tnac - Trusted Network Access Control ... und weitere aktuelle Forschungsprojekte... Ingo Bente ingo.bente@fh-hannover.de

Transkript

1 tnac - Trusted Network Access Control... und weitere aktuelle Forschungsprojekte... Ingo Bente ingo.bente@fh-hannover.de Fachhochschule Hannover Forschungsgruppe Trust@FHH 5. November 2010 VOGUE Workshop Hochschule Bremen Trust@FHH Bente (Trust@FHH) tnac - Trusted Network Access Control / 24

2 Gliederung 1 Forschungsgruppe Trust@FHH 2 TNC in a Nutshell 3 Aktuelle Projekte TNC@FHH tnac - Trusted Network Access Control IRON ESUKOM Bente (Trust@FHH) tnac - Trusted Network Access Control / 24

3 Gliederung 1 Forschungsgruppe Trust@FHH 2 TNC in a Nutshell 3 Aktuelle Projekte TNC@FHH tnac - Trusted Network Access Control IRON ESUKOM Bente (Trust@FHH) tnac - Trusted Network Access Control / 24

4 Forschungsgruppe Team Leitung: Prof. Dr. Josef von Helden 3 wissenschaftliche Mitarbeiter 3 Hiwis Finanzierung primär aus Drittmittel-Projekten Forschungsschwerpunkte Trusted Computing Network Security Mobile Security Webseite Bente (Trust@FHH) tnac - Trusted Network Access Control / 24

5 Forschungsgruppe Abbildung: FHH Geba ude Abbildung: Team Bente tnac - Trusted Network Access Control / 24

6 Gliederung 1 Forschungsgruppe Trust@FHH 2 TNC in a Nutshell 3 Aktuelle Projekte TNC@FHH tnac - Trusted Network Access Control IRON ESUKOM Bente (Trust@FHH) tnac - Trusted Network Access Control / 24

7 TNC Architektur Access Requestor Policy Enforcement Point Policy Decision Point MAP MAPC (AR) (PEP) (PDP) Integrity Measurement Layer (IML) Integrity Measurement Collectors (IMCs) IF-M Integrity Measurement Verifiers (IMVs) IF-IMC IF-IMV Integrity Evaluation Layer (IEL) TNC Client (TNCC) IF-TNCCS TNC Server (TNCS) IF-MAP MAP Server (MAPS) IF-MAP IF-MAP Flow Controllers no interface specified no interface specified Sesnors IF-T Network Access Layer (NAL) Network Access Requestor (NAR) Policy Enforcement Point (PEP) IF-PEP Network Access Authority (NAA) IF-MAP IF-MAP Others 802.1X Supplicant, VPN Client, etc. Switch, Firewall, VPN Gateway AAA Server (Radius) Metadata Access Point IDS, Firewall, DHCP,... Abbildung: TNC Architektur Version 1.4 Bente tnac - Trusted Network Access Control / 24

8 IF-MAP Grundlagen IF-MAP Spezifikationen der TCG Ansatz zur Integration beliebiger Netzwerkkomponenten Bestandteil des TNC Frameworks Kernanforderungen 1 einheitliches, erweiterbares Datenformat 2 interoperable Schnittstelle Integration basierend auf Metadaten des Netzwerkes IF-MAP Architektur Zentraler MAP Server verwaltet Metadaten (MAPS) MAP Clients senden/empfangen Metadaten über MAPS Standardisierung: Format der Metadaten und IF-MAP API/Protokoll Interoperable Integration von Netzwerkkomponenten Bente (Trust@FHH) tnac - Trusted Network Access Control / 24

9 Architektur einer IF-MAP Infrastruktur Metadaten- Modell Location Metadata Security Network Topology MAP Server Metadata Access Point Korrelations- Algorithmen Mobile Endgeräte WLAN Internet IF-MAP API NAC iptables Snort Nagios DHCP Open Source Tools MAP Clients Bente tnac - Trusted Network Access Control / 24

10 Metadatenformat Interoperables, erweiterbares Format für Metadaten Definiert durch XML Schema Dokumente Addressiert zurzeit Use Cases für Netzwerksicherheit/Management Beispiele: Benutzer, Rolle, IP-Adresse, IDS-Alarm Bestandteile und interne Repräsentation Identifier: IP-Adresse, Access-Request Link: verbindet zwei Identifier Metadata: User, Role, Layer2-Information Metadaten für Links und Identifier anwendbar Interne Repräsentation: ungerichteter Graph Bente tnac - Trusted Network Access Control / 24

11 IF-MAP Kommunikationsmodell Unterstützt wird (a)synchrone Kommunikation Drei Grundoperationen publish: veröffentliche/aktualisiere Metadaten (synchron) search: Suche Metadaten (synchron) subscribe: Observiere Metadaten (asynchron) search/subscribe: Auswahl von Metadaten durch Filter meta:layer2-information[ administrative-domain=\main Campus\ and vlan > 30] Technologische Basis SOAP über http(s), IF-MAP WSDL Beschreibung verfügbar Bente tnac - Trusted Network Access Control / 24

12 Gliederung 1 Forschungsgruppe Trust@FHH 2 TNC in a Nutshell 3 Aktuelle Projekte TNC@FHH tnac - Trusted Network Access Control IRON ESUKOM Bente (Trust@FHH) tnac - Trusted Network Access Control / 24

