Turvallinen etäkäyttö Aaltoyliopistossa

Samankaltaiset tiedostot
Liikkuvuuden mahdollistaminen ja tietoturvan parantaminen Aalto yliopiston langallisessa verkossa

Identiteettipohjaiset verkkoja tietoturvapalvelut

Aalto-yliopiston verkkopalveluiden arkkitehtuuri

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

Diplomityöseminaari

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Directory Information Tree

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

NYT PUHUTTAA OMAT LAITTEET OPETUKSESSA. Juho Airola Kerttulin lukio, Turku

Yleinen ohjeistus Windows tehtävään.

Online-kurssien pikaopas Adobe Connect -yhteyden käyttämiseen

F-SECURE TOTAL. Pysy turvassa verkossa. Suojaa yksityisyytesi. Tietoturva ja VPN kaikille laitteille. f-secure.com/total

Osaa käyttää työvälineohjelmia, tekstinkäsittelyä taulukkolaskentaa ja esitysgrafiikkaa monipuolisesti asiakasviestintään.

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro

Windows Server 2012 asentaminen ja käyttöönotto, Serverin pyörittämisen takia tarvitaan

Mark Summary Form. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name

SSH Secure Shell & SSH File Transfer

myynti-insinööri Miikka Lintusaari Instrumentointi Oy

Työpöytävirtualisointi

FuturaPlan. Järjestelmävaatimukset

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS

Tietokoneet ja verkot. Kilpailupäivä 2, torstai Kilpailijan numero. allekirjoitus. nimen selvennys. Sivu 1

Mark Summary Form. Tulospalvelu. Competitor No Competitor Name Member

TIETOKONEET JA VERKOT v.1.4

Pauli Pesonen. Pääroolit. Järjestelmäasiantuntija, Senior. Ansioluettelo Päivitetty 1 / 2008

Kytkentäopas. Tuetut käyttöjärjestelmät. Tulostimen asentaminen. Kytkentäopas

TW-EAV510AC mallin ohjelmistoversio

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n turvaama HTTP. TLS:n suojaama sähköposti

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

TEHTÄVÄ 4: Microsoft Windows Deployment Services asennus ja hallinta

Viestintäviraston EPP-rajapinta

Tutkimusaineistojen etäkäyttö

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

Asenna palvelimeen Active Directory. Toimialueen nimeksi tulee taitajax.local, missä X on kilpailijanumerosi

Istekki Keski-Suomen ICT-ryhmä

Tikon Ostolaskujenkäsittely versio SP1

DownLink Shared Channel in the 3 rd Generation Base Station

Pika-aloitusopas. Langaton IP-kamera. Tekninen tuki QG4_B

MS Aamubrunssi Aktiivihakemiston uutuudet

eduroamin käyttöohje Windows

Tietojärjestelmät Metropoliassa Mikko Mäkelä & JHH

Kymenlaakson Kyläportaali

Langattomien verkkojen tietosuojapalvelut

Draft. Mark Summary Form. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name. Total

Mark Summary. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name

Mobiililaitteiden hallinta. Andrei Kolmakow

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Objective Marking. Taitaja 2014 Lahti. Skill Number 205 Skill Tietokoneet ja verkot Competition Day 1. Competitor Name

KEMI-TORNIONLAAKSON KOULUTUSKUNTAYHTYMÄ LAPPIA LANGATON VIERAILIJAVERKKO 2(7) VERKKOYHTEYDEN MÄÄRITTELY WINDOWS XP:LLE (WINDOWS XP SP3)

Tikon Ostolaskujenkäsittely versio 6.2.0

Käyttöjärjestelmät. 1pJÄKÄ1 KÄYTTÖJÄRJESTELMÄN HALLINTA, 12 OSP

Langaton verkko sairaalakäyt. ytössä; ; suunnittelu,

LANGATON TAMPERE: CISCO WLAN CONTROLLER KONFIGUROINTI

Langaton Tampere yrityskäyttäjän asetukset

Haka-palveluiden valvonta ja tilastointi AAIEye -työkalun avulla. Mika Suvanto, CSC

8-Väylä KVM Kytkin Musta

1. päivä ip Windows 2003 Server ja vista (toteutus)

Tietoturva Helsingin yliopiston tietojenkäsittelytieteen laitoksella. Taustaa: Taustaa: Taustaa Periaatteita Fyysinen tietoturva Palomuurit

Pertti Pennanen pepe.local 1 (38) EDUPOLI ICTPro

Sisällysluettelo 4 ONGELMATILANTEIDEN RATKAISUT... 12

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

Versio 2.1. Käyttäjätunnukset tulee olla muotoa etunimi.sukunimi. Käyttäjätietokannasta tulee löytyä seuraavat käyttäjät ja tiedot:

Virtuaalityöpöydät (VDI) opintohallinnon järjestelmien käyttöympäristönä.

