BremSec SIMOIT-Projektvorstellung.ppt [Kompatibilitätsmodus] · Foliennr.: 7..... Consultancy & Internet Technologies..... © DECOIT GmbH Aspekte der mobilen Sicherheit

.....................................................

Consultancy & Internet Technologies ........................ .............................................

Foliennr.: 1 © DECOIT GmbH

Das SIMOIT-ProjektSichere mobile Anbindung

BremSec-Forum

Dr.-Ing. Kai-Oliver DetkenBusiness URL: http://www.decoit.dePrivate URL: http://www.detken.netE-Mail: [email protected]

.....................................................


Foliennr.: 2 © DECOIT GmbH

Portfolio der DECOIT GmbH

Technologie- und Markttrends, um strategische Entscheidungen für und mit dem Kunden vor einer Projektrealisierung treffen zu könnenSolutions (Lösungen) zur Identifizierung der Probleme und Angebot einer Lösung für die Umsetzung eines ProjektsKundenorientierte Workshops, Coaching, Schulungen zur Projektvorbereitung und -begleitungSoftware-Entwicklung zur Anpassung von Schnittstellen und Entwicklung von Internet-ProjektenSchaffung innovativer eigener ProdukteNationale und internationale Förderprojekte auf Basis neuer Technologien, um neues Know-how aufzubauen oder Fördermöglichkeiten aufzuzeigen

Foliennr.: 3

.....................................................


© DECOIT GmbH

Agenda

Netzwerksicherheit: Stand heuteZiel und Aufgabe des SIMOIT-ProjektsDer TNC-Ansatz – die QuarantänezoneSchnittstellen im SIMOIT-ProjektMarktbetrachtungAusblick und FazitZusammenfassung

Foliennr.: 4

.....................................................


© DECOIT GmbH

Netzwerksicherheit: Stand heute

Zunehmende Vernetzung und verteilte SystemeStark zunehmende Gefahr durch Malware (insbesondere Trojaner, Viren und Rootkit-Werkzeuge)Die Absicherung von Netzwerkzugriffen erfolgt meist nur über eine reine BenutzerauthentifizierungEs findet keine Integritätsprüfung der verwendeten Rechnersysteme statt und damit keine Unterscheidung zwischen vertrauenswürdigen/nicht vertrauenswürdigen RechnersystemenImmer mehr mobile Endgeräte werden im normalen Unternehmensalltag ungeschützt verwendetFazit:

Das Netzwerk ist durch Malware und Eindringlinge gefährdetNetze besitzen keine VertrauenswürdigkeitEs ist kein ausreichend vertrauenswürdiger Datenaustausch möglich

Foliennr.: 5

.....................................................


© DECOIT GmbH

Ziel und Aufgabe des SIMOIT-Projekts

SIMOIT = SIcherer Zugriff von MObilen Mitarbeitern auf die IT-Infrastruktur von mittelständisch geprägten UnternehmenEs sollen Konzepte und auch technische Lösungen entwickelt werden, um die neu entstehenden mobilen Anwendungen und mobilen IT-Infrastrukturen von mittelständisch geprägten Unternehmen auf jetzige und zukünftige IT-Sicherheitsanforderungen vorzubereitenZiel ist es, eine auf Standards basierende mobile IT-Sicherheitslösung herstellerunabhängig für den Bereich hochmobiler Mitarbeiter zu entwickeln

Foliennr.: 6

.....................................................


© DECOIT GmbH

Eigene Webseite: www.simoit.de

Programm: InnoVision2010 von Bremen Partner:

TZI – Uni BremenIIA – HS BremenDECOIT GmbHThyssenKrupp Krause GmbH (Pilot)Pan Dacom Networking AG (Kooperation)

Laufzeit: 12 MonateAktuellen Termine und Arbeiten werden veröffentlicht

Foliennr.: 7

.....................................................


© DECOIT GmbH

Aspekte der mobilen Sicherheit

Zentrale Fernadministration von Netzen mobiler EndgeräteIdentität durch starke AuthentisierungsmethodenAbsicherung der mobilen Kommunikation durch starke VerschlüsselungAbsicherung des entfernten (remote) Zugriffs auf mobile Endgeräte DatenverschlüsselungFirewall-, Viren- und allgemein Malwareschutz-FunktionalitätTrusted Network Connect (TNC) FunktionalitätHerstellerunabhängigkeit und modularer Aufbau

Foliennr.: 8

.....................................................


© DECOIT GmbH

Globales Szenario

Arbeitsschwerpunkte: SoftwareverteilungTNC-AnbindungAdministrationsoberfläche

Mobile Security GatewayTNC (Trusted Network Connect) Erweiterung Wert auf Herstellerneutralität legen (Offenheit/Modularität)

Mobile EndgerätePDAs (Windows Mobile mit .NET Framework, Symbian OS)Laptops (Windows XP, Vista)

Foliennr.: 9

.....................................................


© DECOIT GmbH

Notwendige Dienste der MSG-Servers

Betriebssystem: Debian Linux Plattform, inkl. SambaVerzeichnisdienst: OpenLDAP mit AD-AnbindungsmöglichkeitRADIUS-Dienst zur Authentifizierung: FreeRADIUSFirewall-Funktionalität: iptablesVPN-Funktionalität: IPsec/IKE mittels OpenswanSSL Root CA und Server/Client-Zertifikate

Foliennr.: 10

.....................................................


