Reititinverkon varmennepohjainen turvallisuus : varmenteet verkkolaitteiden autentikointivälineenä
Lievonen, Risto (2024)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024051010580
https://urn.fi/URN:NBN:fi:amk-2024051010580
Tiivistelmä
Opinnäytetyön tarkoituksena oli rakentaa laboratorioympäristöön varmennehierarkian tarvitsema palvelininfra sekä testiverkko, jossa verkkolaitteiden varmenteita pystytään testaamaan. Työn taustana ovat PKI-varmenteet, IEEE 802.1X-autentikointi ja IPsec-tietoliikennesalaus.
Työn tavoitteena oli selvittää ja dokumentoida tarvittavat toimenpiteet ja konfiguraatiot verkkolaitteiden varmenteiden käyttöönottoon, elinkaaren hallintaan ja varmenteiden hyödyntämiseen laitteiden autentikointivälineenä. Käyttökohteiksi valikoitui laitetunnistuksen toteutus 802.1X-protokollalla ja liikenteen salaus IPsec-protokollapinolla.
Opinnäytetyössä käytiin läpi x509-varmenteiden rakennetta, varmennehierarkiaa sekä julkisen avaimen salausta. Lisäksi perehdyttiin laitetunnistukseen ja tietoliikenteen salaukseen verkkolaitteilla. Laboratorioympäristön varmenneratkaisusta kirjoitettiin käyttöönotto-ohje, jota voidaan soveltaa laitevarmenteiden käyttöönottoon tuotantoympäristössä. Käyttöönotto-ohjeessa esitellään tarvittavat komponentit, konfiguraatiot ja prosessit varmenteiden elinkaaren aikaisiin toimintoihin, laitetunnistuksen käyttöön ja tietoliikenteen salaukseen.
Työn tuloksena syntyi toimiva ja testattu kokonaisuus laboratorioympäristöön, jolla pystytään todentamaan määritellyt käyttötapaukset ja jota voidaan jatkojalostaa muihin PKI- ja 802.1X testitapauksiin. Kirjoitettu dokumentaatio kattaa seikkaperäisesti ympäristön olennaiset komponentit ja käytettävät toiminnot.
Opinnäytetyö tehtiin nimettömäksi jäävän toimeksiantajan tilauksesta laboratorioympäristöön. The overall aim of this thesis was to build and configure the necessary server infrastructure and simulated network in a laboratory environment, where certificates for network devices can be tested. The background for the thesis is PKI certificates, IEEE 802.1X authentication and IPsec traffic encryption.
More specifically, the aim of the thesis was to discover and document the needed actions and configurations for the introduction, lifecycle management and utilization of x509 certificates as an authentication tool for network devices. The use cases selected were device identification and authentication with 802.1X protocol and traffic encryption with IPsec protocol stack.
The theory part of the thesis consists of the structure of x509 certificates, certificate hierarchy and public key encryption. It also includes device authentication and traffic encryption with network devices. The practical part of the thesis contains server infrastructure built in laboratory environment, which provides the necessary services for certificate management. An implementation guide for implementing the solution for production environments was developed from the server infrastructure. The guide presents the needed components, configurations and processes for all functions related to certificate lifecycle management, device authentication and traffic encryption.
As a result of the thesis, a functioning and tested set of services for laboratory environment was produced enabling the validation of the defined use cases. The environment can be refined for future PKI and 802.1X testing. The written guide thoroughly covers the essential components and functions of the environment.
The thesis was done for a client’s lab environment. The client wishes to stay anonymous.
Työn tavoitteena oli selvittää ja dokumentoida tarvittavat toimenpiteet ja konfiguraatiot verkkolaitteiden varmenteiden käyttöönottoon, elinkaaren hallintaan ja varmenteiden hyödyntämiseen laitteiden autentikointivälineenä. Käyttökohteiksi valikoitui laitetunnistuksen toteutus 802.1X-protokollalla ja liikenteen salaus IPsec-protokollapinolla.
Opinnäytetyössä käytiin läpi x509-varmenteiden rakennetta, varmennehierarkiaa sekä julkisen avaimen salausta. Lisäksi perehdyttiin laitetunnistukseen ja tietoliikenteen salaukseen verkkolaitteilla. Laboratorioympäristön varmenneratkaisusta kirjoitettiin käyttöönotto-ohje, jota voidaan soveltaa laitevarmenteiden käyttöönottoon tuotantoympäristössä. Käyttöönotto-ohjeessa esitellään tarvittavat komponentit, konfiguraatiot ja prosessit varmenteiden elinkaaren aikaisiin toimintoihin, laitetunnistuksen käyttöön ja tietoliikenteen salaukseen.
Työn tuloksena syntyi toimiva ja testattu kokonaisuus laboratorioympäristöön, jolla pystytään todentamaan määritellyt käyttötapaukset ja jota voidaan jatkojalostaa muihin PKI- ja 802.1X testitapauksiin. Kirjoitettu dokumentaatio kattaa seikkaperäisesti ympäristön olennaiset komponentit ja käytettävät toiminnot.
Opinnäytetyö tehtiin nimettömäksi jäävän toimeksiantajan tilauksesta laboratorioympäristöön.
More specifically, the aim of the thesis was to discover and document the needed actions and configurations for the introduction, lifecycle management and utilization of x509 certificates as an authentication tool for network devices. The use cases selected were device identification and authentication with 802.1X protocol and traffic encryption with IPsec protocol stack.
The theory part of the thesis consists of the structure of x509 certificates, certificate hierarchy and public key encryption. It also includes device authentication and traffic encryption with network devices. The practical part of the thesis contains server infrastructure built in laboratory environment, which provides the necessary services for certificate management. An implementation guide for implementing the solution for production environments was developed from the server infrastructure. The guide presents the needed components, configurations and processes for all functions related to certificate lifecycle management, device authentication and traffic encryption.
As a result of the thesis, a functioning and tested set of services for laboratory environment was produced enabling the validation of the defined use cases. The environment can be refined for future PKI and 802.1X testing. The written guide thoroughly covers the essential components and functions of the environment.
The thesis was done for a client’s lab environment. The client wishes to stay anonymous.