Turvallinen etäkäyttöyhteys
Nurminen, Johannes (2008)
Lahden ammattikorkeakoulu
2008
All rights reserved
Tiivistelmä
Tämän opinnäytetyön tarkoitus on toteuttaa Päijät-Hämeen koulutuskonsernille tietoturvallinen, helppokäyttöinen ja kustannustehokas etäkäyttöyhteys ensisijaisesti opetushallinnollisiin tarpeisiin. Tähän asti mahdollisuus etätyöskentelyyn on ollut vain harvojen saatavilla, sillä yhteydet on toteutettu kiinteillä ADSL -yhteyksillä suoraan koulutus konsernin sisäverkkoon. Mahdollisuuksia toteuttaa etätäityöskentely on muutamia: kiinteät yhteydet, kuten ADSL, tai jo valmista infrastruktuuria esim. internetiä, hyödyntävät ratkaisut, kuten IPsec tai SSL VPN. Kiinteät yhteydet tarjoavat aina samanlaatuisen yhteyden, mutta eivät ole kustannustehokkaita, koska yhteys on aina vuokrattava palvelun tarjoajalta. Tällöin ainoat mahdollisimman monen käyttäjän saavutettavissa oleva kustannustehokas ratkaisu on, joko IPsec- tai SSL VPN -tekniikalla toteutettu etäkäyttöratkaisu. Koska, etäkäyttöjärjestelmältä haluttiin korkeaa tietoturvaa, otettiin asiakaskoneissa käyttöön tietokoneen tunnistavat sertifikaatit. Vain sellaiset tietokoneet, joilla on sertifikaatti voivat kirjautua järjestelmään. Lisäksi otettiin käyttöön vahva käyttäjän tunnistus kertakäyttöisillä salasanoilla. Järjestelmissä luotaviin yhteyksiin käytettiin vahvoja salausalgoritmeja. Valinta SSL VPN- ja IPsec -ratkaisun välillä kääntyi Juniper Secure Access SSL VPN -järjestelmän hyväksi. IPsec ratkaisu ei ole optimaalinen laajassa mittakaavassa, koska yhteys vaatii asiakaskoneisiin asiakasohjelmien asennuksen ja konfiguroinin. SSL VPN toimii yleensä WWW-selaimella, mutta tarvitsee lisäksi asiakaskoneisiin asennettavia alijärjestelmiä, liikenteen tunneloimista varten yrityksen sisäverkkoon. Asennuksen jälkeen alijärjestelmät eivät kuitenkaan vaadi konfigurointia, vaan asetustiedot tulevat SSL VPN -palvelimelta. Lisäksi toteutettiin IP -secjärjestelmän kaltainen OpenVPN SSL VPN -järjestelmä, joka toimii asiakkaalla lähes ilman konfigurointia, joka tekee siitä helposti ylläpidettävän. Kahden SSL VPN -ratkaisun välillä päätettiin kohdentaa Juniper Secure Access opetushallinnollisiin tarpeisiin järjestelmän tarjoamien helppojen roolijakojen takia. Roolijaolla saadaan helposti kohdennettua oikeat palvelut, oikeille asiakkaille. OpenVPN kohdennettiin ylläpidollisiin tarpeisiin, koska järjestelmä mahdollistaa laajat oikeudet Päijät-Hämeen koulutuskonsernin sisäverkkoon.