply

# Güncelleme geçmişi
anchorspot-ctl update history

Güncellemeler cosign ile imzalanmıştır:

# cosign imza doğrulaması (otomatik, elle çalıştırılmasına gerek yok)
cosign verify-blob \
  --certificate-identity "releases@siperone.com" \
  --certificate-oidc-issuer "https://accounts.google.com" \
  anchorspot-edge-v2.x.x.rauc

İzleme ve Sağlık Telemetrisi

Edge N100, her 60 saniyede bir sağlık verisi gönderir:

{
  "device_id": "edge-XXXX",
  "timestamp": "2024-03-15T14:00:00Z",
  "cpu_usage_pct": 12,
  "ram_used_mb": 2048,
  "ram_total_mb": 16384,
  "disk_used_gb": 45,
  "disk_total_gb": 931,
  "active_sessions": 47,
  "uptime_sec": 1209600,
  "os_slot": "A",
  "os_version": "anchorspot-edge-2.4.1",
  "internet_latency_ms": 8
}

Konsolda Cihazlar → [Cihaz Adı] → Sağlık bölümünden geçmişe dönük metrikler incelenebilir.

Fiziksel Kurulum

Masaüstü

Cihazı düz bir yüzeye yerleştirin. Havalandırma için her yönden en az 5 cm boşluk bırakın. Fanless tasarım sessiz çalışma sağlar ancak havanın dolaşmasına izin verilmelidir.

Raf Montajı (1U Braketi ile)

Opsiyonel 1U raf montaj braketi ile standart 19" rack'e yerleştirilebilir:

[WAN] ─── Port 1 (ETH0) ─── [İnternet / Modem]
[LAN] ─── Port 2 (ETH1) ─── [Switch / AP]
[PWR] ─── 12V DC ─────────── [UPS / Güç Kaynağı]

tip

Edge N100'ü mutlaka UPS'e bağlayın. Güç kesintisinde bile beklenmedik kapanma LUKS şifreli bölümün tutarsız duruma düşmesine neden olabilir; cihaz bir sonraki açılışta fsck uygular, bu süreç birkaç dakika alabilir.