skip to Main Content

802.1x ile IP Telefon Kullanımı

IEEE 802.1X standardı, yetkisiz istemcilerin LAN’a bağlanmasını kısıtlayan bir Port tabanlı Ağ Erişim Kontrolü (PNAC) ve kimlik doğrulama protokolü demektir. Bu sayede ağa bağlanan bir cihaz doğrudan IP Adresi alamaz, öncesinde kimlik doğrulamasını tamamlaması gerekir.

802.1x Nedir?

IEEE 802.1X, RFC3748’de tanımlanan ve “LAN üzerinden EAP” veya EAPOL olarak bilinen Genişletilebilir Kimlik Doğrulama Protokolü’nün (EAP) kapsüllenmesini içerir. 802.1X kimlik doğrulaması üç taraflıdır: İstemci, bir doğrulayıcı ve bir kimlik doğrulama sunucusu.
802.1X protokolü ile üç amaç (AAA) için kimlik denetimi yapılır:

  • Authentication (Yetkilendirme) Kullanıcı ya da kullanıcılara sisteme, programa veya ağa erişim hakkının verilmesidir.
  • Authorization (Kimlik Doğrulama) Sunucu, anahtar veya yönlendirici kullanımlarında cihaz ya da kullanıcının kimliğinin onaylanmasıdır.
  • Accounting (Hesap Yönetimi) : Herhangi bir kullanıcının ne yaptığı, kullanıcı hareketleri kullanıcı veri bağlantıları ve kullanıcı sistem kayıtlarının izlenebilmesi amacıyla yapılan işlemdir.

İstemci, ağa bağlanmak isteyen bir istemci aygıttır (IP telefon, Bilgisayar gibi).
Kimlik doğrulayıcı, Ethernet anahtarı gibi bir ağ cihazıdır.
Kimlik doğrulama sunucusu, genellikle RADIUS ve EAP protokollerini destekleyen bir ana bilgisayar yazılımıdır.

Nasıl Çalışır?

Kimlik doğrulayıcı, korunan bir ağ için güvenlik görevlisi gibi davranır. İstemcinin, kimlik doğrulaması yapılana ve yetkilendirilene kadar kimlik doğrulayıcının ağın korunan tarafına erişmesine izin verilmez. Buna bir benzetme yapmak gerekirse, ülkeye girmesine izin verilmeden önce havalimanının geliş göçünde geçerli bir vize sağlamak gibidir.

802.1X bağlantı noktası tabanlı kimlik doğrulamasıyla, istek sahibi kimlik doğrulayıcı için kullanıcı adı, parola veya dijital sertifika gibi kimlik bilgileri sağlar ve kimlik doğrulayıcısı kimlik bilgilerini doğrulama için kimlik doğrulama sunucusuna iletir. Kimlik doğrulama sunucusu kimlik bilgilerinin geçerli olduğunu belirlerse, istek sahibinin ağın korumalı tarafında bulunan kaynaklara erişmesine izin verilir.

Yealink IP Telefon ve 802.1x Uyumluluğu

802.1X, kullanımda en çok kullanılan port tabanlı ağ erişim kontrolü biçimidir ve Yealink IP telefonlarda kullanılabilir. Yealink IP telefonları, EAP-MD5, EAP-TLS, EAP-PEAP / MSCHAPv2, EAP-TTLS / EAP-MSCHAPv2, EAP-PEAP / GTC, EAP-TTLS / EAP-GTC ve EAP-FAST protokollerine dayalı 802.1X kimlik doğrulamasını destekler.

Hangi Yealink modelinin hangi şifreleme metodunu desteklediğine Yealink Websitesinden bakabilirsiniz. Cihaz üzerindeki yazılıma göre şifreleme metodları farklılık göstermektedir. En mantıklı olan cihazları en güncel sürüme yükseltmektir.

Yealink IP telefonları, 802.1X’i hem Pass-thru Mode hem de Proxy Logoff ile Pass-thru Modunu destekler. Telefona bağlı aygıt PC bağlantı noktasından ayrıldığında, Yealink IP telefonu Ethernet anahtarına bir EAPOL Oturum Kapatma mesajı göndererek ek güvenlik sağlayabilir. Proxy oturumu kapatma olarak da bilinen bu işlev, başka bir cihazın 802.1X aracılığıyla kimlik doğrulaması yapmadan bağlantı noktasını kullanmasını önler.

Geçiş Modu, belirtilen Firmware sürümünü çalıştıran Yealink IP telefonlarında kullanılabilir. Daha fazla bilgi için sistem yöneticinize sorabilir veya Yealink Saha Uygulama Mühendisi (FAE) ile iletişime geçebilirsiniz.

802.1x Konfigürasyonu Nasıl Yapılır?

Yealink IP telefonlarda 802.1X kimlik doğrulaması varsayılan olarak devre dışıdır. 802.1X kimlik doğrulamasını aşağıdaki üç yoldan biriyle yapılandırabilirsiniz:

  • 802.1X’i Yapılandırma dosyalarını kullanma.
  • 802.1X’i Web Kullanıcı Arayüzü ile yapılandırma.
  • 802.1X’i Telefon Kullanıcı Arayüzü ile yapılandırma.

