Trusted Network Connect. Networking Academy Day 19.04.2008

Ähnliche Dokumente
Trusted Network Connect

Mit Trusted Computing zur mobilen Sicherheit der Zukunft Malte Hesse Hesse (at) internet-sicherheit.de

Trusted Network Connect

rdige Netzwerk- verbindungen mit TNC

Trusted Network Connect. Trusted Network Connect. Agenda. Einleitung Aktuelle Problemstellung anhand eines Beispiels. Fazit 2

Herausforderungen des Enterprise Endpoint Managements

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

Sicherheitsplattform Turaya live. Enterprise Rights Management mit Trusted Computing. Niklas Heibel

BremSec-Forum. Das SIMOIT-Projekt Sichere mobile Anbindung

Von Perimeter-Security zu robusten Systemen

Sicherheit durch Kooperation

Verschlüsselung von VoIP Telefonie

Tmsted Computing Systeme

{ Wirkungsvoller Netzwerkschutz mit Windows Server 2008 }

Malte Hesse

Anleitung mtan (SMS-Authentisierung) mit Cisco IPSec VPN

Praktikum Digital Evidence Stephan Heuser, Fraunhofer SIT. Speaker Name, Fraunhofer SIT Job title / Darmstadt Date

IT-Security Herausforderung für KMU s

Cisco AnyConnect VPN Client - Anleitung für Windows7

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Sicherheitsanalyse von Private Clouds

Vertrauenswürdige, rechtlich belastbare Kommunikation in Datennetzen durch Authentifizierung (nicht Autorisierung) für

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

1 Einleitung Motivation ZieledesBuches GliederungdesBuches... 3

Mobile Business-Lösungen im Cloud Computing - Anforderungen, Lösungen und Handlungsempfehlungen

Open Source als de-facto Standard bei Swisscom Cloud Services

ANYWHERE Zugriff von externen Arbeitsplätzen

Die aktuellen Top 10 IT Herausforderungen im Mittelstand

IT Security Investments 2003

Research Note zum Thema: Laufzeit von Support-Leistungen für Server OS

Analyse zum Thema: Laufzeit von Support-Leistungen für ausgewählte Server OS

Anforderungen an die HIS

Sicherer Weg ins Firmennetz Alternative Konzepte und Perspektiven

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

SEP Antrittsvortrag. Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC

IT-Dienstleistungszentrum Berlin

PHSt VPN Verbindung für ZIDA Mitarbeiter/innen

SSZ Policy und IAM Strategie BIT

HWP-WIN Update Argumente für eine Aktualisierung Präsentiert durch Sage Business Partner Johann König

SharePoint Portal für eine effiziente Zusammenarbeit

Der Schutz von Patientendaten

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

Anleitung zum Prüfen von WebDAV

Aufbau und Funktion eines VPN- Netzwerkes

Wertschöpfung biometrischer Systeme Security Essen - 9. Oktober 2008

Software Defined Networking. und seine Anwendbarkeit für die Steuerung von Videodaten im Internet

SOFTWARE FÜR MOBILE ANLAGEN- INSPEKTIONEN MIT EX-SCHUTZ TERMINALS

EIDAMO Webshop-Lösung - White Paper

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

User-Centric Identity Management

Entwicklung und Einsatz von Signaturserverdiensten

Architekturplanung und IS-Portfolio-

Benötigen wir einen Certified Maintainer?

NAS 322 NAS mit einem VPN verbinden

Joachim Zubke, CCIE Stefan Schneider

Robert Hartmann Public v1.0 (Feb 2015) Architektur & Agilität - Praxisbericht

SAP R/3 und Outlook Exchange in der Cloud

Applikationsvirtualisierung in der Praxis. Vortrag an der IHK Südlicher Oberrhein, Freiburg Thomas Stöcklin / 2007 thomas.stoecklin@gmx.

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Swiss Networking Day 2014

Cloud Computing mit IT-Grundschutz

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

PCC Outlook Integration Installationsleitfaden

Mobiles SAP für Entscheider. Permanente Verfügbarkeit der aktuellen Unternehmenskennzahlen durch den mobilen Zugriff auf SAP ERP.

carekundenforum 2013 Virtualisieren spart Geld

IT-Support für den Arbeitsplatz 2.0

Herzlich willkommen. Die Zukunft von Client und Mobile Device Management. Tobias Frank, baramundi software AG

VPN/WLAN an der Universität Freiburg

Virtual Private Network

E-Cinema Central. VPN-Client Installation

LabView7Express Gerätesteuerung über LAN in einer Client-Serverkonfiguration. 1. Steuerung eines VI über LAN

