Simoit Logo  

Erste Ergebnisse 

Das SIMOIT-Projekt hat nach den ersten drei Monaten erste Untersuchungsergebnisse vorzuweisen. So wurde die Infrastrauktur von ThyssenKrupp Krause einer detaillierten Untersuchung unterzogen und eingesetzte Sicherheitsstandards kritisch bewertet. Zusätzlich haben die Projektteilnehmer Alternativlösungen auf Open-Source-Basis evaluiert und den Softwareverteilungsmechanismen eine kritische Betrachtung unterzogen. Im nächsten Schritt kommt es jetzt darauf an die Inhalte und Entwicklungsschritte festzulegen, die in diesem Projekt geleistet werden können, um einen lauffähigen Prototypen vorzuzeigen. Dies soll im nächsten Schritt, bei der Analyse der vorhandenen Softwareverteilungslösung, diskutiert werden. Zusätzlich wurde der Kooperationsvertrag endlich von allen Teilnehmern unterschrieben, so dass auch die Basis für die weiteren Arbeiten gelegt werden konnte. 

In den Arbeitspaketen AP1 (Anforderungsanalyse) und AP2 (Stand der Technik) wurden die Standards und Open-Source-Lösungen einer kritischen Betrachtung unterzogen. Dies wurde zum einen durch die Vorgaben des BSI umgesetzt und zum anderen durch die Anforderungen von ThyssenKrupp Krause. Dazu war es im ersten Schritt erforderlich eine Ist-Analyse vom ThyssenKrupp-Netzwerk vorzunehmen und die Anforderungen an die einzelnen Sicherheitskomponenten zu diskutieren. In AP1 werden daher die einzelnen Sicherheitsstandards bzw. -komponenten vorgestellt und eingeordnet. Es wurde außerdem die Wichtigkeit einer globalen Unternehmens-Sicherheitsrichtlinie (Security Policy) hervorgehoben. Sschwerpunkt waren natürlich die Anforderungen an mobile Endgeräte und welche Anwendungsfälle daraus resultieren.

Beim Stand der Technik wurden die unterschiedlichen Bereiche durch vorhandene Lösungen untersucht. Die Network Access Control sollte daher das Durchsetzung von Sicherheitsrichtlinien beinhalten. Hier existieren zwar Lösungen, welche aber größtenteils inkompatibel sind. Die IETF arbeitet an der Zusammenführung aller Herstelleransätze, was aber noch dauern kann. Als Empfehlung soll eine TNC-Architektur verwendet werden, wobei sich noch die Frage stellt, wie dies realisiert werden soll? Im Bereich Device Management ist die Inventarisierung und Softwareverteilung elementar. Hier wurde eine Gegenüberstellung von kommerziellen und Open-Source-Lösungen vorgenommen. Dabei könnte man auch das Open-Source-basierte Mobile Device Management (z.B. Funambol) verwenden. Dies sollte aber noch eingehender untersucht werden. Als Verzeichnisdienst sollte LDAP als zentraler Standard genutzt werden. Die Empfehlung lautet hier OpenLDAP. Das UCS-System von Univention wurde hier auch als kommerzieller zentraler Server vorgeschlagen, inkl. OpenLDAP-Integration, da dieses Produkt jetzt auch als Open Source Software verfügbar ist. Die Authentifizierung sollte die bestehende AAA-Infrastruktur mit einbeziehen. Hier sollten Standards wie 802.1x, Radius und Diameter zum Einsatz kommen. Es sollte sich dabei auf den Radius-Server festgelegt werden, da hier die größte Verbreitung vorliegt. Die Empfehlung lautet FreeRadius. Ein Vergleich mit der Microsoft-Radius-Lösung muss noch erfolgen. 

Firewalls wird zwischen Netz- und Personal-Firewalls unterschieden. Hier muss noch eine Analyse von PDA- und Windows-Personal-Firewalls erfolgen (welche Lösungen gibt es und können eingesetzt werden?). Der Bereich VPN beinhaltet alle VPN-Zugangstechniken die unter Linux verfügbar sind. IPsec und PPTP wären die wichtigsten Standards in diesem Umfeld. OpenVPN könnte als gemeinsamer Nenner verwendet werden. Zur Datenverschlüsselung sollte keine OSS-Lösung zum Einsatz kommen, da es keine Version auf Windows-Basis gibt, um Daten auf der Festplatte zu verschlüsseln. Die Verschlüsselung von E-Mails kann mittels GnuPG erfolgen. Als Malware-Scanner ist ebenfalls keine OSS-Lösung für Windows verfügbar. ClamAV wäre eine Möglichkeit; deckt aber nicht alles ab. Eine kommerzielle Übersicht wird noch nachgereicht. Ein IDS einzusetzen wäre ein zu großer administrativer Aufwand, wie das Konsortium beschloss. Eine Unterscheidung muss zwischen NIDS und HIDS erfolgen. OSSEC und Snort könnten eingesetzt werden. Es solte aber eher eine Prevention-Strategie im Projekt verfolgt werden. Fazit der AP2-Untersuchung: es ist nahezu keine OSS-Lösung für PDA/MDA am Markt verfügbar. Der Schwerpunkt des Projekts sollte auf Laptops liegen.

Im AP3 wurden die Anforderungen an die Softwareverteilungslösung dargestellt. Kommerzielle Lösungen beinhalten heute bereits Komplettlösungen und einheitliche Managementoberfläche. Die Erweiterung oder Integration anderer Lösungen gestaltet sich allerdings schwierig. In den vorhandenen Open-Source-Konzepten kann eine bessere Anpassbarkeit erreicht werden, allerdings ist ein höherer Entwicklungs- und Pflegeaufwand einzuplanen. Die Softwareverteilung muss abgesichert werden. Hierbei sollte auf bestehende kommerzielle Lösungen zurückgegriffen werden. Der Datentransport muss ebenfalls abgesichert werden. Hierauf sollte sich das SIMOIT-Projekt fokussieren. Dies wird im nächsten Meeting noch diskutiert werden müssen. 

 

Zufallsbild