Lesezeit
1 Minute
Seite 2 - Sicherer Netzwerkzugang durch TPM-Chips
Key Management & Administration
Optional lässt sich auch das zentrale Management der Signing Keys von einer Software wie macmon durchführen. Eine Identifizierung der Geräte kann dann unabhängig vom betriebenen Betriebssystem und ohne das erneute Erzeugen von Schlüsseln nach einer Neuinstallation des Betriebssystems erfolgen. Der non-migratable private MM-Key wird in der Datenbank der Security-Software gespeichert. Da der Key nur in Verbindung mit dem TPM-Chip, für den er erzeugt wurde nutzbar ist, stellt dies kein Sicherheitsproblem da. Nun kann auch ein Gerät nach einer kompletten Neuinstallation des Betriebssystems problemlos und fälschungssicher identifiziert werden, ohne dass erneut ein Schlüssel zu generieren ist. Wird das TPM zurückgesetzt, ist das aktuelle Identifizierungsmerkmal (der MM-Key) nicht mehr nutzbar und es muss ein neuer MM-Key erzeugt und auf dem Server hinterlegt werden.
Bild 2: Speicherung des privaten macmon-Schlüssels
Remote Attestation über Trusted Network Connect
Trusted Network Connect (TNC) ist ein universeller Ansatz der Trusted Computing Group für die Netzwerksicherheit. Dabei geht es um die Entwicklung einer offenen und herstellerunabhängigen Spezifikation zur Überprüfung der Integrität von Endpunkten, die einen Verbindungsaufbau starten. Die Architektur bezieht schon bestehende Sicherheitstechnologien wie VPN, 802.1X, EAP und Radius mit ein. Das Konzept erweitert den Netzwerkzugang um die Funktionen der Überprüfung der Integrität und Konformität der Endgeräte und deren Verbindung in Bezug auf die vereinbarten Richtlinien.
Im Gegensatz zu den proprietären Lösungen einzelner Hersteller handelt es sich beim TNC-Konzept um eine offene Architektur für die Netzwerkzugangskontrolle, die auch heterogene Netze unterstützt. Die Rechner übermitteln Konfigurationsinformationen an den "Policy Decision Point", der die Vertrauenswürdigkeit feststellt und den Zugriff auf die Netzwerkressourcen erweitern oder einschränken kann. Diese offene Architektur sieht eine flexible Erweiterung durch die Bereitstellung von eigenen Bewertungssystemen vor und wird von nahezu allen namhaften Herstellern der IT unterstützt. Der macmon TP Agent stellt sich in diesem Modell als "IMC", als "Integrity Measurement Collector" dar. Dieser kommuniziert über das entsprechende "IF-M"-Protokoll mit dem macmon-Server als "Integrity Measurement Verifier", der sich über einen Proxy-Dienst als Teil des "Policy Decision Points" zu erkennen gibt. Somit lässt sich eine Hersteller- und Plattformunabhängigkeit garantieren.
ln/Wolfgang Dürr, Geschäftsführer mikado soft GmbH
Optional lässt sich auch das zentrale Management der Signing Keys von einer Software wie macmon durchführen. Eine Identifizierung der Geräte kann dann unabhängig vom betriebenen Betriebssystem und ohne das erneute Erzeugen von Schlüsseln nach einer Neuinstallation des Betriebssystems erfolgen. Der non-migratable private MM-Key wird in der Datenbank der Security-Software gespeichert. Da der Key nur in Verbindung mit dem TPM-Chip, für den er erzeugt wurde nutzbar ist, stellt dies kein Sicherheitsproblem da. Nun kann auch ein Gerät nach einer kompletten Neuinstallation des Betriebssystems problemlos und fälschungssicher identifiziert werden, ohne dass erneut ein Schlüssel zu generieren ist. Wird das TPM zurückgesetzt, ist das aktuelle Identifizierungsmerkmal (der MM-Key) nicht mehr nutzbar und es muss ein neuer MM-Key erzeugt und auf dem Server hinterlegt werden.
Bild 2: Speicherung des privaten macmon-Schlüssels
Remote Attestation über Trusted Network Connect
Trusted Network Connect (TNC) ist ein universeller Ansatz der Trusted Computing Group für die Netzwerksicherheit. Dabei geht es um die Entwicklung einer offenen und herstellerunabhängigen Spezifikation zur Überprüfung der Integrität von Endpunkten, die einen Verbindungsaufbau starten. Die Architektur bezieht schon bestehende Sicherheitstechnologien wie VPN, 802.1X, EAP und Radius mit ein. Das Konzept erweitert den Netzwerkzugang um die Funktionen der Überprüfung der Integrität und Konformität der Endgeräte und deren Verbindung in Bezug auf die vereinbarten Richtlinien.
Im Gegensatz zu den proprietären Lösungen einzelner Hersteller handelt es sich beim TNC-Konzept um eine offene Architektur für die Netzwerkzugangskontrolle, die auch heterogene Netze unterstützt. Die Rechner übermitteln Konfigurationsinformationen an den "Policy Decision Point", der die Vertrauenswürdigkeit feststellt und den Zugriff auf die Netzwerkressourcen erweitern oder einschränken kann. Diese offene Architektur sieht eine flexible Erweiterung durch die Bereitstellung von eigenen Bewertungssystemen vor und wird von nahezu allen namhaften Herstellern der IT unterstützt. Der macmon TP Agent stellt sich in diesem Modell als "IMC", als "Integrity Measurement Collector" dar. Dieser kommuniziert über das entsprechende "IF-M"-Protokoll mit dem macmon-Server als "Integrity Measurement Verifier", der sich über einen Proxy-Dienst als Teil des "Policy Decision Points" zu erkennen gibt. Somit lässt sich eine Hersteller- und Plattformunabhängigkeit garantieren.
<<Vorherige Seite Seite 2 von 2
ln/Wolfgang Dürr, Geschäftsführer mikado soft GmbH