IEEE 802.1X -standardin mukaisen posture-tarkistuksen suunnittelu ja testaus ICTLAB-ympäristössä
Vainio, Henri (2019)
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2019112522347
https://urn.fi/URN:NBN:fi:amk-2019112522347
Tiivistelmä
Tämän opinnäytetyön tavoitteena on tutustua IEEE 802.1X -standardin mukaiseen posture-tarkistukseen. Tarkoitus on sekä teorian että käytännön tasolla selvittää Cisco Identity Services Engine -pääsynhallintajärjestelmän posture-ominaisuuden toiminta ja hyödyt sekä testata sen toimintaa käytännössä Xamkin ICTLAB:n verkkoympäristöä muistuttavassa virtuaalilaboratoriossa. Työn pohjalta laaditaan tiivistetty ohjeistus posturen mahdollista laajamittaisempaa tulevaisuuden käyttöönottoa varten oikeassa lähiverkossa. Posture määritetään vain langalliseen verkkoon.
Posture on Identity Services Enginen (ISE) tarjoama lisäturvaominaisuus 802.1X-porttitodennukselle, joka mahdollistaa porttitodennettujen työasemien pääsynhallinnan lähiverkossa erilaisten vaatimusten avulla. Esimerkkejä tällaisista vaatimuksista ovat työasemille asennetut ohjelmat, laitteistokokoonpano tai niiden käyttämät todennusmenetelmät. Tässä työssä posture määritetään siten, että kaikissa ICTLAB:n verkon 802.1X-todennetuissa työasemissa on oltava ajantasaiset kriittiset Windows-päivitykset ennen kuin niiden pääsy verkkoon sallitaan. Puuttuvat päivitykset työasemat ohjeistetaan asentamaan verkon sisäiseltä WSUS-palvelimelta. Tämä parantaa verkon tietoturvaa siten, että uusimpien päivitysten myötä verkon työasemilla on vähemmän haavoittuvuuksia, joita esimerkiksi hakkerit voisivat hyödyntää. Päivitykset myös takaavat järjestelmän paremman toimivuuden.
Opinnäytetyön alkuvaiheessa tutustuttiin ensin 802.1X-standardiin, joka määrittelee porttikohtaisen todennuksen lähiverkoissa, ja siihen liittyviin todennusprotokolliin, kuten EAP, EAPOL ja RADIUS. Samalla perehdyttiin myös ISE:een sekä posturen teoriaan, kuten sen toimintaperiaatteeseen ja määrityksen ohjeistukseen. Tämän jälkeen luotiin virtuaalitopologia Xamkin Virtual Lab -ympäristöön, jossa posture-tarkistuksen käyttöönottoa pystyttiin onnistuneesti testaamaan. ICTLAB:n verkon muutostöiden johdosta suunnitelmista testata posturea oikeassa lähiverkkoympäristössä jouduttiin lopulta luopumaan, mutta määritystä päästiin kuitenkin testaamaan BK0128-luokkahuoneen kahdella fyysisellä työasemalla yhdistämällä fyysinen runkokytkin ja kaksi asiakaskytkintä virtuaalitopologiaan ristiinkytkennän ja Multicast VPN:n avulla.
Työn lopputuloksena oli siis onnistunut testaus kahdella fyysisellä työasemalla ICTLAB:n verkon mukaisessa ympäristössä ja sen pohjalta laadittu ohjeistus. The goal of this thesis is to study and test IEEE 802.1X authentication-based posture check. The purpose is to study the operation and benefits of the posture feature provided by Cisco Identity Services Engine administration system both in theory and practice and test it in a virtual environment similar to Xamk ICTLAB local area network. As a result of testing a summarized set of instructions of the whole implementation will be written at the end of this document in case a wide scale deployment in the actual local area network is ever considered in the future. Posture check in this thesis is only configured on wired network.
Posture is an additional security feature on top of 802.1X port-based authentication provided by Identity Services Engine (ISE). It allows the checking of compliance (posture) of endpoints before allowing them to connect to your network. This makes it possible to create a certain set of requirements towards endpoints based on installed software, hardware configurations or authentication methods before they are deemed compliant and permitted access to the network. In this thesis a basic posture check with a requirement of up-to-date Windows Critical Updates on all client workstations is configured. In the implementation the missing updates on workstations can and must be remediated and installed via internally managed WSUS server before granting them access to join the network. This provides more safety to network due to endpoints always being critically patched without extra vulnerabilities that could be exploited. Updates also ensure better operation of the system.
