Liikkuvuuden mahdollistaminen ja tietoturvan parantaminen Aalto yliopiston langallisessa verkossa

Samankaltaiset tiedostot
Turvallinen etäkäyttö Aaltoyliopistossa

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Liikkuvuuden mahdollistaminen ja tietoturvan parantaminen Aalto-yliopiston langallisessa verkossa

Osaa käyttää työvälineohjelmia, tekstinkäsittelyä taulukkolaskentaa ja esitysgrafiikkaa monipuolisesti asiakasviestintään.

TW- EAV510 ketjutustoiminto (WDS): Kaksi TW- EAV510 laitetta

Aalto-yliopiston verkkopalveluiden arkkitehtuuri

Langaton verkko sairaalakäyt. ytössä; ; suunnittelu,

erasmartcardkortinlukijaohjelmiston

Kuljetus/Sovelluskerroksen tietoturvaratkaisut

Tämän luennon aiheet. Kuljetus/Sovelluskerroksen tietoturvaratkaisut. TLS:n turvaama HTTP. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n turvaama HTTP. TLS:n suojaama sähköposti

HP Networking. Martti Saramies, HP Networking, myynti

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

erasmartcard-kortinlukijaohjelmiston asennusohje (mpollux jää toiseksi kortinlukijaohjelmistoksi)

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) ja Secure Shell (SSH)

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro

TIETOKONEET JA VERKOT v.1.4

Directory Information Tree

Javan asennus ja ohjeita ongelmatilanteisiin

FuturaPlan. Järjestelmävaatimukset

Yleistä tietoa Windows tehtävästä

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Järjestelmäarkkitehtuuri (TK081702)

eduroamin käyttöohje Windows

Nimettömien tietojen lähettäminen Lenovolle

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

Käyttöjärjestelmät. 1pJÄKÄ1 KÄYTTÖJÄRJESTELMÄN HALLINTA, 12 OSP

LANGATON TAMPERE: CISCO WLAN CONTROLLER KONFIGUROINTI

Virtuaalityöpöydät (VDI) opintohallinnon järjestelmien käyttöympäristönä.

ERICSSON HM410DP ASENNUSOHJE

TIETOJÄRJESTELMIEN AMMATILLISET ERIKOISTUMISOPINNOT (30 op)

Diplomityöseminaari

Tekninen Tuki. Access Point asennusohje

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X

Identiteettipohjaiset verkkoja tietoturvapalvelut

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

Ketterä ja asiakaslähtöinen palvelukehitys tietoliikenneteollisuudessa

Tikon Ostolaskujenkäsittely versio SP1

AinaCom Skype for Business. Asennusohje

Langattomien verkkojen tietosuojapalvelut

Tieto- ja tietoliikennetekniikan ammattitutkinnon perusteet (OPH ) Tutkinnon osa

Taloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Windows XP

DownLink Shared Channel in the 3 rd Generation Base Station

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

VERKKOKÄYTTÄJÄN OPAS. Tulostuslokin tallennus verkkoon. Versio 0 FIN

Mark Summary Form. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut

TW- EAV510 JA TW- LTE REITITIN: WDS- VERKKO

TeleWell TW-WLAN g/n USB

1 AinaCom Skype for Business / Lync 2010 / Lync for Mac 2011 asennusohje... 2

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma / Tietoverkkotekniikka. Joni Korjala APACHE WWW-PALVELIN Seminaarityö 2012

OPINNÄYTETYÖ: Extreme Networksin L2-tietoturvaominaisuudet. Juha Piispanen. Opinnäytetyö Toukokuu 2012

Vaivattomasti parasta tietoturvaa

JOHDANTO AirPrint on käytettävissä vain tulostimissa tai monitoimilaitteissa, jotka tukevat AirPrintiä. Huomaa

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS

1. päivä ip Windows 2003 Server ja vista (toteutus)

IPsec-SA:n perustaminen. Kuljetus/Sovelluskerroksen tietoturvaratkaisut. Luottamuksenhallinta. Arkkitehtuuri Internetin turvallisuudelle

HOJ J2EE & EJB & SOAP &...

Linux. Alkutarkistukset

IP-pohjaisen puheratkaisun käyttöönotto vaihdeverkossa

KAIKKI LAITTEET KÄYNNISTETÄÄN UUDELLEEN ENNEN TARKISTUSTA

Tikon Ostolaskujenkäsittely versio 6.2.0

Kuljetus/Sovelluskerroksen tietoturvaratkaisut

3. Laajakaistaliittymän asetukset / Windows XP

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

KEMI-TORNIONLAAKSON KOULUTUSKUNTAYHTYMÄ LAPPIA LANGATON VIERAILIJAVERKKO 2(7) VERKKOYHTEYDEN MÄÄRITTELY WINDOWS XP:LLE (WINDOWS XP SP3)

Ongelmallinen Ethernet

VERKON ASETUKSET SEKÄ WINDOWSIN PÄIVITTÄMINEN

Lisää reititystä. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Lisää reititystä. Jaakko Kangasharju

AinaUCX Lync - asennusohje

Lisää reititystä. Tietokoneverkot 2008 (4 op) Syksy Teknillinen korkeakoulu. Lisää reititystä. Jaakko Kangasharju

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun

HSMT J2EE & EJB & SOAP &...

