Network Access Control : single computer viewpoint
Kuisti, Jari (2009)
Kuisti, Jari
Jyväskylän ammattikorkeakoulu
2009
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-200906033652
https://urn.fi/URN:NBN:fi:amk-200906033652
Tiivistelmä
Työn tavoitteena oli kehittää uutta ideologiaa ja tekniikoita (client’s NAC), jossa perinteinen verkkolähtöinen näkökulma pääsynhallinnassa suunnataan yksittäiselle tietokoneelle. Tämän kaltaista tutkimusta tai konseptia ei ollut olemassa, joten kyseessä oli aivan uusi tutkimuksen aihe. Kehittämisessä lähtökohtana oli löytää malli, jonka mukaan yksittäinen tietokone pystyy päättelemään, onko verkko, johon se on kytketty, luotettu vai ei. Työssä sovellettiin ja analysointiin eri autentikointivaihtoehtoja, joiden perusteella esitettiin tiettyjä autentikointitekniikoita client’s NAC -sovelluksen toteuttamiseen.
Työ osoitti, että yleisimmissä LAN-protokollissa on merkittäviä uhkia ja haavoittuvuuksia. Jos yksittäinen tietokone kykenee päättelemään verkon luottavuuden, näiden uhkien toteutumista voidaan lieventää, sillä luotettava verkko sisältää vain luotettuja laitteita. Tämä vahvisti, että client’s NAC -konseptin avulla voidaan suojautua epäluotettavien laitteiden haitalliselta tietoliikenteeltä.
Eri autentikointimallit jaettiin työssä kahteen eri kategoriaan tulevan kohdeympäristön perusteella. Korkean tietoturvallisuuden ympäristöissä tietoturva ja osapuolten luottavuus on tärkein tekijä suunniteltaessa autentikointimalleja, kun taas matalamman tietoturvaluokan ympäristöihin toteutuksen helppous ja käytettävyys ratkaisee valinnassa.
Analysointi eri autentikointimallien välillä suoritettiin tietoturva-analyysillä, joka perustui tietoturvaprotokollissa oleviin yleisimpiin haavoittuvuuksiin, ja toteutusanalyysillä, jossa pyrittiin tekemään päätelmiä toteutuksen toimivuudesta ja vaikeudesta. Näiden analyysien perusteella työ esittää eri vaihtoehtoja eri ympäristöihin toteutettavaksi autentikointitavaksi client’s NAC -sovellukseen.
Työ osoitti, että yleisimmissä LAN-protokollissa on merkittäviä uhkia ja haavoittuvuuksia. Jos yksittäinen tietokone kykenee päättelemään verkon luottavuuden, näiden uhkien toteutumista voidaan lieventää, sillä luotettava verkko sisältää vain luotettuja laitteita. Tämä vahvisti, että client’s NAC -konseptin avulla voidaan suojautua epäluotettavien laitteiden haitalliselta tietoliikenteeltä.
Eri autentikointimallit jaettiin työssä kahteen eri kategoriaan tulevan kohdeympäristön perusteella. Korkean tietoturvallisuuden ympäristöissä tietoturva ja osapuolten luottavuus on tärkein tekijä suunniteltaessa autentikointimalleja, kun taas matalamman tietoturvaluokan ympäristöihin toteutuksen helppous ja käytettävyys ratkaisee valinnassa.
Analysointi eri autentikointimallien välillä suoritettiin tietoturva-analyysillä, joka perustui tietoturvaprotokollissa oleviin yleisimpiin haavoittuvuuksiin, ja toteutusanalyysillä, jossa pyrittiin tekemään päätelmiä toteutuksen toimivuudesta ja vaikeudesta. Näiden analyysien perusteella työ esittää eri vaihtoehtoja eri ympäristöihin toteutettavaksi autentikointitavaksi client’s NAC -sovellukseen.