Yapılandırma dosyalarındaki kimlik doğrulama parametrelerinin ayrıntılı açıklamaları için 8021X Yapılandırma Dosyalarını Kullanma sayfa 4 bölümüne bakabilirsiniz.

Çok sayıda IP telefonu kurarken, Yealink önyükleme dosyasını (yeni otomatik sağlama mekanizması için) ve yapılandırma dosyalarını kullanmanızı önerilir. Birkaç telefon hazırlıyorsanız, 802.1X özelliğini yapılandırmak için web kullanıcı arabirimini veya telefon kullanıcı arabirimini kullanabilirsiniz.

Aşağıdaki IP telefonlar yeni otomatik sağlama (auto-provision) mekanizmasını kullanabilir:

  • SIP-T58V, T58A, T56A, CP960 IP phones running firmware version 80
  • SIP T54S, T52S, T48G, T48S, T46G, T46S, T42G, T42S, T41P, T41S, T40P, T40G, T29G, T27G, T23P, T23G, T21(P) E2, T19(P) E2, CP860, CP920, W60P, W52P and W56P IP phones running firmware version 81
  • W53P IP phones running firmware version 83 or later

IP Telefonların Web Arayüzüne girdikten sonra;
Network > Advanced (Ağ > Gelişmiş) menüsünde 802.1X Ayarlarını bulabilirsiniz.

Telefon üzerindeki tuşlarla:
Menu->Settings->Advanced Settings (default password: admin)
->Network->802.1x yolunu izleyerek yapabilirsiniz.

Kimlik Doğrulama Süreci Nasıl İşliyor?

Telefondaki 802.1X kimlik doğrulamasını etkinleştirmek için telefonu yeniden başlatın. 802.1X kimlik doğrulama işlemi iki temel aşamaya ayrılmıştır:

  1. Pre-authentication
    802.1X ön kimlik doğrulama işlemi, görüşme ve kimlik doğrulama için kullanılan bir ek hizmet içeren IP telefonla başlar. IP telefonu yetkisiz bir bağlantı noktasına bağlandığında, kimlik doğrulayıcı IP telefonunun ağa bağlanmasını engeller. Kimlik doğrulama protokollerinden birini kullanarak, kimlik doğrulayıcı IP telefonla bir güvenlik anlaşması oluşturur ve bir 802.1X oturumu oluşturur. IP telefonu kimlik doğrulayıcı için kimlik doğrulama bilgilerini sağlar ve ardından kimlik doğrulayıcı bilgileri kimlik doğrulama sunucusuna iletir.
  2. Authentication
    Kimlik doğrulama sunucusu IP telefonunun kimliğini doğruladıktan sonra, kimlik doğrulama sunucusu işlemin kimlik doğrulama aşamasını başlatır. Bu aşama sırasında, kimlik doğrulayıcı, IP telefonu ile kimlik doğrulama sunucusu arasında anahtar alışverişini kolaylaştırır. Bu anahtarlar oluşturulduktan sonra kimlik doğrulayıcı, IP telefonuna yetkili bir bağlantı noktasındaki korumalı ağa erişim izni verir. Aşağıdaki şekilde, kimlik doğrulama sunucusu olarak bir RADIUS sunucusu kullanan 802.1X kimlik doğrulama işleminin bir uygulaması özetlenmektedir:

Ek A: Terimler Sözlüğü

  • IEEE (Elektrik ve Elektronik Mühendisleri Enstitüsü) – Merkezi New York’ta bulunan ve teknolojik yenilik ve mükemmelliği ilerletmeye adamış profesyonel bir dernek.
  • 802.1X –Bağlantı noktası tabanlı bir ağ erişim denetimi, yani yalnızca bir LAN’a bağlamak isteyen aygıtlar için bir kimlik doğrulama mekanizması sağlar.
  • EAP (Genişletilebilir Kimlik Doğrulama Protokolü) –Çoklu kimlik doğrulama yöntemlerini destekleyen bir kimlik doğrulama çerçevesi.
  • TLS (Aktarım Katmanı Güvenliği) –İki uç nokta arasında karşılıklı kimlik doğrulama, bütünlük korumalı şifre paketi anlaşması sağlar.
  • MD5 (İleti Özeti Algoritması) – Yalnızca EAP sunucusu için EAP eşinin kimlik doğrulamasını sağlar, ancak karşılıklı kimlik doğrulaması sağlamaz.
  • PEAP (Korumalı Genişletilebilir Kimlik Doğrulama Protokolü) – EAP’yi şifrelenmiş ve kimliği doğrulanmış bir TLS tüneli içinde kapsülleyen bir protokol.
  • MSCHAPv2 (Microsoft Challenge El Sıkışma Kimlik Doğrulama Protokolü sürüm 2) – Karşılıklı kimlik doğrulama sağlar, ancak ek taraf sertifikası gerektirmez.
  • TTLS (Tünelli Aktarım Katmanı Güvenliği) – Bazı zayıf noktaları iyileştirmek için TLS’yi genişletir, ancak alıcı tarafı sertifikası gerektirmez.
  • EAPOL (Yerel Alan Ağı Üzerinden Genişletilebilir Kimlik Doğrulama Protokolü) – Bir dağıtım mekanizmasıdır ve gerçek kimlik doğrulama mekanizmalarını sağlamaz.