VOGUE-Workshop an der Hochschule Bremen unter Beteiligung von Cisco Systems
Am 5. November fand in der Hochschule Bremen seitens der Mobile Research Group (MRC) der Workshop des Forschungsprojektes VOGUE statt, der ganz im Zeichen von Network Access Control (NAC) und Trusted Network Computing (TNC) stand. Neben der DECOIT GmbH berichteten die Fachhochschule Hannover, Cisco Systems und Fraunhofer SIT aus Darmstadt über neue Erkenntnisse in diesem Umfeld . Die DECOIT GmbH stellte neue Erkenntnisse aus ihrem Forschungsprojekt VOGUE (www.vogue-project.de) vor. Weitere Partner wie Fraunhofer SIT und der Kooperationspartner FH Hannover waren anwesend und berichteten über ihre Projekte. Die Veranstaltung war mit 80 Teilnehmern sehr gut besucht.
Zum Thema "Network Access Control" präsentierte Cisco Systems seine neusten Entwicklungen. Stephan Meier von Cisco aus Hamburg stellte somit die Lösung AnyConnect Secure Mobility vor, zur Absicherung der Kommunikation mobiler Endgeräte. Dabei ging er auch auf die neuen Herausforderungen durch die Mobilität ein, da jeder Benutzer heute jederzeit und von überall auf das interne Netz zugreifen will. Es muss daher die interne Security Policy auf mobile Endgeräte erweitert werden. Dies beinhaltet eine größere Anpassungsfähigkeit durch die Nutzung völlig verschiedener mobiler Endgeräte. Die Anforderungen sind damit komplexer geworden, die Sicherheitsrichtlinien blieben aber identisch in den Unternehmen. Remote-Access-Lösungen auf der einen Seite und Security Appliances auf der anderen Seite sind einzubeziehen. Hierbei greift Cisco Systems neuerdings auf den Hersteller IronPort zurück, der als Appliance verwendet wird. Cisco hat dieses Unternehmen aufgekauft, welches einen exzellenten Ruf im Bereich Web-Appliance hatte.
Häufig wurde früher der Tunnel zum Unternehmen manuell aufgebaut, was viele Benutzer überfordert hat. Der VPN-Client von Cisco ist nun für das Endgerät notwendig, die Verschlüsselung wird per SSL hergestellt. Auch mobile Betriebssysteme werden mit unterstützt, wie iOS von Apple und Windows Mobile von Microsoft. Andere Smartphone-Betriebssysteme sind in Planung. Neue Generationen bieten mehr Intelligenz (optimale Gateway), mehr Sicherheit (Zustandskontrolle und Quarantäne) und bessere Handhabung (automatische Hotspot-Erkennung). Bei der Cisco-Lösung wird nun dauerhaft eine Verbindung aufgebaut, weshalb sich der Benutzer nicht mehr mit der Einwahl beschäftigen muss. Durch die IronPort-Appliance wird Trusted Network Detection (TND) verwendet, das die automatische Erkennung wo sich der Benutzer befindet (intern oder extern) ermöglicht. Hauptbestandteil ist eine zentrale Datenbank, die kontinuierlich Informationen sammelt für die eigenen Blacklisten. Es wird der "Ruf" der Verbindungsendpunkte dadurch nachgeforscht. Der Kontext wird dabei versucht zu berücksichtigen. Dieser beinhaltet die Identität des Benutzers, welche Anwendungen zugelassen werden, welche Lokation benutzt wird, welche Prioritäten für Anwendungen auf Serverseite vergeben werden, welche Objekte zugelassen sind und welche Geräte unterstützt werden. Dadurch lassen sich globale Richtlinien definieren.
Im üblichen NAS-Szenario von Cisco Systems wird eine VPN-Verbindung über die ASA5500-Serie terminiert. Diverse Remote-Access-Verbindungen sind darüber möglich. Hier wird im Grunde die gleiche Funktionalität wie vorher ermöglicht, nur ohne eigene Software auf den Geräten. Der typische NAC-Ansatz wird bei Cisco nur noch für Laptops genutzt. Die Unterstützung von mobilen Endgeräten ist nicht vorgesehen. Trotzdem ergibt sich eine Vielzahl von Anwendungsmöglichkeiten (Gastzugang, WLAN-Access etc.). Die Architektur besteht aus dem NAC-Agent auf dem Client, dem NAC-Server für den Zugriff und dem NAC-Manager für die Benutzerprofile. Cisco arbeitet hier mit einer Vielzahl von Anti-Virus- und Anti-Spam-Systemen verschiedenster Hersteller zusammen.