AinaUCX Lync - asennusohje

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

MARA-ALAN LIIKETOIMINNAN TIETOTURVALLISUUSUHAT

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

Future Internet. Markus Peuhkuri Funet tekniset päivät Aalto-yliopisto Tietoliikenne- ja tietoverkkotekniikan laitos

ICT-info opiskelijoille

Tekninen Tuki. Access Point asennusohje

Sisällys Yleistä... 1 Tietosuoja... 1 Työkalusovellusten rajoitukset... 2 Selainsuositus... 3 Kirjautuminen sivustolle... 4 iphone... 4 ipad...

Verkottunut suunnittelu

Langattoman verkon ohje (kannettavat tietokoneet ym. päätelaitteet) ohje opiskelijoille, henkilökunnalle

T Tietokoneverkot kertaus

Tulevaisuuden päätelaitteet

Kemian laitoksen tietotekniikasta ja ICT- benchmarking. Yleistä

3. Laajakaistaliittymän asetukset / Windows XP

OpenVPN LAN to LAN - yhteys kahden laitteen välille

TW- EAV510 ketjutustoiminto (WDS): Kaksi TW- EAV510 laitetta

TW-EAV510AC-LTE OpenVPN ohjeistus

Siirtyminen IPv6 yhteyskäytäntöön

lomake 6 Taitaja 2005 Osio Osion kuvaus Pisteosuus Päivä 1 Päivä 2 Päivä 3 Päivä 4 Yhteensä Allekirjoitukset

Hyödynnä DPS- ja SA-setelit Azure hybridipilvi-palveluiden suunnittelussa ja testauksessa!

Kuljetus/Sovelluskerroksen tietoturvaratkaisut

Tämän luennon aiheet. Kuljetus/Sovelluskerroksen tietoturvaratkaisut. TLS:n turvaama HTTP. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Google Cloud Print -opas

AinaCom Skype for Business. Asennusohje

SafeMove - Teknologiaratkaisu, joka skannaa verkon ja valitsee nopeimman verkon yhteysvälineeksi

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

Älykkäämpi päätelaitteiden hallinta Juha Tujula, CTO, Enfo Oyj IBM Corporation

Tietoliikennepalveluiden palvelutasonhallinnan kehittäminen kohdeyrityksessä

STORAGE IT Automaattinen varmuuskopiointipalvelu PALVELUKUVAUS

Tietojärjestelmät Metropoliassa Mikko Mäkelä & JHH

Sense tiedostot Käyttöohje Opastinsilta 8 ae Helsinki

IT BACKUP & RESTORE. Palvelimille, työasemille sekä mobiilipäätelaitteille

Dahua NVR4104/4108-P-4KS2

Tamico Yrityssähköposti

Transkriptio:

Turvallinen etäkäyttö Aaltoyliopistossa Diplomityöseminaari Ville Pursiainen Aalto-yliopiston tietotekniikkapalvelut Valvoja: Prof Patric Östergård, Ohjaajat: DI Jari Kotomäki, DI Tommi Saranpää 7.10.2016

Esityksen rakenne Työn tausta Metodiikka Teknologiat Active Directory ja attribuutit Todennus, TLS ja TLS-pohjainen VPN Toteutus Päätelaitteet ja toimialueen työasemien konfigurointi VPN-laitteen konfigurointi Arviointi Tietoturva, toimintavarmuus, käytettävyys Johtopäätökset 2

Työn tausta Ikääntyvät VPN-järjestelmät PPTP (Point-to-Point Protocol) Henkilökohtaisille laitteille Useita tietoturvahaasteita L2TP/IPsec (Layer 2 Tunneling Protocol / IP security) Aallon työasemille 3