At the start of the thesis 802.1X standard and the related protocols including EAP, EAPOL and RADIUS were studied. At the same time a deeper look was taken at ISE and the posture process itself. After this it was time to create a virtual topology in Xamk Virtual Lab environment on which a successful posture deployment could be tested. Due to ongoing network modifications in ICTLAB, plans of testing posture in real environment had to be given up. Despite this a test on two physical workstations in classroom BK0128 could successfully be carried out by connecting the virtual topology to physical devices (a core switch and two access switches) with the help of crossed connection and MultiCast VPN configuration.
The end result of the thesis was a successful posture check test on two physical workstations on a virtual network resembling the real ICTLAB environment and detailed step-by-step instructions based on that.
Posture on Identity Services Enginen (ISE) tarjoama lisäturvaominaisuus 802.1X-porttitodennukselle, joka mahdollistaa porttitodennettujen työasemien pääsynhallinnan lähiverkossa erilaisten vaatimusten avulla. Esimerkkejä tällaisista vaatimuksista ovat työasemille asennetut ohjelmat, laitteistokokoonpano tai niiden käyttämät todennusmenetelmät. Tässä työssä posture määritetään siten, että kaikissa ICTLAB:n verkon 802.1X-todennetuissa työasemissa on oltava ajantasaiset kriittiset Windows-päivitykset ennen kuin niiden pääsy verkkoon sallitaan. Puuttuvat päivitykset työasemat ohjeistetaan asentamaan verkon sisäiseltä WSUS-palvelimelta. Tämä parantaa verkon tietoturvaa siten, että uusimpien päivitysten myötä verkon työasemilla on vähemmän haavoittuvuuksia, joita esimerkiksi hakkerit voisivat hyödyntää. Päivitykset myös takaavat järjestelmän paremman toimivuuden.
Opinnäytetyön alkuvaiheessa tutustuttiin ensin 802.1X-standardiin, joka määrittelee porttikohtaisen todennuksen lähiverkoissa, ja siihen liittyviin todennusprotokolliin, kuten EAP, EAPOL ja RADIUS. Samalla perehdyttiin myös ISE:een sekä posturen teoriaan, kuten sen toimintaperiaatteeseen ja määrityksen ohjeistukseen. Tämän jälkeen luotiin virtuaalitopologia Xamkin Virtual Lab -ympäristöön, jossa posture-tarkistuksen käyttöönottoa pystyttiin onnistuneesti testaamaan. ICTLAB:n verkon muutostöiden johdosta suunnitelmista testata posturea oikeassa lähiverkkoympäristössä jouduttiin lopulta luopumaan, mutta määritystä päästiin kuitenkin testaamaan BK0128-luokkahuoneen kahdella fyysisellä työasemalla yhdistämällä fyysinen runkokytkin ja kaksi asiakaskytkintä virtuaalitopologiaan ristiinkytkennän ja Multicast VPN:n avulla.
Työn lopputuloksena oli siis onnistunut testaus kahdella fyysisellä työasemalla ICTLAB:n verkon mukaisessa ympäristössä ja sen pohjalta laadittu ohjeistus.
Posture is an additional security feature on top of 802.1X port-based authentication provided by Identity Services Engine (ISE). It allows the checking of compliance (posture) of endpoints before allowing them to connect to your network. This makes it possible to create a certain set of requirements towards endpoints based on installed software, hardware configurations or authentication methods before they are deemed compliant and permitted access to the network. In this thesis a basic posture check with a requirement of up-to-date Windows Critical Updates on all client workstations is configured. In the implementation the missing updates on workstations can and must be remediated and installed via internally managed WSUS server before granting them access to join the network. This provides more safety to network due to endpoints always being critically patched without extra vulnerabilities that could be exploited. Updates also ensure better operation of the system.
At the start of the thesis 802.1X standard and the related protocols including EAP, EAPOL and RADIUS were studied. At the same time a deeper look was taken at ISE and the posture process itself. After this it was time to create a virtual topology in Xamk Virtual Lab environment on which a successful posture deployment could be tested. Due to ongoing network modifications in ICTLAB, plans of testing posture in real environment had to be given up. Despite this a test on two physical workstations in classroom BK0128 could successfully be carried out by connecting the virtual topology to physical devices (a core switch and two access switches) with the help of crossed connection and MultiCast VPN configuration.
The end result of the thesis was a successful posture check test on two physical workstations on a virtual network resembling the real ICTLAB environment and detailed step-by-step instructions based on that.