Seuraavan sukupolven palomuuri ja sen konfigurointi
Ylärakkola, Jouni; Töyrylä, Mika (2016)
Kymenlaakson ammattikorkeakoulu
2016
All rights reserved
Julkaisun pysyvä osoite on
http://urn.fi/URN:NBN:fi:amk-2016060612083
http://urn.fi/URN:NBN:fi:amk-2016060612083
Tiivistelmä
Opinnäytetyön aiheena oli Firepowerin eli Ciscon valmistaman seuraavan sukupolven palomuurin ominaisuuksien tutkiminen ja sen soveltuvuus toimitettavaksi palveluna usealle asiakkaalle. Tavoitteena oli myös Firepowerin käyttöönottaminen Kymenlaakson ammattikorkeakoulun ICTLAB-opetusympäristössä.
Opinnäytetyössä käytiin läpi Firepoweriin liittyvä teoria ennen käytännön osuutta. Teoriaosuudessa käsiteltiin palomuurien, IDPS:ien, SSL:n ja Firepowerin toimintoja yleisellä tasolla.
Käytännön osuus aloitettiin asentamalla Firepower Management Center virtuaalisena versiona ICTLAB:n ESXi-palvelimelle. Tämän jälkeen Firepower-ominaisuus asennettiin kahteen eri Cisco ASA 5515-X laitteeseen, joista toinen on tarkoitettu laboratoriotestikäyttöön ja toinen tuotantoverkkoon. Asennuksen jälkeen ne liitettiin osaksi management centeriä, jossa varsinainen hallinta tapahtui.
Management centerissä luotiin pääsynhallinta-, SSL-, AMP-, NGIPS- ja identiteettikäytännöt ja niihin tarkoituksenmukaiset säännöt. Kaikki käytännöt liitettiin osaksi pääsynhallintakäytäntöä, joka liitettiin ASA-laitteeseen. Järjestelmän luomasta informaatiosta luotiin verkkokohtaisia raportteja, joista selvisi esimerkiksi mahdolliset haittaohjelmat, hyökkäykset ja niiden määrä. Lopussa testattiin myös korrelaatioiden toimintaa ja konfiguroitiin käyttöön ulkoinen autentikointi LDAP-menetelmällä.
Työ onnistui hyvin ja järjestelmä jäi käyttöön ICTLAB-opetusympäristöön. Työtä tehtäessä kävi ilmi, että Firepower soveltuu myös tarjottavaksi palveluna asiakkaille, mutta karsituin ominaisuuksin. Hyödyllisiä ominaisuuksia nousi myös esille, kuten raportoinnin automatisointi. Jatkokehitettäväksi jäi luotujen sääntöjen optimointia.
Opinnäytetyössä käytiin läpi Firepoweriin liittyvä teoria ennen käytännön osuutta. Teoriaosuudessa käsiteltiin palomuurien, IDPS:ien, SSL:n ja Firepowerin toimintoja yleisellä tasolla.
Käytännön osuus aloitettiin asentamalla Firepower Management Center virtuaalisena versiona ICTLAB:n ESXi-palvelimelle. Tämän jälkeen Firepower-ominaisuus asennettiin kahteen eri Cisco ASA 5515-X laitteeseen, joista toinen on tarkoitettu laboratoriotestikäyttöön ja toinen tuotantoverkkoon. Asennuksen jälkeen ne liitettiin osaksi management centeriä, jossa varsinainen hallinta tapahtui.
Management centerissä luotiin pääsynhallinta-, SSL-, AMP-, NGIPS- ja identiteettikäytännöt ja niihin tarkoituksenmukaiset säännöt. Kaikki käytännöt liitettiin osaksi pääsynhallintakäytäntöä, joka liitettiin ASA-laitteeseen. Järjestelmän luomasta informaatiosta luotiin verkkokohtaisia raportteja, joista selvisi esimerkiksi mahdolliset haittaohjelmat, hyökkäykset ja niiden määrä. Lopussa testattiin myös korrelaatioiden toimintaa ja konfiguroitiin käyttöön ulkoinen autentikointi LDAP-menetelmällä.
Työ onnistui hyvin ja järjestelmä jäi käyttöön ICTLAB-opetusympäristöön. Työtä tehtäessä kävi ilmi, että Firepower soveltuu myös tarjottavaksi palveluna asiakkaille, mutta karsituin ominaisuuksin. Hyödyllisiä ominaisuuksia nousi myös esille, kuten raportoinnin automatisointi. Jatkokehitettäväksi jäi luotujen sääntöjen optimointia.