Cisco TrustSec käyttöönotto JYVSECTEC-ympäristössä

Abstract

Opinnäytetyön toimeksiantajana toimi Jyväskylä Security Technology (JYVSECTEC)-hanke, joka toimii Jyväskylän ammattikorkeakoulun tiloissa. JYVSECTEC kehittää ja ylläpitää kyberturvallisuuden kehitysympäristöä tutkimus, kehitys ja koulutuskäyttöön. Tavoitteena työssä oli toteuttaa identiteettipohjainen tietoturva-ratkaisu käyttäen hyväksi Cisco TrustSec-komponentteja. Työ koostui suunnittelu-, testaus- ja todennusosioista sekä ohjeesta ympäristöä tulevaisuudessa hyödyntäville.

Työn verkkoympäristö koostui Cisco Systemsin laitteista, jotka tukivat TrustSec-toiminnallisuuksia. Näitä laitteita olivat mm. C3750X- ja C3560X-kytkimet, ASA-palomuuri, sekä WLC 2504. Pääkomponenttina työssä toimi Cisco Identity Services Engine (ISE), jolla hallinnoitiin mm. verkkoon pääsyä autentikoimisen ja valtuuttamisen muodossa. Ympäristössä hyödynnettiin SGA-arkkitehtuuria, johon sisältyi mm. verkkolaitteiden välinen NDAC-autentikointi, liikenteen merkkaamista SGT/SXP-menetelmillä, palomuurin SGFW-ominaisuuden testaamista ja päätelaitteiden autentikoimista 802.1X-protokollalla. Päätelaitteen ja kytkimen välillä toteutettiin myös L2-tason salaus 802.1AE (MACsec)-protokollan avulla. Samaa salausta käytettiin myös kytkinten välillä NDAC-autentikoinnin päätteeksi.

Opinnäytetyön tuloksena syntyi ympäristö, jossa tutkittiin useita TrustSec-ominaisuuksia. Tulevaisuudessa ympäristöä voidaan hyödyntää jatkokehityksessä ja koulutuspalveluissa.

The Bachelor's thesis was assigned by Jyväskylä Security Technology (JYVSECTEC) project which operates in the JAMK University of Applied Sciences (JAMK) environment. JYVSECTEC develops and maintains closed cyber security infrastructure for research, development and training-services. Goal of the thesis was to create identity-based network solution by using components of Cisco Trusted Security (TrustSec). Thesis conducted from design, testing- and verifying parts along with creating a manual for future use.

The network environment in the thesis included TrustSec-capable devices manufactured by Cisco Systems, among others C3750X and C3560X switches, ASA-5515X firewall and WLC 2504. The main component was Cisco Identity services Engine (ISE) which was used to handle mainly policies in terms of authentication and authorization in network. The environment utilized SGA architecture which included authenticating network devices with NDAC procedure, handling traffic with SGT/SXP and testing firewall SGFW feature. The endpoints were authenticated with 802.1X protocol by using EAP-FAST chaining method. After authentication the L2 link between endpoint and switch was secured with 802.1AE (MACsec) protocol. The same encryption was also used between switches.

The result of the thesis is a network environment including several TrustSec components. The solutions and features were tested and verified. In future the environment will be used in training services and further development.