© DECOIT GmbH

Der TNC-Ansatz

Mit der Trusted Network Connect-Spezifikation (TNC) entwickelt die Trusted Computing Group (TCG) einen eigenen NAC-AnsatzDie Entwicklung findet durch die Trusted Network Connect-Subgroup mit über 75 vertretenen Firmen statt und liegt aktuell (Mai 2007) in der Version 1.2 vorZiel ist die Entwicklung einer offenen, herstellerunabhängigen Spezifikation zur Überprüfung der Endpunkt-IntegritätTNC baut auf vorhandene Technologien auf, wodurch eine einfachere Integration in bestehende Infrastrukturen möglich ist

Netzwerkzugriff: 802.1x, VPN, PPPNachrichtentransport: EAP, TLS & HTTPSAuthentifizierung: Radius Server, Diameter

Foliennr.: 11

.....................................................


© DECOIT GmbH

TNC-Basisfunktionalität

Überprüfung der Vertrauenswürdigkeit:Richtlinien-abhängige Zugriffssteuerung für NetzwerkeIntegritätsprüfung: Messen des Systemzustands (Konfiguration der Endgeräte) und Überprüfung dieser Zustände gemäß Richtlinien (Assessment-Phase) Isolation von potentiell gefährlichen Rechnersystemen bei Nichterfüllung der Richtlinien (Isolation-Phase) Wiedereingliederung nach Wiederherstellung der Integrität (Remediation-Phase)Erweiterter Integritätscheck möglich (z.B. Binden von Zugangsdaten an ein bestimmtes Rechnersystem, Signierung von Messwerten)

Foliennr.: 12

.....................................................


© DECOIT GmbH

TNC Framework

Foliennr.: 13

.....................................................


© DECOIT GmbH

Schnittstellen im SIMOIT-Projekt

Umsetzung des TNC-Ansatzes auf das ProjektszenarioDie TNC-Architektur definiert drei verschiedene Komponenten:

Access Requestor (AR) Policy Enforcement Point (PEP)Policy Decision Point (PDP)

Foliennr.: 14

.....................................................


© DECOIT GmbH

Einwahlszenario

Mobiler Client baut IPsec-Tunnel zum PEP aufPEP fragt Authentifizierungsinfos vom PDP abClient wird abgewiesen oder zugelassenBenutzer-Datenbank und Inventory Infos werden mit PDP synchronisiertWeitere PEP Server können einbezogen werden

Foliennr.: 15

.....................................................


© DECOIT GmbH

Marktbetrachtung

AlternativenMicrosoft NAP (proprietär und Softwareabhängig): voraussichtlich Anfang 2008 verfügbarCisco NAC (proprietär und Hardware-/Softwareabhängig): verfügbar. Benötigt die Hardware von Cisco.Checkpoint Interspect-Appliance (proprietär und Softwareabhängig): verfügbar. Benötigt Checkpoint-NG-Software.Weitere Ansätze (proprietär): teils verfügbar (u.a. von McAfee, Juniper)

Foliennr.: 16

.....................................................


© DECOIT GmbH

Ausblick und Fazit

AdministrationErhöhter Aufwand bei Verwendung unterschiedlicher Hard- und Softwarelösungen (heterogenes Netz)Jede einzelne Konfiguration muss durch Richtlinien abgedeckt werdenGefahr zu restriktiver RichtlinienMitarbeit der Hardware-/Softwarehersteller nötig

SicherheitBei Agenten-basierten Systemen (Client/Server) besteht die Gefahr gezielter Angriffe zur Veränderung von MesswertenTNC bietet durch offene Standards eine mögliche Integration in andere Plattformen

StandardisierungAlle bisherigen Lösungen inkompatibel zueinander (erste Bestrebungen der Standardisierung durch die IETF)Eine (offene) Standardisierung ermöglicht auch eine einfachere Portierung auf neue Plattformen (z.B. Sicherheitsplattformen)

Foliennr.: 17

.....................................................


© DECOIT GmbH

Zusamenfassung

Vorhandene VPN-Lösungen sind nicht ausreichend für vertrauenswürdige NetzwerkverbindungenMit einer Integritätsprüfung werden vertrauenswürdige Netzwerkverbindungen möglichVorhandene Lösungen sind nicht kompatibel zueinanderStandardisierungsbedarf ist vorhandenDas TNC Framework ist ein offener Lösungsansatz; es fehlt hier aber noch an abschließenden Standards SIMOIT-Projekt greift TNC auf und wird die Entwicklung auch weiterhin verfolgenMobile Endgeräte müssen in das Sicherheitskonzept eines Unternehmens einbezogen werden

Foliennr.: 18

.....................................................


© DECOIT GmbH

Ende

DECOIT GmbHFahrenheitstraße 9D-28359 Bremenhttp://www.decoit.deTel.: 0421-596064-0Fax: 0421-596064-09

SIMOIT URL: http://www.simoit.de

Documents

BremSec SIMOIT-Projektvorstellung.ppt [Kompatibilitätsmodus] · Foliennr.: 7..... Consultancy & Internet Technologies..... © DECOIT GmbH Aspekte der mobilen Sicherheit