Aruba Clearpass : verkkoon pääsyn hallintaratkaisun käyttöönotto suuryrityksen langattomassa verkkoympäristössä
Kinnunen, Anssi (2025)
Lataukset:
2025
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025121637227
https://urn.fi/URN:NBN:fi:amk-2025121637227
Tiivistelmä
Yritysten tietoverkkojen tulee mukautua organisaation vaatimiin muutoksiin nopeasti ja tietoturvallisesti. Laitemäärien kasvaessa ja laitekannan laajentuessa yhä useampiin valmistajiin sekä laitetyyppeihin, yksittäisten laitteiden verkkoon pääsyn hallinta voi monimutkaistua yllättäen. Oman haasteensa verkkolaitteiden pääsyn hallintaan tuovat IT-verkkojen lisäksi OT-verkot, jotka koostuvat esimerkiksi työstökoneiden ohjauslaitteista ja erilaisista antureista valmistavassa teollisuudessa.
Verkkoon kytketyt laitteet eivät rajoitu enää välttämättä tietokoneisiin ja puhelimiin, vaan mukana on esimerkiksi valvontakameroita, työaikaleimauspäätteitä, olosuhdeantureita, työstökoneita, kulunvalvontalaitteistoa, rakennusautomatiikkaa ja muita IoT-laitteita.
Opinnäytetyö tehtiin toimeksiantona suomalaiselle valmistavan teollisuuden suuryritykselle osana tietoverkkojen jatkuvaa kehitystyötä. Työn tuotos on pääasiallisesti raportti teknisestä toteutuksesta. Raportin tukena on käytetty haastattelua, sekä osana työtä on tehty myös kirjallisuuskatsaus ClearPassiin olennaisesti liittyvistä teknologioista ja työn aiheeseen liittyvistä tietoturvan ilmiöistä.
Tässä opinnäytetyössä käsitellään WLAN-verkkoon liittyvien laitteiden pääsynhallintaa HPE Aruban ClearPass NAC -ratkaisua hyödyntäen. ClearPassin rooli tämän projektin viitekehyksessä on tuoda asiakasyrityksen verkkoihin kyvykkyys todentaa langattomiin verkkoihin liittyvät laitteet ja hallinnoida niiden verkkoon pääsyä. Merkittävin parannus verkkojen tietoturvan kannalta oli siirtyminen EAP-TLS -todentamismenetelmään. Vaatimuksena oli hyödyntää ClearPassia RADIUS-palvelimena laitteiden todentamisessa sekä käyttää ClearPassia laiteprofilointiin paremman näkyvyyden saavuttamiseksi.
ClearPass asennettiin asiakasyrityksen virtualisointiympäristöön. Palvelun saatavuus varmistettiin luomalla vikasietoinen kahdesta ClearPass-palvelimesta – solmusta - koostuva ryhmä, niin sanottu palvelinklusteri. WLAN-todentamisen toimivuus vaati paljon selvitystyötä monitoimittajaympäristössä, jotta kaikki tukiasemat, WLAN-ohjaimet, palomuurit ja kytkimet saatiin konfiguroitua oikein.
Olemassa olevien SSID:n tilalle luotiin uusi SSID, johon yhdistävät laitteet todennetaan ClearPassin kautta. Uusi SSID-konfiguraatio vietiin loppukäyttäjien laitteille Microsoft InTune -päätelaitehallintapalvelun avulla. ClearPassiin asennettiin myös InTune-integraatio todentamista sekä laiteprofilointia varten.
Aruba ClearPass vietiin tuotantoon vaiheittain, ja sen toimivuutta testattiin etukäteen kahdella yrityksen sivukonttorilla Suomessa ja ulkomailla, yhdellä huoltopalvelukeskuksella sekä tehtaalla. Yhteistyökumppanina toimiva teleoperaattori avusti ClearPassin tuotantoon viennissä.
Projekti toteutettiin yhdessä yrityksen IT:n ja ulkoisen palveluntarjoajan kanssa. Projekti eteni aikataulussa ja järjestelmä saatiin vietyä tuotantoon WLAN-todentamisen osalta suunnitellusti. Jatkokehitystoimenpiteiksi tunnistettiin todentamisen laajentaminen Ethernet-verkkoihin sekä dynaamisen VLAN-kohdentamisen konfigurointi.
Verkkoon kytketyt laitteet eivät rajoitu enää välttämättä tietokoneisiin ja puhelimiin, vaan mukana on esimerkiksi valvontakameroita, työaikaleimauspäätteitä, olosuhdeantureita, työstökoneita, kulunvalvontalaitteistoa, rakennusautomatiikkaa ja muita IoT-laitteita.
Opinnäytetyö tehtiin toimeksiantona suomalaiselle valmistavan teollisuuden suuryritykselle osana tietoverkkojen jatkuvaa kehitystyötä. Työn tuotos on pääasiallisesti raportti teknisestä toteutuksesta. Raportin tukena on käytetty haastattelua, sekä osana työtä on tehty myös kirjallisuuskatsaus ClearPassiin olennaisesti liittyvistä teknologioista ja työn aiheeseen liittyvistä tietoturvan ilmiöistä.
Tässä opinnäytetyössä käsitellään WLAN-verkkoon liittyvien laitteiden pääsynhallintaa HPE Aruban ClearPass NAC -ratkaisua hyödyntäen. ClearPassin rooli tämän projektin viitekehyksessä on tuoda asiakasyrityksen verkkoihin kyvykkyys todentaa langattomiin verkkoihin liittyvät laitteet ja hallinnoida niiden verkkoon pääsyä. Merkittävin parannus verkkojen tietoturvan kannalta oli siirtyminen EAP-TLS -todentamismenetelmään. Vaatimuksena oli hyödyntää ClearPassia RADIUS-palvelimena laitteiden todentamisessa sekä käyttää ClearPassia laiteprofilointiin paremman näkyvyyden saavuttamiseksi.
ClearPass asennettiin asiakasyrityksen virtualisointiympäristöön. Palvelun saatavuus varmistettiin luomalla vikasietoinen kahdesta ClearPass-palvelimesta – solmusta - koostuva ryhmä, niin sanottu palvelinklusteri. WLAN-todentamisen toimivuus vaati paljon selvitystyötä monitoimittajaympäristössä, jotta kaikki tukiasemat, WLAN-ohjaimet, palomuurit ja kytkimet saatiin konfiguroitua oikein.
Olemassa olevien SSID:n tilalle luotiin uusi SSID, johon yhdistävät laitteet todennetaan ClearPassin kautta. Uusi SSID-konfiguraatio vietiin loppukäyttäjien laitteille Microsoft InTune -päätelaitehallintapalvelun avulla. ClearPassiin asennettiin myös InTune-integraatio todentamista sekä laiteprofilointia varten.
Aruba ClearPass vietiin tuotantoon vaiheittain, ja sen toimivuutta testattiin etukäteen kahdella yrityksen sivukonttorilla Suomessa ja ulkomailla, yhdellä huoltopalvelukeskuksella sekä tehtaalla. Yhteistyökumppanina toimiva teleoperaattori avusti ClearPassin tuotantoon viennissä.
Projekti toteutettiin yhdessä yrityksen IT:n ja ulkoisen palveluntarjoajan kanssa. Projekti eteni aikataulussa ja järjestelmä saatiin vietyä tuotantoon WLAN-todentamisen osalta suunnitellusti. Jatkokehitystoimenpiteiksi tunnistettiin todentamisen laajentaminen Ethernet-verkkoihin sekä dynaamisen VLAN-kohdentamisen konfigurointi.