Työn tausta Lähtötilanne: Verkko jaettu virtuaalisiin lähiverkkoihin (VLAN) Eri palveluita auki eri VLANeista Molempien VPN:ien kautta pääsy erillisiin VPN-verkkoihin PPTP-VLAN ja L2TP/IPsec-VLAN Tavoite: Korvata vanhat VPN:t yhdellä uudella ratkaisulla VPN:n kautta pääsy olemassa oleviin VLANeihin Aallon koneilla Henkilökohtaiset laitteet eritellään omiin verkkoihin: BYOD-opiskelijat (Bring Your Own Device) BYOD-henkilökunta 4

Metodiikka Kirjallisuustutkimus Toteutuksen arviointi Tietoturva Toimintavarmuus Käytettävyys 5

Active Directory ja attribuutit Active Directory (AD) toimialue Käyttäjäobjektien attribuutit edupersonaffiliation Opiskelija vai henkilökuntaa Koneobjektien attribuutit MemberOf VLAN-ryhmäjäsenyydet 6

Todennus AD-toimialueen työasemat Toimialueen CA:n (Certificate Authority) myöntämä ITU-T:n standardin X.509 mukainen varmenne Toimialueen ulkopuoliset laitteet AD-käyttäjätunnus ja salasana VPN-palvelu Julkisen CA:n (Terena) myöntämä varmenne 7

TLS ja TLS-pohjainen VPN TLS (Transport Layer Security) on protokolla, jonka tarkoituksena on mahdollistaa viestinnän yksityisyys ja eheys osapuolten välillä Käyttää varmenteita osapuolten tunnistamiseen HTTPS-liikenne (Hypertext Transfer Protocol over TLS) suojattu TLS:n avulla TLS-VPN käyttää HTTPS-protokollaa tunnelin muodostamiseen TCP 443 Tunnelin liikenne salataan TLS:n avulla TLS-VPN vaatii tyypillisesti erillisen asiakasohjelmiston asentamisen 8

Päätelaitteet Aallon AD-toimialueessa noin 8500 työasemaa 7000 Windows työasemaa 750 Ubuntu Linux työasemia 750 Mac konetta Työasemista suunnilleen puolet on kannettavia Toimialueen ulkopuoliset laitteet Puhelimet, tabletit, työasemat Android, ios, Windows, Linux, Mac 9

Toimialueen työasemien konfigurointi Asiakasohjelmiston konfigurointi Yhteysosoitteen määritys Varmenteen automaattinen valinta Asiakasohjelmiston asentaminen ja konfiguraation jakaminen Keskitetty ohjelmistojakelu 10

VPN-laitteen konfigurointi VLANien levitys VPN-laitteelle Työasema- ja BYOD-verkot VLANien määrittely VPN-laitteessa Jokaiselle VLANille omat verkkoasetukset AD-attribuuttien hakeminen Palvelutunnus Attribuuttikartoitukset MemberOf -> VLAN-ryhmän mukainen verkko edupersonaffiliation -> roolin mukainen BYOD-verkko 11

Tietoturva TLS-pohjainen ratkaisu on laajasti käytetty ja yleisesti todettu turvalliseksi Suurin riski: laiton pääsy Aallon verkkoon ja palveluihin Käyttäjätunnuksen päätyminen vääriin käsiin Phishing Yhdistäminen murretulla laitteella Rajoittaminen: BYOD-verkoista ei pääsyä yliopiston toiminnan kannalta kriittisiin järjestelmiin. 12

Toimintavarmuus VPN-laite Ei korkean saatavuuden ratkaisua Backupit Active Directory Viisi DC:tä (Domain Controller) VPN-laitteen varmenne Työasemien varmenteet 13

Käytettävyys Asiakasohjelmiston asennus ja konfigurointi päätelaitteeseen Vaatii ohjelmistoasennuksen Asiakasohjelmiston käyttäminen Löytyy eri paikasta, kun käyttöjärjestelmään integroidut ratkaisut VPN-palvelun saavutettavuus erilaisista verkoista Yhtäaikaiset käyttäjät Vanhat järjestelmät n. 60 Uusi VPN n. 130 14

Johtopäätökset ja jatkokehitys Työssä esitetty toteutus on jo otettu tuotantokäyttöön, eikä suurempia ongelmia ole esiintynyt. Toimialueen ulkopuoliset laitetteet voitaisiin jatkossa todentaa varmenteiden avulla, jos niiden jakeluun olisi hyvä kanava. 15

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute