SEP Antrittsvortrag. Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC

Ähnliche Dokumente
SEP Antrittsvortrag. Vertrauenswürdige Auslieferung von Zertifikaten für Network Access Control mit EAP (T)TLS. Michael Bothmann

Trusted Network Connect. Networking Academy Day

Trusted Network Connect

Tmsted Computing Systeme

Mit Trusted Computing zur mobilen Sicherheit der Zukunft Malte Hesse Hesse (at) internet-sicherheit.de

1 Einleitung Motivation ZieledesBuches GliederungdesBuches... 3

rdige Netzwerk- verbindungen mit TNC

Turaya Anwendungsbeispiele

Trusted Network Connect. Trusted Network Connect. Agenda. Einleitung Aktuelle Problemstellung anhand eines Beispiels. Fazit 2

Sicherheitsplattform Turaya live. Enterprise Rights Management mit Trusted Computing. Niklas Heibel

HostAP WPA Workshop. 27. Dezember 2004 Jan Fiegert,

Praktikum Digital Evidence Stephan Heuser, Fraunhofer SIT. Speaker Name, Fraunhofer SIT Job title / Darmstadt Date

VPN/WLAN an der Universität Freiburg

Sicherer Netzzugang im Wlan

tnac - Trusted Network Access Control ... und weitere aktuelle Forschungsprojekte... Ingo Bente ingo.bente@fh-hannover.de

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Formular»Fragenkatalog BIM-Server«

Kurzanleitung ejax Online-Demo

Anleitung zur Einrichtung des WDS / WDS with AP Modus

EXCHANGE Neuerungen und Praxis

Sicherheit versus Vertrauen Trusted Computing Group (TCG) Trusted Platform Probleme in der Praxis Fazit

Aufbau und Funktion eines VPN- Netzwerkes

Konfiguration des Novell GroupWise Connectors

BremSec-Forum. Das SIMOIT-Projekt Sichere mobile Anbindung

Informatik für Ökonomen II HS 09

Seite Wireless Distribution System (Routing / Bridging) 3.1 Einleitung

Virtual Private Network. David Greber und Michael Wäger

Arbeitskreis Security

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

Infrastruktur: Vertrauen herstellen, Zertifikate finden

WLAN an der TUC. eduroam mit Windows 7. Empfohlen - gesichertes Funknetz mit WPA/WPA2

Sie können diesen Service verwenden, um fast beliebig große Dateien auch über 2 GB zu versenden.

auf Basis von SIMOIT und Wireless Communication and Information 2009 Evren Eren, Stephan Uhde, Kai-Oliver Detken

Wireless & Management

4D Server v12 64-bit Version BETA VERSION

ONET: FT-NIR-Netzwerke mit zentraler Administration & Datenspeicherung. ONET Server

Unterbrechungsfreie Relokalisierung von virtuellen Maschinen in einer Data- Center-Cloud (DCCloud)

Zeitstempel für digitale Dokumente. Ein neuer Dienst in der DFN-PKI

Herausforderungen des Enterprise Endpoint Managements

Wireless & Management

Android Remote Desktop & WEB

Anleitung. Gast-WLAN

Von Perimeter-Security zu robusten Systemen

White Paper. Konfiguration und Verwendung des Auditlogs Winter Release

Anleitung zum Prüfen von WebDAV

Man liest sich: POP3/IMAP

Wissenschaftliches Experiment

Verwendung von Remote Attestation in Trusted Network Connect

Hardware- und Softwarevoraussetzungen

Übungen zur Softwaretechnik

The information security provider

Fernzugang Uniklinikum über VMware View

Websites mit Dreamweaver MX und SSH ins Internet bringen

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Eine umfassende Unternehmenslösung für die private und berufliche Nutzung

Wireless LAN Installation Windows XP

Dynamisches VPN mit FW V3.64

DNSSEC bei Netzzugangsgeräten

Zertifikate Exchange Server / WLAN. Referent: Marc Grote

2. Konfiguration der Adobe Software für die Überprüfung von digitalen Unterschriften

Konfigurationsbeispiel USG

Kurzanleitung zur Verwendung von File Sharing (DC2FS)

HowTo: Einrichtung & Management von APs mittels des DWC-1000

Alle Jahre wieder... Eckard Brandt. Regionales Rechenzentrum für Niedersachsen Eckard Brandt Gruppe Systemtechnik

Sicherheit in Workflow-Management-Systemen

TCPA - Fritz Chip. 1 Vorwort 2 TCPA. 3 TPM (Fritz Chip) 3.1 Architektur. Stephan Dobretsberger F716 // 003xxxx

msm net ingenieurbüro meissner kompetent - kreativ - innovativ

Abschlussvortrag zur Bachelorarbeit: Load Balancing für Systeme zum Schutz von Webservern gegen Denial of Service Angriffe mit Hilfe von Redirects

Trusted Platform Module: Technik und Einsatz

UEFI Secure Boot und alternative Betriebssysteme

Virtual Desktop Infrasstructure - VDI

Drahtlosnetzwerke automatisch konfigurieren mit WCN (Windows Connect Now) unter Windows Vista

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Microsoft Vista Netzwerkanbindung, mobiles und Remote Computing

WLAN mit WPA (wpa4fh)

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere

Herstellererklärung Sign Live! CC 4.2 IS-SIGNLIVECC-4.2 N1. Nachtrag 1. zur Herstellererklärung des Produktes Sign Live! CC 4.2 vom

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Status in Arbeit in Prüfung genehmigt zur Nutzung. Rudolf Rothenbühler, Peter Meyer, Jean-Pierre Bolli Stefan Greif, Antoine Buntschu

Trusted Computing. Projekte, Erfahrungen und Piloten. Markus Linnemann Niklas Heibel Prof. Dr. Norbert Pohlmann

INHALTSVERZEICHNIS. Vorbereitung:

PlaceCam 3. Die Videokonferenzsoftware für Windows und Mac OS X. Jürgen Völkel Vertrieb daviko GmbH

Installationsanleitung zum Access Point Wizard

Fallstudie HP Unified WLAN Lösung

Mobile Konsole von NetSupport DNA Erste Schritte. Copyright 2011 NetSupport Ltd alle Rechte vorbehalten

Web Service Security

lldeckblatt Einsatzszenarien von SIMATIC Security-Produkten im PCS 7-Umfeld SIMATIC PCS 7 FAQ Mai 2013 Service & Support Answers for industry.

Web Application Security

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

Die Vielfalt der Remote-Zugriffslösungen

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Smartphone mit Nahfunk (NFC)

Virtual Private Network

Konfigurationsbeispiel

Windows 7 für die Nutzung der WLANs DESY und eduroam konfigurieren.

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Eine Sicherheitsarchitektur für offene, lokale Netze. Realisierung durch Open Source Software?

Transkript:

Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München SEP Antrittsvortrag Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC Simon Stauber Betreuer: Holger Kinkelin, Corinna Schmitt 19. November 2008

Übersicht Motivation Basics Trusted Computing Integrity Measurement Architecture SEP Remote Attestation TNC Architektur Ansatz Projektablauf Zusammenfassung Simon Stauber Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC 2

Motivation Problem: Mobile Clients können Schadsoftware aus anderen unsicheren Netzwerken einschleusen Zentrale Schutzmaßnahmen (Firewall) helfen nur bedingt Abhilfe: Versuch die Integrität von Endgeräten zu gewährleisten Endgerät muss beim Anmelden an das Netzwerk Vertrauenswürdigkeit beweisen Our Network Unsecure Network Konzept der Trusted Computing Group (TCG): Verwendung von Trusted Platform Module (TPM) Our Network und Trusted Network Connect (TNC) Ziel: Integration einer Remote Attestation in EAP TNC Simon Stauber Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC 3

Trusted Computing Trusted Computing entwickelt von der Trusted Computing Group Ziel: Ein Rechner verhält sich auf eine vorgegebene Weise zuverlässig Erkennen der Veränderung einer Computerplattform hervorgerufen durch externe Angriffe, Fehlfunktionen, Sicherheitslücken etc. Verwendung von Trusted Platform Module und Trusted Software Stack www.trustedcomputinggroup.org Simon Stauber Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC 4

Trusted Platform Module TPM bildet den Vertrauensanker Speichert Hard und Software Integritätsmesswerte nachprüfbar TPM ist passiv: macht Trusted OS und Vertrauenskette notwendig Trusted OS erweitert PCR via extend Operation: PCR new = SHA1(PCR old Measurement) Zufallsgenerator RSA Kryptographie Platform Configuration Register RSA Schlüsselgenerator SHA1 Engine RSA Schlüssel Endorsement Key Besitzerdaten Storage Root Key Verwendung in SEP: Signing Key, Quote Operation und PCR Simon Stauber Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC 5

Integrity Measurement Architecture Integrity Measurement Architecture (IMA) von IBM entwickelt Linux Kernel Modul Vermisst alle zur Laufzeit des Betriebssystems ausgeführten Programme und protokolliert diese in der Measurement List (ML) Erweitert PCR10 des TPM mittels extend Operation 10 b64433a7dcd7573fbe56b4671bb32450f45b6b82 mac80211 10 db26e7e37842a8fd5508c9c7e345ab22d753f00e iwl3945 10 26a9e05ef28c7271f36b52516cdb185e9173f48d irtty_sir 10 5e0324d1b1756e18c3a53e812023081909087c5d pcmcia 10 7b8d2535243c7273d9b5737f5ea858b84526ce00 ath_hal 10 f68269c7f4f66a252dc2cd1aad9e7f801d2dafb0 wlan 10 0a0519739001533b57ca0e7a2ba21834fa902d9b joydev Simon Stauber Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC 6

Remote Attestation Bescheinigung: Beweisen gegenüber entfernter Partei, dass sich die TC Plattform in einem definiertem Zustand befindet Verwendung von IMA zur Darstellung des Systemszustands Client gilt als unsicher, aber TPM agiert als vertrauenswürdige Hardware (Root of Trust) Measurement List (ML) wird durch TPM geschützt Attesting Party Challenging Party 2. TPM Quote (Nonce, PCR, Key) 4. Send ML ML Nonce Sig{Nonce, PCR10} Measurement List 1. Create Nonce 3. Check Signature, Nonce 5.Validate ML against PCR, Database Simon Stauber Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC 7

EAP TNC Architektur Erweiterung des NAC durch Integritätsmesswerte Versand der Integritätswerte via TNC als EAP Methode Sicherheitsaspekt: EAP TNC wird innerhalb TLS Tunnel ausgeführt Integrity Measurement Collector Integrity Measurement Verifier IF IMC IF IMV TNC TNC Client TNC Server EAP Network Access Requestor Policy Enforcement Point Network Access Authority Simon Stauber Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC 8

Ansatz Überblick Basis Softwarekomponenten: wpa supplicant und hostapd Integrity Measurement Collector Integrity Measurement Verifier IF IMC IF IMV TNC TNC Client TNC Server EAP Network Access Requestor Policy Enforcement Point Network Access Authority wpa supplicant hostapd Simon Stauber Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC 9

Ansatz Details TPM IMA SQL PCR Quote extend ML 10 b64433a7dcd7573f be56b4671bb32450f 45b6b82 mac80211 10 094f ce2d9c1b518286bf 0298c665864c9aeb77a3 si r _dev 10 db26e7e37842a8f d5508c9c7e345ab22d753f 00e i wl 3945 10 26a9e05ef 28c7271f 36b52516cdb185e9173f 48d i r t t y_si r 10 5e0324d1b1756e18c3a53e812023081909087c5d pcmci a 10 7b8d2535243c7273d9b5737f 5ea858b84526ce00 at h_hal 10 f 68269c7f 4f 66a252dc2cd1aad9e7f 801d2daf b0 wl an 10 0a0519739001533b57ca0e7a2ba21834f a902d9b j oydev check Whitelist/Blacklist 10 b64433a7dcd7573f be56b4671bb32450f 45b6b82 mac80211 10 094f ce2d9c1b518286bf 0298c665864c9aeb77a3 si r _dev 10 db26e7e37842a8f d5508c9c7e345ab22d753f 00e i wl 3945 10 26a9e05ef 28c7271f 36b52516cdb185e9173f 48d i r t t y_si r 10 5e0324d1b1756e18c3a53e812023081909087c5d pcmci a 10 7b8d2535243c7273d9b5737f 5ea858b84526ce00 at h_hal 10 f 68269c7f 4f 66a252dc2cd1aad9e7f 801d2daf b0 wl an 10 0a0519739001533b57ca0e7a2ba21834f a902d9b j oydev Attestation IMC Attestation IMV Integrity Measurement Collector Integrity Measurement Verifier Simon Stauber Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC 10

Remote Attestation Message Flow Chart wpa supplicant + IMC hostapd (AP Modus) hostapd (Radius) + IMV EAP TTLS/TLS Secure Channel Client Hello Integrity Measurement Collector Nonce Sig{Nonce, PCR10} ML Request Integrity Measurement Verifier Measurement List Access Information Connection Change Access Network Simon Stauber Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC 11

Zusammenfassung Ziel: Erhöhung der Sicherheit von NAC durch Einsatz von Integrity Measurement und Remote Attestation Angewandte Technologien: Trusted Platform Module Integrity Measurement Architecture Trusted Network Connect wpa supplicant und hostapd als Basis für TNC Aufgabe: Implementierung des Integrity Measurement Collectors und Verifiers für EAP TNC Simon Stauber Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC 12

Zeitplan ID Task Sep 2008 Okt 2008 Nov 2008 Dez 2008 Jan 2009 Feb 2009 Mrz 2009 31.8 7.9 14.9 21.9 28.9 5.10 12.10 19.10 26.10 2.11 9.11 16.11 23.11 30.11 7.12 14.12 21.12 28.12 4.1 11.1 18.1 25.1 1.2 8.2 15.2 22.2 1.3 8.3 15.3 22.3 1 Einarbeitung 2 Implementierung 3 Testphase 4 Ausarbeitung 5 Vortrag Simon Stauber Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC 13

Und zum Schluss Gibt es noch Fragen? Simon Stauber Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC 14

Literatur Bundesamtes für Sicherheit in der Informationstechnik: TSS Studie TCG TNC IF IMV Specification Version 1.2 TCG TNC IF IMC Specification Version 1.2 TCG TNC Architecture Version 1.1 TCG TNC IF TNCCS Specification Version 1.1 Trusted Computing Systeme, Thomas Müller, Springer Verlag Simon Stauber Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC 15

Bildnachweis http://b2b.sony.com/solutions/pages/bxshowcase/images/large/tcg.jpg https://www.trustedcomputinggroup.org/home Simon Stauber Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC 16

Und zum Schluss Danke für Ihre Aufmerksamk eit Simon Stauber Vertrauenswürdige Network Access Control basierend auf Integritätsmesswerten mit EAP TNC 17

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback