Mobiilin työntekijän tietoturva
Valtari, Tuomo (2012)
Valtari, Tuomo
Metropolia Ammattikorkeakoulu
2012
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2012060812203
https://urn.fi/URN:NBN:fi:amk-2012060812203
Tiivistelmä
Mobiilin työntekijän mahdollisuus yritysverkon etäkäyttöön on usein yritysverkon ulkopuoliselta käytöltä eristämisen vuoksi varsin rajoittunut. Työn tarkoituksena on toteuttaa myös pienille yrityksille tietoturvallinen sekä topologialtaan mahdollisimman yksinkertainen ratkaisu, joka mukautuu kuitenkin moneen käyttötarkoitukseen, poistamaan yrityksen verkon etäkäytön rajoitteita. Verkon on tarkoitus tarjota samat palvelut etäkäyttäjälle, kuin sillä verkon sisältä käytettäessä on.
Työ jakautuu teoria- ja työosuuteen. Teoriaosuudessa käydään yleisiä etätyöntekijän tietoturvatekniikoita ja niiden käyttötarkoituksia läpi sekä mahdollisia etäkäytön turvauhkia työntekijän ja yrityksen kantilta. Työosuudessa käydään luonteeltaan opastyyppisesti läpi käytetyt tekniikat ja laitteet sekä tekninen toteutus ratkaisun jokaisen komponentin osalta.
Käytännön työosuudessa luodaan etätyöntekijälle soveltuva, tietoturvallinen ratkaisu turvattoman internetin yli. Virtuaalinen lähiverkko toteutetaan käyttäen Juniper-laitteen dynaamista Remote Access VPN -toteutusta, jolla luodaan IPSec VPN -tunneli. Käyttäjän autentikointiin käytetään IKE-avaimenvaihdon lisäksi erillistä Radius-autentikointia. Autentikointipalvelimelle määritetään LDAP-käyttäjäkantaan käyttäjä, jonka autentikointiin käytetään LDAP-käyttäjätunnusten lisäksi kertakäyttösalasanaa. Kertakäyttösalasana eli OTP generoidaan käyttäen Yubikeyn OTP-syötteitä.
Työ jakautuu teoria- ja työosuuteen. Teoriaosuudessa käydään yleisiä etätyöntekijän tietoturvatekniikoita ja niiden käyttötarkoituksia läpi sekä mahdollisia etäkäytön turvauhkia työntekijän ja yrityksen kantilta. Työosuudessa käydään luonteeltaan opastyyppisesti läpi käytetyt tekniikat ja laitteet sekä tekninen toteutus ratkaisun jokaisen komponentin osalta.
Käytännön työosuudessa luodaan etätyöntekijälle soveltuva, tietoturvallinen ratkaisu turvattoman internetin yli. Virtuaalinen lähiverkko toteutetaan käyttäen Juniper-laitteen dynaamista Remote Access VPN -toteutusta, jolla luodaan IPSec VPN -tunneli. Käyttäjän autentikointiin käytetään IKE-avaimenvaihdon lisäksi erillistä Radius-autentikointia. Autentikointipalvelimelle määritetään LDAP-käyttäjäkantaan käyttäjä, jonka autentikointiin käytetään LDAP-käyttäjätunnusten lisäksi kertakäyttösalasanaa. Kertakäyttösalasana eli OTP generoidaan käyttäen Yubikeyn OTP-syötteitä.