Agenda. Der Support von Windows XP und Office 2003 wurde eingestellt Das neue Windows Das neue Office Ende

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern

ITIL und Entwicklungsmodelle: Die zwei Kulturen

Anmelden am Citrix Access Gateway

Benutzerleitfaden MobDat-CSG (Nutzung des Heimrechners für dienstliche Zwecke)

Sicherheits- & Management Aspekte im mobilen Umfeld

Produktvorstellung: CMS System / dynamische Webseiten. 1. Vorwort

IDV Assessment- und Migration Factory für Banken und Versicherungen

Test zur Bereitschaft für die Cloud

Mehr IT-Souveränität durch Zusammenarbeit Vertrauen ist eine Herausforderung für die Zukunft

Handbuch Installation und Nutzung von KVSAonline über KV-FlexNet

PHSt VPN Verbindung für Studierende der Berufspädagogik

BSI Technische Richtlinie

AS/point, Ihr Partner die nächsten 10 und mehr Jahre -

INDIVIDUELLE SOFTWARELÖSUNGEN CUSTOMSOFT CS GMBH

Point of Information. Point of Information

Vorwort Azure Cloud Computing mit Microsoft Danksagungen Kontakt zum Autor... 13

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Änderungen ISO 27001: 2013

Fachapplikationen in heterogenen IT Landschaften

Software-Validierung im Testsystem

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

» IT-Sicherheit nach Maß «

TEUTODATA. Managed IT-Services. Beratung Lösungen Technologien Dienstleistungen. Ein IT- Systemhaus. stellt sich vor!

Virtual Private Network. David Greber und Michael Wäger

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Calogero Fontana Fachseminar WS09/10. Virtualisierung

Transkript:

Trusted Network Connect Networking Academy Day 19.04.2008 Dipl.-Inf. Stephan Gitz <Stephan.Gitz@hs-bremen.de>

Roadmap Ziele der Informationssicherheit Herausforderungen der Informationssicherheit Angriffsvektoren und Gegenmaßnahmen Network Access Control (NAC) Trusted Network Connect (TNC) Trusted Platform Module (TPM) TNC im Projekt SIMOIT 19.04.2008-2-

Ziel der Informationssicherheit Das Ziel der Informationssicherheit ist es, dass die Vertraulichkeit, Verfügbarkeit und Integrität in einem ausreichendem Maße sichergestellt wird. 19.04.2008-3-

Herausforderungen der Informationssicherheit Immer mehr Geschäftsprozesse hängen von IT- Infrastrukturen ab Der Schutzbedarf der IT-Infrastrukturen steigt ständig Es gibt kein nichttriviales Programm ohne Fehler Die Komplexität der Systeme ist schwierig zu beherrschen vollständige Sicherheit bei vernetzten Systemen ist nicht erreichbar Sicherheit ist kein Produkt sondern ein Prozess 19.04.2008-4-

Angriffsvektoren und Gegenmaßnahmen 19.04.2008-5-

Angriffsvektor: Mobile Endgeräte 19.04.2008-6-

Angriffsvektor: Mobile Endgeräte 19.04.2008-7-

Network Access Control (NAC) Ziele Intrusion Prevention Verringertes Risiko durch Überprüfung der Geräteintegrität Zugriff nur bei Erfüllung der Security Policy z.b. aktuelle Softwarepakete und Anti-Virus-Definitionen Isolation von nicht-konformen Geräten Möglichkeit, z.b. Softwarestände zu aktualisieren Außerdem: nicht-funktionale Ziele Möglichst geringe Einschränkungen des Workflows der Mitarbeiter 19.04.2008-8-

NAC Voraussetzungen Akzeptanz der notwendigen Maßnahmen durch die Hierarchien Schutzbedarfsanaylse der IT-Infrastruktur Erarbeitung einer Security Policy für Endgeräte Erfassung der Anforderungen der Mitarbeiter Entscheidungen zu zulässigen Zuständen der Endgeräte Problem Vollständigkeit viele Schnittstellen, Plattformen, Anwendungen und Prozesse Kontinuierliche Anpassung an veränderte Unternehmensumgebungen (Change Management) 19.04.2008-9-

NAC Relevante Technologien Network Access Protect (NAP Microsoft) Network Admission Control (NAC Cisco) Trusted Network Connect (TNC TCG) Network Endpoint Assessment (NEA IETF-WG) 19.04.2008-10-

