Liikkuvuuden mahdollistaminen ja tietoturvan parantaminen Aalto yliopiston langallisessa verkossa Esko Järnfors Aalto yliopiston tietotekniikkapalvelut Valvoja: Prof Raimo Kantola, Ohjaaja: DI Tommi Saranpää 14.9.2016
Esityksen rakenne Työn tausta Työn tausta Metodiikka Rakennuspalikat Varmenteet, protokollat, standardit Toteutus Työasemat Kytkimet Arviointi Uhat, riskit ja käytettävyys Riskit, käytettävyys Tulokset ja johtopäätökset Tulokset Johtopäätökset 2/18
Työn tausta Aallon strategia: Edistetään uusia työskentelytapoja, monenlaisille käyttäjille soveltuvia tilaratkaisuja, liikkuvuutta, joustavuutta, yhdessä tekemistä ja hyvinvointia. on Aalto yliopiston IT palveluja tuottava yksikkö, jonka tehtävänä on tarjota tietotekniset peruspalvelut opiskelijoille ja henkilökunnalle. Näihin palveluihin kuuluu myös verkkoinfrastruktuuri. 3/18
Työn tausta Nykytilanne: Tavoite: Verkko jaettu virtuaalisiin lähiverkkoihin (VLAN) Eri palveluita auki eri VLANeista Kytkinporteissa konfiguroituna yksi kiinteä VLAN Muutokset tehdään käsityönä ja niihin saattaa mennä aikaa Työntekijän työasema voidaan kytkeä verkkoon missä tahansa kampusalueella ja työasemalta päästään tarvittaviin palveluihin Tarvittavat muutokset saadaan tehtyä automaattisesti 4/18
Metodiikka Kirjallisuustutkimus Toteutuksen arviointi ja analysointi kirjallisuuden ja testauksen perusteella Tietoturva, toimintavarmuus Käytettävyys 5/18
Varmenteet Varmenteet ITU-T:n standardin X.509 mukaisia Varmenteiden käyttö Internet sovelluksissa, RFC 5280 Varmenteilla on kaksi kätevää ominaisuutta. CA:n (Certificate Authority) julkisella avaimella voi lukea sen allekirjoittaman varmenteen julkisen avaimen. Ainoastaan varmenteen allekirjoittanut CA voi muokata varmennetta ilman, että se huomataan. 6/18
Varmenteet, TLS TLS (Transport Layer Security) on protokolla, jonka tarkoituksena on mahdollistaa viestinnän yksityisyys (privacy) ja viestin koskemattomuus (data integrity) osapuolten välillä. Koostuu neljästä aliprotokollasta Käyttää varmenteita osapuolten tunnistamiseen TLSv1.2 (RFC 5246) Asiakas TLS-ClientHello Varmenne Avaintenvaihto Varmenteen tarkistus TLS-Finished Palvelin TLS-ServerHello Varmenne Avaintenvaihto Varmennepyyntö TLS-Finished 7/18
(Extensible Authentication Protocol) on todennukseen käytettävä protokolla, joka tukee useita todennustapoja ja jota voidaan nimensä mukaisesti laajentaa. (RFC 3748, RFC 5247) TLS (RFC 5216) P (RFC Draft) Asiakas -Response Identity -Response x -Response y Todentaja -Request Identity -Request x -Request y -Success / -Failure 8/18
(Remote Authentication Dial In User Service) on protokolla, joka on tarkoitettu käyttäjän todentamiseen verkkoon liittymisen yhteydessä, alunperin modeemiyhteyksissä. (RFC 2865) :n välittäminen paketeissa (RFC 3579) Asiakas Access-Request Access-Request -palvelin Access-Challenge Access-Accept / Access-Reject 9/18
802.1X 802.1X on IEEE:n standardi, joka määrittelee porttitason todennuksen langallisissa ja langattomissa lähiverkoissa. Uusin versio on vuodelta 2010. Määrittelee OL protokollan ( Over LAN) Käyttää sekä protokollia Asiakas Todentaja Todennuspalvelin -Response Identity -Response (OL-Start) -Request Identity Access-Request -Request Access-Request -Success Access- Challenge Access-Accept 10/18
802.1X Asiakas Todentaja Todennuspalvelin -Response Identity -Response (OL-Start) -Request Identity Access-Request -Request Access-Request -Success Access- Challenge Access-Accept Asiakas on työasema Todentaja on kytkin Todennuspalvelin on palvelin Asiakas ja kytkin käyttävät OL protokollaa Kytkin ja todennuspalvelin taas ta 11/18
MVRP MVRP (Multiple VLAN Registration Protocol) on eräs IEEE:n standardissa 802.1Q esitetty MRP protokollan (Multiple Registration Protocol) sovellus, jonka avulla voidaan välittää VLAN konfiguraatiotietoa kytkinten välillä. Standardi kuvaa joukon tilakoneita, joiden avulla protokolla toimii Tiedolla on kaksi tilaa, julistettu (declared) ja rekisteröity (registered) Tiedot levitetään julistuksina, ja tallennetaan rekisteröinteinä, kytkimet välittävät tiedot kaikille MVRP:hen osallistuville kytkimille Protokollan avulla saadaan levitettyä VLANit automaattisesti verkossa 12/18
Työasemat ylläpitää noin 8500 työasemaa kolmella eri käyttöjärjestelmäalustalla. Työasemista noin 7000 on Windows työasemia, n. 750 Ubuntu Linux työasemia ja n. 750 Mac koneita. Windows ja Mac voidaan hoitaa käyttöjärjestelmän sisäänrakennetuilla toiminnoilla Linux työasemissa käytössä GNOME projektin NetworkManager, jonka kanssa hieman haasteita Käytetään 802.1X todennusta ja P tai TLS metodeita Työasemissa Active Directoryn konetili sekä varmenne 13/18
Kytkimet Käytössä eri valmistajien erilaisia kytkinmalleja, verkossa käytännössä kolmentasoisia kytkimiä: keskuskytkimet, talokytkimet ja latvakytkimet. Verkon rakenne on hierarkinen tähti eli puuverkko. Käytetään 802.1X todennusta kytkinporteissa Otetaan MVRP käyttöön latvakytkinten ja talokytkinten välillä Tällöin latvakytkinten ja talokytkinten välillä ei kulje ylimääräistä, turhaa liikennettä ja tarvittavat VLAN:t konfiguroidaan automaattisesti Työssä laadittiin konfiguraatio Junos sekä Comware kytkinohjelmistoille. 14/18
Uhat, riskit Pyrittiin tunnistamaan toteutukseen liittyviä uhkia ja muodostamaan niistä riskejä Riski: määrätyn vaarallisen tapahtuman esiintymistaajuuden tai -todennäköisyyden ja seurauksen yhdistelmä Riskianalyysi, SFS 60300-3 Uhista muodostetut riskit arvioitiin ja analysoitiin, toteutus ei sisällä sietämättömiä riskejä 15/18
Riskit, käytettävyys Pahimmiksi arvioidut riskit: Ohjelmistototeutuksiin liittyvät virheet Voidaan parhaiten suojautua pitämällä kytkinten ja työasemien ohjelmistot ajan tasalla Teknologiset heikkoudet Ei voida erityisesti suojautua suunnitteluvaiheen jälkeen Laajalti käytössä olevan teknologian osoittautuminen rikkinäiseksi ei erityisen todennäköistä Myös käytettävyyttä arvioitiin heuristisesti verrattuna nykytilaan ja sen todettiin pysyvän suurinpiirtein samanlaisena. 16/18
Tulokset Uhka ja riskianalyysissa ei paljastunut käyttöönoton estäviä riskejä Käytettävyyttä arvioitaessa havaittiin muutamia muutoksia nykytilanteeseen nähden Myös testauksessa paljastui joitakin käytettävyysongelmia, jotka päätettiin ratkaista dokumentaation avulla Vastaan tuli myös muutamia erikoistapauksia, kuten työasemien asentaminen, jotka täytyy järjestellä eri tavalla porttitodennusta käytettäessä 17/18
Johtopäätökset Työssä esitelty toteutus on työssä suoritetun arvioinnin perusteella mahdollista ottaa testikäyttöön, ja mikäli ongelmia ei ilmene, tuotantokäyttöön. 18/18