Post on 05-Dec-2018
transcript
.....................................................
Consultancy & Internet Technologies ........................ .............................................
Foliennr.: 1 © DECOIT GmbH
Das SIMOIT-ProjektSichere mobile Anbindung
BremSec-Forum
Dr.-Ing. Kai-Oliver DetkenBusiness URL: http://www.decoit.dePrivate URL: http://www.detken.netE-Mail: detken@decoit.de
.....................................................
Consultancy & Internet Technologies ........................ .............................................
Foliennr.: 2 © DECOIT GmbH
Portfolio der DECOIT GmbH
Technologie- und Markttrends, um strategische Entscheidungen für und mit dem Kunden vor einer Projektrealisierung treffen zu könnenSolutions (Lösungen) zur Identifizierung der Probleme und Angebot einer Lösung für die Umsetzung eines ProjektsKundenorientierte Workshops, Coaching, Schulungen zur Projektvorbereitung und -begleitungSoftware-Entwicklung zur Anpassung von Schnittstellen und Entwicklung von Internet-ProjektenSchaffung innovativer eigener ProdukteNationale und internationale Förderprojekte auf Basis neuer Technologien, um neues Know-how aufzubauen oder Fördermöglichkeiten aufzuzeigen
Foliennr.: 3
.....................................................
Consultancy & Internet Technologies ........................ .............................................
© DECOIT GmbH
Agenda
Netzwerksicherheit: Stand heuteZiel und Aufgabe des SIMOIT-ProjektsDer TNC-Ansatz – die QuarantänezoneSchnittstellen im SIMOIT-ProjektMarktbetrachtungAusblick und FazitZusammenfassung
Foliennr.: 4
.....................................................
Consultancy & Internet Technologies ........................ .............................................
© DECOIT GmbH
Netzwerksicherheit: Stand heute
Zunehmende Vernetzung und verteilte SystemeStark zunehmende Gefahr durch Malware (insbesondere Trojaner, Viren und Rootkit-Werkzeuge)Die Absicherung von Netzwerkzugriffen erfolgt meist nur über eine reine BenutzerauthentifizierungEs findet keine Integritätsprüfung der verwendeten Rechnersysteme statt und damit keine Unterscheidung zwischen vertrauenswürdigen/nicht vertrauenswürdigen RechnersystemenImmer mehr mobile Endgeräte werden im normalen Unternehmensalltag ungeschützt verwendetFazit:
Das Netzwerk ist durch Malware und Eindringlinge gefährdetNetze besitzen keine VertrauenswürdigkeitEs ist kein ausreichend vertrauenswürdiger Datenaustausch möglich
Foliennr.: 5
.....................................................
Consultancy & Internet Technologies ........................ .............................................
© DECOIT GmbH
Ziel und Aufgabe des SIMOIT-Projekts
SIMOIT = SIcherer Zugriff von MObilen Mitarbeitern auf die IT-Infrastruktur von mittelständisch geprägten UnternehmenEs sollen Konzepte und auch technische Lösungen entwickelt werden, um die neu entstehenden mobilen Anwendungen und mobilen IT-Infrastrukturen von mittelständisch geprägten Unternehmen auf jetzige und zukünftige IT-Sicherheitsanforderungen vorzubereitenZiel ist es, eine auf Standards basierende mobile IT-Sicherheitslösung herstellerunabhängig für den Bereich hochmobiler Mitarbeiter zu entwickeln
Foliennr.: 6
.....................................................
Consultancy & Internet Technologies ........................ .............................................
© DECOIT GmbH
Eigene Webseite: www.simoit.de
Programm: InnoVision2010 von Bremen Partner:
TZI – Uni BremenIIA – HS BremenDECOIT GmbHThyssenKrupp Krause GmbH (Pilot)Pan Dacom Networking AG (Kooperation)
Laufzeit: 12 MonateAktuellen Termine und Arbeiten werden veröffentlicht
Foliennr.: 7
.....................................................
Consultancy & Internet Technologies ........................ .............................................
© DECOIT GmbH
Aspekte der mobilen Sicherheit
Zentrale Fernadministration von Netzen mobiler EndgeräteIdentität durch starke AuthentisierungsmethodenAbsicherung der mobilen Kommunikation durch starke VerschlüsselungAbsicherung des entfernten (remote) Zugriffs auf mobile Endgeräte DatenverschlüsselungFirewall-, Viren- und allgemein Malwareschutz-FunktionalitätTrusted Network Connect (TNC) FunktionalitätHerstellerunabhängigkeit und modularer Aufbau
Foliennr.: 8
.....................................................
Consultancy & Internet Technologies ........................ .............................................
© DECOIT GmbH
Globales Szenario
Arbeitsschwerpunkte: SoftwareverteilungTNC-AnbindungAdministrationsoberfläche
Mobile Security GatewayTNC (Trusted Network Connect) Erweiterung Wert auf Herstellerneutralität legen (Offenheit/Modularität)
Mobile EndgerätePDAs (Windows Mobile mit .NET Framework, Symbian OS)Laptops (Windows XP, Vista)
Foliennr.: 9
.....................................................
Consultancy & Internet Technologies ........................ .............................................
© DECOIT GmbH
Notwendige Dienste der MSG-Servers
Betriebssystem: Debian Linux Plattform, inkl. SambaVerzeichnisdienst: OpenLDAP mit AD-AnbindungsmöglichkeitRADIUS-Dienst zur Authentifizierung: FreeRADIUSFirewall-Funktionalität: iptablesVPN-Funktionalität: IPsec/IKE mittels OpenswanSSL Root CA und Server/Client-Zertifikate
Foliennr.: 10
.....................................................