Trusted Network Connect NAC-Standard der Trusted Computing Group Integritätsüberprüfung auf dem mobilen Gerät beim Verbinden mit einem Netz Zustandsinformationen werden von Agenten auf den Endgeräten geliefert TNC-Server trifft auf dieser Basis die Entscheidung über Zugriff Integriert in 802.1x und IPsec-VPN (d.h. IKEv2) über EAP- Tunnel Standard besteht aus einer Architektur und einer Reihe von Schnittstellen 19.04.2008-11-

TNC Kontrollpunkte Quelle:Trusted Computing Group 19.04.2008-12-

TNC Architektur Quelle:Trusted Computing Group 19.04.2008-13-

TNC-Client Vertrauenswürdigkeit Durch TNC wird Angriffsvektor weiter verschoben z.b. Manipulation des Integrity Measurement Collectors Cisco Implementation gilt seit Blackhat 2006 als kompromitiert Hardwareunterstützung wird benötigt um dieses Problem anzugehen Mögliche Lösung: Trusted Platform Module (TPM) 19.04.2008-14-

Trusted Platform Module (TPM) TPM für eine hardwarebasierte Authentisierung und Integritätsprüfung Sichert einen known good state Authentisiert das Endgerät und kann den Beweis der Integrität an Kommunikationspartner liefern Bildet die Root of Trust des Gerätes Sichere Operationen und Schlüsselspeicher in Hardware Chain of Trust von der Hardware über das BIOS und Betriebssystem zur Applikation 19.04.2008-15-

TNC TPM Quelle:Trusted Computing Group 19.04.2008-16-

TNC/TPM Aktueller Stand TNC Kern-Spezifikationen abgeschlossen Erste Produkte wie Switche, Router, VPN-Gateways unterstützen TNC Fehlender Schutz gegen Veränderungen der Agenten auf Endgeräten Microsofts Statement of health-protokoll wurde integriert Bisher kaum Know-How zum Thema NAC vorhanden TPM Hardware-Chip in vielen Laptop-Systemen bereits vorhanden Bisher nur geringe Verwendung durch Anwendungen Mobile TPM ist am Anfang der Entwicklung 19.04.2008-17-

SIMOIT Ziele Erhöhte Sicherheit mobiler Endgeräte mit Zugriff auf Unternehmensnetze Entwicklung eines Prototyps einer NAC-Umgebung, basierend auf freier Software Integration in reale Unternehmensumgebung Entwicklung notwendiger organisatorischer Konzepte Aufbau von Know-How im Bereich Network Access Control 19.04.2008-18-

SIMOIT Gegebenheiten Bisher keine IKEv2-Unterstützung im MS-Windows-IPsec Integration von IKEv2/EAP-fähigen VPN-Clients ist aufwendig Fehlende Schnittstelle zum Softwarezustand des Endgerätes Bisher kein Schutz der Agenten auf den Endgeräten Kein freier TNC-Server verfügbar 19.04.2008-19-

SIMOIT Technischer Ansatz TNC-basiertes Network Access Control Umsetzung des TNC-Standards auf Serverseite Entscheidung über Integrität der Endgeräte aufgrund von Infrastrukturinformationen Einfacher Übergang auf vollständigen TNC-Standard durch Nähe zur Spezifikation 19.04.2008-20-

Architecture 19.04.2008-21-

Implementierung Mobile Endgeräte Betriebssysteme: Microsoft Windows XP, Windows Mobile 6 VPN-Client: MS Windows IPsec Stack Policy Enforcement Point VPN-Server: Openswan, xl2tpd, pppd Policy Decision Point AAA: FreeRADIUS TNC-Server: FreeRADIUS-Modul TNC-Framework: libtnc IMV für Softwareverteilung 19.04.2008-22-

Ausblick Unterstützung von standardisierten TNC Komponenten Clientseitige Software Agenten IKEv2/EAP-basierte VPN Authentifizierung Hinzufügen weiterer Integritätsprüfungen. Nutzung des Trusted Platform Module zum Schutz des Software-Agenten 19.04.2008-23-

Fazit Große Dynamik im NAC-Markt Bisher nur begrenzte Interoperabilität der existierenden Network Access Control Technologien Standardisierungsbemühungen der Hersteller von NAC- Lösungen NAC ist ein weiteres sinnvolles Werkzeug zur Absicherung der Unternehmensnetz Große Anforderungen an die organisatorische IT-Sicherheit für einen erfolgreichen NAC-Einsatz 19.04.2008-24-

Vielen Dank für Ihre Aufmerksamkeit! Fragen, Kommentare? 19.04.2008-25-

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback