Simoit Logo  

SIMOIT-Artikel in der Fachzeitschrift NET 

Immer mehr Unternehmen setzen zunehmend mobile Lösungen und Systeme für ihre Geschäftsprozesse ein. Jedoch fehlen ausgereifte und plattformunabhängige Mechanismen zur zentralisierten Authentifizierung bzw. Autorisierung von Benutzer und Endgerät. Insbesondere für mittelständisch geprägte Unternehmen sind Konfiguration und Administration mobiler Systemkomponenten zu komplex. Plattformübergreifende Mechanismen zur zentralen und anwendertransparenten Administration im Sinne von Identitäts- und Zugangssteuerung sind hier essenziell. Der Artikel "Endpunkt Sicherheit" von Prof. Dr. Evren Eren beschreibt das SIMOIT-Projekt und vergleicht es zusätzlichen mit einem anderen Forschungsansatz der Fachhochschule Hannover.

Das Wachstum des Internet bringt ständig neue Techniken mit sich und stellt demzufolge neue Herausforderungen an die IT-Sicherheit. Dies betrifft insbesondere die Identifikation von Benutzer und Endgerät. Mitarbeiter in Unternehmen setzen eine Vielzahl von diversen mobilen Endgeräten wie Laptops, PDAs usw. im Mischbetrieb (privat als auch am Arbeitsplatz) ein, was aufgrund der unterschiedlichen Nutzungsprofile sowohl ein Kontext- als auch ein profilbasiertes Sicherheitsmanagement erfordert. Dies ist u.a. auch durch die steigende Zahl von Angriffen auf höheren ISO-OSI-Ebenen (Malware wie Viren und Trojanische Pferde) vonnöten, da die Vertrauenswürdigkeit und Zuverlässigkeit der kommunizierenden Endpunkte hinsichtlich ihrer Integritätsbedingungen und Identitäten beeinträchtigt wird. Unter Integrität ist die relative "Reinheit" von Endpunkten bez. der installierten Software und der Gerätehardware zu verstehen. Eine Integritätsprüfung erfordert eine Zustandsprüfung (Health Check) des Endgeräts bzw. Clients. Ein solcher besteht üblicherweise aus der Abfrage bestimmter Informationen wie z.B.: Version des Virenscanners, Einstellungen der Personal Firewall (falls vorhanden), Konfiguration installierter Softwareanwendungen, Patch-Status des Endgeräts (Firmware) sowie des Betriebssystems. Falls der Health Check der Security Policy des Unternehmens nicht genügen sollte, ist eine Isolation (z.B. in ein VLAN) mit anschließender Sanierung möglich.

In dem Artikel von Evren Eren werden die Forschungsansätze aus SIMOIT und der TNC@FHH gegenübergestellt und miteinander verglichen. Beide TNC-Ansätze arbeiten serverseitig mit ähnlichen Softwarepaketen. In SIMOIT wurde aufgrund der fehlenden TNC-Client-Implementierung eine rein modulare Serverlösung umgesetzt, die mit anderen Sicherheitskomponenten wie Firewalls und VPN-Servern kombinierbar ist. Durch Einsatz einer Softwareverteilung wird das Fehlen des TNC-Clients kompensiert. Mit der Weiterentwicklung und Standardisierung sowie Marktdurchdringung von Lösungen, insbesondere durch Betriebssystemhersteller, kann der SIMOIT-Ansatz entsprechend erweitert werden. Der TNC-Server basiert auf der Open-Source-Bibliothek libtnc (http://sourceforge.net/projects/libtnc/) in Verbindung mit einem Open-Source-Radius-Server (http://freeradius.org). Auf den mobilen Endgeräten wird - nach erfolgreicher IEEE-802.1x-Authentifizierung - mit Hilfe einer Softwareverteilungslösung dafür gesorgt, dass die aktuellen Sicherheitsrichtlinien eingehalten werden. Erst im Anschluss wird der sichere Netzzugriff erlaubt. Die TNC@FFH-Technik dagegen setzt eine spezielle, selbst entwickelte TNCClient-und Serversoftware ein, die ebenfalls in Verbindung mit FreeRadius dafür sorgt, dass nur die mobilen Endgeräte Zugang zum Netz erhalten, die den Sicherheitsrichtlinien genügen. 

Die vorgestellten TNC-Ansätze der Projekte SIMOIT und TNC@FHH sind unterschiedliche Trusted-Computing-Implementierungen für mobile Szenarien. Sie erlauben ein relativ hohes Sicherheitsniveau für mobiles, gut skalierbares Identitäts- und Access-Management. Beide sind modular aufgebaut, erweiterbar und mit konventionellen Sicherheitsmechanismen wie VPN und Firewalls kombinierbar. Beide Ansätze wurden im Laboratory for IT-Security Architectures - LISA (www.lisa.fh-dortmund.de) in einer typischen Unternehmensreferenzinfrastruktur implementiert und validiert. In Zukunft ist geplant, TNC-Clients für unterschiedliche mobile Betriebssysteme (Windows Mobile 6.1, Android und Symbian) zu entwickeln, so dass sich der Einsatzbereich nicht nur auf Laptops beschränkt, sondern beispielsweise auch Smartphones sicher in ein Unternehmensnetz im Sinne des Trusted Computing eingebunden werden können.

Den kompletten Artikel können Sie hier herunterladen.

 

Zufallsbild