Consultancy & Internet Technologies ........................ .............................................
© DECOIT GmbH
Der TNC-Ansatz
Mit der Trusted Network Connect-Spezifikation (TNC) entwickelt die Trusted Computing Group (TCG) einen eigenen NAC-AnsatzDie Entwicklung findet durch die Trusted Network Connect-Subgroup mit über 75 vertretenen Firmen statt und liegt aktuell (Mai 2007) in der Version 1.2 vorZiel ist die Entwicklung einer offenen, herstellerunabhängigen Spezifikation zur Überprüfung der Endpunkt-IntegritätTNC baut auf vorhandene Technologien auf, wodurch eine einfachere Integration in bestehende Infrastrukturen möglich ist
Netzwerkzugriff: 802.1x, VPN, PPPNachrichtentransport: EAP, TLS & HTTPSAuthentifizierung: Radius Server, Diameter
Foliennr.: 11
.....................................................
Consultancy & Internet Technologies ........................ .............................................
© DECOIT GmbH
TNC-Basisfunktionalität
Überprüfung der Vertrauenswürdigkeit:Richtlinien-abhängige Zugriffssteuerung für NetzwerkeIntegritätsprüfung: Messen des Systemzustands (Konfiguration der Endgeräte) und Überprüfung dieser Zustände gemäß Richtlinien (Assessment-Phase) Isolation von potentiell gefährlichen Rechnersystemen bei Nichterfüllung der Richtlinien (Isolation-Phase) Wiedereingliederung nach Wiederherstellung der Integrität (Remediation-Phase)Erweiterter Integritätscheck möglich (z.B. Binden von Zugangsdaten an ein bestimmtes Rechnersystem, Signierung von Messwerten)
Foliennr.: 12
.....................................................
Consultancy & Internet Technologies ........................ .............................................
© DECOIT GmbH
TNC Framework
Foliennr.: 13
.....................................................
Consultancy & Internet Technologies ........................ .............................................
© DECOIT GmbH
Schnittstellen im SIMOIT-Projekt
Umsetzung des TNC-Ansatzes auf das ProjektszenarioDie TNC-Architektur definiert drei verschiedene Komponenten:
Access Requestor (AR) Policy Enforcement Point (PEP)Policy Decision Point (PDP)
Foliennr.: 14
.....................................................
Consultancy & Internet Technologies ........................ .............................................
© DECOIT GmbH
Einwahlszenario
Mobiler Client baut IPsec-Tunnel zum PEP aufPEP fragt Authentifizierungsinfos vom PDP abClient wird abgewiesen oder zugelassenBenutzer-Datenbank und Inventory Infos werden mit PDP synchronisiertWeitere PEP Server können einbezogen werden
Foliennr.: 15
.....................................................
Consultancy & Internet Technologies ........................ .............................................
© DECOIT GmbH
Marktbetrachtung
AlternativenMicrosoft NAP (proprietär und Softwareabhängig): voraussichtlich Anfang 2008 verfügbarCisco NAC (proprietär und Hardware-/Softwareabhängig): verfügbar. Benötigt die Hardware von Cisco.Checkpoint Interspect-Appliance (proprietär und Softwareabhängig): verfügbar. Benötigt Checkpoint-NG-Software.Weitere Ansätze (proprietär): teils verfügbar (u.a. von McAfee, Juniper)
Foliennr.: 16
.....................................................
Consultancy & Internet Technologies ........................ .............................................
© DECOIT GmbH
Ausblick und Fazit
AdministrationErhöhter Aufwand bei Verwendung unterschiedlicher Hard- und Softwarelösungen (heterogenes Netz)Jede einzelne Konfiguration muss durch Richtlinien abgedeckt werdenGefahr zu restriktiver RichtlinienMitarbeit der Hardware-/Softwarehersteller nötig
SicherheitBei Agenten-basierten Systemen (Client/Server) besteht die Gefahr gezielter Angriffe zur Veränderung von MesswertenTNC bietet durch offene Standards eine mögliche Integration in andere Plattformen
StandardisierungAlle bisherigen Lösungen inkompatibel zueinander (erste Bestrebungen der Standardisierung durch die IETF)Eine (offene) Standardisierung ermöglicht auch eine einfachere Portierung auf neue Plattformen (z.B. Sicherheitsplattformen)
Foliennr.: 17
.....................................................
Consultancy & Internet Technologies ........................ .............................................
© DECOIT GmbH
Zusamenfassung
Vorhandene VPN-Lösungen sind nicht ausreichend für vertrauenswürdige NetzwerkverbindungenMit einer Integritätsprüfung werden vertrauenswürdige Netzwerkverbindungen möglichVorhandene Lösungen sind nicht kompatibel zueinanderStandardisierungsbedarf ist vorhandenDas TNC Framework ist ein offener Lösungsansatz; es fehlt hier aber noch an abschließenden Standards SIMOIT-Projekt greift TNC auf und wird die Entwicklung auch weiterhin verfolgenMobile Endgeräte müssen in das Sicherheitskonzept eines Unternehmens einbezogen werden
Foliennr.: 18
.....................................................
Consultancy & Internet Technologies ........................ .............................................
© DECOIT GmbH
Ende
DECOIT GmbHFahrenheitstraße 9D-28359 Bremenhttp://www.decoit.deTel.: 0421-596064-0Fax: 0421-596064-09
SIMOIT URL: http://www.simoit.de