Corporate Remote Access
Eronen, Erpo (2009)
Eronen, Erpo
Lahden ammattikorkeakoulu
2009
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-200905122686
https://urn.fi/URN:NBN:fi:amk-200905122686
Tiivistelmä
Tämän opinnäytetyön tarkoitus on saada aikaan kustannustehokas, helppokäyt-töinen ja Andritz Groupin tarpeisiin soveltuva turvallinen etäkäyttöratkaisu. Tähän asti etäkäyttöyhteydet on toteutettu käyttämällä Check Pointin IPsec VPN- ratkaisua, joka muodostaa suoran VPN-tunnelin asiakastietokoneen ja yritysver-kon välille. Andritzin yritysverkossa on kuitenkin viime aikoina ilmennyt tarvetta tarkempaan verkkoresurssien rajoitukseen ja hallinnointikustannusten leikkauk-seen. Näiden uusien tarpeiden ja onnistuneen aikaisemman yhteistyön johdosta Andritz Group pilotoi Juniperin Networksin Secure Access tuoteperheen laitteita, jotka valittiin Andritz Groupin SSL VPN -ratkaisuksi.
Turvallinen etäkäyttöyhteys voidaan toteuttaa usealla eri tavalla. Näihin kuuluvat kiinteät verkkoyhteydet yrityksen konttorin ja kotikonttorin välille sekä erilaiset VPN-yhteydet käyttäjän ja yrityksen verkon välillä. Koska kiinteät linjat ovat kalliita eivätkä palvele liikkuvaa toimistoa, on yritykselle hyödyllisempää toteut-taa etäkäyttö VPN-yhteyksillä. VPN-yhteydet käyttävät hyväkseen olemassa olevia verkkoja, kuten internettiä, luodakseen yhteyden työntekijän ja yrityksen verkon välille. VPN-yhteydet mahdollistavat koko liikenteen tunnelointiin, tai vain tietyn palvelun käytön välittäjä laitteen kautta. Lisäksi IPsec- ja SSL VPN-sovellukset ovat kiinteitä linjoja halvempia ja mahdollistavat mobiilin etäyhteyden usealla käyttäjälle samanaikaisesti.
Tärkeimmät vaatimukset Andritz Groupin etäkäyttöratkaisulle ovat korkea tieto-turva, tiedon eheys sekä vahva käyttäjän ja päätelaitteen autentikointi. Tästä johtuen Andritzin etäkäyttö sovellus tarkistaa käyttäjän koneelta sertifikaatin ja virusten torjunta ohjelman ajantasaisuuden ja testien vaillinainen läpäisy rajoittaa käyttäjälle annetuja oikeuksia. Tämän lisäksi käyttäjät tunnistetaan käyttäen kahta eri tunnistusmenetelmää; AD-tunnistusta ja kertakäyttösalasanaa, jolloin varmis-tutaan käyttäjän oikeellisuudesta.
SSL VPN valittiin Andritzin uudeksi etäkäyttöstandardiksi sekä kustannusten, että hallinnollisten syiden takia. Kustannussäästöjä tuo erityisesti Juniperin yhtäaikaisten käyttäjien määrään perustuva laskutus, kun taas Check Pointin VPN- ratkaisussa kaikkiin Andritz Groupin kannettaviin tietokoneisiin olisi tarvinnut ostaa erillinen VPN-lisenssi. Hallinnoinnin määrää voidaan vähentää, koska SSL VPN:n ei vaadi erillisen ohjelman asennusta.
Projektin suurimmat ongelmat aiheutuivat Andritzin AD rakenteesta ja yrityksen käytössä olevien eri ohjelmien yhteensopivuudesta SSL VPN:n laitteiston kanssa. Nämä ongelmat on kuitenkin pääosin ratkaistu, ja nyt meillä on käytössämme toimiva, helposti hallittava ja redundanttinen etäkäyttö ratkaisu.
Turvallinen etäkäyttöyhteys voidaan toteuttaa usealla eri tavalla. Näihin kuuluvat kiinteät verkkoyhteydet yrityksen konttorin ja kotikonttorin välille sekä erilaiset VPN-yhteydet käyttäjän ja yrityksen verkon välillä. Koska kiinteät linjat ovat kalliita eivätkä palvele liikkuvaa toimistoa, on yritykselle hyödyllisempää toteut-taa etäkäyttö VPN-yhteyksillä. VPN-yhteydet käyttävät hyväkseen olemassa olevia verkkoja, kuten internettiä, luodakseen yhteyden työntekijän ja yrityksen verkon välille. VPN-yhteydet mahdollistavat koko liikenteen tunnelointiin, tai vain tietyn palvelun käytön välittäjä laitteen kautta. Lisäksi IPsec- ja SSL VPN-sovellukset ovat kiinteitä linjoja halvempia ja mahdollistavat mobiilin etäyhteyden usealla käyttäjälle samanaikaisesti.
Tärkeimmät vaatimukset Andritz Groupin etäkäyttöratkaisulle ovat korkea tieto-turva, tiedon eheys sekä vahva käyttäjän ja päätelaitteen autentikointi. Tästä johtuen Andritzin etäkäyttö sovellus tarkistaa käyttäjän koneelta sertifikaatin ja virusten torjunta ohjelman ajantasaisuuden ja testien vaillinainen läpäisy rajoittaa käyttäjälle annetuja oikeuksia. Tämän lisäksi käyttäjät tunnistetaan käyttäen kahta eri tunnistusmenetelmää; AD-tunnistusta ja kertakäyttösalasanaa, jolloin varmis-tutaan käyttäjän oikeellisuudesta.
SSL VPN valittiin Andritzin uudeksi etäkäyttöstandardiksi sekä kustannusten, että hallinnollisten syiden takia. Kustannussäästöjä tuo erityisesti Juniperin yhtäaikaisten käyttäjien määrään perustuva laskutus, kun taas Check Pointin VPN- ratkaisussa kaikkiin Andritz Groupin kannettaviin tietokoneisiin olisi tarvinnut ostaa erillinen VPN-lisenssi. Hallinnoinnin määrää voidaan vähentää, koska SSL VPN:n ei vaadi erillisen ohjelman asennusta.
Projektin suurimmat ongelmat aiheutuivat Andritzin AD rakenteesta ja yrityksen käytössä olevien eri ohjelmien yhteensopivuudesta SSL VPN:n laitteiston kanssa. Nämä ongelmat on kuitenkin pääosin ratkaistu, ja nyt meillä on käytössämme toimiva, helposti hallittava ja redundanttinen etäkäyttö ratkaisu.