Simoit Logo  

Softwareverteilung und TNC-Ansatz 

Im aktuellen Projektmeeting bei ThyssenKrupp Krause wurde die derzeitige Softwareverteilung begutachtet und diskutiert. Diese ist am Standort Bremen-Nord bereits sehr ausgereift, so dass eine zentrale Verteilung von ca. 600 Paketen kontinuierlich stattfindet. Ziel des Treffens am 26. Juli war neben der Begutachtung dieser Software aber auch der Stand der aktuellen APs und die weitere Entwicklung. 

Die Softwareverteilungssoftware (SWV) von ThyssenKrupp Krause beherbergt einen zentralen Datenbankserver. Über diesen können innerhalb des Unternehmens (auch an verschiedenen Standorten) die Endgeräte überprüft und auf den aktuellen Softwarestand gebracht werden. Dabei wird kein Snapshot-Verfahren eingesetzt, sondern manuell geschaut, ob alle Sicherheitspatches und Updates eingespielt werden müssen. Weitere Merkmale, die möglich sind, wären:

  • Benutzerspezifische Konfigurationen lassen sich damit einstellen 
  • Parametrieren von Software (License Keys, Optionen etc.) ist möglich
  • Installationsaufzeichnung ist möglich

Ein skriptbasiertes Verfahren wird zur Verwaltung der SWV verwendet. Preboot Execution Environment (PXE) ist ebenfalls im Einsatz, d.h. BOOTP-Pakete werden im DHCP-Verfahren über UDP bei jedem Bootvorgang eingesetzt. Das heißt, jeder Client wird immer aus dem Netz heraus gebootet. Eine Agenten-Software auf dem Client ist für die Anmeldung zuständig und die Informationweiterleitung der eingesetzten Software.

Diskutiert wurde, neben der SWV-Lösung im SIMOIT-Projekt, welchen Schwerpunkt man nun bei der Entwicklung setzen sollte. Dies wurde auch dadurch ermöglicht, weil die Arbeiten am Arbeitspaket 1 (Ist-Zustanderfassung) abgeschlossen sind. Als Grundlage der Diskussion diente die folgende Abbildung, die zeigt, dass im ersten Prototypenansatz ein RAS-Server umgesetzt sollte, der die sichere Einwahl von mobilen Endgeräten ermöglicht. Noch ist offen, ob dies mit IPsec und/oder PPTP erfolgen wird. Bei Einsatz von IPsec wird eine Schlüsselverteilung notwendig, während PPTP dies unnötig macht. Allerdings ist der Sicherheitsgrad auch bei PPTP nicht auf dem gleichen Niveau wie bei IPsec. Auf der mobilen Endgeräteseite muss im Grunde keine zusätzliche Software entwickelt werden, da VPN-Mechanismen hier bereits durch die Betriebssysteme angeboten werden. Hier wird man sich auf PDAs mit Windows Mobile und Symbian sowie Laptops mit Windows XP/Vista beziehen. Hauptfokus wird im Projekt deshalb der RAS-Server haben, der folgende Mechanismen unterstützen sollte: LDAP-Verzeichnisdienst, RADIUS-Dienst, Firewall-Funktionalität (IP tables), VPN-Funktionalität über FreeS/WAN (PPTP, IPsec), 802.1x Authentifizierung, Einsatz von Tokens, Trusted Network Connect (TNC). Dies muss aber noch näher spezifiziert werden.

Dabei soll der der Schwerpunkt auf den TNC-Ansatz gelegt werden. Der Trusted Network Connect (TNC) Ansatz ist momentan viel diskutiert, aber noch nicht fertig spezifiziert. Er wird von einigen Herstellern (u.a. Cisco und Microsoft) inzwischen proprietär angeboten; ist aber bisher nicht vollständig umgesetzt worden. Da der Ansatz auch viele Komponenten beinhaltet und relativ komplexe Schnittstellenkommunikation besitzt, ist dies auch kein leichtes unterfangen. Die nächste Abbildung zeigt die Hauptkomponenten und verdeutlich die Komplexität. 

Für die Entwicklungsarbeiten in SIMOIT bedeutet dies, dass erst einmal keine Administrationsoberfläche oder Weiterentwicklung der SWV-Lösung des TZI angestrebt wird. Eine Administrationsoberfläche soll durch die vorhandenen Systeme abgedeckt werden oder bei der Kommerzialisierung entstehen. Der RAS-Server wird auf Linux-Basis unterschiedliche Dienste (Open-Source Projekte) anbieten, die implementiert und angepasst werden müssen. TNC wird dabei nur im Ansatz verfolgt werden können; d.h. die Realisierbarkeit wird überprüft und soweit wie machbar umgesetzt. Dies soll so offen geschehen, dass späteren Erweiterungen kein Hindernis darstellen sollen. Überprüft wird auch noch, ob eine Schlüsselverteilung in jeden Fall notwendig wird. Dies ist dann wichtig, wenn das interne Netz (Intranet) als unsicher eingestuft werden würde.

 

Zufallsbild