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

Linux rakenne. Linux-järjestelmä koostuu useasta erillisestä osasta. Eräs jaottelu: Ydin Komentotulkki X-ikkunointijärjestelmä Sovellusohjelmat

Oppimisympäristön arvioiminen ja tunnistaminen tutkinnon perusteiden avulla

Taloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Mac OS X

Tutkimus web-palveluista (1996)

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

ELEC-C7241 Tietokoneverkot Multimedia, tietoturva, jne.

IT-järjestelmän kuntokartoitus. Sisällys. You Need IT We Do IT

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows XP

ACCOUNTOR ICT Digitaalinen työympäristö Markkinatutkimus joulukuu 2018

Yleinen ohjeistus Windows tehtävään.

Suoritustavat: Laboratoriotöitä 2.-3.periodi. Luennot 2h, Laboratorityöt 4h, itsenäinen työskentely 124 h. Yhteensä 130 h.

OSI ja Protokollapino

VERKKOON PÄÄSYN VALVONTA JA RADIUS

Elisa Toimisto 365. Toimisto ja yhteydet pilvestä

Pika-aloitusopas. Langaton IP-kamera. Tekninen tuki QG4_B

Varmennepalvelu Yleiskuvaus Kansallisen tulorekisterin perustamishanke

IEEE 802.1X JA PORTTIKOHTAINEN TODENNUS WINDOWS-YMPÄRISTÖSSÄ

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows Vista

Vuorekseen liittyvä tutkimusja kehitysprojekti. Langaton Vuores. Kotikatupalvelin

Maailman ensimmäinen Plug & Go etäyhteyslaite

Transkriptio:

Liikkuvuuden mahdollistaminen ja tietoturvan parantaminen Aalto yliopiston langallisessa verkossa Esko Järnfors Aalto yliopiston tietotekniikkapalvelut Valvoja: Prof Raimo Kantola, Ohjaaja: DI Tommi Saranpää 14.9.2016

Esityksen rakenne Työn tausta Työn tausta Metodiikka Rakennuspalikat Varmenteet, protokollat, standardit Toteutus Työasemat Kytkimet Arviointi Uhat, riskit ja käytettävyys Riskit, käytettävyys Tulokset ja johtopäätökset Tulokset Johtopäätökset 2/18

Työn tausta Aallon strategia: Edistetään uusia työskentelytapoja, monenlaisille käyttäjille soveltuvia tilaratkaisuja, liikkuvuutta, joustavuutta, yhdessä tekemistä ja hyvinvointia. on Aalto yliopiston IT palveluja tuottava yksikkö, jonka tehtävänä on tarjota tietotekniset peruspalvelut opiskelijoille ja henkilökunnalle. Näihin palveluihin kuuluu myös verkkoinfrastruktuuri. 3/18

Työn tausta Nykytilanne: Tavoite: Verkko jaettu virtuaalisiin lähiverkkoihin (VLAN) Eri palveluita auki eri VLANeista Kytkinporteissa konfiguroituna yksi kiinteä VLAN Muutokset tehdään käsityönä ja niihin saattaa mennä aikaa Työntekijän työasema voidaan kytkeä verkkoon missä tahansa kampusalueella ja työasemalta päästään tarvittaviin palveluihin Tarvittavat muutokset saadaan tehtyä automaattisesti 4/18

Metodiikka Kirjallisuustutkimus Toteutuksen arviointi ja analysointi kirjallisuuden ja testauksen perusteella Tietoturva, toimintavarmuus Käytettävyys 5/18

Varmenteet Varmenteet ITU-T:n standardin X.509 mukaisia Varmenteiden käyttö Internet sovelluksissa, RFC 5280 Varmenteilla on kaksi kätevää ominaisuutta. CA:n (Certificate Authority) julkisella avaimella voi lukea sen allekirjoittaman varmenteen julkisen avaimen. Ainoastaan varmenteen allekirjoittanut CA voi muokata varmennetta ilman, että se huomataan. 6/18

Varmenteet, TLS TLS (Transport Layer Security) on protokolla, jonka tarkoituksena on mahdollistaa viestinnän yksityisyys (privacy) ja viestin koskemattomuus (data integrity) osapuolten välillä. Koostuu neljästä aliprotokollasta Käyttää varmenteita osapuolten tunnistamiseen TLSv1.2 (RFC 5246) Asiakas TLS-ClientHello Varmenne Avaintenvaihto Varmenteen tarkistus TLS-Finished Palvelin TLS-ServerHello Varmenne Avaintenvaihto Varmennepyyntö TLS-Finished 7/18

(Extensible Authentication Protocol) on todennukseen käytettävä protokolla, joka tukee useita todennustapoja ja jota voidaan nimensä mukaisesti laajentaa. (RFC 3748, RFC 5247) TLS (RFC 5216) P (RFC Draft) Asiakas -Response Identity -Response x -Response y Todentaja -Request Identity -Request x -Request y -Success / -Failure 8/18