Im nachfolgenden Vortrag wurde von Prof. Kai-Oliver Detken das Forschungsprojekt VOGUE vorgestellt. Hierbei wurden die IT-Sicherheitsfaktoren im Allgemeinen erst einmal beleuchtet, um dann auf die speziellen Eigenschaften mobiler Endgeräte einzugehen. Diese wurden innerhalb des VOGUE-Projektes untersucht, um ein Betriebssystem für den späteren Prototypen aussuchen bzw. um die Notwendigkeit der Erhöhung der Sicherheitsmechanismen untersuchen zu können. In einem Vergleich der mobilen Betriebssysteme kam dann heraus, dass Android zwei Alleinstellungsmerkmale besitzt: es ist ein offenes Betriebssystem, um einfacher Weiterentwicklungen und Evaluierung bestehender Software durchführen zu können, und es ist in der Lage mehrere Benutzer zu unterstützen. Es ist zwar noch nicht so am Markt verbreitet, legt aber stark zu. Um die Sicherheitsmechanismen des Betriebssystems erhöhen zu können, wird durch VOGUE das Konzept des Trusted Network Connect (TNC) eingeführt. Die Architektur und die zentralen Aufgaben von TNC wurden präsentiert und beleuchtet. Dann wurde das VOGUE Projekt erläutert und die Motivation hinter der Forschung. Dabei ist man inzwischen so weit, dass im November ein erster Demonstrator vorgestellt werden kann. Dies wird auf dem Fachkongress in Köln zum ersten Mal der Fall sein, der am 18.-19. November stattfindet und vom Bundesministerium organisiert wird.
Diese stellte mit Ingo Bente ihre eigenen Forschungsprojekte auf dem Workshop vor. Die Forschungsgruppe der Fachhochschule arbeitet in verschiedenen Projekten an der TNC-Architektur, die für offene Standards und Unabhängigkeit von einem bestimmten Hersteller steht. Neu ist der MAP-Standard in TNC, der den Ansatz zur Integration beliebiger Netzwerkkomponenten liefert. Die Kernanforderung ist dabei ein einheitliches, erweiterbares Datenformat auf einer interoperablen Schnittstelle liefern zu können. Erst dann kann eine Datenintegration, basierend auf den Metadaten des Netzes, erfolgen. Dadurch soll die Korrelation auf den Datenbestand ermöglicht werden. Die IF-MAP-Kommunikation basiert auf XML und soll auch im ESUKOM-Projekt untersucht werden. Sehr stolz ist die FH Hannover auf ihr FreeRADIUS-Modul, welches inzwischen von der TCG zertifiziert wurde. Interoperabilitätstests mit anderen Entwicklungen wurden ebenfalls erfolgreich durchgeführt. Aktuelle Arbeiten beschäftigen sich mit der halbautomatischen Sanierung des Endgerätezustands, Policy Management und Turaya als Trusted OS. Nach dem Vortrag wurde eine Demonstration einer Einwahl für einen MAP-Server gezeigt. Hierbei wurden die MAP-Server-Arbeiten durch eine eigene Softwarelösung eindrucksvoll visualisiert.
Abschließend präsentierte Dr. Carsten Rudolph vom Fraunhofer SIT das Thema "Digital Evidence" - digitale Beweisführung. Im digitalen Bereich wird es zunehmend schwieriger den Nachweis zu führen, ob ein Gerät manipuliert oder nicht manipuliert wurde. TNC-Module können diese Sicherheit liefern, um einzelne Komponenten zu kontrollieren. Über einen TPM-Schlüssel findet dabei eine eindeutige Identifizierung statt. Der gesamte Zustand des Endgeräts muss dabei gemessen werden; nicht nur das Betriebssystem. Zusätzlich muss der TPM-Chip vom Hersteller zertifiziert sein, wobei aber die wenigsten Hersteller diesen Aufwand betreiben (nur Infineon ist derzeit bekannt). Abschließend muss die Standardkonformität gegeben sein. Hier muss sich noch einiges tun, damit eine höhere Sicherheit von Endpunkten gewährleistet werden kann. Untersuchungen für Endpunkte mit geringer Funktionalität laufen. Für Laptops oder Computer bleibt dieser Ansatz schwer umzusetzen.
Als Fazit konnte gezogen werden, dass Cisco Systems Verstärkung für seine vorhandene NAC-Lösung durch den Zukauf von IronPort bekommen hat. Allerdings machte die Allways-On-Funktionalität aus unserer Sicht einen nicht so guten Eindruck, da dadurch auch Sicherheitslöcher permanent genutzt werden können. Der TNC-Standard setzt dagegen auf einen globalen Standard und löst die Remote-Access-Problematik bei zugleich hoher Kompatibilität zu anderen Produkten. Hier befindet sich das VOGUE-Konsortium auf einem guten Weg.
