Simoit Logo  

Weiteres Entwicklermeeting zur Abstimmung der Schnittstellen 

Am 2. Oktober 2007 gab es ein weiteres Meeting zwischen den Entwicklern, um die Problematiken der Schnittstellen weiter zu diskutieren, den Status zu reflektieren und die weitere Vorgehensweise zu erörtern. Neben den Entwicklerthemen stand auch die Erfüllung des ersten Meilensteins auf dem Programm.

Inzwischen bieten einige Hersteller auch TNC-Ansätze an, die eine Quarantäne-Zone beinhalten. Beispielsweise wurde die Lösung von Checkpoint inhaltlich stärker untersucht. Sie bietet die sichere Authentifizierung und Verschlüsselung inzwischen sowohl vom Integrity SecureClient“als auch vom VPN-1 SecureClient. Der SecuRemote-Client wird heute nicht mehr angeboten. Der Integrity SecureClient“unterstützt eine integrierte Personal Firewall und einem komfortableren Policy Enforcement. Es werden Integrity (Zone Alarm Technologien) und VPN-1 SecureClient miteinander kombiniert. Eine TNC-ähnlichen Ansatz verfolgt Checkpoint mit der Interspect-Appliance-Produktreihe (inkl. Intrusion Prevention und Network Access Control (NAC), Quarantäne-Zone). Im weitesten Sinne gehören auch die Endpoint-Security-Lösungen der Integrity-Produkte dazu. Zum VPN-1 SecureClient ist anzumerken, dass zwar ein sicherer Zugang zum internen Netz gewährt wird, aber kein Schutz des mobilen Rechners implementiert ist. Das heißt, ohne aktivierte Firewall-Mechanismen kann dieser sichere Unternehmenszugang auch für Hacker genutzt werden. Hier wäre der Integrity SecureClient eher zu empfehlen. Besonders gilt dies für unbedarfte Anwender. Für den TNC-ähnlichen Ansatz braucht man bei Checkpoint ein zusätzliches Gateway, was die Netzsegmentierung durchführt. Dabei hält sich Checkpoint relativ stark an den TNC-Standard. Die Funktionalität und Herstellerabhängigkeit müsste aber noch genauer analysiert werden. 

Andere Anbieter wie McAfee bieten inzwischen zwar auch den Quarantäne-Ansatz an - allerdings noch proprietär! Der Hersteller bietet inzwischen nicht nur Anti-Viren-Lösungen an, sondern hat sein Portfolio stark erweitert - u.a. hin zu Intrusion Prevention Systemen. Dafür hat McAfee das Produkt Framework IntruShield aufgesetzt. Ziel ist also der Schutz des gesamten Unternehmensnetzes. Dies soll in Echtzeit erfolgen und Netze bis hin zu 10 Gbit/s unterstützen. Alle Sicherheitsrichtlinien können zentral auf einem Server über das Produkt ePO eingestellt und konfiguriert werden - sie sind in einer zentralen Datenbank hinterlegt. Ein Ausrollen neuer Richtlinien, Patches, Updates kann so zentral umgesetzt werden. Überprüfen von Angriffen ist über Foundstone möglich, was ähnliche Funktionen wie Nessus anbietet, aber mehr Details anbietet. Der Ansatz Network Access Control (NAC) wird ebenfalls von McAfee angeboten. Dies wird für mobile Mitarbeiter angewendet und mittels Quarantäne-Zone umgesetzt. Das Intrusion Prevention System (IPS) muss nicht mit einzelnen Netzwerk- und Betriebssystemsensoren umgesetzt werden, sondern bietet über ein System virtuelle Sensoren ab. Dadurch können Kosten gespart, Kompatibilitätsprobleme vermieden und Alarmmeldungen auf das wesentlich zusammengefasst werden.

Der SIMOIT-Server sollte so modular aufgebaut sein, dass er bestimmte Teile (z.B. VPN) auch durch andere Hersteller nutzen kann. Dies wird zwar noch nicht beim Prototypen der Fall sein, sollte aber später mit abgedeckt werden können. Die Entwicklungsumgebung liegt jetzt komplett vor (freeRadius, Samba, etc.). Ein Win2003 Server ist mit einem Active Directory auf dem Testsystem aufgesetzt worden und kann genutzt werden. Die Verschlüsselung mittels IPsec macht allerdings noch Probleme. Neben dem Internet Key Exchange (IKE) Protokoll wird auch die neue Version IKEv2 getestet. Auch die EAP-Umsetzung ist noch problematisch und muss noch weiter getestet werden. Ein IDS/IPS System wird jetzt für den Server mit installiert, um den eingehenden Datenverkehr analysieren zu können. Das TNC Modul für freeRadius wurde testweise aufgesetzt und muss noch weiter evaluiert werden.

 

Zufallsbild