(Remote Authentication Dial In User Service) on protokolla, joka on tarkoitettu käyttäjän todentamiseen verkkoon liittymisen yhteydessä, alunperin modeemiyhteyksissä. (RFC 2865) :n välittäminen paketeissa (RFC 3579) Asiakas Access-Request Access-Request -palvelin Access-Challenge Access-Accept / Access-Reject 9/18

802.1X 802.1X on IEEE:n standardi, joka määrittelee porttitason todennuksen langallisissa ja langattomissa lähiverkoissa. Uusin versio on vuodelta 2010. Määrittelee OL protokollan ( Over LAN) Käyttää sekä protokollia Asiakas Todentaja Todennuspalvelin -Response Identity -Response (OL-Start) -Request Identity Access-Request -Request Access-Request -Success Access- Challenge Access-Accept 10/18

802.1X Asiakas Todentaja Todennuspalvelin -Response Identity -Response (OL-Start) -Request Identity Access-Request -Request Access-Request -Success Access- Challenge Access-Accept Asiakas on työasema Todentaja on kytkin Todennuspalvelin on palvelin Asiakas ja kytkin käyttävät OL protokollaa Kytkin ja todennuspalvelin taas ta 11/18

MVRP MVRP (Multiple VLAN Registration Protocol) on eräs IEEE:n standardissa 802.1Q esitetty MRP protokollan (Multiple Registration Protocol) sovellus, jonka avulla voidaan välittää VLAN konfiguraatiotietoa kytkinten välillä. Standardi kuvaa joukon tilakoneita, joiden avulla protokolla toimii Tiedolla on kaksi tilaa, julistettu (declared) ja rekisteröity (registered) Tiedot levitetään julistuksina, ja tallennetaan rekisteröinteinä, kytkimet välittävät tiedot kaikille MVRP:hen osallistuville kytkimille Protokollan avulla saadaan levitettyä VLANit automaattisesti verkossa 12/18

Työasemat ylläpitää noin 8500 työasemaa kolmella eri käyttöjärjestelmäalustalla. Työasemista noin 7000 on Windows työasemia, n. 750 Ubuntu Linux työasemia ja n. 750 Mac koneita. Windows ja Mac voidaan hoitaa käyttöjärjestelmän sisäänrakennetuilla toiminnoilla Linux työasemissa käytössä GNOME projektin NetworkManager, jonka kanssa hieman haasteita Käytetään 802.1X todennusta ja P tai TLS metodeita Työasemissa Active Directoryn konetili sekä varmenne 13/18

Kytkimet Käytössä eri valmistajien erilaisia kytkinmalleja, verkossa käytännössä kolmentasoisia kytkimiä: keskuskytkimet, talokytkimet ja latvakytkimet. Verkon rakenne on hierarkinen tähti eli puuverkko. Käytetään 802.1X todennusta kytkinporteissa Otetaan MVRP käyttöön latvakytkinten ja talokytkinten välillä Tällöin latvakytkinten ja talokytkinten välillä ei kulje ylimääräistä, turhaa liikennettä ja tarvittavat VLAN:t konfiguroidaan automaattisesti Työssä laadittiin konfiguraatio Junos sekä Comware kytkinohjelmistoille. 14/18

Uhat, riskit Pyrittiin tunnistamaan toteutukseen liittyviä uhkia ja muodostamaan niistä riskejä Riski: määrätyn vaarallisen tapahtuman esiintymistaajuuden tai -todennäköisyyden ja seurauksen yhdistelmä Riskianalyysi, SFS 60300-3 Uhista muodostetut riskit arvioitiin ja analysoitiin, toteutus ei sisällä sietämättömiä riskejä 15/18

Riskit, käytettävyys Pahimmiksi arvioidut riskit: Ohjelmistototeutuksiin liittyvät virheet Voidaan parhaiten suojautua pitämällä kytkinten ja työasemien ohjelmistot ajan tasalla Teknologiset heikkoudet Ei voida erityisesti suojautua suunnitteluvaiheen jälkeen Laajalti käytössä olevan teknologian osoittautuminen rikkinäiseksi ei erityisen todennäköistä Myös käytettävyyttä arvioitiin heuristisesti verrattuna nykytilaan ja sen todettiin pysyvän suurinpiirtein samanlaisena. 16/18

Tulokset Uhka ja riskianalyysissa ei paljastunut käyttöönoton estäviä riskejä Käytettävyyttä arvioitaessa havaittiin muutamia muutoksia nykytilanteeseen nähden Myös testauksessa paljastui joitakin käytettävyysongelmia, jotka päätettiin ratkaista dokumentaation avulla Vastaan tuli myös muutamia erikoistapauksia, kuten työasemien asentaminen, jotka täytyy järjestellä eri tavalla porttitodennusta käytettäessä 17/18

Johtopäätökset Työssä esitelty toteutus on työssä suoritetun arvioinnin perusteella mahdollista ottaa testikäyttöön, ja mikäli ongelmia ei ilmene, tuotantokäyttöön. 18/18

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute