Network Access Control : Aruba ClearPass
Ketoluoto, Antti (2017)
Ketoluoto, Antti
Lahden ammattikorkeakoulu
2017
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2017061313398
https://urn.fi/URN:NBN:fi:amk-2017061313398
Tiivistelmä
Opinnäytetyön tavoitteena oli selvittää, voidaanko Aruba ClearPassjärjestelmällä suorittaa Ethernet-verkkoon liitettävien päätelaitteiden VLAN-konfiguraation automatisointi. Selvityksen jälkeen järjestelmä toteutettiin tulostin- ja kiinteistövalvonnan verkkoihin. Kohdeympäristönä on Lahden kaupungin verkko, jota työn toimeksiantaja Lahden Tietotekniikka ylläpitää.
Aruba ClearPass on verkkoon pääsyn hallinnassa käytettävä järjestelmä, joka suorittaa päätelaitteiden RADIUS-autentikointia. Järjestelmällä voidaan myös toteuttaa IEEE 802.1X -standardin mukaista porttikohtaista autentikointia. Porttikohtaisen autentikoinnin tavoitteena on estää luvattomien päätelaitteiden liikenne verkon liityntäpisteen kautta. RADIUS on AAA-mallin mukainen tietoliikenneprotokolla, jolla verkkoon pyrkivän päätelaitteen tunnistautumistiedot välitetään autentikointipalvelimelle autentikointia varten.
Opinnäytetyön käytännön osuudessa tutkitaan jo kaupungin langattomissa verkoissa käytössä olevaa ClearPass-järjestelmää ja sitä, miten VLANkonfiguraation automatisointi voitaisiin sillä toteuttaa. Toteteutuksessa päädyttiin hyödyntämään IPAM-serverin tietokantaa olemassa olevista laitteista. Tietokannan avulla muodostettiin ClearPassiin palvelu, joka automatisoi verkkoon liitettävien tulostimien, kiinteistönvalvonnan ja vieraiden laitteiden VLAN-konfiguraation. Palvelussa hyödynnettiin IEEE 802.1X porttikohtaista autentikointia ja RADIUS-CoA toiminnon tarjoamaa kytkinportin VLANin muuttamista.
Testiympäristössä järjestelmä saatiin toimimaan sunnitellulla tavalla. Verkkoon kytketyt laitteet saivat aikaan kytkinportin siirtymisen haluttuun VLANiin ja tuotantoon otettaessa järjestelmä säästäisi merkittävästi järjestelmän ylläpitoon käytettävää aikaa siirrettäessä laitteita tai lisättäessä uusia laitteita verkkoon.
Aruba ClearPass on verkkoon pääsyn hallinnassa käytettävä järjestelmä, joka suorittaa päätelaitteiden RADIUS-autentikointia. Järjestelmällä voidaan myös toteuttaa IEEE 802.1X -standardin mukaista porttikohtaista autentikointia. Porttikohtaisen autentikoinnin tavoitteena on estää luvattomien päätelaitteiden liikenne verkon liityntäpisteen kautta. RADIUS on AAA-mallin mukainen tietoliikenneprotokolla, jolla verkkoon pyrkivän päätelaitteen tunnistautumistiedot välitetään autentikointipalvelimelle autentikointia varten.
Opinnäytetyön käytännön osuudessa tutkitaan jo kaupungin langattomissa verkoissa käytössä olevaa ClearPass-järjestelmää ja sitä, miten VLANkonfiguraation automatisointi voitaisiin sillä toteuttaa. Toteteutuksessa päädyttiin hyödyntämään IPAM-serverin tietokantaa olemassa olevista laitteista. Tietokannan avulla muodostettiin ClearPassiin palvelu, joka automatisoi verkkoon liitettävien tulostimien, kiinteistönvalvonnan ja vieraiden laitteiden VLAN-konfiguraation. Palvelussa hyödynnettiin IEEE 802.1X porttikohtaista autentikointia ja RADIUS-CoA toiminnon tarjoamaa kytkinportin VLANin muuttamista.
Testiympäristössä järjestelmä saatiin toimimaan sunnitellulla tavalla. Verkkoon kytketyt laitteet saivat aikaan kytkinportin siirtymisen haluttuun VLANiin ja tuotantoon otettaessa järjestelmä säästäisi merkittävästi järjestelmän ylläpitoon käytettävää aikaa siirrettäessä laitteita tai lisättäessä uusia laitteita verkkoon.