802.1X:n mukainen porttiautentikointi huoltovarmuuskriittisessä organisaatiossa

Abstract

Opinnäytetyön tavoitteena oli tutkia ja toteuttaa IEEE-standardin 802.1X:n mukainen porttikohtainen autentikointi langalliseen verkkoon keskisuurelle huoltovarmuuskriittiselle yritykselle varmistaen, että vain yrityksen hallitsemat laitteet pääsevät liittymään verkkoon. Porttiautentikoinnin tarkoitus on lisätä tietoturvaa varsinkin tietoverkoissa ja toimialueessa. Porttiautentikointi tarjoaa myös mahdollisuuden jakaa käyttäjiä erillisiin verkkoihin työntekijän työnkuvan vaatimien oikeuksien mukaan.

Opinnäytetyön aikana tutkittiin erilaisia tapoja toteuttaa 802.1X-porttiautentikointi sekä näihin kuuluvia protokollia. Yrityksen kanssa käytyjen suunnittelukeskustelujen jälkeen yritys ilmoitti haluavansa varmentaa koneet tietokoneissa olevien koneen sertifikaatin avulla. Sertifikaattipohjainen varmennus on tietoturvallisin autentikointikeino, koska loppukäyttäjien ei tarvitse muistaa käyttäjänimiä tai salasanoja. Autentikointiprosessi on täysin näkymätön käyttäjille. Suunnittelun jälkeen päädyttiin valitsemaan PEAP ja EAP-TLS autentikointimenetelmäksi.

Työn aikana rakennettiin toimiva testiympäristö tuotantoon verrattavilla laitteilla. Testiympäristön tarkoitus oli kokeilla erilaisia asetuksia turvallisessa ympäristössä, ennen asetusten laittamista loppukäyttäjille tai tuotannossa oleville lait-teille. Testiympäristöön kuului kaksi kannettavaa tietokonetta, Extreme networksin kytkin sekä Microsoft Windows-palvelin 2016, millä pyöri NPS-palvelin toimittaen RADIUS-palvelimen virkaa. Lisäksi testausta tehtiin testiympäristössä ja hallitusti tuotantoverkossa käyttäjien omilla tuotantotyöasemilla.

Porttiautentikointi otettiin käyttöön yrityksen päätoimipisteessä pienissä osissa ja lopulta se otettiin käyttöön koko toimipisteessä. Verkkoon liittyvät laitteet ohjattiin muutamaan erilliseen verkkoon työssä toteutetun porttiautentikoinnin menetelmiä käyttäen. Jatkossa tarkoituksena on ottaa porttiautentikointi käyttöön muissakin yrityksen pienemmissä toimipisteissä. Lisäksi myöhemmin tullaan toteuttamaan lisää erilaisia verkkoja, joihin liittyvät päätelaitteet ohjataan porttiautentikoinnilla käyttötarpeen mukaisesti

The goal of this thesis was to examine and implement 802.1X port authentication of IEEE standard in a wired network to a critical infrastructure company by making sure that only the devices controlled by the company are able to join the network. Port-authentication gives the ability to assign users to different networks depending on the level of access required by the role of the user.

Different methods to implement 802.1X port authentication and protocols associated with it were examined during the thesis. It was decided to authenticate the company’s computers with the computer certificates already present on the devices. The certificate-based authentication is the most secure way to authenticate the devices, as it allows the end users to not have to remember their credentials. The authentication process is invisible to the end user. PEAP and EAP-TLS were selected as the authentication method.

During the thesis, I built a working test environment with devices comparable to devices in production. The test environment included two laptops, Extreme Networks switch and a Microsoft Windows Server 2016 running NPS, as an acting RADIUS server.

Port authentication was implemented in the company’s main office. The plan is to implement port authentication in the company’s smaller offices at a later date.