VPN-lösningar för arbetsstationer och mobila enheter
Westerholm, Daniel (2019)
Westerholm, Daniel
Yrkeshögskolan Novia
2019
Kaikki oikeudet pidätetään
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201903193450
https://urn.fi/URN:NBN:fi:amk-201903193450
Tiivistelmä
Det här examensarbetet är gjort på uppdrag av Oy Snellman Ab som är en koncern inom livsmedelsindustrin. Snellman koncernen är intresserad av att undersöka om Direct Access (arbetsstationer) och IBM MaaS 360 VPN (mobila enheter) kan vara ett komplement till koncernens nuvarande VPN-lösning, eller om man kan förenkla autentiseringen med hjälp av certifikat. De krav som ställs är att VPN-lösningen ur användarnas synvinkel behöver vara enkel och samtidigt säker ur IT-avdelningens synvinkel.
Sammanfattningsvis rekommenderas det att man för arbetsstationer ska ta ibruk en certifikat baserad autentisering istället för att implementera Direct Access. Detta p.g.a. att Direct Access är svår att implementera och att trafiken till- och från servern inte går att övervaka, vilket var ett viktigt krav som ställdes på den kompletterande VPN-lösningen.
För mobila enheter rekommenderas det också att man tar ibruk en certifikat baserad autentisering istället för ibruktagning av IBM MaaS 360 VPN. Jag ser det inte som någon nödvändighet att investera i IBM MaaS 360 VPN, eftersom den funktionsmässiga skillnaden mellan dessa två lösningar är så minimal. Det går enkelt att distribuera Checkpoints egna VPN-applikation och alla inställningar med hjälp av MDM-tjänsten IBM MaaS 360 till alla mobila enheter. I framtiden behöver man ännu utreda hur man på ett smidigt sätt kan distribuera certifikaten till de mobila enheterna och även lagra dessa på en säker plats. Tämä opinnäytetyö on tehty toimeksiantona elintarvikekonserni Snellman Oy:lle. Snellmanin konserni on kiinnostunut tutkimuksesta Direct Access:in työasemien ja IBM MaaS 360 VPN mobiililaitteiden kyvyistä täydentää konsernin nykyisiä VPN-ratkaisuja. Niillä voidaan myös yksinkertaistaa todennusta varmenteiden avulla. Vaatimukset opinnäytetyön tutkimukselle ovat, että VPN-ratkaisun tulee olla yksinkertainen käyttäjien näkökulmasta ja samaan aikaan turvallinen IT-osaston näkökulmasta.
Yhteenvetona suositellaan että varmennetta käytetään työasemalla todennuksena sen sijaan että Direct Access toteutettaisiin. Tämä johtuu siitä, että Direct Access on vaikea toteuttaa ja että tietoliikenne palvelimelle ja palvelimesta ei toimi ilman valvontaa. Valvonta oli tärkeä vaatimus täydentävälle VPN-ratkaisulle.
Mobiililaitteelle suositellaan myös, että varmennetta käytetään todennuksena. Sen sijaan IBM MaaS 360 VPN:n käyttöönottamista ei suositella. En pidä välttämättömänä, että VPN:ään sijoitetaan IBM MaaS 360, koska toiminnallinen ero näiden kahden ratkaisun välillä on niin minimaalinen. Yksinkertaisin tapa on jakaa Checkpoint omaan VPN-sovellukseen ja kaikki asetukset MDM-palvelun IBM MaaS 360 avulla kaikille mobiililaitteille. Tulevaisuudessa tarvitaan vielä tutkimusta siitä, miten sujuvalla tavalla voidaan jakaa varmenne mobiililaitteelle ja myös varastoida se turvalliseen paikkaan. This thesis is done on behalf of Oy Snellman Ab which is a concern in the food industry. The Snellman group is interested in investigating if Direct Access (workstations) and IBM MaaS 360 VPN (mobile devices) could potentially be a complement to the concern’s current VPN-solution, or if the authentication process could be simplified through the help of certificates. The requirement for the VPN-solution is from an IT-department’s perspective that it needs to be simple and safe.
This paper notes that it is recommended that a certificate based authentication method is used for workstations instead of implementing Direct Access. This is because of the difficulty of the implementation of Direct Access as well as the fact that the traffic to and from the server is not monitorable, which was a demand made regarding the additional VPN-solution.
For mobile devices it is also recommended that a certificate based authentication method be used instead of IBM MaaS 360 VPN. I don’t see any necessity of investing in IBM MaaS 360 VPN because of the minimal difference in functionality between the two solutions. One could easily distribute Checkpoint’s own VPN-application and all necessary settings with the help of the MDM-services IBM MaaS 360 VPN to all mobile devices. In the future there is still a need of investigating how to easily the certificates are distributed to the mobile devices and also how to store them in a secure location.
Sammanfattningsvis rekommenderas det att man för arbetsstationer ska ta ibruk en certifikat baserad autentisering istället för att implementera Direct Access. Detta p.g.a. att Direct Access är svår att implementera och att trafiken till- och från servern inte går att övervaka, vilket var ett viktigt krav som ställdes på den kompletterande VPN-lösningen.
För mobila enheter rekommenderas det också att man tar ibruk en certifikat baserad autentisering istället för ibruktagning av IBM MaaS 360 VPN. Jag ser det inte som någon nödvändighet att investera i IBM MaaS 360 VPN, eftersom den funktionsmässiga skillnaden mellan dessa två lösningar är så minimal. Det går enkelt att distribuera Checkpoints egna VPN-applikation och alla inställningar med hjälp av MDM-tjänsten IBM MaaS 360 till alla mobila enheter. I framtiden behöver man ännu utreda hur man på ett smidigt sätt kan distribuera certifikaten till de mobila enheterna och även lagra dessa på en säker plats.
Yhteenvetona suositellaan että varmennetta käytetään työasemalla todennuksena sen sijaan että Direct Access toteutettaisiin. Tämä johtuu siitä, että Direct Access on vaikea toteuttaa ja että tietoliikenne palvelimelle ja palvelimesta ei toimi ilman valvontaa. Valvonta oli tärkeä vaatimus täydentävälle VPN-ratkaisulle.
Mobiililaitteelle suositellaan myös, että varmennetta käytetään todennuksena. Sen sijaan IBM MaaS 360 VPN:n käyttöönottamista ei suositella. En pidä välttämättömänä, että VPN:ään sijoitetaan IBM MaaS 360, koska toiminnallinen ero näiden kahden ratkaisun välillä on niin minimaalinen. Yksinkertaisin tapa on jakaa Checkpoint omaan VPN-sovellukseen ja kaikki asetukset MDM-palvelun IBM MaaS 360 avulla kaikille mobiililaitteille. Tulevaisuudessa tarvitaan vielä tutkimusta siitä, miten sujuvalla tavalla voidaan jakaa varmenne mobiililaitteelle ja myös varastoida se turvalliseen paikkaan.
This paper notes that it is recommended that a certificate based authentication method is used for workstations instead of implementing Direct Access. This is because of the difficulty of the implementation of Direct Access as well as the fact that the traffic to and from the server is not monitorable, which was a demand made regarding the additional VPN-solution.
For mobile devices it is also recommended that a certificate based authentication method be used instead of IBM MaaS 360 VPN. I don’t see any necessity of investing in IBM MaaS 360 VPN because of the minimal difference in functionality between the two solutions. One could easily distribute Checkpoint’s own VPN-application and all necessary settings with the help of the MDM-services IBM MaaS 360 VPN to all mobile devices. In the future there is still a need of investigating how to easily the certificates are distributed to the mobile devices and also how to store them in a secure location.