Identiteettitietoisen verkkoarkkitehtuurin käyttöönoton testaus Kanta-Hämeen Sairaanhoitopiirissä
Tupala, Timo (2013)
Hämeen ammattikorkeakoulu
2013
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2013062514496
https://urn.fi/URN:NBN:fi:amk-2013062514496
Tiivistelmä
Tietoverkkojen käyttäjämäärät sekä verkkolaitteiden määrät ovat hurjassa kasvussa. Kanta-Hämeen Keskussairaalan kokoisessa laitoksessa verkkoa käyttävien ihmisten ja laitteiden määrä on päivittäin tuhansissa. Jotta verkon käyttö pysyisi tietoturvallisena ei toimintaa voida jatkaa entisellään.
Tässä opinnäytetyössä keskitytään Cisco Systemsin ratkaisuun hallita suurien käyttäjä- ja päätelaitemäärien pääsyä verkkoon hallitusti ja tietoturvallisesti. Opinnäytetyössä asennetaan KHSHP:n verkkoon Identity Services Engine joka hoitaa dynaamista 802.1X pääsynhallintaa, sertifikaattipalvelut, sekä Prime-järjestelmä verkkolaitteiden keskitettyä hallintaa varten. Tavoitteena on testata kuinka helposti tämä ratkaisu olisi otettavissa tuotantokäyttöön ja olisiko ratkaisu tarkoituksenmukainen.
Työn teoriaosuudessa keskitytään IEEE 802.1X standardiin sekä siinä käytettyihin erilaisiin protokolliin kuten EAP ja RADIUS. Työssä esitellään myös mitä identiteettitietoinen verkkoarkkitehtuuri on, sekä ne Ciscon ohjelmistot ja laitteistot joita työssä tullaan käyttämään.
Työssä ISE:lle konfiguroitiin halutut autentikointi ja autorisointi politiikat ja identiteettilähteet. 802.1X tunnistautumismenetelmiä testattiin käyttöjärjestelmillä Windows XP ja Windows 7. Molempien käyttöjärjestelmien omien supplikanttien lisäksi Ciscon Anyconnectin toimivuus testattiin läpikotaisin. ISE:llä käytettiin niin sanottua ”Monitor Modea” jolloin testaus voitiin suorittaa käyttäjiä häiritsemättä. Prime-järjestelmä käytiin läpi pintapuolisemmin, mutta toimivuus saatiin testattua ja todettua hyväksi.
Työn tuloksena saatiin vahvaa näyttöä ISE:n toimivuudesta sairaalaympäristössä. Supplikantit saatiin konfiguroitua onnistuneesti ja konfiguraatiot ovat valmiita jaeltavaksi kaikille koneille. Työ dokumentoitiin ISE:n mahdollista tuotantokäyttöä varten selkeäksi ohjeeksi.
Tässä opinnäytetyössä keskitytään Cisco Systemsin ratkaisuun hallita suurien käyttäjä- ja päätelaitemäärien pääsyä verkkoon hallitusti ja tietoturvallisesti. Opinnäytetyössä asennetaan KHSHP:n verkkoon Identity Services Engine joka hoitaa dynaamista 802.1X pääsynhallintaa, sertifikaattipalvelut, sekä Prime-järjestelmä verkkolaitteiden keskitettyä hallintaa varten. Tavoitteena on testata kuinka helposti tämä ratkaisu olisi otettavissa tuotantokäyttöön ja olisiko ratkaisu tarkoituksenmukainen.
Työn teoriaosuudessa keskitytään IEEE 802.1X standardiin sekä siinä käytettyihin erilaisiin protokolliin kuten EAP ja RADIUS. Työssä esitellään myös mitä identiteettitietoinen verkkoarkkitehtuuri on, sekä ne Ciscon ohjelmistot ja laitteistot joita työssä tullaan käyttämään.
Työssä ISE:lle konfiguroitiin halutut autentikointi ja autorisointi politiikat ja identiteettilähteet. 802.1X tunnistautumismenetelmiä testattiin käyttöjärjestelmillä Windows XP ja Windows 7. Molempien käyttöjärjestelmien omien supplikanttien lisäksi Ciscon Anyconnectin toimivuus testattiin läpikotaisin. ISE:llä käytettiin niin sanottua ”Monitor Modea” jolloin testaus voitiin suorittaa käyttäjiä häiritsemättä. Prime-järjestelmä käytiin läpi pintapuolisemmin, mutta toimivuus saatiin testattua ja todettua hyväksi.
Työn tuloksena saatiin vahvaa näyttöä ISE:n toimivuudesta sairaalaympäristössä. Supplikantit saatiin konfiguroitua onnistuneesti ja konfiguraatiot ovat valmiita jaeltavaksi kaikille koneille. Työ dokumentoitiin ISE:n mahdollista tuotantokäyttöä varten selkeäksi ohjeeksi.