Cisco TrustSec käyttöönotto JYVSECTEC-ympäristössä
Honkanen, Joni (2014)
Honkanen, Joni
Jyväskylän ammattikorkeakoulu
2014
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2014090413742
https://urn.fi/URN:NBN:fi:amk-2014090413742
Tiivistelmä
Opinnäytetyön toimeksiantajana toimi Jyväskylä Security Technology (JYVSECTEC)-hanke, joka toimii Jyväskylän ammattikorkeakoulun tiloissa. JYVSECTEC kehittää ja ylläpitää kyberturvallisuuden kehitysympäristöä tutkimus, kehitys ja koulutuskäyttöön. Tavoitteena työssä oli toteuttaa identiteettipohjainen tietoturva-ratkaisu käyttäen hyväksi Cisco TrustSec-komponentteja. Työ koostui suunnittelu-, testaus- ja todennusosioista sekä ohjeesta ympäristöä tulevaisuudessa hyödyntäville.
Työn verkkoympäristö koostui Cisco Systemsin laitteista, jotka tukivat TrustSec-toiminnallisuuksia. Näitä laitteita olivat mm. C3750X- ja C3560X-kytkimet, ASA-palomuuri, sekä WLC 2504. Pääkomponenttina työssä toimi Cisco Identity Services Engine (ISE), jolla hallinnoitiin mm. verkkoon pääsyä autentikoimisen ja valtuuttamisen muodossa. Ympäristössä hyödynnettiin SGA-arkkitehtuuria, johon sisältyi mm. verkkolaitteiden välinen NDAC-autentikointi, liikenteen merkkaamista SGT/SXP-menetelmillä, palomuurin SGFW-ominaisuuden testaamista ja päätelaitteiden autentikoimista 802.1X-protokollalla. Päätelaitteen ja kytkimen välillä toteutettiin myös L2-tason salaus 802.1AE (MACsec)-protokollan avulla. Samaa salausta käytettiin myös kytkinten välillä NDAC-autentikoinnin päätteeksi.
Opinnäytetyön tuloksena syntyi ympäristö, jossa tutkittiin useita TrustSec-ominaisuuksia. Tulevaisuudessa ympäristöä voidaan hyödyntää jatkokehityksessä ja koulutuspalveluissa.
Työn verkkoympäristö koostui Cisco Systemsin laitteista, jotka tukivat TrustSec-toiminnallisuuksia. Näitä laitteita olivat mm. C3750X- ja C3560X-kytkimet, ASA-palomuuri, sekä WLC 2504. Pääkomponenttina työssä toimi Cisco Identity Services Engine (ISE), jolla hallinnoitiin mm. verkkoon pääsyä autentikoimisen ja valtuuttamisen muodossa. Ympäristössä hyödynnettiin SGA-arkkitehtuuria, johon sisältyi mm. verkkolaitteiden välinen NDAC-autentikointi, liikenteen merkkaamista SGT/SXP-menetelmillä, palomuurin SGFW-ominaisuuden testaamista ja päätelaitteiden autentikoimista 802.1X-protokollalla. Päätelaitteen ja kytkimen välillä toteutettiin myös L2-tason salaus 802.1AE (MACsec)-protokollan avulla. Samaa salausta käytettiin myös kytkinten välillä NDAC-autentikoinnin päätteeksi.
Opinnäytetyön tuloksena syntyi ympäristö, jossa tutkittiin useita TrustSec-ominaisuuksia. Tulevaisuudessa ympäristöä voidaan hyödyntää jatkokehityksessä ja koulutuspalveluissa.