RADIUS autentikointi Ciscon verkkolaitteille

Abstract

Opinnäytetyö tehtiin Triuvare Oy:lle tarkoituksena kehittää ratkaisu, jolla voidaan keskittää käyttäjien hallinta. Keskitetty käyttäjien hallinta parantaa tietoturvaa, sillä kaikkia tunnuksia pystytään hallinnoimaan yhdestä paikasta. Keskitettyjä käyttäjätunnuksia voidaan tämän opinnäytetyön mukaisesti käyttää esimerkiksi verkkolaitteille kirjautumiseen. Tässä työssä käyttäjien hallinta toteutetaan RADIUS-protokollan avulla Cisco-verkkolaitteille.

Opinnäytetyössä muutokset tehtiin valmiiseen testiympäristöön, jossa oli yksi Cisco-kytkin, Cisco-palomuuri ja Windows-palvelin. Testiympäristöllä oli tarkoitus simuloida tilannetta, jossa verkkolaitteet ovat asiakkaan tiloissa ja palvelin Triuvaren toimistolla. Palvelimelle asennettiin Network Policy Server, joka toimi RADIUS-palvelimena ja jonka pääsyoikeuksia voidaan hallita Windowsin käyttäjäryhmillä.

RADIUS-autentikointi toimii verkkolaitteilla hyvin, ja vikatilanteiden varalta verkkolaitteilla on paikalliset hallintatunnukset, joilla pääsee kirjautumaan, mikäli RADIUS-palvelin ei syystä tai toisesta ole saatavilla. Jatkossa RADIUS-autentikointiin voidaan lisätä vielä kaksivaiheinen tunnistautuminen parantamaan tietoturvaa entisestään.

This thesis study was carried out for Triuvare Oy to find a solution for centralized user management. Centralized user management increases data security because every user account can be managed from one place. Centralized user management can be used for example on network devices explored in this study. In this thesis user management was created for Cisco network devices using the RADIUS protocol.

In this thesis changes were made in the already configured test environment, which includes one Cisco switch, one Cisco firewall and a Windows server. The purpose of the test environment was to simulate the real environment, where the network devices are located at the customer’s premises and the server is located at Triuvare’s office. The Network Policy Server was installed on the Windows server, which worked as a RADIUS server and access rights could be managed with Windows user groups.

RADIUS authentication on network devices works well and there is a local account for logging in if RADIUS authentication could not be used for one reason or another. In the future two-factor authentication can be added to RADIUS authentication.