13 Allgemeines Open Source Implementierung des TNC Stacks Entwicklungsbeginn 2006 (2 parallele Masterarbeiten) mittlerweile zertifiziert von der TCG Komponenten IMC/V Paare (Port Scanner, Platform Authentifizierung,...) TNC Server/Client für 802.1X und VPN Umgebungen Verwendete Open Source Komponenten FreeRADIUS als NAA für 802.1X Umgebungen libtnc als Library für TNC Client in VPN Umgebung wpa suppicant als TNC Client in 802.1X Umgebung Bente tnac - Trusted Network Access Control / 24

14 Architektur AR PDP IF-M <<shared object>> HostScanner- IMC <<shared object>> SecurityCenter- IMC <<shared object>> HostScanner- IMV <<shared object>> SecurityCenter- IMV IF-IMC IF-IMV <<application>> wpa_supplicant <<component>> TNCC IF-TNCCS <<shared object>> TNCS <<application>> FreeRADIUS <<component>> NAR EAPoL EAP-TNC RADIUS <<shared object>> EAP-TNC << shared object>> EAP-TTLS <<shared object>> EAP module <<shared object>> EAP-MD5 <<shared object>> EAP-[ ] Bente (Trust@FHH) tnac - Trusted Network Access Control / 24

15 tnac NAC trusted network access control Allgemeines Verbundprojekt gefördert vom BMBF, Förderlinie FHprofUnt Laufzeit Kooperation zwischen Institut für Internet-Sicherheit (FHG) und FHH + 3 KMUs Ziele Integration: TNC kompatible NAC Lösung + Trusted OS Erkennung von Lying Endpoint Angriffen Technologische Basis TNC NAC Lösung: TNC@FHH Trusted OS: Turaya L4 Bente (Trust@FHH) tnac - Trusted Network Access Control / 24

16 tnac Architektur Überblick NAC trusted network access control Bente tnac - Trusted Network Access Control / 24

17 tnac Integration von TPM Funktionen NAC trusted network access control Access Requestor TNC Compartment Attestation IMC Remote Attestation Static Chain of Trust Policy Decision Point Attestation IMV TNCS TSS wpa_supplicant L4 Linux EAP-TTLS EAP-MD5 EAP-TNC FreeRADIUS Turaya Security Layer Commodity Linux TPM Hardware NIC 802.1X Switch NIC Hardware TPM Unterstützung Turaya erstellt Static Chain of Trust mittels TPM (PCRs) AttestationIMC/V überprüft PCR Werte über Challenge/Response Protokoll (Quote) Bente tnac - Trusted Network Access Control / 24

18 tnac VPN Unterstützung NAC trusted network access control Access Requestor IMCs Policy Decision Point IMVs TNCC Policy Enforcement Point TNCS NAR IF-T TLS Commodity VPN Client Commodity VPN Gateway pepd configure Commodity Packet Filter NAA IF-T TLS User Authentication TNC Handshake Access Decision VPN Unterstützung IF-T TLS Protokoll als technische Grundlage Tunneling des TNC Handshakes über beliebige VPN Verbindung 1. Aufbau der VPN Verbindung + Benutzerauthentifizierung 2. TNC Handshake via IF-T TLS PEP setzt Zugriffsentscheidung durch (z.b. Paketfilter Regel) Bente (Trust@FHH) tnac - Trusted Network Access Control / 24

19 tnac Aktuelle Arbeitspakete NAC trusted network access control Remediation (Halb)-Automatische Sanierung des Endgeräte-Zustands Isolation nicht Policy-konformer Geräte über VLANs/Filter-Regeln Policy Management Herausforderung I: einfaches Management der Attestation Policies Herausforderung II: Unterstützung von Remediation Prozessen Herausforderung III: Benutzer-spezifische Policies Aktueller Ansatz basierend auf XACML Turaya als Trusted OS? Turaya L4 unterstützt kein Windows Alternativen: Turaya Linux, Qubes-OS Bente tnac - Trusted Network Access Control / 24

20 IRON Allgemeines Praxisprojekt von Bachelor-Studenten (5./6. Semester) Laufzeit: September Juli 2010 Ziel: Prototypische Implementierung einer IF-MAP Infrastruktur Komponenten zentraler MAP-Server (irond) MAP-Clients für verschiedene Open Source Komponenten u.a. Snort, Nagios, iptables, ISC DHCPD Ergebnisse irond Version veröffentlicht Veröffentlichung ausgewählter MAP-Clients folgen Ende 2010 Bente (Trust@FHH) tnac - Trusted Network Access Control / 24

21 IRON Live Demo Bente tnac - Trusted Network Access Control / 24

22 ESUKOM Allgemeines Verbundprojekt gefördert vom BMBF/BMI, Arbeitsprogramm IT-Sicherheitsforschung Laufzeit Kooperation zwischen Fraunhofer SIT, DECOIT, NCPe, mikado soft, FHH Ziele Entwicklung einer IF-MAP basierten IT-Sicherheitslösung Fokus: Sicherer Einsatz von Smartphones in Unternehmensnetzen Aktueller Stand Analyse von Smartphone basierten Bedrohungsszenarien Entwicklung von Anwendungsszenarien seitens der KMUs Bente tnac - Trusted Network Access Control / 24

23 ESUKOM Forschungsbedarf Korrelations-Algorithmen Herausforderung: Sinnvolle Auswertung großer Metadaten-Graphen Serverseitige Korrelation (bislang Clientseitig) Interdomain-MAP? Kommunikation zwischen MAP-Server verschiedener Domänen Authorisierungs Modell? Sicherheit und Beherrschbarkeit von IF-MAP? MAP-Komponenten selbst als Angriffsziel Poisening des MAP-Servers? Bente tnac - Trusted Network Access Control / 24

24 Vielen Dank! Fragen? Bente tnac - Trusted Network Access Control / 24